Resumen
El ataque a higuchi-inc.co.jp, una empresa con operaciones en Dallas, Hong Kong y Los Angeles, fue atribuido al grupo cybercriminal stormous. La brecha se detectó el 1 de julio de 2026, revelando la exposición de datos financieros críticos, incluyendo registros de cuentas por cobrar (A/R) y pagar (A/P), así como inventarios internacionales. Los indicadores de compromiso (IOCs) identificados apuntan a una red de dominios y URLs asociadas al grupo.
La Victima
higuchi-inc.co.jp es una organización con presencia en tres ubicaciones geográficas: Dallas, Hong Kong y Los Angeles. La empresa gestiona información financiera crítica mediante el software Sage 50, almacenando registros de estados patrimoniales, activos, pasivos, A/R y A/P en archivos con extensión .ptb (indicado por la marca �?�). Estos datos son esenciales para operaciones comerciales, incluyendo el rastreo de inventarios internacionales y transacciones bancarias.
El Grupo Atacante
stormous es el actor responsable del ataque a higuchi-inc.co.jp. El grupo no está relacionado con la empresa afectada, según los datos proporcionados. No se han identificado motivaciones, sectores o historial previo asociado al grupo, limitándose a la información disponible en los registros de compromiso.
Cronologia del Ataque
El incidente fue detectado el 1 de julio de 2026 (FECHA: 2026-07-01T08:41:46.057Z). Se identificaron actividades maliciosas en dominios y URLs asociadas al grupo, lo que sugiere una infección de sistemas con fines de extorsión o robo de datos. Sin embargo, no se proporcionan detalles sobre la fecha exacta del ataque o su progresión.
Datos Comprometidos
Los registros financieros expuestos incluyen:
- Balance Sheets: Estados patrimoniales detallados.
- Activos y Pasivos: Información sobre capital, inventarios internacionales y operaciones comerciales.
- Cuentas por Cobrar (A/R) y Pagar (A/P): Registro de transacciones bancarias y proveedores.
- Archivos Sage 50: Backups en formato
.ptb, marcados con el símbolo �?�.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| URL | http://3slz4povugieoi3tw7sblxoowxhbzxeju427cffsst5fo2tizepwatid.onion/datashop.html |
OSINT |
| URL | http://h3reihqb2y7woqdary2g3bmk3apgtxuyhx4j2ftovbhe3l5svev7bdyd.onion/stm.html |
OSINT |
| URL | http://pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd.onion |
OSINT |
| URL | http://stmxylixiz4atpmkspvhkym4xccjvpcv3v67uh3dze7xwwhtnz4faxid.onion |
OSINT |
| Domain | higuchi-inc.co.jp |
OSINT |
| Domain | 46.057z |
OSINT |
| Domain | 3slz4povugieoi3tw7sblxoowxhbzxeju427cffsst5fo2tizepwatid.onion |
OSINT |
| Domain | datashop.html |
OSINT |
| Domain | h3reihqb2y7woqdary2g3bmk3apgtxuyhx4j2ftovbhe3l5svev7bdyd.onion |
OSINT |
| Domain | stm.html |
OSINT |
| Domain | pdcizqzjitsgfcgqeyhuee5u6uki6zy5slzioinlhx6xjnsw25irdgqd.onion |
OSINT |
| Domain | stmxylixiz4atpmkspvhkym4xccjvpcv3v67uh3dze7xwwhtnz4faxid.onion |
OSINT |
Conclusion
El ataque a higuchi-inc.co.jp por parte del grupo stormous evidencia la vulnerabilidad de organizaciones con operaciones globales y dependencia de software financiero. Los IOCs identificados sugieren actividades maliciosas en redes Tor, lo que reforzará la necesidad de auditorías de ciberseguridad y monitoreo continuo de dominios asociados a entidades críticas. La exposición de datos financieros resalta la importancia de proteger registros de cuentas por cobrar y pagar, especialmente en entornos con múltiples ubicaciones geográficas.