{"id":144374,"date":"2025-07-25T08:14:02","date_gmt":"2025-07-25T15:14:02","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=144374"},"modified":"2025-08-14T11:34:45","modified_gmt":"2025-08-14T18:34:45","slug":"muddled-libra","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/muddled-libra\/","title":{"rendered":"Evaluaci\u00f3n de amenazas de Muddled Libra: mayor alcance, mayor rapidez, mayor impacto"},"content":{"rendered":"

<\/a>Resumen ejecutivo<\/h2>\n

Unit\u00a042 ha rastreado y respondido a varias tandas de operaciones de intrusi\u00f3n llevadas a cabo por el grupo de ciberdelincuentes al que rastreamos como Muddled Libra (tambi\u00e9n conocido como Scattered Spider, UNC3944) en diferentes sectores en los \u00faltimos meses. En este art\u00edculo se incluyen observaciones sobre Muddled Libra en lo que va de 2025, basadas en nuestra experiencia en respuesta ante incidentes. Compartimos recomendaciones defensivas que hemos visto utilizar con \u00e9xito por parte de organizaciones contra esta amenaza. Tambi\u00e9n incluimos lo que probablemente sea el siguiente paso de este prol\u00edfico adversario.<\/p>\n

La \u00faltima actividad de Muddled Libra se produce como consecuencia de una serie de operaciones policiales internacionales destinadas a desarticular el grupo terrorista a mediados y finales de 2024, entre las que se incluyen cargos federales<\/a> presentados contra cinco presuntos miembros en noviembre de 2024. Desde entonces, Muddled Libra regres\u00f3 con capacidades mejoradas, desarrollando sus t\u00e9cnicas para tener un mayor alcance, mayor rapidez y mayor impacto.<\/p>\n

Los clientes de Palo Alto Networks gozan de una mayor protecci\u00f3n frente a las amenazas descritas en este art\u00edculo a trav\u00e9s de una arquitectura de seguridad moderna construida en torno a Cortex XSIAM<\/a> en conjunto con Cortex XDR<\/a>. Los servicios de seguridad entregados en la nube<\/a> Advanced URL Filtering<\/a> y Seguridad de DNS<\/a> pueden servir de protecci\u00f3n contra la infraestructura de mando y control (C2), mientras que App-ID<\/a> puede limitar los servicios de anonimizaci\u00f3n que pueden conectarse a la red.<\/p>\n

Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n\n\n\n
Temas relacionados con Unit\u00a042<\/b><\/td>\nMuddled Libra<\/b><\/a>\u00a0 (Scattered Spider<\/a><\/strong>, Scatter Swine<\/strong><\/a>), 0ktapus<\/strong><\/a>, Social Engineering<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>Descripci\u00f3n general de la amenaza de Muddled Libra<\/h2>\n

Tal y como se documenta en publicaciones anteriores de Unit\u00a042 sobre Muddled Libra<\/a>, este grupo es muy h\u00e1bil en el uso de diversas t\u00e1cticas de ingenier\u00eda social (por ejemplo, smishing, vishing) para obtener acceso inicial a las organizaciones objetivo. Estas actividades pueden incluir el ataque a centros de llamadas operados por las propias v\u00edctimas, as\u00ed como a aquellos tercerizados a firmas externas (por ejemplo, BPO y MSP), lo que ampl\u00eda el rango de posibles objetivos del grupo.<\/p>\n

Los atacantes de Muddled Libra se han convertido en expertos en explotar la psicolog\u00eda humana al hacerse pasar por empleados para intentar restablecer contrase\u00f1as y la autenticaci\u00f3n multifactor (MFA). En la Figura\u00a01 se detalla la composici\u00f3n de Muddled Libra en t\u00e9rminos de datos demogr\u00e1ficos, t\u00e9cnicas avanzadas, selecci\u00f3n de v\u00edctimas y acciones sobre los objetivos.<\/p>\n

\"Cuatro\u00a0paneles
Figura\u00a01. Perfil de amenaza de Muddled Libra.<\/figcaption><\/figure>\n

Aunque sus t\u00e9cnicas avanzadas han evolucionado con el tiempo, Muddled Libra sigue minimizando el uso de malware en toda la cadena de ataque. Siempre que sea posible, prefieren utilizar los propios activos de la v\u00edctima en su contra.<\/p>\n

<\/a>Cronolog\u00eda de la victimolog\u00eda: de mayor alcance<\/h2>\n

En 2025, hemos observado actividad intrusiva de Muddled Libra en los sectores gubernamental, minorista, de seguros y de aviaci\u00f3n, como se muestra a continuaci\u00f3n en la Figura\u00a02. Este grupo ha demostrado una tendencia a atacar a muchas organizaciones del mismo sector en un tiempo relativamente corto. Sin embargo, los atacantes no siguen estrictamente este patr\u00f3n y han atacado simult\u00e1neamente a organizaciones que operan en diferentes sectores.<\/p>\n

\"Cronolog\u00eda
Figura 2. Cronolog\u00eda de los objetivos del sector Muddled Libra en 2025.<\/figcaption><\/figure>\n

<\/a>La estrategia de Muddled Libra: mayor rapidez<\/h2>\n

En lo que va de 2025, el cambio de t\u00e1cticas, dejando de lado el smishing y el phishing en favor de una interacci\u00f3n humana m\u00e1s directa, junto con la adopci\u00f3n del modelo de ransomware como servicio (RaaS), ha reducido dr\u00e1sticamente el tiempo que este actor permanece dentro del entorno. El promedio de tiempo transcurrido desde el acceso inicial hasta la contenci\u00f3n fue de 1\u00a0d\u00eda, 8\u00a0horas y 43\u00a0minutos.<\/p>\n

Desde al menos abril de 2025, el grupo se ha asociado con el programa de RaaS DragonForce, operado por el grupo que identificamos como Slippery Scorpius, para extorsionar a sus v\u00edctimas. En un caso, observamos a los atacantes exfiltrar m\u00e1s de 100\u00a0GB de datos durante un per\u00edodo de dos\u00a0d\u00edas, seguido de la implementaci\u00f3n del ransomware DragonForce para el cifrado.<\/p>\n

En la Figura\u00a03 se explica que el grupo pudo pasar de tener acceso inicial a trav\u00e9s de la ingenier\u00eda social de un empleado del servicio de asistencia a aumentar sus privilegios y conseguir derechos de administrador de dominio en unos 40\u00a0minutos, como ya se mencion\u00f3 en nuestro Informe global de respuesta ante incidentes de 2025<\/a>.<\/p>\n

\"Diagrama
Figura 3. Velocidad de la intrusi\u00f3n de Muddled Libra desde el acceso inicial hasta la obtenci\u00f3n de privilegios de administrador de dominio.<\/figcaption><\/figure>\n

<\/a>Evoluci\u00f3n de Muddled Libra: mayor impacto<\/h2>\n

En la Figura\u00a04 se muestran los cambios que hemos observado en las t\u00e9cnicas avanzadas de Muddled Libra que contribuyen a que el grupo tenga un mayor impacto.<\/p>\n

\"Diagrama
Figura 4. Evoluci\u00f3n de las t\u00e9cnicas avanzadas de Muddled Libra.<\/figcaption><\/figure>\n

A continuaci\u00f3n, se detallan algunas de nuestras observaciones m\u00e1s destacadas.<\/p>\n

<\/a>Acceso inicial<\/h3>\n

(T1566.004<\/a>)<\/p>\n

Cambio hacia el phishing por voz (tambi\u00e9n conocido como vishing) como t\u00e9cnica principal de ingenier\u00eda social para manipular al personal del servicio de asistencia inform\u00e1tica y lograr que restablezcan credenciales y la MFA del personal que los atacantes intentan imitar; m\u00e1s del 70\u00a0% de los n\u00fameros utilizados por este grupo en 2025 emplearon Google\u00a0Voice como servicio de Voz sobre Protocolo de Internet (VoIP).<\/p>\n

A modo de ejemplo, Muddled Libra suele llamar al servicio de asistencia de una organizaci\u00f3n haci\u00e9ndose pasar por un usuario que no puede acceder a su dispositivo MFA. Aprovechando la tendencia natural de los empleados del servicio de asistencia de querer ayudar, los actores de amenazas los manipulan para que ignoren los controles de autenticaci\u00f3n de la organizaci\u00f3n y restablezcan tanto las credenciales del usuario final como el m\u00e9todo MFA. Otro ejemplo consiste en llamar directamente a la v\u00edctima y hacerse pasar por el servicio de asistencia de la organizaci\u00f3n. En este caso, los actores de amenazas manipulan a la v\u00edctima para que inicie o descargue un software de gesti\u00f3n remota y, a continuaci\u00f3n, proceden con el ataque desde el escritorio de la v\u00edctima.<\/p>\n

<\/a>Movimiento lateral y persistente<\/h3>\n

Utilizar diversas herramientas de supervisi\u00f3n y gesti\u00f3n remotas (RMM) que permitan volver a entrar si se descubre a los actores de amenazas. Los ataques frecuentes a las herramientas de gesti\u00f3n de sistemas existentes e incluso a las plataformas de detecci\u00f3n y respuesta en los endpoints (EDR), adem\u00e1s de los hipervisores y las herramientas de gesti\u00f3n de la nube.<\/p>\n

<\/a>Acceso a credenciales<\/h3>\n

(T1003.003<\/a>, T1555.005<\/a>)<\/p>\n

Volcado de credenciales de almacenes de contrase\u00f1as, incluido NTDS.dit, para lograr el almacenamiento completo de contrase\u00f1as de la empresa y comprometer Active Directory, respectivamente.<\/p>\n

<\/a>Colecci\u00f3n<\/h3>\n

(T1114.002<\/a>, T1213.002<\/a>)<\/p>\n

Acceder a las instancias de Microsoft\u00a0365 y SharePoint de la v\u00edctima como medio para llevar a cabo un reconocimiento interno.<\/p>\n

<\/a>Exfiltraci\u00f3n<\/h3>\n

(T1567.002<\/a>)<\/p>\n

Transferencia de datos robados a servicios de almacenamiento en la nube, lo que en algunos casos incluye el env\u00edo directo desde los entornos de las v\u00edctimas.<\/p>\n

<\/a>La historia de dos\u00a0v\u00edctimas: pol\u00edticas de acceso condicional<\/h2>\n

Las organizaciones que utilizan Microsoft Entra ID para la gesti\u00f3n de acceso e identidad (IAM) basada en la nube pueden interrumpir significativamente las intrusiones de Muddled Libra mediante la implementaci\u00f3n adecuada de pol\u00edticas de acceso condicional (CAP).<\/p>\n

Como parte de la actividad de amenazas de Muddled Libra, hemos observado una diferencia significativa en la capacidad de las organizaciones para frenar a los atacantes despu\u00e9s de la intrusi\u00f3n y permitir acciones de contenci\u00f3n m\u00e1s eficaces cuando se implementan las CAP, lo que limita el impacto general. En los casos en que las v\u00edctimas no hab\u00edan implementado las CAP o estaban configuradas de forma incorrecta, Muddled Libra pod\u00eda acelerar su ritmo operativo para implementar ransomware (el m\u00e1s reciente, DragonForce) con el fin de extorsionar el pago.<\/p>\n

Algunos ejemplos espec\u00edficos de CAP que lograron ralentizar Muddled Libra incluyen lo siguiente:<\/p>\n