UNC3944, una organización de amenazas impulsada financieramente asociada con “0ktapus”, “Octo Tempest” y “Spider dispersada”, lanzó una sofisticada campaña cibernética que utilizó ataques de ingeniería social y a nivel de hipervisor para atacar a los entornos VSphere Vsphere en las industrias minoristas, aéreas e de seguros.
Google Threat Intelligence Group (GITG) identificó la campaña a mediados de 2025, luego de alertas del FBI sobre la escalada dirigida a las organizaciones minoristas estadounidenses.
Los actores de amenaza emplean una metodología probada de “vida-de-la tierra” (LOTL) que omite las soluciones de detección y respuesta de punto final tradicional (EDR) al operar directamente a nivel de hipervisor, donde las herramientas de seguridad tienen una visibilidad limitada.
En breve
1. Peopsonación del teléfono para restablecer las contraseñas de AD y aumentar a los grupos de administración de vSphere a través de comandos net.exe.
2. Explote vCenter para modificar los cargadores de arranque de grub para el acceso a la raíz e instale las cáscaras inversas de “teletransporte”.
3. Avanzar VMS, separar los archivos .vmdk y extraer Ntds.dit fuera de línea antes de la implementación de ransomware.
Cadena de ataque de ingeniería social de UNC3944
La cadena de ataque de UNC3944 comienza con una sofisticada ingeniería social basada en teléfonos que se dirige a los escritorios de ayuda.
Mandante informes que los actores de amenaza se hacen pasar por empleados que utilizan información personal disponible públicamente de infracciones de datos anteriores para convencer a los agentes de la mesa de ayuda para que restablezcan las contraseñas de Active Directory.
Una vez dentro, realizan un reconocimiento a través de sitios de SharePoint y unidades de red, cazando específicamente la documentación de TI que revela cuentas privilegiadas como grupos “VSphere Admins” o “Administradores de ESX”.
Luego, los atacantes aumentan los privilegios al agregar cuentas comprometidas a grupos de seguridad críticos utilizando comandos como Net.Exe Group “ESX Administradores” ACME-Corp \ TEMP-ADM-BKDR /ADD Ejecutado a través de Windows Remote Management (WINRM).
Cadena de ataque típica de UNC3944
Los equipos de seguridad pueden detectar esta actividad al monitorear la ID del evento AD 4728 (miembro agregado al grupo global habilitado para la seguridad) y correlacionar la ejecución del proceso WSMProvhost.exe con modificaciones de grupo sospechosas.
Después de obtener acceso al vCenter, UNC3944 ejecuta una adquisición sofisticada del dispositivo de servidor vCenter (VCSA). Aprovechan el acceso de la consola para reiniciar el dispositivo y modifican el gestor de arranque de grub con init =/bin/bash, logrando el acceso raíz sin contraseña.
Luego, el grupo instala “Teleport”, una herramienta legítima de acceso remoto de código abierto, creando capas inversas encriptadas que evitan las reglas de salida de firewall.
Las señales de detección críticas incluyen monitoreo de eventos vCenter como vim.event.vmReconfiguredEvent y userLoginSessionEvent, al implementar el reenvío remoto de syslog desde VCSA para capturar la habilitación del servicio SSH no autorizado.
Las organizaciones deben monitorear las solicitudes anómalas de DNS de los servidores vCenter y las conexiones de salida inusuales que podrían indicar la comunicación C2.
Exfiltración de datos a través de la manipulación de disco virtual
La fase más devastadora implica el robo de credenciales fuera de línea a través de la manipulación del disco virtual.
UNC3944 identifica las máquinas virtuales del controlador de dominio, las alimenta y se separa sus discos virtuales (archivos .vmdk) antes de adjuntarlos a máquinas virtuales “huérfanas” comprometidas.
Esta técnica permite la extracción de la base de datos NTDS.
Las organizaciones pueden defenderse contra este vector de ataque implementando el cifrado VSPhere VM para los activos de nivel 0, permitiendo el modo de bloqueo ESXI y aplicando la configuración de núcleo EXECInstalledonly para evitar la ejecución binaria no firmada.
La implementación final del ransomware del grupo utiliza la herramienta VIM-CMD nativa para apagar las máquinas virtuales antes de encriptar los archivos de almacén de datos, lo que hace que el endurecimiento a nivel de hipervisor sea esencial para la prevención.
Los equipos de seguridad deben implementar el registro integral de los eventos vCenter, los registros de auditoría ESXI y el directorio de Active para detectar la progresión metódica de UNC3944 a través de entornos virtualizados antes de que ocurra la implementación de ransomware.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
