Escape del juzgado, phishing en Teams y 600.000 dólares en efectivo: Todo lo que queda de Black Basta

A pesar del colapso público del grupo Black Basta tras la filtración de sus chats internos en febrero de 2025, sus antiguos miembros continúan utilizando métodos de ataque conocidos e incluso los desarrollan activamente. Según un informe de la empresa ReliaQuest, las antiguas tácticas, incluidas campañas masivas de correo electrónico y phishing a través de Microsoft Teams, ahora se complementan con scripts en Python y la transmisión encubierta de datos maliciosos mediante servicios en la nube.

Una innovación clave en las últimas campañas ha sido el uso de solicitudes cURL, que se emplean para descargar y ejecutar scripts maliciosos en las computadoras de las víctimas. Según los especialistas, estos ataques se han observado en los sectores financiero, asegurador y de la construcción, donde los atacantes se hacían pasar por soporte técnico utilizando dominios comprometidos y cuentas falsas en dominios “onmicrosoft[.]com”. Aproximadamente la mitad de los ataques a través de Teams entre febrero y mayo de 2025 se originaron desde estos dominios, y el 42 % a través de recursos ya comprometidos.

Como señala ReliaQuest, los atacantes utilizan activamente el acceso obtenido para iniciar sesiones remotas mediante Quick Assist y AnyDesk, tras lo cual descargan un script malicioso en Python que garantiza una conexión persistente con el nodo infectado. En algunos casos, se muestra a las víctimas una ventana de inicio de sesión falsa de Windows, diseñada para robar credenciales.

En medio de la actividad persistente de los antiguos miembros de Black Basta, causó gran resonancia el caso de la fuga del presunto líder del grupo, Oleg Nefyodov, desde una sala de audiencias en Armenia. Según medios armenios, fue detenido el 21 de junio de 2024 a solicitud de Interpol y debía permanecer bajo custodia durante 72 horas mientras el tribunal examinaba una solicitud de detención provisional. Sin embargo, el día de la audiencia, el abogado de Nefyodov consiguió una pausa de 15 minutos, durante la cual el acusado fue “dejado salir a caminar” y aprovechó para escapar.

A pesar de la desaparición del sitio filtrado de Black Basta, sus métodos están renaciendo. Hay razones para creer que parte de los antiguos miembros se unieron al grupo CACTUS, como lo indica una mención en los chats filtrados sobre una transferencia de 500–600 mil dólares a su favor. Sin embargo, desde marzo de 2025, CACTUS no ha publicado nuevos datos en su sitio de filtraciones, lo que genera sospechas: podría haberse ocultado o haber dejado de existir.

Uno de los posibles nuevos refugios para los antiguos miembros de Black Basta podría ser el grupo BlackLock, vinculado a un nuevo cartel llamado DragonForce. Esta alianza aparece cada vez con más frecuencia en las investigaciones de grandes ataques recientes.

La infraestructura de ataque también está evolucionando: se han detectado backdoors en Java mejorados, previamente usados para el robo de credenciales en ataques de Black Basta. Ahora utilizan servicios en la nube como Google Drive y OneDrive para el proxy de comandos, lo que permite eludir los medios habituales de detección. En muestras recientes, los parámetros de configuración del proxy están vacíos, lo que indica una transición intencionada al uso exclusivo de infraestructura en la nube de los proveedores CSP.

Las nuevas versiones de este software pueden transferir archivos, desplegar proxies SOCKS5, extraer contraseñas de los navegadores, ejecutar clases Java desde URL remotas en memoria e incluso mostrar ventanas de inicio de sesión falsas. Todo esto lo convierte en una herramienta poderosa para mantener la presencia en la red y desplegar ataques posteriores.

La metodología utilizada activamente por antiguos miembros de Black Basta ya ha comenzado a propagarse entre otros grupos. Por ejemplo, BlackSuit ha adoptado los mismos enfoques de ingeniería social, incluido el phishing por Teams y Quick Assist, lo que puede indicar un intercambio de tácticas o una migración de miembros entre equipos.

Los informes también mencionan el uso de otros malware. Entre ellos se encuentran el backdoor en Python Anubis, un backdoor en Java, así como una utilidad en Rust que presuntamente actúa como cargador de un cliente SSH. Merece especial atención el backdoor de tunelización QDoor, previamente vinculado a BlackSuit y recientemente observado en ataques del estilo 3AM descritos por la empresa Sophos.

En una perspectiva más amplia, se está desarrollando una serie de ataques por parte de otros grupos. Scattered Spider, por ejemplo, se ha centrado en la intrusión a empresas MSP, utilizando páginas de phishing basadas en Evilginx para sortear la autenticación en dos pasos. El grupo Qilin (también conocido como Agenda y Phantom Mantis) explota vulnerabilidades en Fortinet FortiGate, mientras que Play aprovecha la falla CVE-2024-57727 en el software SimpleHelp para atacar organizaciones en EE. UU.

Mientras tanto, los conflictos internos en el grupo VanHelsing provocaron la filtración de todo el código fuente, incluidas claves TOR, panel de administrador, base de datos del blog y sistema de chats. Y el grupo Interlock ha comenzado a distribuir un nuevo backdoor en JavaScript llamado NodeSnake, dirigido a organizaciones educativas y gubernamentales en el Reino Unido.

Como destaca Quorum Cyber, el uso de herramientas RAT sigue siendo el principal medio para obtener y mantener acceso a sistemas infectados. Estas herramientas permiten controlar el sistema, monitorear la actividad del usuario, instalar software adicional y robar datos, lo que las convierte en elementos indispensables del arsenal de los atacantes modernos.