Demasiado apretado para dos: Microsoft revela que dos grupos de hackers operaban a la vez en la misma red

La investigación de un ataque con ransomware llevó a Microsoft a una conclusión inesperada: en la red de la organización afectada operaban al mismo tiempo dos grupos de hackers no relacionados entre sí. El primero se afianzó en la infraestructura y preparó el terreno para un control posterior, el segundo utilizó sus propios backdoors y otro conjunto de técnicas. Las huellas de ambas operaciones se superpusieron, por lo que al principio el incidente parecía un solo ataque prolongado.

La investigación estuvo a cargo del equipo Microsoft DART, que se conecta a las organizaciones durante incidentes graves. Los especialistas cotejaron los registros de eventos de estaciones de trabajo, servidores locales, recursos en la nube y cuentas. Solo tras esta verificación pudieron separar las acciones de los dos actores y entender qué herramientas, cuentas y canales de comunicación pertenecían a las distintas cadenas de intrusión.

La primera parte del ataque se asoció con Storm-2603, que Microsoft había observado antes en intrusiones a servidores locales de SharePoint y en la instalación de ransomware. Desde mediados de 2025, los operadores de Storm-2603 buscaron actualizaciones no instaladas de SharePoint y explotaron vulnerabilidades conocidas para penetrar en redes corporativas. Microsoft ya había descrito sus ataques anteriores a través de SharePoint.

En el caso investigado, los especialistas también observaron reconocimiento adicional. El servidor recibía solicitudes a archivos win.ini y web.config. Tales accesos se usan a menudo para comprobar vulnerabilidades de inclusión de archivos locales. Con ese fallo, la aplicación web, por petición del usuario, puede abrir un archivo que ya está en el servidor y exponer su contenido. Microsoft no confirmó el uso exitoso de la vulnerabilidad encontrada, pero la naturaleza de las solicitudes indicaba la búsqueda de entradas adicionales a la red.

Tras la intrusión, Storm-2603 no se apresuró a cifrar los datos. El grupo primero estudió el entorno y preparó varias formas de volver a la red. Para sondear la infraestructura, los operadores instalaron Velociraptor, una herramienta legítima de forense y respuesta a incidentes. El programa obtuvo privilegios SYSTEM, el nivel más alto de privilegios locales en Windows, y ayudó a recopilar información sobre servidores, usuarios, procesos y configuraciones.

El uso de Velociraptor complicó especialmente la investigación. Los equipos de seguridad suelen esperar ver esa herramienta durante una revisión interna o en la remediación de un incidente, no en manos de atacantes. Storm-2603 aprovechó el nombre de confianza del programa para explorar la red sin atraer atención innecesaria.

Para el acceso remoto, el grupo utilizó varios servicios legítimos al mismo tiempo: túneles de Cloudflare, Zoho Assist y conexiones SSH configuradas a través de Visual Studio Code. Cada canal permitía regresar a la red de una forma distinta. El túnel de Cloudflare expone un servicio interno al exterior a través de la infraestructura de Cloudflare, Zoho Assist está pensado para soporte remoto, y SSH ofrece acceso protegido a la línea de comandos. En el trabajo normal, estas herramientas son útiles para administradores, pero durante un ataque ayudan a sortear ciertas limitaciones y a mantener la conexión con el entorno comprometido.

Luego los operadores crearon cuentas locales y de dominio nuevas con privilegios de administrador. Una cuenta local da control sobre una máquina individual; una de dominio abre acceso a los recursos de toda la red Windows. Para ocultar rastros, Storm-2603 también cargó un controlador vulnerable y, con su ayuda, intervino la memoria del sistema para debilitar los mecanismos de defensa. Esta técnica permite aprovechar fallos en un controlador legítimo contra las protecciones que funcionan en la misma máquina.

Mientras DART seguía las acciones de Storm-2603, se detectó un segundo grupo en la red. Su actividad no coincidía con las herramientas y técnicas conocidas de Storm-2603. Los operadores desconocidos emplearon carga de DLL y backdoors propios. DART no encontró indicios de colaboración entre los dos grupos: ambos aprovecharon un mismo entorno comprometido, pero actuaron de forma independiente.

La carga de DLL ayuda a ocultar código malicioso dentro de un programa de confianza. El atacante coloca una biblioteca falsa junto a la aplicación legítima o altera la ruta hacia ella. La aplicación se ejecuta con un nombre conocido, carga la DLL maliciosa y ejecuta el código del atacante. Es más difícil para antivirus y analistas detectar el ataque, porque en los registros aparece una aplicación conocida, no un ejecutable desconocido.

La superposición de dos ataques complicó tanto la búsqueda de las causas del incidente como su remediación. Las huellas de los backdoors del segundo grupo podían confundirse con otra fase del trabajo de Storm-2603, y las utilidades legítimas del primer grupo eran fáciles de confundir con las acciones de administradores. DART tuvo que aislar simultáneamente los dispositivos comprometidos, revisar las cuentas sospechosas, cerrar los canales de acceso remoto y rastrear los movimientos de ambos grupos por la red.

El equipo coordinó diariamente las acciones con la organización afectada y activó la Inteligencia de amenazas de Microsoft. La correlación de los datos de la investigación con información más amplia sobre amenazas ayudó a separar las acciones de Storm-2603 de la actividad ajena. Tras contener el ataque, los especialistas emitieron recomendaciones para cerrar las brechas en la visibilidad, el control de cuentas y la protección de servidores locales de SharePoint.

Microsoft recomienda, ante todo, instalar rápidamente las actualizaciones en los sistemas accesibles desde internet, especialmente en los servidores locales de SharePoint. Se deben controlar por separado las cuentas con privilegios elevados, las herramientas de acceso remoto, los túneles y los programas administrativos. Las organizaciones también necesitan una recopilación centralizada de registros desde los endpoints, servidores, servicios en la nube y sistemas de gestión de identidades. Alertas dispersas no habrían mostrado que en una misma red operaban al mismo tiempo dos grupos independientes.