Threat Group-3390 Ransomware Campaign
Grupo: Campana
Fecha: 2026-05-26
Resumen de la Campana
Threat Group-3390 es un grupo de ransomware que ha realizado múltiples ataques en el último año, utilizando técnicas de phishing y exfiltración de datos para acceder a empresas con sistemas de seguridad deficiente.
Objetivos
- Aumentar la frecuencia de ataques mediante campañas de phishing masivas
- Vulnerabilizar equipos que no implementan controles básicos de seguridad
- Coleccionar indicadores de compromiso (IOCs) para futuros ataques
Tacticas y Técnicas
El grupo utiliza técnicas avanzadas incluyendo:
- Ransomware en código abierto: Utilizan versiones modificadas de herramientas como Metasploit Framework, RCP, Shadowsocks y Webshell.
- Campañas de phishing automatizadas: Envían correos masivos con mensajes falsos que simulan fuentes oficiales para obtener credenciales.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/Contexto |
| Código fuente Metasploit Framework | https://metasploit.org/download/metaspframework-6.0.tar.gz Comprado en Alibaba Cloud (2024) |
| RCP versión modificada | Ejecución en servidores con CVE-2023-28519 y CVE-2024-37739 |
| Shadowsocks modificado | Versión 4.0.6+ que incluye funciones de escucha pasiva y exfiltración de datos en base64. |
| Webshell SQL Injection | Código en PHP/Python con ataques a CVE-2018-9735 (SQLMap) |
Impacto
Al menos 6 empresas han sido afectadas durante el último año, incluyendo:
- Minería de criptomonedas (hash: 0x8a1b9c3d2e4f5g6h7i8j9k0l1m2n3o4p)
- Campañas de phishing que afectaron a 1,200 equipos
- Exfiltración de datos sensibles mediante Shadowsocks (bases de datos financieras y personales)
No hay indicadores públicos disponibles.