Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

ShadowSyndicate: La infraestructura MaaS detrás de los principales ataques de ransomware

Redazione RHC : 6 agosto 2025 07:16

La infraestructura ShadowSyndicate, también conocida como Infra Storm, ha atraído la atención de los investigadores de seguridad tras identificar una importante superposición con algunos de los programas de ransomware más grandes. Activo desde mediados de 2022, el grupo está asociado con marcas como AlphaV/BlackCat, LockBit, Royal, Play, Cl0p, Cactus y RansomHub. A diferencia de los intermediarios de primer acceso (IaB) tradicionales, opera más como participante en RaaS de alto nivel, proporcionando servicios o infraestructura a diversos socios delictivos.

Según Intrinsec, las conexiones de ShadowSyndicate se extienden mucho más allá del panorama típico del cibercrimen, con tácticas y herramientas en su arsenal que imitan los enfoques de grupos como TrickBot, Ryuk/Conti, FIN7 y TrueBot, todos conocidos por sus sofisticadas técnicas de infiltración, su capacidad para evadir la detección y el uso de una variedad de Exploits.

El punto de partida de la investigación fueron dos direcciones IP que utilizaban la misma huella SSH. Utilizando Shodan y Fofa, el estudio se amplió a 138 servidores con características similares. Las intersecciones identificadas incluyen la participación en un ataque que explotó la vulnerabilidad Citrix Bleed (CVE-2023-4966), cuyos servidores fueron explotados por LockBit y ThreeAM.

También se encontraron coincidencias con la infraestructura utilizada en los ataques MOVEit y ScreenConnect; este último exploit atacaba simultáneamente dos vulnerabilidades: CVE-2024-1708 y CVE-2024-1709. Los servidores individuales de ShadowSyndicate corresponden a hosts previamente asociados con UAC-0056 (también conocido como Cadet Blizzard) y Cl0p.

El panorama técnico general también reveló vínculos con otros grupos que colaboran con los programas Black Basta y Bl00dy, así como actividad sospechosa relacionada con Cicada3301, un posible cambio de nombre de BlackCat. Los ladrones de información AMOS y Poseidon, distribuidos a través de anuncios falsos de Google y señuelos de phishing LLM, también demuestran una conexión con esta infraestructura.

La configuración técnica de la red también es de interés. El estudio destaca la presencia de hosting a prueba de balas (BPH), disfrazados de servicios VPN, VPS y proxy legítimos, pero que en realidad proporcionan una plataforma sólida para operaciones cibernéticas criminales. Se mencionan los sistemas autónomos AS209588 (Flyservers), AS209132 (Alviva Holding) y la gran estructura AS-Tamatiya, que une a 22 ASN. El alojamiento opera al amparo de jurisdicciones offshore, como Panamá, Seychelles y las Islas Vírgenes.

Si bien el informe de Intrinsec evalúa vínculos confirmados con actores estatales con un nivel moderado de seguridad, las referencias a figuras de alto nivel y operaciones híbridas de manipulación de información indican un papel mucho más amplio para esta infraestructura.

El estudio entonces menciona intersecciones con DecoyDog (una variante de PupyRAT a través de tunelización DNS), así como el uso de los descargadores maliciosos Amadey y Nitol. En mayo de 2025, la red permanecía activa, buscando vulnerabilidades e implementando componentes maliciosos.

En general, estos hallazgos presentan un panorama de un ecosistema altamente tecnológico, resiliente y multicapa que no solo respalda los esquemas de extorsión tradicionales, sino que también está estrechamente vinculado a actores que operan a nivel nacional.

ShadowSyndicate demuestra no solo un enfoque comercial, sino una estructura capaz de coordinar acciones con diferentes segmentos de ciberamenazas, desde ladrones de información y botnets hasta complejas cadenas de ataque que utilizan cero vulnerabilidades y cargadores especiales.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Errores críticos en NVIDIA Triton permiten a los atacantes comprometer y robar el modelo de IA
Di Redazione RHC - 05/08/2025

Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...