Hicieron destrozos y se marcharon: una pista abandonada desenmascaró a los ladrones «escurridizos»
Te explicamos por qué este insólito fallo se ha convertido en la fuente de información más valiosa para los especialistas en ciberseguridad.
Los especialistas del equipo Unit 42 de Palo Alto Networks publicaron detalles de la campaña del grupo Muddled Libra, también conocido como Scattered Spider y UNC3944. El motivo fue la investigación de un incidente en el otoño de 2025, durante el cual se halló dentro de la infraestructura de la organización afectada una máquina virtual oculta de los atacantes. Su contenido permitió reconstruir el modus operandi del grupo y entender cómo se construye la intrusión y la progresión del ataque.
Según el informe, los atacantes obtuvieron acceso no autorizado al entorno VMware vSphere y en poco tiempo desplegaron su propia máquina virtual, usándola como punto de apoyo. A través de ella se realizó reconocimiento de la red, carga de utilidades y fijación de la presencia mediante un canal de control. Para ampliar el acceso emplearon certificados digitales robados y tickets de autenticación falsificados.
Durante las primeras horas, los atacantes apagaron varios controladores de dominio, conectaron sus discos y copiaron las bases de Active Directory junto con las ramas del registro del sistema. Esos datos fueron descifrados y a partir de ellos se obtuvieron los hashes de las cuentas de usuario. A continuación se ejecutó la utilidad ADRecon para la recopilación detallada de información sobre el dominio, las políticas, los servicios y las cuentas. Se prestó atención especial a las cuentas de servicio vinculadas a MSSQL, Exchange, Hyper-V y a los sistemas de copias de seguridad.
Para mantener acceso persistente se empleó un túnel mediante la herramienta Chisel, descargada desde un almacenamiento en la nube. También se usaron programas administrativos legítimos, incluidos PsExec y ADExplorer. Este enfoque permitió operar sin código malicioso complejo y mezclarse con la actividad habitual de los administradores.
Una fase separada fue el trabajo con datos en el entorno Snowflake. Los atacantes inspeccionaron el contenido de las bases y trataron de extraer archivos hacia servicios externos. Debido a los bloqueos de plataformas populares dentro de la red, tuvieron que buscar servicios de intercambio de archivos disponibles mediante consultas en buscadores. Más tarde intentaron exportar archivos de correo de Outlook en formato PST y enviarlos a su propio almacenamiento en Amazon S3 mediante un cliente específico.
Los registros mostraron que Microsoft Defender detectó y bloqueó parte de las herramientas empleadas, pero los atacantes continuaron moviéndose por la red mediante RDP y SSH, usando cuentas comprometidas. La actividad duró alrededor de 15 horas, tras lo cual el acceso fue interrumpido por el servicio de seguridad de la empresa.
En Palo Alto Networks señalan que Muddled Libra apuesta por la ingeniería social y la compromisión de identidades, más que por exploits complejos. El grupo suele atacar mesas de servicio, empresas de outsourcing y proveedores de servicios, haciéndose pasar por empleados para lograr restablecimientos de contraseñas y de MFA. El análisis del incidente mostró que incluso una única máquina virtual inadvertida en la infraestructura puede convertirse en una plataforma clave para el robo de datos y la propagación posterior del ataque.