Ocultamiento deficiente: Group‑IB descubre nuevas huellas del mayor proveedor clandestino
Un paso en falso y el esquema empezó a venirse abajo.
Tras bambalinas de muchos ataques de extorsión permanece una parte invisible pero importante del ecosistema de la ciberdelincuencia, la infraestructura que ayuda a los atacantes a desplegar rápidamente herramientas y a cambiar de plataforma. Un nuevo análisis de Group-IB muestra que el clúster de actividad ShadowSyndicate sigue evolucionando, manteniendo hábitos técnicos reconocibles y, al mismo tiempo, complicando la ocultación de las conexiones entre servidores.
ShadowSyndicate une diferentes campañas mediante solapamientos en la infraestructura. Los autores del informe señalan que los integrantes del clúster usan activamente OpenSSH y suelen apoyarse en huellas SSH repetidas, que permiten vincular entre sí un gran número de servidores. Anteriormente Group-IB describió una de esas huellas, y el equipo de Intrinsec más tarde informó sobre otra similar. En el nuevo trabajo, Group-IB confirma dos huellas SSH adicionales que también se encontraron repetidamente en distintos nodos y formaron clústeres de servidores separados.
Una observación nueva clave fue la táctica de reutilizar infraestructura ya activa mediante el traslado de servidores entre «clústeres SSH». A simple vista esto puede parecer un cambio de propietario habitual, pero errores en la seguridad operativa provocaron la intersección de claves y ayudaron a demostrar la relación entre el «antiguo» y el «nuevo» uso de los recursos. Según la estimación de Group-IB, al menos dos decenas de servidores se emplearon como nodos de control para diversos frameworks.
En la infraestructura detectada se hallaron rastros de conjuntos de herramientas que con frecuencia aparecen en ataques tras un compromiso inicial, incluyendo Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent y Brute Ratel. Además, la telemetría vincula parte de los servidores con la actividad de socios o grupos que operan con malware de extorsión. En los clústeres analizados se mencionan solapamientos con operaciones de Cl0p, ALPHV BlackCat, Black Basta, Ryuk y MalSmoke; para algunas de estas conexiones el nivel de confianza se evalúa como bajo debido a la carencia de indicadores técnicos simultáneos.
A pesar de la ampliación del conjunto de huellas y de la aparición del nuevo esquema de «barajeo» de servidores, las preferencias de ShadowSyndicate por proveedores de hosting, según los autores, se mantienen bastante estables. Esto hace que los patrones de infraestructura sean más previsibles para su correlación y detección temprana. No obstante, el papel definitivo de ShadowSyndicate en la cadena criminal aún no está confirmado; Group-IB baraja hipótesis sobre su actuación como intermediario de acceso inicial o como proveedor de hosting "impenetrable" para otros actores del mercado.