Se han observado que los ex miembros vinculados a la operación de ransomware Black Puntada se apegan a su enfoque probado de instigación por correo electrónico y los equipos de Microsoft Phishing para establecer un paso persistente a las redes de destino.
“Recientemente, los atacantes han introducido la ejecución de script de Python cercano con estas técnicas, utilizando solicitudes de curl para obtener e implementar cargas aperos maliciosas”, dijo Reliaquest en un referencia compartido con Hacker News.
El mejora es una señal de que los actores de amenaza continúan pivotando y reagrupados, a pesar de que la marca Black Puntada sufre un gran adversidad y una disminución luego de la fuga pública de sus registros de chat internos a principios de febrero.
La compañía de ciberseguridad dijo que la centro de los ataques de phishing de los equipos que se observaron entre febrero y mayo de 2025 se originaron en los dominios Onmicrosoft (.) Com, y que violaron los dominios representaron el 42% de los ataques durante el mismo período. Este posterior es mucho más sigiloso y permite a los actores de amenazas hacerse suceder por el tráfico lícito en sus ataques.
Tan recientemente como el mes pasado, los clientes de Reliaquest en el sector de finanzas y seguros y el sector de la construcción han sido atacados utilizando equipos phishing al disfrazarse como personal de la mesa de ayuda para engañar a los usuarios desprevenidos.
“El cerrojo del sitio de mújol de datos de Black Puntada, a pesar del uso continuo de sus tácticas, indica que los antiguos afiliados probablemente hayan migrado a otro rama RAAS o formado uno nuevo”, agregó la compañía. “El círculo más probable es que los ex miembros se han unido al Montón Cactus Raas, que se evidencia por el líder de Black Puntada, Trump, hace relato a un plazo de $ 500-600K a Cactus en los chats filtrados”.
Dicho esto, vale la pena señalar que Cactus no ha afamado ninguna estructura en su sitio de fuga de datos desde marzo de 2025, lo que indica que el rama se ha disuelto o está tratando deliberadamente de evitar tachar la atención sobre sí mismo. Otra posibilidad es que los afiliados se hayan movido a Blacklock, que, a su vez, se cree que comenzó a colaborar con un cartel de ransomware llamado Dragonforce.
Los actores de amenaza además se han pasado aprovechando el paso obtenido a través de la técnica de phishing de los equipos a sesiones de escritorio remotas iniciales a través de concurso rápida y cualquierdesk, y luego descargar un script de Python taimado de una dirección remota y ejecutarlo para establecer comunicaciones de comando y control (C2).
“El uso de los guiones de Python en este ataque destaca una táctica en transformación que probablemente se vuelva más frecuente en las campañas de phishing de futuros equipos en el futuro inmediato”, dijo Reliaquest.
La logística de ingeniería social al estilo enfadado de Puntada del uso de una combinación de spam de correo electrónico, phishing de equipos y concurso rápida además ha antagónico que los tomadores entre el Montón de Ransomware BlackSuit, lo que aumenta la posibilidad de que los afiliados de los trajes negros hayan prohijado el enfoque o absorbieran a los miembros del rama.
Según Rapid7, el paso original sirve como una vía para descargar y ejecutar variantes actualizadas de una rata basada en Java que previamente se implementó para realizar como una credencial Harvester en los ataques Black Puntada.
“El malware Java ahora abusa de los servicios de alojamiento de archivos basados en la cúmulo proporcionados por Google y Microsoft a los comandos proxy a través de los servidores del proveedor de servicios en la cúmulo respectivos (CSP)”, dijo la compañía. “Con el tiempo, el desarrollador de malware se ha alejado de las conexiones directas de proxy (es asegurar, la opción de configuración se deja en blanco o no presente), cerca de las hojas OneDrive y Google, y más recientemente, para simplemente usar Google Drive”.
La nueva iteración del malware se realiza en más funciones para transferir archivos entre el host infectado y un servidor remoto, iniciar un túnel proxy Socks5, robar credenciales almacenadas en navegadores web, presentar una ventana de inicio de sesión de Windows copiado y descargar una clase Java desde una URL suministrada y ejecutarla en la memoria.
Al igual que los ataques de ransomware 3am detallados por Sophos hace un par de semanas, las intrusiones además se caracterizan por el uso de una puerta trasera de túnel llamamiento Qdoor, un malware previamente atribuido a BlackSuit y una carga útil de óxido que probablemente sea un cargador personalizado para la utilidad SSH, y una rata de Python se refería a Anube.
Los hallazgos vienen en medio de una serie de desarrollos en el panorama de ransomware –
- El rama motivado financieramente conocido como Sptered Spider ha dirigido a proveedores de servicios administrados (MSP) y a los proveedores de TI como parte de un enfoque de “uno a muchos” para infiltrarse en múltiples organizaciones a través de un solo compromiso, en algunos casos que explotan cuentas comprometidas del contratista universal de TA Tata Consultancy Services (TCS) para obtener el paso original.
- Sptered Spider ha creado páginas de inicio de sesión falsas utilizando el kit de phishing EvilGinX para evitar la autenticación de múltiples factores (MFA) y las alianzas estratégicas forjadas con operadores de ransomware importantes como AlphV (además conocido como BlackCat), Ransomhub y, más recientemente, DragonforCe, realizar ataques sofisticados de MSP a la apariencia de SimpleTopsp.
- Los operadores de ransomware de Qilin (además conocido como Dietario y Phantom Mantis) han osado una campaña de intrusos coordinada dirigida a varias organizaciones entre mayo y junio de 2025 mediante el armamento de las vulnerabilidades de Fortinet FortiGate (por ejemplo, CVE-2024-21762 y CVE-2024-55591) para el paso original.
- Se estima que el rama de ransomware (además conocido como Balloonfly y PlayCrypt) ha comprometido 900 entidades a partir de mayo de 2025 desde su aparición a mediados de 2012. Algunos de los ataques han utilizado las fallas de SimpleHelp (CVE-2024-57727) para dirigirse a muchas entidades basadas en los Estados Unidos luego de la divulgación pública de la vulnerabilidad.
- El administrador del rama de ransomware Vanhelsing ha filtrado todo el código fuente en el foro de rampas, citando conflictos internos entre desarrolladores y liderazgo. Los detalles filtrados incluyen las teclas TOR, el código fuente de ransomware, el panel web de oficina, el sistema de chat, el servidor de archivos y el blog con su saco de datos completa, según PRODAFT.
- El rama de ransomware de enclavamiento ha desplegado un troyano de paso remoto de JavaScript previamente indocumentado llamado Nodesnake como parte de los ataques dirigidos al gobierno nave y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware, distribuido a través de correos electrónicos de phishing, ofrece paso persistente, agradecimiento del sistema y capacidades de ejecución de comandos remotos.
“Las ratas permiten a los atacantes obtener control remoto sobre sistemas infectados, lo que les permite obtener a archivos, monitorear actividades y manipular la configuración del sistema”, dijo Quorum Cyber. “Los actores de amenaza pueden usar una rata para perdurar la persistencia en el interior de una estructura, así como para introducir herramientas o malware adicionales al entorno. Asimismo pueden obtener, manipular, destruir o exfiltrar datos”.
