Se fue y nadie revocó su contraseña: la desidia de Recursos Humanos dejó la sanidad expuesta a los hackers
Lo que puede costar un error en la configuración de la VPN
Un nuevo estudio de especialistas de Solar describe un ataque que comenzó en silencio y casi desapercibido, pero que permitió a los atacantes consolidarse profundamente en la infraestructura de una organización médica durante medio año y extraer datos con tranquilidad. El acceso lo obtuvieron de manera inesperada – a través de las cuentas de exempleados que nadie desactivó a tiempo.
El incidente salió a la luz solo en noviembre de 2025, cuando en la red se detectaron conexiones sospechosas a los nodos GSocket. La verificación mostró rápidamente un panorama desagradable: decenas de sistemas Unix ya estaban bajo el control del grupo Shedding Zmiy, y el punto de entrada fue la VPN corporativa.
El ataque empezó en abril. Tras obtener acceso a la VPN, los atacantes comprometieron el servidor de la base de datos PostgreSQL. Para ello usaron una cuenta común con una contraseña sencilla y las funciones integradas de la propia base para ejecutar comandos de forma remota. Tras asentarse en el sistema, desplegaron la utilidad gs-netcat y la añadieron a los archivos de inicio automático del sistema.
Después todo siguió un escenario clásico. En pocos días, los atacantes reunieron multitud de credenciales, incluido el acceso a nivel root, y empezaron a moverse por la red. Durante mucho tiempo ni siquiera tocaron las puertas traseras instaladas; se limitaban a conectarse por la VPN con las credenciales ya robadas.
Dentro de la infraestructura se encontró todo un conjunto de herramientas. Entre ellas: el backdoor propietario Bulldog, el rootkit Megatsune para interceptar contraseñas y claves SSH, el proxy Revsocks y utilidades para escanear la red. Cabe destacar gs-netcat, que usa la red intermedia Global Socket Relay Network y permite eludir las restricciones de red.
Es interesante que ya se habían observado indicios de la presencia de los atacantes anteriormente. Los administradores intentaron borrar archivos maliciosos, pero el ataque volvía. Algunos sistemas se eliminaron en el verano de 2025, interpretando los sucesos como incidentes aislados, aunque en realidad todo formaba parte de una campaña mayor.
Determinar el origen de la intrusión resultó complicado. Los registros de la VPN se conservaron solo unos días, por lo que no fue posible reconstruir el cuadro completo. No obstante, se pudo establecer que la actividad sospechosa provenía de direcciones asignadas a exempleados. Sus cuentas seguían activas y los dispositivos ya no estaban disponibles para su verificación. Como causa probable de la filtración de datos se señala el phishing.
Durante la investigación se detectaron también herramientas actualizadas de Shedding Zmiy. La nueva versión del backdoor Bulldog recibió comandos adicionales: ahora el malware puede tomar capturas de pantalla, extraer datos de bases y recopilar credenciales desde navegadores. Aparecieron indicios de interés también por los sistemas macOS.
Especial atención merece la utilidad para borrar rastros. Puede eliminar entradas de los registros del sistema, del historial de comandos y de los logs de servidores web según parámetros establecidos, incluidos nombres de usuario, direcciones y intervalos de tiempo. Ese enfoque complica mucho la investigación.
Al final, la historia resulta bastante prosaica. La prolongada presencia de los atacantes no fue por fallas complejas, sino por las sencillas 'almas muertas' en el sistema y contraseñas débiles. El ataque vuelve a mostrar lo peligroso que es mantener activas las cuentas de exempleados e ignorar la protección del acceso a la VPN.