jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » underground

underground

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Explotación de CVE-2023-36884: Vulnerabilidad que permite al actor acceder a sistemas sin permiso.
  • Cifrado de archivos sin cambios en extensiones: Métodos para dificultar la detección y el rescate de datos.
  • Eliminar copias de seguridad y registros de eventos: Acción que complica la recuperación de datos y aumenta la extorsión.
  • Campañas de doble extorsión: Requieren pagos por la liberación de datos, a veces con amenazas adicionales.
  • Industria financiera

underground

underground

Perfil del Actor

underground es un actor de amenaza asociado al grupo RomCom (Storm-0978), con sede en Rusia. Este actor ha estado activo desde julio de 2023, utilizando técnicas de ransomware para extorsionar a empresas en múltiples industrias. Su metodología incluye la explotación de vulnerabilidades específicas y campañas de doble extorsión.

Origen y Motivación

El grupo RomCom, identificado como Storm-0978, es un actor de amenaza basado en Rusia. Su motivación principal parece estar relacionada con la extorsión financiera, utilizando ransomware para bloquear acceso a datos críticos y exigiendo pagos por su liberación. Desde julio de 2023, el grupo ha adoptado una estrategia activa de ataque, aprovechando vulnerabilidades en sistemas informáticos.

Técnicas y Tacticas (TTPs)

underground utiliza un conjunto de técnicas y tácticas específicas para su operación. Entre ellas se destacan:

  • Explotación de CVE-2023-36884: Vulnerabilidad que permite al actor acceder a sistemas sin permiso.
  • Cifrado de archivos sin cambios en extensiones: Métodos para dificultar la detección y el rescate de datos.
  • Eliminar copias de seguridad y registros de eventos: Acción que complica la recuperación de datos y aumenta la extorsión.
  • Campañas de doble extorsión: Requieren pagos por la liberación de datos, a veces con amenazas adicionales.

Campanas Conocidas

El actor ha llevado a cabo múltiples campañas desde julio de 2023, afectando empresas en diversos sectores. Según registros disponibles, las victimas incluyen organizaciones en:

  • Industria financiera
  • Sectores sanitarios
  • Tecnología y servicios críticos

La operación se ha extendido a múltiples ubicaciones geográficas, con un impacto significativo en la infraestructura digital.

Objetivos y Victimas

underground busca maximizar el daño económico y la intimidación. Las empresas objetivo suelen ser organizaciones que no tienen recursos para responder a amenazas de este tipo. Según datos disponibles, se han reportado 26 victimas afectadas desde julio de 2023.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
C2 Server [DLS] 47glxkuxyayqrvugfumgsblrdagvrah7gttfscgzn56eyss5wg3uvmqd.onion Comando y control de la operación.
C2 Server [Chat] undgrddapc4reaunnrdrmnagvdelqfvmgycuvilgwb5uxm25sxawaoqd.onion Comunicación entre dispositivos infectados.

Detección y Defensa

Para mitigar el impacto de underground, se recomienda:

  • Monitorear redes para anomalías en tráfico de datos.
  • Implementar soluciones de detección de amenzas (EDR) para identificar actividades sospechosas.
  • Realizar respaldos regulares y asegurar copias de seguridad en entornos seguros.
  • Actualizaciones constantes de sistemas para cerrar vulnerabilidades como CVE-2023-36884.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable