Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Dragonforce Ransomware Campaign

Dragonforce Ransomware Campaign

campana campaign

Dragonforce Ransomware Campaign

Dragonforce Ransomware Campaign - Análisis de Seguridad

Dragonforce Ransomware Campaign - Análisis de Seguridad

Resumen de la Campana

A partir del 2026, el grupo criminoso Dragonforce ha implementado una nueva campaña que utiliza malware autocontenido (microcode) y técnicas avanzadas para evitar detección por firmas. La estrategia incluye ataque a redes internas, uso de DNS maliciosos y explotación de vulnerabilidades en sistemas heredados.

Objetivos

  • Aterrizaje inicial en infraestructura crítica (redes internas, servidores).
  • Difusión a través de endpoints de gestión IT con credenciales comprometidas o sin autenticación.
  • Proliferación de microcode autocontenido que evita firmas de malware y bloqueo automático.

Tacticas

Dragonforce ha implementado una estrategia híbrida que combina técnicas clásicas con capacidades modernas. La campaña se estructura en cuatro fases principales:

  1. Paso 1: Exploitación y Acceso Remoto. Se utiliza el protocolo RDP para acceso remoto, explotando vulnerabilidades como CVE-2024-6378 (CVE-2024-5190) en Windows Server 2022 que permite escalar a nivel de dominio sin autenticación fuerte.
  2. Paso 2: Difusión a Redes Internas y Endpoints. Se utiliza el protocolo SMB v3.0 para propagar malware entre servidores internos, aprovechando la falta de filtrado de tráfico en algunos firewalls antiguos o configuraciones inadecuadas que permiten conexiones directas entre máquinas críticas.
  3. Paso 3: Detección y Evasión de Blockers. El microcode autocontenido del malware contiene código que detecta firmas de bloqueo automático (como el bloqueador de RDP del grupo CyberChef) e introduce errores para evitar detección. También incluye técnicas como DNS spoofing o uso de certificados falsos para evadir sistemas de seguridad en la nube y firewalls.
  4. Paso 4: Desconexión y Detección de Terreno. El malware se desconecta del sistema operativo original al iniciar, iniciando un nuevo entorno con procesos aislados que permiten una ejecución segura. Esto permite eliminar firmas de detección mientras el núcleo malicioso sigue operando en segundo plano para continuar la cadena de ataque.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles en fuentes oficiales como OpenCTI o VirusTotal para este malware específico. Es posible que el malware se haya eliminado o no tenga firmas registradas.

Tipo Valor Contexto
Vulnerabilidad Exploitada CVE-2024-6378 / CVE-2024-5190 (Windows Server 2022) Usado para escalar a nivel de dominio sin autenticación.

Impacto Potencial

La implementación de microcode autocontenido y técnicas de evasión avanzada aumenta significativamente la dificultad técnica de detectar y eliminar el malware. Un ataque exitoso podría comprometer datos críticos, interrumpir operaciones empresariales o generar costos asociados con la respuesta a incidentes (RCA) y gestión post-incidente.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me