jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » ragnarok

ragnarok

Threat-actor 2 min lectura
Fecha
25 May 2026
Actor
-
Tipo
Threat-actor
Pais
China
Sector
-
Confianza
medium
51
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

3IOCs
0TTPs
N/DActor
ChinaPais

Key Points

  • Ataques dirigidos: Enfocados en servidores Citrix con vulnerabilidades no corregidas.
  • Filtrado basado en lenguaje: Excluye objetivos rusos y chinos mediante el ID de lenguaje del sistema.
  • Deshabilitación de Windows Defender: Para minimizar la detección durante la infección.
  • Cifrado AES dinámico: Usa una clave generada en tiempo real, encriptada con RSA.
  • Referencias a UNIX: Incluye elementos de sistemas operativos Unix en sus cadenas.

ragnarok

Ragnarok

Perfil del Actor

Ragnarok es un actor de amenaza asociado al ciberataque, conocido por su uso de ransomware en ataques específicos contra servidores Citrix no actualizados. Según Bleeping Computer, el malware se enfoca en sistemas con vulnerabilidades expuestas y utiliza técnicas de filtraje basadas en el ID de lenguaje del sistema para evitar objetivos en Rusia y China. Además, intenta deshabilitar Windows Defender y incluye referencias a rutas de archivos UNIX en sus cadenas.

Origen y Motivación

No se han proporcionado datos concretos sobre el origen geográfico o las motivaciones detrás de la actividad de Ragnarok. Sin embargo, su metodología sugiere un enfoque estratégico basado en la vulnerabilidad de infraestructuras críticas.

Técnicas y Tacticas (TTPs)

Las tácticas empleadas por Ragnarok incluyen:

  • Ataques dirigidos: Enfocados en servidores Citrix con vulnerabilidades no corregidas.
  • Filtrado basado en lenguaje: Excluye objetivos rusos y chinos mediante el ID de lenguaje del sistema.
  • Deshabilitación de Windows Defender: Para minimizar la detección durante la infección.
  • Cifrado AES dinámico: Usa una clave generada en tiempo real, encriptada con RSA.
  • Referencias a UNIX: Incluye elementos de sistemas operativos Unix en sus cadenas.

Campanas Conocidas

Se reportan tres campañas identificadas relacionadas con Ragnarok. Sin embargo, no se han publicado detalles específicos sobre las victimas o los métodos de propagación utilizados en estas operaciones.

Objetivos y Victimas

Ragnarok busca atacar sistemas con vulnerabilidades en Citrix, excluyendo intencionalmente a usuarios rusos y chinos. Se han identificado tres victimas, aunque no se proporcionan detalles sobre sus ubicaciones o sectores afectados.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Domain sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion Víctima conocida
Domain wob Víctima conocida

Detección y Defensa

Las organizaciones deben monitorear activos críticos, aplicar parches inmediatos a Citrix y verificar el estado de actualización de sus sistemas. Se recomienda la implementación de soluciones de detección basadas en comportamiento anómalo y la monitorización de rutas de archivo UNIX para identificar actividades maliciosas.

Diamond Model

Adversary
Desconocido
Victim
ragnarok
sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion
China
Capability
Threat-actor
Infrastructure
sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion
wob

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
Domain sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion Víctima conocida VT OffSec SOCRadar
Domain wob Víctima conocida VT OffSec SOCRadar

Referencias y enlaces

→ Mas incidentes en China → Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

Suǭrez&Clavera18 Jun 2026 · gunra MHE9 Logstica Ltda18 Jun 2026 · gunra Misericrdia de Santo Tirso18 Jun 2026 · qilin Direǜo Estacionamentos S.A.18 Jun 2026 · deadlock Br Cargolift Polska Sp. z o.o.18 Jun 2026 · deadlock www.someco.com18 Jun 2026 · lynx www.eastersealsia.org18 Jun 2026 · lynx Vera Chimie Management18 Jun 2026 · the-gentlemen