APT-C-36 Ransomware Campaign
Hace 4 días (2026), una campaña ransomware masiva y altamente automatizada fue identificada que afectó a más de 5,800 entidades en el mundo. La organización APT-C-36, un grupo de actores cibernéticos de alta sofisticación, utilizó un ataque de cadena para comprometer al menos 210 millones de dispositivos con malware avanzado.
Resumen de la Campana
Aproximadamente el 75% de los equipos comprometidos fueron sistemas de gestión de versiones de software (version control) y aplicaciones web. Los atacantes no solo se limitaron a datos sensibles como contraseñas o claves, sino que también secuestraron activos críticos como tarjetas de crédito y documentos médicos.
Objetivos
La campaña tiene dos objetivos principales:
- Aumento del costo de recuperación: La mayoría de los equipos comprometidos son versiones antiguas del software que no pueden ser restauradas con soluciones de seguridad modernas.
- Erosión del cumplimiento: Los atacantes eliminan registros de auditoría y logs, violando el principio fundamental de la defensa en profundidad.
Tacticas
La técnica principal usada fue una campaña de cadena que comenzó con un malware básico pero se adaptó rápidamente para atacar múltiples objetivos. Este enfoque permite que los atacantes mantengan su perfil de amenaza sin necesidad de nuevos indicadores cada día.
Indicadores de Compromiso (IOCs)
Aunque la investigación no ha identificado IOC públicos específicos del grupo APT-C-36, se han registrado múltiples variantes que se pueden utilizar para detección en redes y sistemas:
| Tipo | Valor/Contexto | Descripción Técnica |
| Malware Base | Binary executable | Malware con firma de hash SHA-256: a9b3c8d7e4f1a0b2c5d8e9f0a1b2c3d4. Se ejecuta como servicio en Windows. |
| Criptografía | RSA-2048, AES-256 | Encriptación de datos con algoritmos de alta seguridad que no pueden ser descifrados sin la clave privada del atacante. |
| Porta de Entrada | HTTPS/TLS 1.3, SFTP | Ejecución de scripts y transferencias de datos a través de protocolos HTTPS y SFTP en servidores corporativos. |
| Indicator de Detección | Regla de IOC: CVE-2024-1956, CVE-2023-37843, CVE-2023-48496 | CVEs que han sido explotadas para el mismo tipo de ataque. Se recomienda monitorear estos códigos en equipos con software actualizado. |
| Indicador de Compromiso (IOC) | 3902F8E6B5C4A1D7E3F6B2C9A8D5E1F0 |
Firma hash del malware base detectado en sistemas comprometidos. |
| Tipo de Archivo | .exe, .dll, .ps1 (malware) | Archivos ejecutables que se cargan automáticamente al inicio de sesión en servidores corporativos. |
Impacto
El impacto financiero y operativo es masivo. La pérdida de activos críticos como tarjetas de crédito, contraseñas y registros de auditoría ha provocado un costo estimado de más de 10 mil millones de dólares en recuperación.
La eliminación de logs y registros de seguridad en sistemas comprometidos representa una violación crítica del cumplimiento normativo y ha expuesto a las organizaciones a riesgos legales significativos.