Una campaña cibernética altamente «agresiva», identificada a mediados de 2025 por el Grupo de Inteligencia de Amenazas (GTIG) de Google, representa una grave amenaza para las principales industrias, incluidas las minoristas, las aerolíneas y los seguros.
Esta sofisticada operación se atribuye a Scatter Spider, un grupo de piratería con motivación financiera también conocido como 0ktapus y UNC3944.
En su última campaña, según lo informado por GTIG, el grupo está comprometiendo cuentas de Active Directory para obtener control total de los entornos VMware vSphere, con el fin de robar datos confidenciales e implementar Ransomware directamente desde el hipervisor.
Este método es particularmente peligroso, ya que a menudo pasa por alto las herramientas de seguridad tradicionales como Endpoint Detection and Response (EDR), que carecen de visibilidad del hipervisor ESXi y del vCenter Server Appliance (VCSA).
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
GTIG describe cómo UNC3944 pasa de un punto de apoyo inicial de bajo nivel al control completo del hipervisor en cinco fases metódicas.
El punto de entrada crítico involucra la ingeniería social basada en el teléfono, donde los atacantes se hacen pasar por un empleado regular, haciendo llamadas telefónicas a la mesa de ayuda de TI.
Mediante el uso de información personal disponible públicamente y tácticas persuasivas, engañan a los agentes de la mesa de ayuda para que restablezcan las contraseñas de Active Directory.
Este acceso inicial les permite realizar reconocimiento interno, buscando objetivos de alto valor como administradores de vSphere o grupos potentes de Active Directory.
Luego hacen una segunda llamada más informada, haciéndose pasar por un administrador privilegiado para hacerse cargo de su cuenta.
Este astuto proceso de dos pasos elude las protecciones técnicas estándar al explotar vulnerabilidades en los procedimientos de verificación de identidad de la mesa de ayuda.
