crazyhunter
Perfil del Actor
CrazyHunter es un grupo de amenaza basado en Go que emergió en el año 2025, derivado del open-source Prince encryptor. Este ransomware se enfoca específicamente en organizaciones taiwanesas pertenecientes a sectores críticos como la salud, la educación y la industria. Se caracteriza por utilizar técnicas de inyección vertical (BYOVD) y herramientas como SharpGPOAbuse para movilización lateral en redes.
Origen y Motivación
CrazyHunter opera con un enfoque de agresión financiera, típico de grupos ransomware. Su origen no está claramente documentado, pero su actividad se centra en Taiwán, donde los sectores mencionados son vulnerables a ataques cibernéticos. La motivación apunta a extorsión mediante cifrado de datos, buscando recompensas monetarias por la descifrado.
Técnicas y Tacticas (TTPs)
El grupo utiliza métodos como BYOVD (By Overlapping Virtual Drives) para inyectar código malicioso en sistemas, permitiendo el acceso a recursos críticos. La herramienta SharpGPOAbuse facilita la movilización lateral, permitiendo al ransomware propagarse dentro de una red corporativa. Estas tácticas reflejan un conocimiento profundo del entorno Windows y técnicas de evasión de detectores.
Campanas Conocidas
Según registros actualizados, el grupo ha impactado a 10 organizaciones en Taiwán. Aunque no se han identificado nombres específicos de campañas, los ataques suelen aprovechar vulnerabilidades en sistemas Windows y técnicas de inyección para lograr acceso remoto.
Objetivos y Victimas
CrazyHunter prioriza sectores con alta valorización de datos, como salud, educación e industria. Sus víctimas son principalmente organizaciones taiwanesas que utilizan sistemas Windows y tienen infraestructura corporativa vulnerable a ataques laterales. La selección de objetivos refleja un enfoque geográfico y sectorial específico.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio C2 | 7i6sfmfvmqfaabjksckwrttu3nsbopl3xev2vbxbkghsivs5lqp4yeqd.onion |
Endpoint de comunicación del ransomware con el dominio malicioso. |
Detección y Defensa
Para mitigar amenazas similares, las organizaciones deben implementar monitoreo continuo de redes para detectar anomalías en tráfico C2. Es crucial actualizar sistemas Windows y aplicaciones con parches de seguridad, además de reforzar políticas de acceso a recursos críticos. La detección temprana mediante herramientas de análisis forense es clave para minimizar impactos.