Trabajan de 12:00 a 18:00 y adoran Java: perfil de los hackers que eludieron la seguridad de Cisco
El grupo de hackers Interlock operó durante mes y medio en las redes de Cisco sin que nadie se diera cuenta.
El grupo Interlock aprovechó una vulnerabilidad crítica en los cortafuegos de Cisco antes de que el mundo lo supiera. El ataque comenzó casi mes y medio antes de la divulgación pública del problema, y durante ese tiempo los atacantes obtuvieron una ventaja significativa.
El equipo de inteligencia sobre amenazas de Amazon identificó una campaña activa de ransomware relacionada con la vulnerabilidad CVE-2026-20131 en el sistema de gestión Cisco Secure Firewall Management Center. El fallo permite ejecutar de forma remota código Java arbitrario con privilegios máximos sin autenticación. Cisco reveló el problema el 4 de marzo de 2026; sin embargo, Interlock comenzó a explotar la vulnerabilidad el 26 de enero. En la práctica se trata de un «día cero», cuando los ataques ocurren antes de que haya parches.
Durante el análisis de la vulnerabilidad, los especialistas emplearon la red de señuelos Amazon MadPot. El sistema mostró que los atacantes enviaban solicitudes HTTP especiales con intentos de ejecutar código Java y con enlaces a servidores externos. Un enlace servía para preparar el ataque y otro comprobaba si se había comprometido el objetivo.
Para entender las acciones posteriores de Interlock, los especialistas simularon un sistema comprometido. Tras ello, los atacantes pasaron a la etapa siguiente e intentaron descargar un ejecutable malicioso para Linux. El análisis mostró que el mismo servidor se usó para almacenar el conjunto completo de herramientas del grupo.
Un error de configuración de los propios atacantes ayudó inesperadamente. Uno de sus servidores estaba mal configurado y reveló toda la infraestructura. Gracias a ello fue posible ver el conjunto completo de herramientas de Interlock, incluidos programas maliciosos para acceso remoto, scripts de reconocimiento y métodos para borrar huellas.
Tras la intrusión en la red, Interlock recopila la máxima información posible del sistema. Un script de PowerShell enumera los servicios en ejecución, el software instalado, las conexiones de red, el contenido de las carpetas de los usuarios e incluso datos de los navegadores, incluido el historial y las cuentas guardadas. Los datos recopilados se empaquetan y se envían a un recurso de red, lo que indica una preparación para atacar toda la infraestructura de la organización a la vez.
Para afianzarse en el sistema, el grupo utiliza varias variantes de programas maliciosos. Una de ellas está escrita en JavaScript y oculta su funcionamiento desactivando los mecanismos de depuración estándar. Otra variante está implementada en Java. Ambas ofrecen acceso remoto, permiten ejecutar comandos, transferir archivos y ocultar el tráfico.
Un script específico para Linux convierte los servidores comprometidos en nodos intermedios por los que circula el tráfico malicioso. Este enfoque oculta las fuentes reales de los ataques. Además, el sistema borra los registros cada cinco minutos para dificultar la investigación.
En el arsenal de Interlock también existe la llamada «web shell» sin archivos. El código malicioso se carga directamente en la memoria y captura las solicitudes HTTP sin dejar rastros en el disco. Este método permite eludir los antivirus clásicos.
Los atacantes también emplean herramientas legítimas. En las intrusiones se observó ScreenConnect, que normalmente se usa para administración remota. Paralelamente se detectaron Volatility y Certify, programas que ayudan a extraer credenciales de la memoria y a atacar la infraestructura de certificados de Windows. Este conjunto permite ampliar el ataque y mantener el acceso incluso en caso de detección parcial.
El análisis de las marcas temporales indica que los integrantes de Interlock, con una probabilidad del 75–80 %, operan en la zona horaria UTC+3. La actividad principal se concentra entre las 12:00 y las 18:00, y por la noche disminuye.
Amazon subrayó además que la infraestructura de AWS y los clientes de la nube no resultaron afectados por la campaña. No obstante, la compañía recomienda instalar urgentemente las actualizaciones de seguridad de Cisco y revisar los sistemas en busca de indicios de intrusión.