Se colaron por la "ventanita": cómo los cortafuegos vulnerables de Fortinet pusieron en jaque a la logística de toda Europa
Un simple hilo llevó a especialistas a desentrañar una trama de decenas de hackeos encubiertos
Un ataque reciente a una empresa europea de transporte y logística ayudó a expertos en TI a ensamblar numerosos episodios dispersos que en los últimos meses habían reportado distintos equipos de ciberseguridad. Los especialistas de Fortgale consideran que no se trata de una serie de intrusiones aisladas, sino de una campaña coordinada, «Storming Tide», en la que varias bandas criminales actúan según un mismo esquema.
La investigación comenzó en febrero de 2026, cuando en la red de la organización víctima se detectó un escaneo sospechoso. Una revisión posterior mostró que los atacantes se habían asentado mucho antes —a fines de 2025— al comprometer el cortafuegos perimetral Fortinet. A través del dispositivo comprometido los atacantes configuraron un canal VPN para reingreso encubierto y luego permanecieron casi inactivos durante varios meses, evitando llamar la atención.
Más tarde, el grupo que Fortgale rastrea como Mora_001 entró en la red interna a través de nodos no gestionados y desplegó una cadena de herramientas maliciosas. El dropper Matanbuchus 3.0 entregó Astarion RAT y SystemBC, y para una posible exfiltración de datos prepararon RClone y un almacenamiento externo compatible con S3. Fortgale afirma que las rápidas medidas de contención frustraron tanto la exfiltración como el despliegue del ransomware.
Según la empresa, el objetivo principal de la campaña no era un rescate inmediato, sino la recopilación de inteligencia y el robo gradual de información valiosa. Fortgale no considera contradictoria la presencia de herramientas asociadas a ataques de extorsión. Ese enfoque híbrido aparece cada vez con más frecuencia entre muchos grupos, cuando la inteligencia se combina con la posibilidad de monetizar el acceso más adelante.
Fortgale señala que el panorama coincide con las publicaciones de Amazon, SentinelOne, Arctic Wolf, eSentire, Huntress y Forescout. En distintos incidentes se repitieron los mismos indicios: ataques contra Fortinet, uso de Matanbuchus, Astarion RAT y SystemBC, compromiso de cuentas de servicio, movimiento hacia Active Directory y preparación de una operación de extorsión sin la ejecución confirmada del cifrado final.
El informe presta atención a la evolución de Mora_001. Si antes se asociaba al grupo con ataques rápidos y el despliegue de SuperBlack poco después de la intrusión, en 2026 la táctica cambió. En lugar de un ataque fulminante, los atacantes actuaron con paciencia, mantuvieron el acceso durante meses y apostaron por el sigilo. Fortgale admite que el grupo o bien cambió su modelo operativo o se convirtió en parte de un ecosistema mayor donde distintos actores se encargan del acceso inicial, del desarrollo del ataque y de la exfiltración de datos.