{"id":146378,"date":"2025-06-24T07:03:41","date_gmt":"2025-06-24T14:03:41","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=146378"},"modified":"2025-07-11T07:57:31","modified_gmt":"2025-07-11T14:57:31","slug":"cybercriminals-attack-financial-sector-across-africa","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/","title":{"rendered":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano"},"content":{"rendered":"<h2><a id=\"post-146378-_heading=h.5lnjxiw3udap\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los investigadores de Unit 42 llevan vigilando una serie de ataques dirigidos a organizaciones financieras de toda \u00c1frica. Consideramos que el actor de las amenazas puede estar obteniendo acceso inicial a estas instituciones financieras y luego vendi\u00e9ndolo a otros en la web oscura. Desde al menos julio de 2023, un grupo de actividad que conocemos como CL-CRI-1014 se ha centrado en este sector.<\/p>\n<p>Los atacantes emplean un libro de estrategias coherente, utilizando una combinaci\u00f3n de herramientas de c\u00f3digo abierto y de acceso p\u00fablico para establecer su marco de ataque. Tambi\u00e9n crean t\u00faneles para la comunicaci\u00f3n en red y realizan la administraci\u00f3n remota.<\/p>\n<p>Estas herramientas incluyen:<\/p>\n<ul>\n<li>PoshC2: Un marco de ataque de c\u00f3digo abierto<\/li>\n<li>Chisel: Una utilidad de tunelizaci\u00f3n de c\u00f3digo abierto<\/li>\n<li>Classroom Spy: Una herramienta de administraci\u00f3n remota<\/li>\n<\/ul>\n<p>El actor de amenaza copia firmas de aplicaciones leg\u00edtimas para <a href=\"https:\/\/axelarator.github.io\/posts\/codesigningcerts\/\" target=\"_blank\" rel=\"noopener\">falsificar firmas de archivos<\/a>, para disfrazar su conjunto de herramientas y enmascarar sus actividades maliciosas. Los actores de amenazas a menudo falsifican productos leg\u00edtimos con fines maliciosos. Esto no implica una vulnerabilidad en los productos o servicios de la organizaci\u00f3n.<\/p>\n<p>Sospechamos que los actores de la amenaza que est\u00e1n detr\u00e1s de esta actividad act\u00faan como intermediarios de acceso inicial. Evaluamos que su objetivo es crear puntos de apoyo en las instituciones financieras y vender este acceso en los mercados de la Darknet. Un agente de acceso inicial es un actor de amenazas especializado en obtener acceso inicial a redes y vender ese acceso a otros actores de amenazas.<\/p>\n<p>Al compartir este an\u00e1lisis, pretendemos proporcionar a los profesionales de la ciberseguridad de los sectores financieros de alto riesgo y de otros sectores los conocimientos necesarios para detectar y mitigar esta amenaza.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los IoC compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifican como maliciosos los dominios y URL conocidos asociados a esta actividad.<\/li>\n<li>El Servicio de web profunda, Deep Web, y web oscura, Dark Web, de Unit 42 ayuda a obtener visibilidad de los riesgos desconocidos y emergentes del contenido publicado en la web profunda y la web oscura.<\/li>\n<\/ul>\n<p>Para obtener informaci\u00f3n sobre \u00e9sta y otras formas en que la Unit 42 puede ayudar, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de Respuesta a incidentes de Unit 42<\/a>.<\/p>\n<table style=\"width: 90.1191%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit 42<\/b><\/td>\n<td style=\"width: 183.032%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/containers-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Contenedores<\/b><\/a><b>, <\/b><a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/cloud\/\" target=\"_blank\" rel=\"noopener\"><b>nube<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-146378-_heading=h.h0zc8eepg38\"><\/a>An\u00e1lisis t\u00e9cnico del libro de estrategias de CL-CRI-1014<\/h2>\n<p>Los autores de la amenaza CL-CRI-1014 utilizan sistem\u00e1ticamente un conjunto espec\u00edfico de herramientas, como parte de su libro de estrategias, para atacar al sector financiero en \u00c1frica. Este libro de estrategias parece constar de una combinaci\u00f3n de herramientas de c\u00f3digo abierto y gratuitas como PoshC2, Chisel y Classroom Spy, que se anuncian como herramientas de pruebas de penetraci\u00f3n y administraci\u00f3n remota.<\/p>\n<p>Para moverse lateralmente dentro del entorno comprometido e implementar estas herramientas, los atacantes utilizaron varias t\u00e9cnicas, incluidas:<\/p>\n<ul>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">Creaci\u00f3n de servicios remotos<\/a><\/li>\n<li>Ejecuci\u00f3n mediante el Modelo de objetos de componentes distribuidos (<a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/003\/\" target=\"_blank\" rel=\"noopener\">DCOM<\/a>)<\/li>\n<li>Uso de la herramienta <a href=\"https:\/\/attack.mitre.org\/software\/S0029\/\" target=\"_blank\" rel=\"noopener\">PsExec<\/a> leg\u00edtima<\/li>\n<\/ul>\n<p>La figura 1 ilustra c\u00f3mo los actores de la amenaza utilizaron estas herramientas para propagar el malware a otras m\u00e1quinas del entorno comprometido y entregar cargas \u00fatiles adicionales. Las siguientes secciones detallan c\u00f3mo los atacantes utilizaron cada herramienta.<\/p>\n<figure id=\"attachment_146471\" aria-describedby=\"caption-attachment-146471\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146471 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/Image-ES-La_Threat-actor-targets-banks-in-Africa-diagram-748x440.png\" alt=\"Diagrama que ilustra un escenario de ataque a la ciberseguridad. Una m\u00e1quina controlada por un atacante utiliza PsExec y Chisel para crear una conexi\u00f3n remota y saltarse la seguridad del cortafuegos, respectivamente. Apunta a la M\u00e1quina A, entregando cargas \u00fatiles para el reconocimiento y la ejecuci\u00f3n de ataques posteriores. Estos incluyen la entrega y ejecuci\u00f3n de malware en la m\u00e1quina B a trav\u00e9s de Chisel, utilizando PsExec y PowerShell, en \u00faltima instancia, instalando Classroom Spy.\" width=\"1000\" height=\"588\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/Image-ES-La_Threat-actor-targets-banks-in-Africa-diagram-748x440.png 748w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/Image-ES-La_Threat-actor-targets-banks-in-Africa-diagram-1190x700.png 1190w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/Image-ES-La_Threat-actor-targets-banks-in-Africa-diagram-768x452.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/Image-ES-La_Threat-actor-targets-banks-in-Africa-diagram.png 1209w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146471\" class=\"wp-caption-text\">Figura 1. C\u00f3mo el actor de la amenaza utiliz\u00f3 PsExec, Chisel, PoshC2 y Classroom Spy como parte de su libro de estrategias de ataque.<\/figcaption><\/figure>\n<h3><a id=\"post-146378-_heading=h.b7d6v8vp4faz\"><\/a><strong>De agente a esp\u00eda <\/strong><\/h3>\n<p>Nuestro an\u00e1lisis indica que en campa\u00f1as anteriores, los atacantes utilizaron principalmente <a href=\"https:\/\/github.com\/Ylianst\/MeshAgent\" target=\"_blank\" rel=\"noopener\">MeshAgent<\/a> como su principal carga \u00fatil para controlar las m\u00e1quinas comprometidas. MeshAgent es una herramienta de gesti\u00f3n remota de dispositivos de c\u00f3digo abierto.<\/p>\n<p>Los ataques recientes de este actor de amenazas han mostrado un ligero cambio en el uso de las herramientas, sustituyendo MeshAgent por una herramienta de administraci\u00f3n remota llamada Classroom Spy. Classroom Spy se comercializa como software de supervisi\u00f3n de ordenadores para colegios. Dispone de versiones gratuitas y comerciales online para m\u00faltiples plataformas, como Windows, macOS, Linux, iOS y Android.<\/p>\n<p>La figura 2 muestra c\u00f3mo los atacantes utilizaron scripts en PowerShell (como <span style=\"font-family: 'courier new', courier, monospace;\">slr.ps1, sqlx.ps1, sav.ps1 y cfg.ps1<\/span>) para implementar e instalar Classroom Spy en los sistemas objetivo. Estos scripts de PowerShell extrajeron los archivos de Classroom Spy de un archivo ZIP e instalaron el software como un servicio.<\/p>\n<figure id=\"attachment_146390\" aria-describedby=\"caption-attachment-146390\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146390 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2.png\" alt=\"Diagrama de flujo del proceso que muestra la secuencia de instalaci\u00f3n y ejecuci\u00f3n de los pasos intermedios de Classroom Spy y los archivos asociados a la carga del sistema Microsoft Windows, y un icono de alerta que indica una advertencia o error en el paso de Classroom Spy.\" width=\"1000\" height=\"231\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2-786x182.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2-1920x444.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2-768x178.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-693556-146378-2-1536x356.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146390\" class=\"wp-caption-text\">Figura 2. Instalaci\u00f3n y ejecuci\u00f3n de Classroom Spy.<\/figcaption><\/figure>\n<p>Es probable que el autor de la amenaza cambiara los nombres y las rutas de instalaci\u00f3n de los binarios de Classroom Spy para ocultar el uso de esta herramienta en los entornos infectados. La figura 3 muestra c\u00f3mo el atacante puede renombrar estos binarios en la pesta\u00f1a \"Stealth Options\" (Opciones de baja detectabilidad).<\/p>\n<p>Durante nuestra investigaci\u00f3n, encontramos binarios de Classroom Spy con nombres como <span style=\"font-family: 'courier new', courier, monospace;\">systemsvc.exe, vm3dservice.exe<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">vmtoolsd.exe<\/span>.<\/p>\n<figure id=\"attachment_146401\" aria-describedby=\"caption-attachment-146401\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146401 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-696642-146378-3.png\" alt=\"Captura de pantalla de una ventana de Configuraci\u00f3n del agente con opciones para establecer o revertir nombres de servicios del agente y procesos relacionados con el agente NLCS y sus archivos EXE relacionados. \" width=\"1000\" height=\"385\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-696642-146378-3.png 1414w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-696642-146378-3-786x302.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-696642-146378-3-768x295.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146401\" class=\"wp-caption-text\">Figura 3. Opciones de baja detectabilidad en la instalaci\u00f3n del agente de Classroom Spy.<\/figcaption><\/figure>\n<p>Classroom Spy incluye las siguientes capacidades:<\/p>\n<ul>\n<li>Supervisi\u00f3n en directo de la pantalla del ordenador (incluida la realizaci\u00f3n de capturas de pantalla)<\/li>\n<li>Control del rat\u00f3n y el teclado<\/li>\n<li>Recopilaci\u00f3n e implementaci\u00f3n de archivos en y desde las m\u00e1quinas<\/li>\n<li>Registro de las p\u00e1ginas web visitadas<\/li>\n<li>Ataque de keylogger<\/li>\n<li>Grabaci\u00f3n de audio<\/li>\n<li>Acceso a la c\u00e1mara<\/li>\n<li>Apertura de un terminal<\/li>\n<li>Recopilaci\u00f3n de informaci\u00f3n del sistema<\/li>\n<li>Supervisi\u00f3n y bloqueo de aplicaciones<\/li>\n<\/ul>\n<p>El panel de control de Classroom Spy se muestra en la Figura 4.<\/p>\n<figure id=\"attachment_146412\" aria-describedby=\"caption-attachment-146412\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146412 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4.png\" alt=\"Captura de pantalla del panel de control de Classroom Spy. Hay varias filas de botones con iconos y las opciones incluyen elementos como Reiniciar, En espera, Pantalla en blanco y muchos otros. Tambi\u00e9n hay opciones para enviar pulsaciones de teclas o abrir un documento o iniciar el programa. \" width=\"1000\" height=\"507\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4-786x399.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4-1380x700.png 1380w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4-768x390.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-699414-146378-4-1536x779.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146412\" class=\"wp-caption-text\">Figura 4. Panel de control de Classroom Spy.<\/figcaption><\/figure>\n<h3><a id=\"post-146378-_heading=h.a4w92rrkt06d\"><\/a><strong>Detr\u00e1s de la m\u00e1scara de los marcos falsificados<\/strong><\/h3>\n<p>El actor de la amenaza camufl\u00f3 las herramientas utilizadas en estas operaciones como procesos leg\u00edtimos. Esto inclu\u00eda crear un icono, una firma de archivo, un nombre de proceso y una ruta id\u00e9nticos a los que utilizar\u00eda el archivo leg\u00edtimo.<\/p>\n<p>El actor de la amenaza utiliz\u00f3 este m\u00e9todo para la mayor\u00eda de las herramientas que implement\u00f3. La Figura 5 muestra un ejemplo de ejecutables de Chisel y PoshC2 enmascarados para parecerse a productos de Microsoft, Cortex y VMware.<\/p>\n<figure id=\"attachment_146423\" aria-describedby=\"caption-attachment-146423\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146423 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5.png\" alt=\"Tres certificados digitales expuestos uno al lado del otro. Estos se enmascaran como Microsoft, Cortex y VMWare. \" width=\"1000\" height=\"276\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5-786x217.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5-1920x531.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5-768x212.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-703393-146378-5-1536x425.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146423\" class=\"wp-caption-text\">Figura 5. Ejecutables de Chisel y PoshC2 enmascarados como productos de Microsoft, Cortex y VMware.<\/figcaption><\/figure>\n<p>Tenga en cuenta que el nombre y el logotipo mostrados son obra de un actor de amenazas que intenta hacerse pasar por una organizaci\u00f3n leg\u00edtima y no representan una afiliaci\u00f3n real con dicha organizaci\u00f3n. La suplantaci\u00f3n del actor de la amenaza no implica una vulnerabilidad en los productos o servicios de la organizaci\u00f3n leg\u00edtima.<\/p>\n<h3><a id=\"post-146378-_heading=h.nmlk2ivnrpfo\"><\/a><strong>Carga \u00fatil, proxy y persistencia de Posh <\/strong><\/h3>\n<p><a href=\"https:\/\/poshc2.readthedocs.io\/en\/latest\/index.html\" target=\"_blank\" rel=\"noopener\">PoshC2<\/a> es un marco de ataque de c\u00f3digo abierto utilizado tanto por probadores de penetraci\u00f3n como por actores maliciosos. Esta era una herramienta clave que los atacantes utilizaban para ejecutar comandos y ganar terreno en los entornos comprometidos. El marco PoshC2 es compatible con la generaci\u00f3n de diferentes tipos de implantes (PowerShell, C#.NET y Python) y viene precargado con varios m\u00f3dulos de ataque.<\/p>\n<h4><a id=\"post-146378-_heading=h.s4yt5vxrsu2\"><\/a>Cargas \u00fatiles de PoshC2<\/h4>\n<p>Aunque la mayor\u00eda de los implantes observados en este grupo de actividad estaban escritos en C#, tambi\u00e9n vimos algunos implantes escritos en PowerShell. Como parte de los ataques, el actor de la amenaza empaquet\u00f3 los implantes C# PoshC2 con un empaquetador escrito en el lenguaje de programaci\u00f3n <a href=\"https:\/\/nim-lang.org\/\" target=\"_blank\" rel=\"noopener\">Nim<\/a>. Este empaquetador desempaquet\u00f3 el binario PoshC2 en la memoria y lo carg\u00f3 para su ejecuci\u00f3n.<\/p>\n<p>El empaquetador que el atacante utiliz\u00f3 en algunas cargas \u00fatiles no ejecuta el implante PoshC2 a menos que la m\u00e1quina anfitriona forme parte de un dominio de Active Directory. Es probable que este comportamiento sirva como mecanismo antian\u00e1lisis.<\/p>\n<h4><a id=\"post-146378-_heading=h.53fu7iaajzfk\"><\/a>PoshC2 como proxy<\/h4>\n<p>El autor de la amenaza rob\u00f3 las credenciales de usuario de las redes infectadas y las utiliz\u00f3 para configurar un proxy. PoshC2 puede utilizar un proxy para comunicarse con un servidor de comando y control (C2), y parece que el actor de la amenaza adapt\u00f3 algunos de los implantes de PoshC2 espec\u00edficamente para el entorno objetivo. Algunos de los implantes observados implementaron la funci\u00f3n de proxy utilizando una direcci\u00f3n IP interna codificada y credenciales robadas del entorno infectado, como se muestra en la Figura 6.<\/p>\n<figure id=\"attachment_146434\" aria-describedby=\"caption-attachment-146434\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146434 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-706707-146378-6.png\" alt=\"Una captura de pantalla del editor de c\u00f3digo Visual Studio que muestra un fragmento de c\u00f3digo de programaci\u00f3n C# con texto borroso en dos l\u00edneas, resaltado por un rect\u00e1ngulo rojo.\" width=\"1000\" height=\"544\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-706707-146378-6.png 1171w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-706707-146378-6-786x428.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-706707-146378-6-768x418.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146434\" class=\"wp-caption-text\">Figura 6. Fragmento de c\u00f3digo de un ejecutable PoshC2 con nombre de usuario y contrase\u00f1a codificados.<\/figcaption><\/figure>\n<h4><a id=\"post-146378-_heading=h.4hui3v2t00pb\"><\/a>Mecanismo de persistencia de PoshC2<\/h4>\n<p>El actor de la amenaza utiliz\u00f3 m\u00faltiples m\u00e9todos en diferentes m\u00e1quinas para establecer la persistencia para PoshC2. Estos m\u00e9todos inclu\u00edan:<\/p>\n<ul>\n<li>Crear un servicio<\/li>\n<li>Guardar un acceso directo (en forma de archivo LNK) a la herramienta en la carpeta\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Startup<\/span><\/li>\n<li>Usar una tarea programada (como se muestra en la Figura 7)<\/li>\n<\/ul>\n<p>Los atacantes conscientes de los productos de seguridad instalados en los dispositivos infectados, disfraz\u00f3 el malware como un archivo llamado <span style=\"font-family: 'courier new', courier, monospace;\">CortexUpdater.exe<\/span>, y la tarea programada como <span style=\"font-family: 'courier new', courier, monospace;\">Palo Alto Cortex Services<\/span>.<\/p>\n<figure id=\"attachment_146445\" aria-describedby=\"caption-attachment-146445\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146445 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-710867-146378-7.png\" alt=\"Diagrama en Cortex XDR que muestra una secuencia de cuatro procesos inform\u00e1ticos. Aparece un icono de alerta junto a svchost.exe. A continuaci\u00f3n se muestra un script de l\u00ednea de comandos relacionado con los servicios 'Palo Alto Cortex Services' con detalles de programaci\u00f3n y ejecuci\u00f3n.\" width=\"1000\" height=\"362\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-710867-146378-7.png 1696w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-710867-146378-7-786x285.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-710867-146378-7-768x278.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-710867-146378-7-1536x556.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146445\" class=\"wp-caption-text\">Figura 7. Los atacantes crean una tarea programada para PoshC2 disfrazada como un archivo llamado <span style=\"font-family: 'courier new', courier, monospace;\">CortexUpdater.exe<\/span>.<\/figcaption><\/figure>\n<h3><a id=\"post-146378-_heading=h.m0xqagaep6cc\"><\/a><strong>Uso de Chisel para crear un t\u00fanel<\/strong><\/h3>\n<p>Para ocultar sus operaciones dentro de las redes infectadas, los atacantes desplegaron una herramienta llamada Chisel. Al parecer, los atacantes utilizaron Chisel como proxy para eludir controles de red como cortafuegos.<\/p>\n<p><a href=\"https:\/\/github.com\/jpillora\/chisel\" target=\"_blank\" rel=\"noopener\">Chisel<\/a> es una utilidad de tunelizaci\u00f3n de c\u00f3digo abierto basada en una arquitectura cliente-servidor. Cuando se ejecuta en la m\u00e1quina de la v\u00edctima, el cliente de Chisel se conecta a un servidor de Chisel operado por el atacante. La m\u00e1quina de la v\u00edctima funciona entonces como un proxy, reenviando la comunicaci\u00f3n de red desde el servidor a otras m\u00e1quinas remotas.<\/p>\n<p>La Figura 8 muestra un implante PoshC2 ejecutando Chisel como proxy SOCKS. Un proxy SOCKS es un servidor que utiliza el protocolo <a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\">SOCKS<\/a> para reenviar el tr\u00e1fico de una m\u00e1quina a un servidor remoto, ocultando as\u00ed la direcci\u00f3n IP de la m\u00e1quina anfitriona.<\/p>\n<figure id=\"attachment_146456\" aria-describedby=\"caption-attachment-146456\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-146456 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8.png\" alt=\"Diagrama de flujo en Cortex XDR que representa la secuencia de un ataque de ciberseguridad en el que intervienen varios programas y componentes inform\u00e1ticos. Presenta elementos gr\u00e1ficos como c\u00edrculos y l\u00edneas de conexi\u00f3n, junto con nombres de programas espec\u00edficos, con detalles adicionales como rutas URL y par\u00e1metros.\" width=\"1000\" height=\"581\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8-758x440.png 758w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8-1206x700.png 1206w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8-768x446.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-713990-146378-8-1536x892.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-146456\" class=\"wp-caption-text\">Figura 8. El implante PoshC2 ejecuta Chisel como un proxy SOCKS.<\/figcaption><\/figure>\n<h2><a id=\"post-146378-_heading=h.dx0tjnghn221\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Este informe destaca el conjunto de actividades CL-CRI-1014 dirigidas a m\u00faltiples instituciones financieras de toda \u00c1frica. Consideramos que el objetivo de esta actividad es servir como intermediario de acceso inicial, manteniendo y vendiendo acceso a redes comprometidas.<\/p>\n<p>El libro de estrategias de CL-CRI-1014 consiste en una combinaci\u00f3n de herramientas de c\u00f3digo abierto y de acceso p\u00fablico. El atacante emple\u00f3 varios m\u00e9todos para evadir la detecci\u00f3n, incluidos:<\/p>\n<ul>\n<li>El uso de empaquetadores<\/li>\n<li>La firma de sus herramientas con firmas robadas<\/li>\n<li>El uso de iconos de productos leg\u00edtimos<\/li>\n<\/ul>\n<p>Animamos a las organizaciones a incorporar las conclusiones de esta investigaci\u00f3n en sus esfuerzos de defensa y detecci\u00f3n de amenazas para detectar y mitigar con mayor eficacia este tipo de amenazas.<\/p>\n<h3><a id=\"post-146378-_heading=h.n7shegskuska\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los IoC compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifican como maliciosos los dominios y URL conocidos asociados a esta actividad.<\/li>\n<li>El Servicio de web profunda y web oscura de Unit 42 ayuda a obtener visibilidad de los riesgos desconocidos y emergentes del contenido publicado en la web profunda y la web oscura, informa a las organizaciones sobre la exposici\u00f3n de informaci\u00f3n sensible y ayuda a reducir el tiempo entre la detecci\u00f3n y la respuesta.<\/li>\n<\/ul>\n<p>Para obtener informaci\u00f3n sobre \u00e9sta y otras formas en que la Unit 42 puede ayudar, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> Equipo de respuesta a incidentes de Unit 42<\/a> o llame a:<\/p>\n<ul>\n<li>Norteam\u00e9rica: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino\u00a0Unido: (+44)\u00a020\u00a03743\u00a03660<\/li>\n<li>Europa y Oriente Medio: +31 20 299 3130<\/li>\n<li>Asia: +65 6983 8730<\/li>\n<li>Jap\u00f3n: (+81)\u00a050\u00a01790\u00a00200<\/li>\n<li>Australia: +61 2 4062 7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar r\u00e1pidamente protecciones a sus clientes y desbaratar sistem\u00e1ticamente a los ciberagentes malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-146378-_heading=h.4oukc5w9ursv\"><\/a>Indicadores de compromiso<\/h2>\n<h3>Hashes SHA256 para PoshC2 (empaquetado)<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3bbe3f42857bbf74424ff4d044027b9c43d3386371decf905a4a1037ad468e2c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9149ea94f27b7b239156dc62366ee0f85b0497e1a4c6e265c37bedd9a7efc07f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a41e7a78f0a2c360db5834b4603670c12308ff2b0a9b6aeaa398eeac6d3b3190<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0bb7a473d2b2a3617ca12758c6fbb4e674243daa45c321d53b70df95130e23bc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">14b2c620dc691bf6390aef15965c9587a37ea3d992260f0cbd643a5902f0c65b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9d9cb28b5938529893ad4156c34c36955aab79c455517796172c4c642b7b4699<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e14b07b67f1a54b02fc6b65fdba3c9e41130f283bfea459afa6bee763d3756f8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a61092a13155ec8cb2b9cdf2796a1a2a230cfadb3c1fd923443624ec86cb7044<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7e0aa32565167267bce5f9508235f1dacbf78a79b44b852c25d83ed093672ed9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d81a014332e322ce356a0e2ed11cffddd37148b907f9fdf5db7024e192ed4b70<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d528bcbfef874f19e11bdc5581c47f482c93ff094812b8ee56ea602e2e239b56<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f1919abe7364f64c75a26cff78c3fcc42e5835685301da26b6f73a6029912072<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">633f90a3125d0668d3aac564ae5b311416f7576a0a48be4a42d21557f43d2b4f<\/span><\/li>\n<\/ul>\n<h3>Hashes SHA256 para Chisel<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc8b4f4af2e31f715dc1eb173e53e696d89dd10162a27ff5504c993864d36f2f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9a84929e3d254f189cb334764c9b49571cafcd97a93e627f0502c8a9c303c9a4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5e4511905484a6dc531fa8f32e0310a8378839048fe6acfeaf4dda2396184997<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e788f829b1a0141a488afb5f82b94f13035623609ca3b83f0c6985919cd9e83b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2ce8653c59686833272b23cc30235dae915207bf9cdf1d08f6a3348fb3a3e5c1<\/span><\/li>\n<\/ul>\n<h3>Hashes SHA256 de los archivos Classroom Spy<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">831d98404ce5e3e5499b558bb653510c0e9407e4cb2f54157503a0842317a363<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f5614dc9f91659fb956fd18a5b81794bd1e0a0de874b705e11791ae74bb2e533<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">aed1b6782cfd70156b99f1b79412a6e80c918a669bc00a6eee5e824840c870c1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6cfa5f93223db220037840a2798384ccc978641bcec9c118fde704d40480d050<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">831d98404ce5e3e5499b558bb653510c0e9407e4cb2f54157503a0842317a363<\/span><\/li>\n<\/ul>\n<h3>Dominios<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">finix.newsnewth365[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mozal.finartex[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">vigio.finartex[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bixxler.drennonmarketingreviews[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">genova.drennonmarketingreviews[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">savings.foothillindbank[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tnn.specialfinanceinsider[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ec2-18-140-227-82.ap-southeast-1.compute.amazonaws[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c2-51-20-36-117.eu-north-1.compute.amazonaws[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flesh.tabtemplates[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">health.aqlifecare[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">vlety.forwardbanker[.]com<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.<\/p>\n","protected":false},"author":366,"featured_media":144004,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8739,8838,8793],"tags":[9327,9328],"product_categories":[8922,8924,8925,8921,8932,8934,8935,8890],"coauthors":[4094,9210],"class_list":["post-146378","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybercrime-es-la","category-threat-research-es-la","category-malware-es-la","tag-cl-cri-1014-es-la","tag-finance-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano<\/title>\n<meta name=\"description\" content=\"Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano\" \/>\n<meta property=\"og:description\" content=\"Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-24T14:03:41+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-11T14:57:31+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Tom Fakterman, Guy Levi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano","description":"Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/","og_locale":"es_LA","og_type":"article","og_title":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano","og_description":"Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/","og_site_name":"Unit 42","article_published_time":"2025-06-24T14:03:41+00:00","article_modified_time":"2025-07-11T14:57:31+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Tom Fakterman, Guy Levi","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano","datePublished":"2025-06-24T14:03:41+00:00","dateModified":"2025-07-11T14:57:31+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/"},"wordCount":2547,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","keywords":["CL-CRI-1014","Finance"],"articleSection":["Ciberdelito","Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/","name":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","datePublished":"2025-06-24T14:03:41+00:00","dateModified":"2025-07-11T14:57:31+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Los ciberdelincuentes act\u00faan potencialmente como intermediarios de acceso inicial para atacar a organizaciones financieras de toda \u00c1frica. Analizamos su libro de estrategias.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message \"Network Hacked\" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cybercriminals-attack-financial-sector-across-africa\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Los ciberdelincuentes abusan de las herramientas de c\u00f3digo abierto para atacar el sector financiero africano"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/146378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=146378"}],"version-history":[{"count":4,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/146378\/revisions"}],"predecessor-version":[{"id":146488,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/146378\/revisions\/146488"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/144004"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=146378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=146378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=146378"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=146378"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=146378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}