APT36, Google Cloud y Chronus: espionaje, phishing en la nube y filtración masiva contra gobiernos y empresas
Resumen del día
APT36 intensificó campañas de espionaje con RAT contra gobierno y academia en India.
Ciberdelincuentes abusaron de Google Cloud para ejecutar phishing multi-etapa y robar credenciales corporativas.
Chronus expuso datos de 20 mil agentes de la Guardia Nacional de México tras explotar sistemas vulnerables.
El grupo de amenazas Transparent Tribe, también conocido como APT36, lanzó una nueva oleada de ataques de ciberespionaje dirigidos a organismos gubernamentales, instituciones académicas y entidades estratégicas de India. La campaña se apoya en el uso de Remote Access Trojans (RAT) para lograr control persistente sobre los sistemas comprometidos mediante técnicas de entrega engañosas y difíciles de detectar.
Detalles técnicos del ataque
La operación utiliza archivos de acceso directo de Windows (LNK) weaponizados, camuflados como documentos PDF legítimos que incluyen contenido real para reducir la sospecha del usuario. Al ejecutarse, estos accesos directos activan loaders desarrollados en .NET, responsables de desplegar ejecutables y DLL maliciosas en el sistema.
...
Ciberdelincuentes están explotando funciones legítimas de envío de correo electrónico en Google Cloud Platform (GCP) para llevar adelante una campaña de phishing multi-etapa altamente sofisticada. El objetivo principal es la recolección de credenciales corporativas y datos sensibles, aprovechando la confianza implícita que muchas organizaciones depositan en la infraestructura y los dominios de Google.
La campaña combina técnicas avanzadas de ingeniería social con servicios en la nube, lo que permite a los atacantes evadir controles de seguridad tradicionales y escalar el ataque con bajo costo operativo.
Mecánica del ataque
En la fase inicial, los atacantes crean o comprometen proyectos en GC...
El atacante adrxx, integrante del colectivo Chronus, reconoció públicamente cómo obtuvo información sensible de más de 20 mil agentes de la Guardia Nacional de México, exponiendo a personal activo a riesgos directos por parte del crimen organizado (CO).
La filtración compromete datos personales y operativos críticos, habilitando escenarios de extorsión, doxxing y ataques dirigidos. El incidente vuelve a poner en evidencia debilidades estructurales en la ciberseguridad de instituciones estratégicas mexicanas.
Método de obtención de los datos
Según lo declarado por adrxx, el acceso a la información se logró mediante la explotación de fallos en sistemas web expuestos de la Guardia Nacional. El atacante combinó múltiples técnicas ofensivas, entre ellas:
-
Scr...
