Se han observado que los ex miembros vinculados a la operación de ransomware Black Pespunte se apegan a su enfoque probado de hostigamiento por correo electrónico y los equipos de Microsoft Phishing para establecer un comunicación persistente a las redes de destino.
«Recientemente, los atacantes han introducido la ejecución de script de Python anejo con estas técnicas, utilizando solicitudes de curl para obtener e implementar cargas bártulos maliciosas», dijo Reliaquest en un referencia compartido con Hacker News.
El progreso es una señal de que los actores de amenaza continúan pivotando y reagrupados, a pesar de que la marca Black Pespunte sufre un gran moradura y una disminución a posteriori de la fuga pública de sus registros de chat internos a principios de febrero.
La compañía de ciberseguridad dijo que la parte de los ataques de phishing de los equipos que se observaron entre febrero y mayo de 2025 se originaron en los dominios Onmicrosoft (.) Com, y que violaron los dominios representaron el 42% de los ataques durante el mismo período. Este posterior es mucho más sigiloso y permite a los actores de amenazas hacerse ocurrir por el tráfico verdadero en sus ataques.
Tan recientemente como el mes pasado, los clientes de Reliaquest en el sector de finanzas y seguros y el sector de la construcción han sido atacados utilizando equipos phishing al disfrazarse como personal de la mesa de ayuda para engañar a los usuarios desprevenidos.
«El candado del sitio de mújol de datos de Black Pespunte, a pesar del uso continuo de sus tácticas, indica que los antiguos afiliados probablemente hayan migrado a otro familia RAAS o formado uno nuevo», agregó la compañía. «El proscenio más probable es que los ex miembros se han unido al Familia Cactus Raas, que se evidencia por el líder de Black Pespunte, Trump, hace narración a un cuota de $ 500-600K a Cactus en los chats filtrados».
Dicho esto, vale la pena señalar que Cactus no ha famoso ninguna ordenamiento en su sitio de fuga de datos desde marzo de 2025, lo que indica que el familia se ha disuelto o está tratando deliberadamente de evitar pulsar la atención sobre sí mismo. Otra posibilidad es que los afiliados se hayan movido a Blacklock, que, a su vez, se cree que comenzó a colaborar con un cartel de ransomware llamado Dragonforce.
Los actores de amenaza incluso se han pasado aprovechando el comunicación obtenido a través de la técnica de phishing de los equipos a sesiones de escritorio remotas iniciales a través de concurrencia rápida y cualquierdesk, y luego descargar un script de Python receloso de una dirección remota y ejecutarlo para establecer comunicaciones de comando y control (C2).
«El uso de los guiones de Python en este ataque destaca una táctica en proceso que probablemente se vuelva más frecuente en las campañas de phishing de futuros equipos en el futuro inmediato», dijo Reliaquest.
La táctica de ingeniería social al estilo irritado de Pespunte del uso de una combinación de spam de correo electrónico, phishing de equipos y concurrencia rápida incluso ha contrario que los tomadores entre el Familia de Ransomware BlackSuit, lo que aumenta la posibilidad de que los afiliados de los trajes negros hayan recogido el enfoque o absorbieran a los miembros del familia.
Según Rapid7, el comunicación auténtico sirve como una vía para descargar y ejecutar variantes actualizadas de una rata basada en Java que previamente se implementó para ejecutar como una credencial Harvester en los ataques Black Pespunte.
«El malware Java ahora abusa de los servicios de alojamiento de archivos basados en la estrato proporcionados por Google y Microsoft a los comandos proxy a través de los servidores del proveedor de servicios en la estrato respectivos (CSP)», dijo la compañía. «Con el tiempo, el desarrollador de malware se ha alejado de las conexiones directas de proxy (es asegurar, la opción de configuración se deja en blanco o no presente), en dirección a las hojas OneDrive y Google, y más recientemente, para simplemente usar Google Drive».
La nueva iteración del malware se realiza en más funciones para transferir archivos entre el host infectado y un servidor remoto, iniciar un túnel proxy Socks5, robar credenciales almacenadas en navegadores web, presentar una ventana de inicio de sesión de Windows inexacto y descargar una clase Java desde una URL suministrada y ejecutarla en la memoria.
Al igual que los ataques de ransomware 3am detallados por Sophos hace un par de semanas, las intrusiones incluso se caracterizan por el uso de una puerta trasera de túnel convocatoria Qdoor, un malware previamente atribuido a BlackSuit y una carga útil de óxido que probablemente sea un cargador personalizado para la utilidad SSH, y una rata de Python se refería a Anube.
Los hallazgos vienen en medio de una serie de desarrollos en el panorama de ransomware –
- El familia motivado financieramente conocido como Sptered Spider ha dirigido a proveedores de servicios administrados (MSP) y a los proveedores de TI como parte de un enfoque de «uno a muchos» para infiltrarse en múltiples organizaciones a través de un solo compromiso, en algunos casos que explotan cuentas comprometidas del contratista general de TA Tata Consultancy Services (TCS) para obtener el comunicación auténtico.
- Sptered Spider ha creado páginas de inicio de sesión falsas utilizando el kit de phishing EvilGinX para evitar la autenticación de múltiples factores (MFA) y las alianzas estratégicas forjadas con operadores de ransomware importantes como AlphV (incluso conocido como BlackCat), Ransomhub y, más recientemente, DragonforCe, realizar ataques sofisticados de MSP a la tino de SimpleTopsp.
- Los operadores de ransomware de Qilin (incluso conocido como Memorándum y Phantom Mantis) han audaz una campaña de intrusos coordinada dirigida a varias organizaciones entre mayo y junio de 2025 mediante el armamento de las vulnerabilidades de Fortinet FortiGate (por ejemplo, CVE-2024-21762 y CVE-2024-55591) para el comunicación auténtico.
- Se estima que el familia de ransomware (incluso conocido como Balloonfly y PlayCrypt) ha comprometido 900 entidades a partir de mayo de 2025 desde su aparición a mediados de 2012. Algunos de los ataques han diligente las fallas de SimpleHelp (CVE-2024-57727) para dirigirse a muchas entidades basadas en los Estados Unidos a posteriori de la divulgación pública de la vulnerabilidad.
- El administrador del familia de ransomware Vanhelsing ha filtrado todo el código fuente en el foro de rampas, citando conflictos internos entre desarrolladores y liderazgo. Los detalles filtrados incluyen las teclas TOR, el código fuente de ransomware, el panel web de suministro, el sistema de chat, el servidor de archivos y el blog con su saco de datos completa, según PRODAFT.
- El familia de ransomware de enclavamiento ha desplegado un troyano de comunicación remoto de JavaScript previamente indocumentado llamado Nodesnake como parte de los ataques dirigidos al gobierno nave y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware, distribuido a través de correos electrónicos de phishing, ofrece comunicación persistente, registro del sistema y capacidades de ejecución de comandos remotos.
«Las ratas permiten a los atacantes obtener control remoto sobre sistemas infectados, lo que les permite ingresar a archivos, monitorear actividades y manipular la configuración del sistema», dijo Quorum Cyber. «Los actores de amenaza pueden usar una rata para suministrar la persistencia internamente de una ordenamiento, así como para introducir herramientas o malware adicionales al entorno. Incluso pueden ingresar, manipular, destruir o exfiltrar datos».
