Un hackeo corporativo llave en mano: ToyMaker vende accesos, CACTUS exige rescate
Cisco Talos revela la “estrategia empresarial” de un peligroso corredor de datos.
En el mundo del cibercrimen ha surgido un nuevo y peligroso jugador: Cisco Talos ha revelado el esquema de operaciones de un corredor de acceso inicial conocido bajo el alias de ToyMaker. El delincuente vende sistemas comprometidos a operadores de ransomware, en particular al grupo CACTUS.
El hacker utiliza un malware especialmente diseñado llamado LAGTOY, también conocido como HOLERUN, que crea shells inversos y ejecuta comandos en los dispositivos infectados.
Los primeros informes sobre esta amenaza aparecieron a finales de marzo de 2023 en los reportes de la empresa Mandiant, propiedad de Google. En ese momento, se lo vinculó con el grupo UNC961, también conocido como Gold Melody y Prophet Spider.
Durante los ataques se explota un amplio conjunto de vulnerabilidades conocidas en aplicaciones expuestas a internet. Tras obtener acceso inicial, el atacante examina la infraestructura de la víctima, recopila credenciales y despliega LAGTOY —todo el proceso toma menos de una semana.
En el transcurso de la operación, ToyMaker se conecta vía SSH a un servidor remoto para descargar la herramienta especializada Magnet RAM Capture. Con ella, crea un volcado de la memoria RAM de la máquina —presumiblemente para extraer credenciales.
LAGTOY interactúa con un servidor de comando y control (C2) codificado, que envía instrucciones para su ejecución posterior. Según Mandiant, el malware inicia procesos y ejecuta comandos en nombre de usuarios específicos con privilegios correspondientes.
El análisis técnico reveló que el programa procesa tres comandos provenientes del servidor de control, con un intervalo de 11.000 milisegundos entre ellos. Así, se logra un control eficaz sobre las redes infectadas.
Tras obtener acceso inicial y robar credenciales de la empresa afectada, la actividad de ToyMaker se interrumpió durante unas tres semanas. Luego, el equipo de Talos detectó que el grupo de ransomware CACTUS había penetrado en la red corporativa de esa misma organización utilizando las credenciales robadas.
El comportamiento del atacante —una estancia breve en el sistema y la rápida transferencia de acceso a otros sin un robo masivo de archivos— sugiere una motivación puramente financiera. No se observaron indicios de objetivos de espionaje en este caso.
Después de que los operadores de CACTUS obtuvieron acceso, realizaron su propio reconocimiento de la red y prepararon un escenario para su permanencia a largo plazo. Para afianzarse, también emplearon diversas herramientas legítimas como OpenSSH, AnyDesk y eHorus Agent.