--[ Anomalía #3 ]--

–[ Anomalía #3 Filtraciones desbordadas y nuevo experimento ]–

Hola 💚

En los últimos meses han empezado a aparecer con más frecuencia bases de datos asociadas a instituciones latinoamericanas en foros de filtraciones y mercados de accesos. Entidades estatales, universidades, hospitales, empresas de energía, servicios públicos. Registros completos, credenciales institucionales o accesos a sistemas internos que comienzan a circular en los mismos espacios donde se comercian accesos iniciales y dumps de bases de datos.

No siempre es fácil saber qué ocurrió realmente en cada caso. A veces aparecen muestras de datos, capturas de paneles internos o accesos a sistemas publicados por quienes dicen haber hecho la intrusión. Otras veces las instituciones no se pronuncian o desmienten filtraciones.

No es la primera vez que vemos algo así. En ediciones anteriores ya habíamos observado exposiciones masivas de datos en la región, como el caso de la base de datos con información personal de millones de personas en Chile o en México. Ahora en Colombia seguimos viendo incidentes como la filtración asociada al Servicio Público de Empleo —que mencionamos en una edición anterior— y ahora la exposición de datos de la Dirección de Impuestos y Aduanas Nacionales DIAN. Algunos de estos casos los abordamos más adelante en esta edición.

Lo interesante no es solo cada incidente individual, sino lo rápido que dejan de ser excepcionales. El leak aparece, circula unos días, hay comunicados, entidades que desmienten, otras que no dicen nada… y mientras tanto las bases de datos siguen moviéndose de foro en foro.

Estos datos terminan alimentando otras cosas: campañas de phishing, fraude, suplantación o accesos iniciales revendidos en los mismos mercados donde aparecieron los leaks. Parte de esa dinámica también se deja ver en la infraestructura que venimos observando en ZOLIM, donde varias instancias activas terminan asociadas a frameworks de acceso remoto y herramientas usadas en campañas de malware.

Algo de eso aparece también en el post que publicamos hace unos días. En la primera parte de Los diarios de Blind Eagle analizamos uno de los artefactos utilizados en campañas de phishing en Colombia. Blind Eagle es un actor colombiano que lleva años suplantando entidades estatales para distribuir malware, y en varios casos sus campañas aprovechan correos institucionales comprometidos o credenciales que previamente han aparecido en filtraciones de datos.

Los detalles técnicos los dejamos en el write-up: Experimento 0x03: Los Diarios de Blind Eagle (parte 1): Analizando SVGs Maliciosos

–[ Malware ]–

PromptSpy — malware Android usa IA generativa en campañas dirigidas a Argentina

Investigadores de ESET analizaron PromptSpy, una familia de malware para Android que incorpora el uso de modelos de inteligencia artificial generativa como parte de su operación. El implante permite recolectar información del dispositivo comprometido —mensajes, contactos, archivos, ubicación— mientras utiliza herramientas de IA para generar respuestas automatizadas o contenido adaptado al contexto de la víctima.

La campaña parece estar enfocada principalmente en Argentina, donde operadores distribuyen aplicaciones maliciosas que se hacen pasar por herramientas legítimas. Una vez instalada, la app establece comunicación con su infraestructura de C2 y comienza a exfiltrar esa información.

Lo interesante del implante es el uso de modelos generativos dentro del flujo de la operación. Más que una capacidad “nueva” del malware, parece un intento de automatizar partes de la interacción con la víctima o generar contenido dinámico dentro de campañas de ingeniería social.

Apps piratas de streaming siguen siendo puerta de entrada para malware en Android

Aplicaciones de streaming pirata para Android —como MagisTV o XuperTV— siguen circulando masivamente en la región a través de repositorios informales, enlaces compartidos en redes sociales o grupos de Telegram. Estas apps prometen acceso gratuito a canales de televisión y contenido premium, pero varias versiones incluyen módulos diseñados para recolectar información del dispositivo o abusar de sus recursos una vez instaladas.

Más allá del malware específico que pueda aparecer en algunas versiones, el patrón es bastante conocido: aplicaciones distribuidas fuera de tiendas oficiales que piden permisos excesivos y terminan convirtiendo el dispositivo en otro nodo dentro de infraestructuras controladas remotamente —ya sea para recolección de datos, publicidad abusiva o uso dentro de redes de proxy.

–[ Vigilancia/InfoOps/PsyOps ]–-

Deepfakes y spyware — campañas de hostigamiento contra mujeres activistas

Campañas dirigidas contra mujeres activistas y defensoras de derechos humanos están combinando vigilancia digital, spyware comercial y contenido manipulado mediante inteligencia artificial. En algunos casos circulan deepfakes de carácter sexual destinados a desacreditar públicamente a las víctimas y aislarlas políticamente.

El caso se inscribe en dinámicas de represión transnacional donde herramientas como Pegasus o plataformas de análisis de datos aparecen en operaciones dirigidas contra personas defensoras en distintos países. Más allá de los casos individuales, el fenómeno refleja cómo las capacidades de vigilancia digital y manipulación de información comienzan a converger en campañas dirigidas específicamente contra mujeres activistas.

México — propaganda del CJNG y guerra narrativa alrededor de “El Mencho”

La figura de “El Mencho”, líder del Cártel Jalisco Nueva Generación (CJNG), también se disputa en internet. Videos, comunicados y mensajes que circulan en redes sociales intentan moldear la narrativa alrededor del cartel y su liderazgo, amplificando versiones favorables o respondiendo a la presión política y militar contra el grupo.

Este tipo de propaganda digital no es nueva en el ecosistema del crimen organizado en México, pero muestra cómo los grupos criminales siguen usando redes sociales y plataformas abiertas como parte de su estrategia de información: construir reputación, intimidar rivales o influir en la percepción pública dentro y fuera de sus territorios.

–[ Filtraciones ]–-

Colombia — filtración de datos asociados a la DIAN

Registros asociados a contribuyentes colombianos comenzaron a aparecer en foros de filtraciones luego de una presunta vulneración a sistemas de la Dirección de Impuestos y Aduanas Nacionales (DIAN). Las muestras que circulan incluyen información personal como nombres, números de identificación y otros datos vinculados a trámites tributarios.

La entidad confirmó que se encuentra analizando el incidente y abrió una investigación para determinar el origen de la exposición. Mientras tanto, fragmentos de la base ya empezaron a replicarse en distintos espacios donde este tipo de filtraciones suele circular rápidamente.

Colombia — filtración expone registros médicos del Hospital General de Medellín

Registros asociados a pacientes del Hospital General de Medellín comenzaron a circular en foros de filtraciones luego de que un actor afirmara haber obtenido acceso a sistemas vinculados a la institución. Las muestras publicadas incluyen información médica y datos personales de pacientes. Hasta ahora no existe confirmación pública independiente sobre el alcance del incidente ni sobre el compromiso directo de los sistemas hospitalarios, aunque los datos ya comenzaron a replicarse en distintos espacios donde este tipo de bases suele circular.

–[ Brechas de seguridad ]–-

Perú — gobierno niega intrusión a sistemas de inteligencia

El gobierno peruano negó que la Dirección Nacional de Inteligencia (DINI) haya sufrido un hackeo luego de que circularan reportes sobre un supuesto acceso a sus sistemas. Según la Presidencia del Consejo de Ministros, las revisiones internas no encontraron evidencia de intrusión ni de filtración de información. Sin embargo, quien publicó el claim del ataque (DeFace Peru) sostiene lo contrario y asegura haber tenido acceso a la infraestructura de la entidad, incluso después del comunicado oficial que descartó el incidente.

Chile — intrusiones en telecomunicaciones, sanciones de EE.UU. y cables en el medio

En Chile se abrió una investigación por posibles intrusiones en empresas de telecomunicaciones, mientras en paralelo Estados Unidos anunció restricciones de visa contra funcionarios chilenos en relación con actividades de actores extranjeros en infraestructura digital del país. La situación aparece después de advertencias sobre operaciones sospechosas en redes de conectividad y proveedores del sector.

Lo curioso es que mientras Washington habla de intrusiones atribuidas a actores extranjeros y aplica sanciones, en Chile se abre una investigación local sobre ataques a ISPs. Todo esto ocurre en medio de discusiones sobre nueva infraestructura de conectividad —incluyendo cables submarinos— y reportes de actividad elevada de actores chinos en redes de la región.

–[ Spyware ]–-

Coruna — exploit kit para iOS con múltiples cadenas de explotación

Investigadores de Google analizaron Coruna, un exploit kit para iPhone que incluye cinco cadenas completas de explotación y un total de 23 exploits dirigidos a dispositivos que ejecutan iOS 13 hasta iOS 17.2.1. El framework identifica el modelo de iPhone y la versión exacta del sistema para cargar la cadena de WebKit adecuada, seguida de un bypass de Pointer Authentication Code (PAC) y un loader que despliega el implante correspondiente.

El kit apareció primero en operaciones dirigidas asociadas a clientes de un proveedor de vigilancia comercial, luego en watering holes contra usuarios en Ucrania y más tarde en campañas masivas desde sitios financieros falsos operados por un actor criminal chino. La herramienta ya no funciona en las versiones más recientes de iOS, pero su circulación entre distintos actores muestra algo cada vez más común: cadenas de exploits avanzadas reutilizadas entre espionaje y cibercrimen, especialmente en dispositivos que siguen corriendo versiones antiguas del sistema.

-–[ ZOLIM - El snapshot de esta semana ]–-

En el snapshot más reciente de ZOLIM (nuestro observatorio latinoamericano de infraestructura maliciosa) vemos un pequeño salto en la infraestructura de la región: pasamos de 87 a 104 IPs activas asociadas a 14 frameworks ofensivos, distribuidas ahora en 14 países.

Algunas señales que nos llamaron la atención esta semana:

-> GoPhish sigue siendo la especie dominante (60 nodos), con Brasil concentrando la mayor parte de la infraestructura, aunque aparecen también instancias en México, Perú, Argentina y Chile. Muchos de estos nodos siguen respondiendo en el puerto 3333, un patrón bastante consistente en campañas de phishing que venimos observando en la región.

-> Aparece mucho más movimiento de Quasar RAT (18 nodos), con infraestructura distribuida principalmente en Brasil pero también con presencia en Chile, México, Perú, Colombia y —por primera vez en nuestros snapshots— Honduras.

-> Colombia mantiene presencia de DCRat sobre redes de conectividad móvil en Barranquilla, mientras empiezan a aparecer algunos nodos adicionales de Quasar en el país.

La infraestructura continúa mezclándose con proveedores cloud comerciales y telecomunicaciones regionales: Oracle, Amazon, Microsoft, Hostinger y operadores locales siguen apareciendo como soporte frecuente para estos nodos. En ZOLIM puedes explorar el snapshot completo y la tabla donde filtramos todas las IPs activas por país si quieres profundizar en los datos :D https://zoquelabs.xyz/zolim