Blog Blog

13 de Octubre de 2025

October 14, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
13 de Octubre de 2025

--- ANÁLISIS DEL INCIDENTE 1 (Ataque DDoS) ---

Título: Grupo Hacktivista HEZI RASH Lanza Ataque DDoS Contra Club Deportivo en Azerbaiyán

Análisis del Incidente: El grupo hacktivista emergente conocido como HEZI RASH ha reivindicado la autoría de un ataque de denegación de servicio distribuido (DDoS) contra el sitio web del Turan Tovuz PFK, un club de fútbol profesional de Azerbaiyán. El ataque dejó el sitio web inaccesible, y el grupo aportó pruebas del tiempo de inactividad a través de un enlace de check-host.net. Este incidente subraya la táctica de disrupción como herramienta principal de grupos con motivaciones ideológicas o geopolíticas.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: HEZI RASH es un actor o grupo de amenaza activo desde al menos mediados de 2025. Su modus operandi se centra en ataques DDoS contra una variedad de sectores, principalmente motivados por una agenda geopolítica. Aunque no se ha atribuido a un estado-nación, sus objetivos sugieren una alineación con ciertos intereses regionales y un comportamiento hacktivista destinado a generar disrupción y visibilidad.
  • Perfil de la Víctima: Turan Tovuz PFK es un club de fútbol profesional con sede en Tovuz, Azerbaiyán, que compite en la Premier League de Azerbaiyán. Como entidad deportiva, no representa un objetivo de infraestructura crítica, lo que sugiere que el ataque fue de naturaleza oportunista o simbólica, buscando generar atención mediática en la región.
  • Detalles de la Vulnerabilidad: No aplica. Los ataques DDoS no explotan una vulnerabilidad específica del software (CVE), sino que saturan la capacidad de la infraestructura de red o de los servidores para responder a solicitudes legítimas.

Datos Clave del Incidente:

  • Actor de Amenaza: HEZI RASH
  • Víctima: Turan Tovuz PFK
  • País: Azerbaiyán
  • Sector: Deportes
  • Categoría del Ataque: DDoS Attack
  • Datos Cuantitativos: Interrupción total del sitio web turantovuzpfk.az.

Conclusión del Incidente: El incidente es de severidad moderada. Aunque no afecta a infraestructura crítica, demuestra la capacidad de HEZI RASH para interrumpir servicios en línea y su disposición para atacar objetivos diversos con el fin de promover su agenda.

--- ANÁLISIS DEL INCIDENTE 2 (Ataque DDoS) ---

Título: Red wolf cyber Lanza Ataque DDoS Contra la Agencia Gubernamental Business France

Análisis del Incidente: El grupo de ciberespionaje "Red wolf cyber" ha sido vinculado a un ataque DDoS contra el sitio web de Business France, una agencia gubernamental francesa responsable de promover las exportaciones y la inversión internacional. El ataque provocó la caída del servicio del portal welcometofrance.com, interrumpiendo un canal clave para la promoción económica de Francia.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: Red wolf cyber, también conocido como RedCurl, es un grupo de habla rusa activo desde al menos 2018. Su principal motivación es el ciberespionaje corporativo y gubernamental. Son conocidos por utilizar campañas de phishing sofisticadas que distribuyen malware a través de archivos adjuntos maliciosos (como imágenes de disco .ISO) para robar datos sensibles. Aunque su TTP principal es el espionaje, también realizan ataques DDoS para disrupción o como táctica de distracción.
  • Perfil de la Víctima: Business France es la agencia nacional que apoya el desarrollo internacional de la economía francesa. Es una entidad de alto perfil y un objetivo lógico para un grupo de ciberespionaje interesado en obtener información sobre la estrategia económica y las empresas de una nación.
  • Detalles de la Vulnerabilidad: No aplica. El ataque fue de tipo DDoS, enfocado en sobrecargar la infraestructura del servidor.

Datos Clave del Incidente:

  • Actor de Amenaza: Red wolf cyber
  • Víctima: Business France
  • País: Francia
  • Sector: Gobierno
  • Categoría del Ataque: DDoS Attack
  • Datos Cuantitativos: Interrupción del sitio web welcometofrance.com.

Conclusión del Incidente: La severidad de este incidente es alta. Un ataque contra una agencia económica gubernamental clave por parte de un actor conocido de ciberespionaje sugiere que el DDoS podría ser una cortina de humo para una intrusión más profunda con el objetivo de robar datos estratégicos.

--- ANÁLISIS DEL INCIDENTE 3 (Ciberataque General) ---

Título: Nueva Cepa de Ransomware "White Lock" Emerge en Campañas Activas

Análisis del Incidente: Investigadores de ciberseguridad han identificado una nueva campaña de ransomware que utiliza una cepa denominada "White Lock". Este malware cifra los datos de las víctimas, añade la extensión .fbin a los archivos afectados y exige un rescate en Bitcoin. La nota de rescate, dejada en un archivo c0ntact.txt, informa a la víctima que sus datos no solo han sido cifrados sino también exfiltrados, aplicando una táctica de doble extorsión.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: El actor detrás de White Lock es un grupo de cibercrimen financieramente motivado de origen desconocido. La operación sigue un modelo de ataque de ransomware clásico, enfocado en maximizar el beneficio económico mediante la extorsión. La aparición de una nueva cepa indica un desarrollo activo y la intención de evadir las defensas existentes.
  • Perfil de la Víctima: Aunque no se ha identificado una víctima específica públicamente, este tipo de ransomware suele dirigirse a sectores con baja tolerancia a la inactividad, como la manufactura, la logística y los servicios profesionales, especialmente en pequeñas y medianas empresas.
  • Detalles de la Vulnerabilidad: El vector de acceso inicial no ha sido especificado, pero las campañas de ransomware suelen aprovechar vulnerabilidades en software sin parches, credenciales débiles en servicios de escritorio remoto (RDP) o campañas de phishing.

Datos Clave del Incidente:

  • Actor de Amenaza: Desconocido (Operador de White Lock)
  • Víctima: Sector Manufacturero (genérico)
  • País: Global
  • Sector: Manufactura
  • Categoría del Ataque: Ransomware
  • Datos Cuantitativos: La demanda de rescate observada es de 4 BTC.

Conclusión del Incidente: La aparición de una nueva familia de ransomware siempre representa una amenaza crítica. La táctica de doble extorsión aumenta la presión sobre las víctimas y el riesgo de fugas de datos sensibles, incluso si la empresa puede restaurar sus sistemas a partir de copias de seguridad.

--- ANÁLISIS DEL INCIDENTE 4 (Ciberataque General) ---

Título: Resurge el Troyano de Acceso Remoto (RAT) XWorm con Capacidades de Ransomware Mejoradas

Análisis del Incidente: El troyano de acceso remoto (RAT) XWorm ha resurgido con nuevas capacidades y un módulo de ransomware actualizado. Las nuevas versiones del malware incluyen más de 35 plugins diseñados para el robo de datos de navegadores, clientes de correo electrónico, aplicaciones de mensajería y billeteras de criptomonedas. Su módulo de ransomware ahora es más sofisticado, permitiendo el cifrado de archivos y la alteración del sistema para mostrar la nota de rescate.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: XWorm es una herramienta de malware versátil utilizada por diversos actores de amenazas en el ecosistema del cibercrimen. No se atribuye a un único grupo, sino que funciona como una herramienta disponible que puede ser desplegada en diferentes campañas. Su motivación principal es el robo de información financiera y credenciales para posterior monetización.
  • Perfil de la Víctima: Este tipo de malware multifuncional es una amenaza para una amplia gama de sectores. Sin embargo, su capacidad para robar datos sensibles lo hace especialmente peligroso para industrias que manejan información personal valiosa, como el sector de la salud.
  • Detalles de la Vulnerabilidad: Los vectores de infección comunes para este tipo de RATs incluyen campañas de phishing con archivos adjuntos maliciosos y la explotación de vulnerabilidades en software de cara al público.

Datos Clave del Incidente:

  • Actor de Amenaza: Varios (usuarios de XWorm RAT)
  • Víctima: Sector Salud (genérico)
  • País: Global
  • Sector: Salud
  • Categoría del Ataque: Malware, Infostealer, RAT
  • Datos Cuantitativos: N/A (enfocado en el robo de datos y control de sistemas).

Conclusión del Incidente: La severidad es crítica. La combinación de capacidades de troyano de acceso remoto, ladrón de información y ransomware en una sola herramienta convierte a XWorm en una amenaza formidable, capaz de causar tanto la interrupción operativa como una brecha de datos significativa.

--- ANÁLISIS DEL INCIDENTE 5 (Fuga de Información) ---

Título: Grupo Hider_Nex Reivindica Fuga de Datos del Royal Bank of Scotland

Análisis del Incidente: El grupo hacktivista "Hider_Nex" ha anunciado una supuesta fuga de datos perteneciente al Royal Bank of Scotland (RBS). Afirman haber comprometido y exfiltrado más de 5,000 registros de tarjetas de crédito, junto con "archivos secretos y otra información confidencial". El grupo publicó capturas de pantalla en su canal de Telegram como prueba de la intrusión.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: Hider_Nex es un colectivo hacktivista pro-tunecino y pro-palestino que surgió en 2025. Su agenda es geopolítica, y atacan principalmente a entidades gubernamentales y financieras en países que perciben como adversarios, incluyendo Marruecos, Francia, Estados Unidos e Israel. Utilizan una combinación de ataques DDoS para disrupción y campañas de "hack-and-leak" (intrusión y filtración) para maximizar el impacto propagandístico.
  • Perfil de la Víctima: El Royal Bank of Scotland es uno de los principales bancos comerciales del Reino Unido. Como institución financiera de alto perfil en un país occidental, encaja perfectamente en el perfil de objetivos de Hider_Nex, quienes buscan socavar la confianza en las instituciones de naciones que apoyan a Israel.
  • Detalles de la Vulnerabilidad: El método de intrusión no fue revelado. Podría ser el resultado de la explotación de una vulnerabilidad web, una campaña de phishing exitosa contra empleados del banco o la explotación de una brecha en un proveedor externo.

Datos Clave del Incidente:

  • Actor de Amenaza: Hider_Nex
  • Víctima: Royal Bank of Scotland
  • País: Reino Unido
  • Sector: Servicios Financieros
  • Categoría del Ataque: Data Breach
  • Datos Cuantitativos: Afirman haber filtrado más de 5,000 tarjetas de crédito y otros datos no cuantificados.

Conclusión del Incidente: Este incidente es de severidad crítica. La exfiltración de datos financieros y personales de un banco importante puede tener graves consecuencias para los clientes afectados, incluyendo fraude financiero y robo de identidad, además del daño reputacional significativo para la entidad bancaria.

--- ANÁLISIS DEL INCIDENTE 6 (Fuga de Información) ---

Título: DaemonRoot Alega una Brecha Masiva de 30 Millones de Registros del Bank Central Asia

Análisis del Incidente: Un actor de amenaza identificado como "DaemonRoot" afirma haber filtrado una base de datos masiva que contiene 30 millones de registros de usuarios de Bank Central Asia (BCA), uno de los bancos más grandes de Indonesia. Los datos comprometidos supuestamente incluyen información de identificación personal (PII) sensible, como números de empleado, números de identidad, nombres completos y números de teléfono móvil.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza: Actualmente, no hay información pública disponible sobre el actor de amenazas "DaemonRoot". Su aparición con una afirmación tan audaz sugiere que podría ser un nuevo grupo que busca establecer su reputación en el panorama del cibercrimen, o un actor conocido operando bajo un nuevo alias. Su motivación parece ser la monetización de los datos robados o la extorsión.
  • Perfil de la Víctima: Bank Central Asia (BCA) es un banco privado líder en Indonesia. Una brecha de esta magnitud tendría un impacto devastador en millones de clientes, exponiéndolos a un alto riesgo de fraude, phishing y otros ataques de ingeniería social.
  • Detalles de la Vulnerabilidad: El vector del ataque no se ha hecho público. Sin embargo, las brechas de datos a esta escala a menudo son el resultado de servidores de bases de datos mal configurados, vulnerabilidades en aplicaciones web o un compromiso interno.

Datos Clave del Incidente:

  • Actor de Amenaza: DaemonRoot
  • Víctima: Bank Central Asia (BCA)
  • País: Indonesia
  • Sector: Banca
  • Categoría del Ataque: Data Breach
  • Datos Cuantitativos: Fuga de datos de 30 millones de registros de usuarios.

Conclusión del Incidente: La severidad de este incidente es crítica. Una fuga de datos de esta magnitud que afecta a un banco importante puede causar un daño financiero y reputacional masivo, erosionar la confianza del público en el sistema bancario y desencadenar una oleada de ciberdelitos dirigidos a los clientes afectados.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog