Redazione RHC : 24 octubre 2025 09:57
En septiembre, los especialistas de Forescout detectaron un ataque dirigido a su servidor honeypot, que imitaba el sistema de control de una planta de tratamiento de agua. Un nuevo grupo hacktivista , TwoNet , que opera en un entorno asociado con ataques a infraestructura industrial, se atribuyó la responsabilidad del ataque.
Los miembros del grupo accedieron a la interfaz, modificaron la configuración, eliminaron fuentes de datos y deshabilitaron algunos procesos sin intentar controlar el host. Su objetivo era demostrar su capacidad de interferencia y luego difundir la acusación de «secuestrar un sistema real» en un canal de Telegram.
El ataque comenzó por la mañana desde una dirección IP registrada en el proveedor de hosting alemán Dataforest GmbH. Se accedió al sistema con las credenciales predeterminadas «admin/admin». Tras iniciar sesión, los atacantes intentaron ejecutar consultas SQL para recopilar información sobre la estructura de la base de datos y crearon una nueva cuenta con el nombre de usuario » BARLATI «.
Unas horas después, regresaron con este nombre de usuario y reemplazaron el texto en la página de inicio de sesión, lo que generó una ventana emergente con el mensaje » HACKED BY BARLATI «. Simultáneamente, eliminaron los controladores conectados, cambiaron los valores de los parámetros y deshabilitaron los registros y las alertas. La vulnerabilidad CVE-2021-26829 se utilizó para falsificar el contenido de la página.
TwoNet surgió a principios de 2025 y ganó visibilidad rápidamente gracias a una combinación de afirmaciones agresivas y actividad caótica . Inicialmente, se especializó en ataques DDoS, pero posteriormente se dedicó a intentar interferir con los sistemas de control de procesos industriales . El canal de Telegram del grupo publica capturas de pantalla y vídeos supuestamente de interfaces SCADA y HMI de varias empresas. Las publicaciones mencionan el «hackeo» de paneles solares, sistemas de calefacción y calderas de biomasa en países europeos, pero no hay pruebas que respalden estas afirmaciones. Los analistas señalan que muchas de las imágenes provienen de paneles de demostración disponibles públicamente.
Las cuentas asociadas de TwoNet, como BARLATI y DarkWarios, también promocionaron ofertas comerciales: alquiler de acceso a paneles de control, servicios DDoS e incluso venta de ransomware a precios inflados. Esto sugiere un intento de monetizar la atención y presentarse como parte de una organización mayor. En las semanas previas al cierre del canal, los miembros del grupo anunciaron alianzas con otros grupos hacktivistas, como CyberTroops y OverFlame , lo que les permitió promocionarse mutuamente y crear la apariencia de una red más grande.
Los expertos señalan que sus honeypots también han registrado otros ataques a controladores industriales y protocolos Modbus, a menudo procedentes de direcciones de Europa y Oriente Medio. En un caso, los atacantes utilizaron contraseñas predeterminadas y explotaron la vulnerabilidad CVE-2021-26828 para inyectar una shell web y acceder a la configuración de la HMI. Otro incidente implicó intentos coordinados de modificar parámetros de PLC mediante Modbus y S7, lo que podría interrumpir procesos en sistemas reales.
El análisis reveló que los atacantes utilizan herramientas estándar, como Meta Sploit y scripts prediseñados , y su comportamiento indica una monitorización manual y un conocimiento básico de los protocolos del sector. Estos ataques suelen ejecutarse sin análisis previo y suelen dirigirse a dispositivos desprotegidos con acceso a internet.
Según Forescout, los grupos hacktivistas atacan cada vez más a objetivos industriales. Si bien los ataques reportados no están confirmados, demuestran una tendencia de interés y la posibilidad de ataques repetidos contra objetivos reales. Las empresas de los sectores del agua y la energía son particularmente vulnerables, ya que el acceso a las interfaces de operador o controlador a menudo no requiere autenticación, y el registro y la monitorización se realizan de forma selectiva.
Los expertos aconsejan a los propietarios de sistemas de control evitar la autenticación débil y el uso de contraseñas predeterminadas, no exponer las interfaces directamente a Internet, segmentar estrictamente las redes de TI y OT, restringir el acceso a los puertos administrativos mediante listas de IP e implementar la monitorización con inspección profunda de paquetes capaz de rastrear comandos Modbus y S7. También es importante prestar atención al tráfico saliente para evitar que los dispositivos se utilicen en ataques de denegación de servicio distribuido (DDoS).
El hacktivismo, según Forescout, se está convirtiendo en un ámbito donde el prestigio cibernético prima sobre los resultados . Los grupos desaparecen, cambian de nombre y reaparecen, pero sus miembros y métodos permanecen. Por ello, el análisis de honeypots se está convirtiendo en una herramienta clave para comprender la dirección de las nuevas oleadas de ataques a la infraestructura industrial.
RedazioneEl lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...
OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
