Google Mandiant y el Grupo de Inteligencia de Amenazos de Google (GTIG) han revelado que están rastreando nuevos grupos de actividades que pueden estar vinculados a un actor de amenaza con motivación financiera conocido como CL0P.
Las actividades maliciosas envían un correo electrónico TERR a ejecutivos de varias organizaciones, alegando que han robado datos confidenciales de Oracle E-Business Suite.
«Esta actividad comenzó antes del 29 de septiembre de 2025, pero los expertos mandiantes todavía se encuentran en las primeras etapas de múltiples investigaciones y aún no han demostrado las afirmaciones del grupo», dijo a Hacker News Genevieve Stark, jefe de delito cibernético e operaciones de información en GTIG.
Mandiant CTO Charles Carmakal describió la actividad en curso como una «campaña de correo electrónico masiva» lanzada a partir de cientos de cuentas comprometidas. Sugiere que al menos una de estas cuentas se asoció previamente con una actividad de FIN11, un subconjunto dentro del grupo TA505.
Fin11 por mandante se dedicará a los ataques de ransomware y TOR hasta 2020. Anteriormente, estaba vinculado a la distribución de varias familias de malware como Flawedamyy, Friendpeak y MixLabel.
«Hemos confirmado que el correo electrónico malicioso contiene información de contacto y que las dos direcciones de contacto específicas proporcionadas también están disponibles públicamente en el sitio de fuga de datos CL0P (DLS)», agregó Carmakal. «Este movimiento sugiere fuertemente que está vinculado a CL0P y aprovecha la conciencia actual de la marca de las operaciones».
Dicho esto, Google dijo que no tiene evidencia en sí misma para confirmar la relación sospechosa, a pesar de la similitud de las tácticas observadas en ataques CL0P anteriores. La compañía también está instando a las organizaciones a investigar el medio ambiente en busca de evidencia de la actividad amenazante de los actores.
Actualmente no está claro cómo se obtendrá el acceso inicial. Sin embargo, según Bloomberg, se cree que el atacante ha comprometido los correos electrónicos de los usuarios, abusó de la función de restablecimiento de contraseña predeterminada, citando información compartida por Halikon para obtener portales válidos de Oracle E-Business Suite para Internet.
Hacker News se comunicará con Oracle para comentar más sobre la aterradora campaña de Tor y actualizar la historia si hay una respuesta.
En los últimos años, el grupo CL0P altamente prolífico ha sido atribuible a muchas oleadas de ataques que explotan el TLC de aceleración, SolarWinds Serv-U FTP, Fortra Goany, donde MFT y plataformas de transferencia móviles en curso, que han infringido miles de organizaciones.
Source link
