Tropic Trooper Ransomware Campaign
Resumen de la Campana
Tropic Trooper es un grupo ransomware que opera principalmente desde Sudáfrica. La campaña se caracteriza por el uso de técnicas avanzadas de comunicación con atacantes, incluyendo servidores personalizados en regiones como Asia y América del Sur.
Objetivos
- Promover la distribución de malware mediante campañas masivas de phishing.
- Cobrar depósitos mínimos al inicio para facilitar el acceso a atacantes nuevos.
- Ocultar su identidad y ubicación a través de nombres falsos y servidores en regiones distantes.
Tacticas
Tropic Trooper implementa una cadena de ataque sofisticada que incluye:
- Phishing masivo: Envío de correos con imágenes engañosas de software legítimo para atraer a usuarios sin experiencia.
- Droppers en el servidor: Un servicio web (servedio.com) actúa como puerta de entrada que entrega malware cuando se accede al dominio falso.
- Exfiltración de datos: Transferencia a servidores en Asia y América del Sur para evitar detección local.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL | Contexto |
|---|---|---|
| Domain | https://servedio.com/secure-file-transfer | Servidor de envío de malware que se comunica con servidores en Asia y América del Sur. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga de malware que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/secure-file-transfer | URL de descarga que se activa al acceder a la página principal. |
| Domain | https://servedio.com/ Jordi Serrano — Senior Cyber Threat Intelligence |