
Se ha observado que los actores de amenazas asociados con la operación de ransomware Anubis explotan una vulnerabilidad en Citrix Bleed 2 (CVE-2025-5777) para obtener acceso inicial.
«Aunque las tácticas varían según el afiliado, han surgido patrones comunes en el comercio mediante el uso de herramientas legítimas de monitoreo y administración remota (RMM), acceso a credenciales y procedimientos prácticos de teclado utilizados para el movimiento lateral», dijo Arctic Wolf en un informe publicado esta semana.
«Los afiliados de Anubis explotaron repetidamente herramientas legítimas de administración y acceso remoto, incluidas ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC y Total Software Deployment, para integrarse en las actividades normales de TI mientras mantenían el control de los sistemas de las víctimas».
Anubis es un grupo de ransomware como servicio (RaaS) que apareció por primera vez a finales de 2024 como un cambio de marca del ransomware Sphinx. Esta operación de ransomware se anunció oficialmente en el foro clandestino Ransomware and Advanced Malware Protection (RAMP) en febrero de 2025. Según los datos de Ransomware.Live, el equipo de cibercrimen se ha cobrado 91 víctimas en sitios de violación de datos, y 11 víctimas reportadas solo en junio de 2026.
Los sectores objetivo destacados incluyen la atención sanitaria, los servicios empresariales, la fabricación, la tecnología y los servicios financieros. Más del 50% de las víctimas residen en Estados Unidos, seguido por el Reino Unido, Australia, Francia y Canadá.
En un informe publicado en julio de 2025, Rubrik Zero Labs dijo que Anubis anuncia atractivas divisiones de ganancias, ofreciendo el 80% de los rescates pagados a los afiliados, junto con funciones de borrado de datos irreversibles que aumentan la presión sobre las víctimas para que paguen.
«Una vez que se activa el módulo /WIPEMODE de Anubis, los archivos permanecen en el directorio pero su tamaño se reduce a 0 KB, independientemente del pago del rescate», señaló Rubrik en ese momento. «Saber que un actor de amenazas puede revertir el entorno de una víctima a este estado de tierra arrasada con un solo comando aumenta en gran medida la presión sobre la víctima para que pague antes de que los limpiadores se activen por completo».
Las intrusiones de ransomware observadas este año incluyen tanto el uso de credenciales VPN válidas como la explotación de CVE-2025-5777 (puntuación CVSS: 9,3). CVE-2025-5777 (puntuación CVSS: 9,3) es una falla crítica que afecta a Citrix NetScaler ADC y Gateway y que podría ser explotada por un atacante cuando el dispositivo está configurado como puerta de enlace o servidor virtual AAA.
Se desconoce la fuente exacta de las credenciales de VPN utilizadas en estas intrusiones. Sin embargo, es posible que se haya obtenido después de una infracción anterior o a través de un intermediario de acceso inicial (IAB), relleno de credenciales o actividad de robo de información.
«Además del exploit CitrixBleed 2, observamos inicios de sesión válidos de Cisco AnyConnect VPN desde varios ASN de alojamiento, incluidos AS20473 (The Constant Company) y AS55286 (ServerMania)», explicó Arctic Wolf. «La autenticación VPN maliciosa fue seguida por una actividad de inicio de sesión que incluía RDP y SMB para acceder a las credenciales, crear un servicio PsExec, implementar RMM y, en última instancia, lanzar una herramienta de transferencia a la nube para la exfiltración».
El movimiento lateral se facilita a través de RDP y PsExec, lo que resulta en la implementación de varias herramientas RMM legítimas para acceso persistente, lo que permite a los atacantes transferir archivos o ejecutar código de forma remota sin su conocimiento. Algunas intrusiones también configuran túneles de Cloudflare (también conocidos como Cloudflare) para establecer túneles hacia el entorno de la víctima.
La siguiente etapa del ataque implica recolectar credenciales para facilitar un acceso más profundo al entorno comprometido. Luego se instalan herramientas como el navegador S3, rclone, s5cmd, WinSCP y PuTTY para transferir o robar datos antes de que se implemente el ransomware. Paralelamente, se toman medidas para socavar las defensas del sistema y complicar el análisis posterior al incidente.
«Estas técnicas incluían deshabilitar la protección en tiempo real de Windows Defender, la actividad de desinstalación de Sophos, artefactos relacionados con PCHunter y borrar o manipular registros en múltiples sistemas», explicó la firma de ciberseguridad. «En al menos una intrusión, el programa de cifrado Anubis se eliminó después de la ejecución, lo que redujo la disponibilidad de artefactos de carga útil en el disco para su posterior análisis».
Obtenga más información sobre la puerta trasera de The Gentlemen’s Go y las hazañas de día cero
La divulgación se produce en medio de detalles de la explotación de vulnerabilidades conocidas por parte del grupo The Gentlemen RaaS y el uso de puertas traseras basadas en Go para infiltrarse en objetivos con credenciales de inicio de sesión robadas o débiles y permitir la ejecución remota de comandos después del reconocimiento, el movimiento lateral a través de Group Policy o PsExec y la evasión de defensa utilizando técnicas de «traiga su propio controlador» (BYOVD).
El implante recopila información del sistema, extrae la información a un servidor externo (‘81.177.215(.)15:9443’) a través de una conexión TCP bidireccional, espera la respuesta del operador y se ejecuta en el host usando ‘cmd.exe’ si el byte de respuesta es ‘c’. Si el byte es ‘s’, se establece una conexión de proxy SOCKS.
«Esta característica podría permitir que The Gentlemen’s Red Team gire dentro de la red objetivo y aumente la cobertura de escaneo», dijo Kaspersky. «Dadas las capacidades de los implantes de puerta trasera, como establecer comunicación bidireccional, ejecutar comandos, configurar servidores proxy SOCKS y recopilar información, está claro que también se pueden utilizar para ampliar la cadena de ataque si es necesario».
Según Expel, el grupo RaaS también utilizó vulnerabilidades de día cero en controladores de proveedores externos menos conocidos como parte de su arsenal BYOVD para obtener acceso a nivel de kernel, eludir las protecciones de seguridad de Windows y eliminar procesos de seguridad protegidos relacionados con Microsoft, ESET, Palo Alto Networks y SentinelOne. El controlador en cuestión es ktapi.sys, que forma parte de una API desarrollada por Kontron.
«Aún no está claro cómo los atacantes obtuvieron este archivo o se enteraron de la vulnerabilidad», dijo Marcus Hutchins. «BYOVD sigue siendo una gran amenaza para las empresas, ya que permite a los atacantes desactivar sistemas de seguridad de terminales de última generación en segundos. Incluso usar las últimas versiones de Windows y habilitar todas las mitigaciones de exploits no proporciona una protección completa».
Asociación de ransomware VECT y TeamPCP
Los hallazgos también siguen a la investigación de la Unidad Contra Amenazas de Sophos sobre la asociación entre VECT y TeamPCP anunciada en marzo de 2026 para combinar el robo de credenciales y la implementación de ransomware a través de ataques a la cadena de suministro.
«La asociación formal entre TeamPCP y VECT permitirá a VECT implementar ransomware en todas las organizaciones comprometidas en los ataques a la cadena de suministro de Trivy y LiteLLM», dijo Sophos en un informe compartido con The Hacker News. «Antes de asociarse con VECT, TeamPCP ejecutaba una operación de ransomware independiente bajo la marca CipherForce. CipherForce enumeró seis víctimas en el sitio filtrado en febrero de 2026 y lo rebautizó como el sitio filtrado de TeamPCP en mayo».

Un análisis reciente de Check Point y JUMPSEC reveló que VECT contiene una falla de implementación que hace que los archivos de más de 128 KB se descarten permanentemente sin estar cifrados, lo que llevó a TeamPCP a emitir una declaración diciendo que no utilizaron las capacidades de cifrado de VECT en el ataque. «Tenemos nuestro propio casillero privado, CipherForce», afirmó el grupo.
«La asociación Vect/TeamPCP representa un cambio significativo en el panorama de amenazas de ransomware y también tiene en cuenta las deficiencias técnicas que socavan su eficiencia operativa», dijo Sophos.
«La convergencia del robo de credenciales de la cadena de suministro a gran escala, las operaciones RaaS maduras y la movilización de grandes foros clandestinos constituye un modelo sin precedentes para la implementación de ransomware industrializado que reduce significativamente la barrera de entrada de los ciberdelincuentes».
Source link
