--[ Anomalía #12: ZOLIM: 7 meses de señales ]--
Julio 10, 2026
Por: ZoqueLabsEste escrito se distribuye con una licencia Creative Commons CC BY-SA (Reconocimiento - Compartir Igual).
English version
¡Hola, hola! Otro viernes, otra anomalía.
Hoy queremos hablar de ZOLIM, nuestro Zoque Observatorio Latinoamericano de Infraestructura Maliciosa. Ya llevamos 14 snapshots y, después de siete meses de observación, hemos encontrado señales bastante interesantes.
En Anomalía #1 anunciamos su lanzamiento y, desde Anomalía #2, incluimos en cada edición una selección de los hallazgos que más nos llaman la atención. Esta vez no tendremos esa sección porque dedicaremos toda la editorial a ZOLIM.
A grandes rasgos, ZOLIM hace búsquedas en Censys y Shodan combinando firmas de servidores de C2 conocidos con criterios geográficos; en nuestro caso, países de América Latina.
Cada dos semanas reunimos los resultados de ambas plataformas, eliminamos duplicados y actualizamos la información de cada host. Luego mezclamos esa salida con los snapshots anteriores para construir un histórico de la infraestructura detectada a lo largo del tiempo.
Pueden consultar la sección About ZOLIM para conocer mejor su funcionamiento.
ZOLIM nos permite observar qué malware, frameworks de C2 o herramientas de phishing están funcionando en servidores ubicados en América Latina. Sin embargo, encontrar una infraestructura en la región no significa necesariamente que sus operadores también estén aquí. Para determinarlo hace falta una investigación más profunda.
Además, ZOLIM solo detecta un conjunto específico de frameworks, cuyas firmas pueden consultarse en la carpeta sigs/ del repositorio zoque-infra-mapper. Queremos ampliar esta lista y la comunidad puede ayudarnos enviando pull requests, abriendo sugerencias en el repositorio o escribiéndonos por correo. También debemos tener presente otra limitación: por ahora, ZOLIM solo ve infraestructura expuesta directamente a internet. Esto deja por fuera, por ejemplo, malware que utiliza servicios como Telegram, Discord o Pastebin como canal de C2.
Aun así, las señales que encontramos permiten identificar patrones interesantes. Hemos visto, por ejemplo, cómo actores maliciosos aprovechan la infraestructura gratuita de Oracle en Brasil o las direcciones IP públicas asignadas por redes móviles de Tigo en Colombia. Pero vamos a la parte entretenida: las señales.
Oracle en Brasil
Una de las primeras preguntas que nos hicimos fue por qué tantos frameworks aparecían alojados en centros de datos de Oracle en Brasil. Al investigar encontramos una posible explicación: Oracle ofrece servidores gratuitos dentro de su capa Always Free, algunos con recursos bastante generosos. Una de las condiciones es que estos recursos se creen en la misma región asociada con la cuenta. Esto nos lleva a pensar que una proporción importante de los frameworks alojados en ORACLE-BMC-31898 - Oracle Corporation (AS31898) podría estar siendo operada por actores ubicados en Brasil.
Hasta ahora, el 18 % de los hosts encontrados por ZOLIM pertenece a este ASN. Esto puede verse en los gráficos principales de ASN e ISP del dashboard.
También podemos buscar AS31898 en la tabla inferior para consultar sus hosts, frameworks, puertos y otros datos.
Tigo en Colombia
En Colombia encontramos otro patrón interesante en los ASN de Tigo: AS27831 y AS3816. Entre ambos concentran el 26 % de los hosts detectados por ZOLIM.
Estas direcciones no parecen corresponder a infraestructura en la nube. Su comportamiento se parece más al de conexiones residenciales o móviles y creemos que, en algunas regiones del país, podrían estar siendo asignadas a módems 4G.
Esto ofrece una forma sencilla de montar infraestructura de C2 relativamente anónima: una tarjeta SIM, un módem y una dirección IP pública expuesta a internet. Si la IP cambia, el problema puede resolverse con un servicio de DNS dinámico.
Al mirar los datos con más detalle aparecen dos patrones distintos.
El primero está relacionado con Blind Eagle, también conocido como APT-C-36, un actor colombiano que investigamos desde hace algún tiempo.
Blind Eagle suele utilizar RAT de código abierto como AsyncRAT, DCRat o Remcos, distribuidos mediante correos comprometidos —en ocasiones de instituciones públicas— con mensajes sobre demandas, multas de tránsito u otros asuntos diseñados para convencer a las víctimas de descargar malware.
Aunque sus operaciones suelen estar relacionadas con el robo de credenciales y el fraude financiero, también han afectado a organizaciones de la sociedad civil. Una cuenta comprometida no solo implica el robo de información: también puede convertirse en un punto de partida para atacar a personas y organizaciones cercanas.
No existe evidencia concluyente que vincule a Blind Eagle con un Estado o una gran compañía. Aun así, sus operaciones pueden entorpecer o incluso paralizar el trabajo de organizaciones sociales. Por eso lo estudiamos.
Los servidores asociados con esta actividad suelen aparecer en Barranquilla, Soledad y Valledupar. Al revisar estos hosts es importante observar el campo last scan, que muestra la última vez que Censys o Shodan detectaron el servidor activo. Muchas veces, varias direcciones IP corresponden en realidad al mismo servidor cambiando de IP con el tiempo.
El segundo patrón aparece en Bucaramanga, Girón y Piedecuesta. Allí vemos una dinámica similar —mismo proveedor, mismas ciudades y cambios periódicos de IP—, pero asociada con GoPhish. Tenemos entonces actores posiblemente distintos que parecen aprovechar el mismo tipo de infraestructura.
GoPhish
GoPhish es, por mucho, el framework más detectado por ZOLIM: representa el 58 % de las detecciones. Hay que aclarar que, por ahora, también es el único framework específicamente orientado al phishing que tenemos entre nuestras firmas. Aun así, su presencia nos da una idea de la popularidad de este tipo de infraestructura en la región.
Les dejamos un reto a quienes nos leen —y a las LLM también—: ¿pueden averiguar qué sitios intentan suplantar algunas de las instancias de GoPhish encontradas por ZOLIM? Nos encantaría saber qué encuentran.
Hak5 Cloud C2
Otro caso que seguimos con atención es Hak5 Cloud C2. Hak5 desarrolla hardware y software para pruebas de penetración, especialmente en redes Wi-Fi. Su producto más conocido es la WiFi Pineapple, un dispositivo utilizado para realizar distintas pruebas y ataques sobre redes inalámbricas.
Cloud C2 permite dejar estos dispositivos instalados en un lugar y administrarlos remotamente, sin que el operador tenga que permanecer físicamente junto a ellos.
En los últimos snapshots comenzamos a detectar instancias de este framework en Brasil, México y Chile. Una de ellas, en Chile, parece utilizar una dirección IP dinámica.
Todavía no sabemos si este pequeño crecimiento responde a una tendencia real o a una coincidencia, pero es una señal que observamos con atención.
Cuatro bytes y muchas preguntas
Podríamos escribir un libro entero con las señales que ya contiene ZOLIM. Cada dirección IP es una oportunidad para investigar, aprender y entender mejor la superficie de las ciberamenazas que circulan por América Latina. Algunas pertenecerán a criminales, otras a empresas y otras a actores que apenas comenzamos a descubrir a partir de estos simples cuatro bytes. También quedan casos difíciles de explicar. Por ejemplo, una dirección IP del Gobierno de Venezuela que mantiene una instancia de Cobalt Strike desde que comenzamos a operar ZOLIM.
¿Qué onda con eso?
Les invitamos a explorar el dashboard, exportar los datos y perderse investigando alguna IP interesante. Como mínimo, se aprende un montón. Y siempre existe la posibilidad de encontrar algo que ayude a mejorar la seguridad digital de la sociedad civil en la región.
Nos encantaría leer o escuchar lo que encuentren.
ZOLIM es de código abierto y replicable. Si personas u organizaciones de otras regiones quieren reproducir la iniciativa, no duden en contactarnos.
Y, no siendo más, les dejamos con las anomalías de estos días :)
--[ Amenazas ]–
Sur Global - Tu conexión a internet podría estar trabajando para alguien más
Un informe de Gen Digital sobre redes de proxies residenciales muestra cómo celulares, computadores, televisores inteligentes y routers domésticos pueden terminar convertidos en puntos de salida para el tráfico de terceros, muchas veces sin que sus dueños lo entiendan realmente. Aunque el problema es global, las detecciones se concentran de forma desproporcionada en países del Sur Global como India, Vietnam, Brasil, Filipinas, Indonesia, Argentina y México. Esto probablemente responde a una mezcla de incentivos económicos —aplicaciones que pagan por compartir la conexión—, mayor uso de VPN gratuitas, equipos Android antiguos o desactualizados y la búsqueda de alternativas para ver televisión o acceder a contenidos gratis por internet. Las consecuencias pueden ir desde conexiones más lentas y mayor consumo de datos hasta bloqueos de la IP doméstica, alertas del proveedor e incluso la atribución inicial de fraudes, phishing u otras actividades abusivas a una persona que, en realidad, solo estaba prestando su conexión sin saberlo.
Campaña global de Cobalt strike
Investigadores identificaron SharkLoader, un nuevo loader utilizado para desplegar Cobalt Strike Beacon contra organizaciones en varios países, entre ellos Colombia. La campaña explota vulnerabilidades conocidas en servicios expuestos a Internet —como Exchange, SharePoint, Fortinet, Cisco IOS XE y Zimbra— y también distribuye instaladores falsos que imitaban software legítimo, como Cisco AnyConnect y Google Update. Entre las organizaciones afectadas aparecen entidades gubernamentales, organizaciones diplomáticas y empresas de desarrollo de software.
Brasil — Extensión falsa para Chrome que espía y roba criptomonedas desde el navegador
Investigadores documentaron una campaña que distribuye una falsa extensión llamada Google Notes para Chrome. El malware se instala fuera de la tienda oficial, modifica archivos del navegador para aparentar ser una extensión legítima y monitorea la actividad del navegador. Además de recopilar información y credenciales, detecta transferencias de criptomonedas y reemplaza la dirección de la billetera por otra controlada por los atacantes. La campaña tiene alcance global y Brasil aparece entre los países con mayor número de víctimas.
Gobiernos comprometidos usados para distribuir falsas filtraciones de OnlyFans
Miles de sitios web de gobiernos y universidades comprometidos están siendo usados para publicar páginas falsas con nombres de modelos de OnlyFans y aparecer en los resultados de Google. En lugar de mostrar contenido filtrado, las páginas redirigen a sitios de fraude, publicidad maliciosa o descargas sospechosas. Entre los dominios afectados aparecen instituciones de Colombia, Perú y otros países de la región. Un análisis de UpGuard identificó más de 2.000 dominios gubernamentales y educativos comprometidos en unos 80 países, un patrón que ha crecido desde 2020.
--[ Ransomware ]–
Brasil — Ransomware sigue presionando al sector salud en la región
Un reporte de Elytron ubica al sector salud entre los principales objetivos del ransomware en Brasil y señala que la mayoría de los ataques ya combinan robo de información con cifrado de sistemas. Entre los grupos más activos aparecen LockBit5 y The Gentlemen, actor que hemos seguido en varias ediciones de Anomalía por sus operaciones recientes en Brasil, Argentina y Guatemala. El informe también muestra cómo la extorsión se desplaza cada vez más hacia la publicación de información clínica y otros datos sensibles, incluso cuando las organizaciones logran recuperar sus sistemas.
--[ Malware ]–
EvilSoul Engine: un servicio MaaS brasileño para desplegar infostealers
Un reporte documenta EvilSoul Engine, una plataforma de Malware-as-a-Service (MaaS) utilizada para generar y distribuir infostealers personalizados. La infraestructura recuperada incluye un constructor de malware, un panel web de administración, servicios de empaquetado y mecanismos de distribución de las muestras generadas. Las variantes analizadas están orientadas al robo de credenciales de navegadores, cuentas de Discord, billeteras de criptomonedas y cookies de sesión. El informe también describe técnicas para evadir mecanismos de protección de Windows y Chrome, además de un modelo de distribución donde cada cliente recibe una muestra empaquetada de forma diferente, reduciendo la efectividad de las detecciones basadas únicamente en hashes.
--[ APT ]–
Brasil — Armored Likho incorpora código generado con IA en campañas contra gobierno y sector eléctrico
Kaspersky documentó una nueva campaña atribuida al grupo Armored Likho (también conocido como Eagle Werewolf), activo contra entidades gubernamentales y organizaciones del sector eléctrico en Brasil, Rusia y Kazajistán. Las infecciones comienzan con correos de spear phishing que distribuyen archivos maliciosos capaces de instalar BusySnake, un nuevo infostealer desarrollado en Python con funciones para robar credenciales, sesiones de Telegram, documentos, cookies y billeteras de criptomonedas. Uno de los elementos que destaca el reporte es que los loaders utilizados en la primera etapa contienen comentarios y estructuras que apuntan al uso de modelos de lenguaje para generar parte del código. Según Kaspersky, esto permite modificar rápidamente las cadenas de infección sin desarrollar manualmente nuevas variantes en cada campaña, mientras el resto de la operación mantiene herramientas de acceso remoto, túneles SSH y mecanismos de persistencia dirigidos a comprometer redes de alto valor.
--[ Cibercrimen ]–
Venezuela — También aparecieron campañas de fraude tras el terremoto
El terremoto en Venezuela no solo movilizó organizaciones de ayuda. En paralelo comenzaron a registrarse cientos de dominios relacionados con donaciones, asistencia y respuesta a la emergencia, entre los que también aparecieron sitios destinados a campañas de phishing, falsas organizaciones humanitarias y otros fraudes que aprovechan este tipo de eventos. Es un patrón que se repite cada vez que ocurre una emergencia de gran escala: mientras se organiza la respuesta humanitaria, también aparece infraestructura creada para explotar la urgencia y la solidaridad de quienes buscan información o quieren ayudar.
--[ Filtraciones ]–
Brasil — La ANPD abre proceso contra instituto de salud tras ataque que expuso datos de pacientes
El ransomware que afectó al Instituto Saúde e Cidadania (ISAC) en 2025 sigue dejando movimiento en Brasil. Ahora, la Autoridad Nacional de Protección de Datos abrió un procedimiento para revisar cómo la institución gestionó el incidente que comprometió información de unas 500 mil personas, entre ella historiales clínicos, diagnósticos y otros datos sensibles. La discusión no está sobre el grupo de ransomware, sino sobre la capacidad de la organización para demostrar qué pasó con la información, qué medidas tenía antes del incidente y cómo notificó a las personas afectadas.
En el seguimiento que hemos hecho a filtraciones y ataques contra organizaciones de la región durante los últimos meses, es la primera vez que vemos una acción de este tipo centrada en la responsabilidad de una entidad por no informar adecuadamente a las personas afectadas tras un incidente.
Argentina — Presunta filtración de la AFA apunta otra vez a credenciales robadas
Una base de datos atribuida a la Asociación del Fútbol Argentino (AFA) apareció publicada en foros cibercriminales pocos días después del partido entre Argentina y Egipto. Aunque el incidente todavía no fue confirmado por la federación, las muestras analizadas incluyen cuentas de acceso, correos y otra información que no había aparecido en filtraciones previas. Todo apunta a que el acceso pudo originarse a partir de credenciales robadas por infostealers y reutilizadas para ingresar a sistemas internos, una técnica que sigue apareciendo de forma recurrente en campañas contra organizaciones de la región.
--[ Exfiltradaz - Snapshot del 25/06/2026 al 10/07/2026 ]–
Durante este periodo se registraron 27 referencias a filtraciones vinculadas a 8 países de la región. Brasil continúa concentrando la mayor parte de la actividad observada, mientras México mantiene un crecimiento sostenido y Argentina aparece nuevamente con referencias a bases de datos y entidades públicas. En contraste, durante los últimos meses hemos visto disminuir las referencias asociadas a Colombia y Ecuador, una tendencia que se mantiene en este snapshot.
La actividad continúa distribuida principalmente en plataformas como darkweb, xforums y blackhatworld, donde circulan bases de datos, credenciales y publicaciones relacionadas con organismos públicos, educación, servicios financieros y campañas de ransomware. Durante este período también aparecen cinco nuevos actores en nuestro monitoreo: kienthuclive, leanesco, princess, revnnluneel y starblazer.
Más detalles de estas filtraciones en Exfiltradaz.