jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » TeamTNT

TeamTNT

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Exploit de vulnerabilidades en entornos cloud: Aprovechando fallas en sistemas de gestión de recursos o APIs de nube.
  • Depósito de minería de criptomonedas: Implementando mineros maliciosos en máquinas virtuales o contenedores para generar ganancias ilegales.
  • Reconocimiento y escalada de privilegios: Accesos no autorizados a entornos cloud mediante la explotación de vulnerabilidades de configuración.
  • Monitoreo de actividad anómala: Identificación de comportamientos inusuales en el uso de recursos, como consumos de CPU/ memoria excesivos o accesos no autorizados a almacenamiento.
  • Campania de octubre 2019: Primer registro de actividades en entornos cloud, según análisis de Palo Alto Black-T.

TeamTNT

TeamTNT

Perfil del Actor

TeamTNT es un grupo de amenaza (threat actor) que ha operado en el ámbito de la ciberseguridad desde al menos octubre de 2019. Este actor se centra principalmente en la explotación de entornos basados en nube y contenedores para realizar actividades maliciosas, como la minería de criptomonedas. Su actividad ha sido documentada en múltiples fuentes de inteligencia cyber, incluyendo análisis de amenazas por parte de empresas como Palo Alto Black-T, Lacework, Intezer y Cado Security.

Origen y Motivación

Aunque no se han revelado detalles concretos sobre su origen geográfico o sus motivaciones, el enfoque de TeamTNT sugiere una orientación económica. La minería de criptomonedas es un método común para generación de ingresos ilegales, y su atención a entornos cloud y contenedores indica que el grupo busca aprovechar la infraestructura de servicios en la nube para ampliar su impacto. Este enfoque refleja una estrategia de ciberataques basada en la escalabilidad y la accesibilidad de las plataformas de nube.

Técnicas y Tacticas (TTPs)

TeamTNT utiliza técnicas que aprovechan las características de las infraestructuras cloud y contenedores. Estas incluyen:

  • Exploit de vulnerabilidades en entornos cloud: Aprovechando fallas en sistemas de gestión de recursos o APIs de nube.
  • Depósito de minería de criptomonedas: Implementando mineros maliciosos en máquinas virtuales o contenedores para generar ganancias ilegales.
  • Reconocimiento y escalada de privilegios: Accesos no autorizados a entornos cloud mediante la explotación de vulnerabilidades de configuración.
  • Monitoreo de actividad anómala: Identificación de comportamientos inusuales en el uso de recursos, como consumos de CPU/ memoria excesivos o accesos no autorizados a almacenamiento.

Campanas Conocidas

El grupo ha sido vinculado con al menos tres campañas documentadas:

  • Campania de octubre 2019: Primer registro de actividades en entornos cloud, según análisis de Palo Alto Black-T.
  • Campania de mayo 2021: Detalles sobre la expansión del ataque a plataformas de nube privada y pública.
  • Campania de septiembre 2020: Enfoque en contenedores como medio para implementar minería maliciosa.

Objetivos y Victimas

Los objetivos de TeamTNT apuntan principalmente a organizaciones que operan con infraestructuras cloud o contenedores, incluyendo:

  • Proveedores de servicios de nube: Como AWS, Azure o Google Cloud.
  • Empresas con entornos híbridos: Combinación de infraestructuras locales y en la nube.
  • Entidades gubernamentales o sectoriales: Posible acceso a recursos críticos de gestión de datos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Detección y Defensa

Para mitigar el riesgo asociado a TeamTNT, las organizaciones deben:

  • Monitoreo de recursos en la nube: Utilizar herramientas que detecten uso anómalo de CPU, memoria o almacenamiento.
  • Revisión de configuraciones de contenedores: Validar que las imágenes y entornos no contienen código malicioso.
  • Actualización constante de sistemas: Cerrar vulnerabilidades en APIs de nube o herramientas de gestión de recursos.
  • Control de acceso: Limitar permisos a entornos cloud para evitar explotación no autorizada.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit DISTINET MURCIA SL12 Jun 2026 · qilin