Operation Escaneo pokazuje nowy poziom zagrożeń dla infrastruktury krytycznej w Ameryce Łacińskiej - Security Bez Tabu

Operation Escaneo pokazuje nowy poziom zagrożeń dla infrastruktury krytycznej w Ameryce Łacińskiej

Cybersecurity news

Wprowadzenie do problemu / definicja

Operation Escaneo to wieloetapowa kampania intruzyjna wymierzona przede wszystkim w organizacje związane z infrastrukturą krytyczną w Ameryce Łacińskiej. Jej znaczenie polega nie tylko na skali technicznej, ale również na tym, że pokazuje zacieranie się granicy między cyberprzestępczością nastawioną na zysk a operacjami prowadzonymi z dojrzałością kojarzoną dotąd z grupami APT.

W praktyce oznacza to, że przeciwnicy finansowo motywowani coraz częściej wykorzystują rozbudowane łańcuchy ataku, utrzymują dostęp przez długi czas i pozyskują dane o wysokiej wartości operacyjnej, a nie wyłącznie te nadające się do szybkiej monetyzacji.

W skrócie

  • Kampania była prowadzona w latach 2025–2026 i dotyczyła głównie Meksyku, a w mniejszym stopniu także Ekwadoru i Portugalii.
  • Atakujący wykorzystywali zautomatyzowane rozpoznanie, podatności w urządzeniach brzegowych, web shelle i tunele C2.
  • Po uzyskaniu dostępu prowadzono ruch boczny, eskalację uprawnień i eksfiltrację danych z systemów Windows, Linux oraz wybranych platform biznesowych.
  • Celem były m.in. dane Active Directory, materiał kryptograficzny, infrastruktura MDM oraz systemy SAP ERP i bazy Oracle.

Kontekst / historia

Kampanię powiązano ze średnim poziomem pewności z aktorem określanym jako MexicanMafia lub PanchoVilla. Grupa ta była wcześniej łączona z atakami na podmioty publiczne i organizacje o strategicznym znaczeniu w Meksyku, w tym administrację, wymiar sprawiedliwości, instytucje podatkowe oraz sektor energetyczny.

To istotne tło, ponieważ sugeruje, że Operation Escaneo nie była incydentem jednorazowym, lecz kolejnym etapem rozwijanego modelu działania. Z perspektywy regionalnej kampania podważa także wcześniejsze założenia, według których Ameryka Łacińska była głównie obszarem celów, a nie źródłem aktorów o wysokiej dojrzałości operacyjnej.

Analiza techniczna

Łańcuch ataku miał charakter wieloetapowy. Faza rozpoznania była realizowana z użyciem autorskiego silnika określanego jako Kimera, który miał pomagać w identyfikacji zasobów wystawionych do Internetu, ocenie powierzchni ataku i wyborze najbardziej efektywnej ścieżki kompromitacji.

Dostęp początkowy uzyskiwano przez podatności w popularnych urządzeniach perymetrycznych i rozwiązaniach zdalnego dostępu. Wskazane wektory obejmowały luki w FortiGate SSL-VPN, łańcuch podatności w Ivanti Connect Secure oraz GhostCat w Apache Tomcat AJP. Takie cele są atrakcyjne dla napastników, ponieważ zapewniają szybkie wejście do sieci wewnętrznej i często pozostają gorzej monitorowane niż klasyczne endpointy.

Po przełamaniu pierwszej linii obrony operatorzy wdrażali web shelle i narzędzia tunelujące w celu ustanowienia kanałów dowodzenia i kontroli. W opisie kampanii pojawiają się Neo-reGeorg, Chisel oraz wykorzystanie skompromitowanych routerów Cisco z trwałymi tunelami GRE. To szczególnie ważny element, ponieważ część trwałości została przeniesiona na warstwę sieciową, co wyraźnie utrudnia wykrycie i pełną remediację.

Do eskalacji uprawnień i ruchu bocznego stosowano zarówno exploity, jak i legalne narzędzia administracyjne. Wskazywano użycie technik powiązanych z Zerologon, EternalBlue i PwnKit, a także RDP, PsExec oraz narzędzi z rodziny Impacket. Taki zestaw świadczy o dojrzałości operacyjnej: exploity przełamują bariery bezpieczeństwa, a legalne narzędzia pomagają ograniczyć liczbę podejrzanych artefaktów w środowisku ofiary.

Na uwagę zasługuje również zdolność do działania w heterogenicznych środowiskach. Atakujący mieli kompromitować systemy SAP ERP i bazy Oracle, wykonywać polecenia oraz pozyskiwać z nich dane. Dodatkowo kampania obejmowała kradzież materiału kryptograficznego, mapowanie Active Directory i wdrażanie redundantnych mechanizmów trwałości, co wskazuje na przygotowanie do długotrwałej obecności w sieci.

Konsekwencje / ryzyko

Najważniejszym wnioskiem z Operation Escaneo jest to, że aktor finansowo motywowany może dziś generować ryzyko porównywalne z operacjami APT. Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od prostego podziału na cyberprzestępców nastawionych na szybki zysk i zaawansowane grupy prowadzące działania szpiegowskie.

Ryzyko ma kilka wymiarów. Kompromitacja urządzeń brzegowych i routerów może umożliwić długotrwałą, trudną do wykrycia obecność przeciwnika. Kradzież danych katalogowych, poświadczeń i materiałów kryptograficznych otwiera drogę do dalszej ekspansji oraz utrzymania dostępu nawet po częściowej remediacji. Z kolei naruszenie systemów SAP, Oracle czy MDM może prowadzić do zakłóceń procesów biznesowych, manipulacji danymi operacyjnymi i utraty kontroli nad krytycznymi zasobami.

Na poziomie strategicznym kampania pokazuje też, że infrastruktura krytyczna pozostaje atrakcyjnym celem nie tylko z powodu potencjalnej monetyzacji, ale również ze względu na wartość wywiadowczą pozyskiwanych informacji. Przejęcie kluczy prywatnych, danych katalogowych czy elementów zarządzania urządzeniami może skutkować kolejnymi, łańcuchowymi kompromitacjami.

Rekomendacje

Organizacje powinny nadać najwyższy priorytet ochronie urządzeń perymetrycznych, takich jak zapory, koncentratory VPN, routery brzegowe i publicznie dostępne serwery aplikacyjne. Niezbędne są szybkie aktualizacje, przeglądy konfiguracji oraz ograniczenie ekspozycji usług administracyjnych.

Drugim kluczowym obszarem jest widoczność sieciowa i telemetryka. Kampanie korzystające z tuneli, web shelli i trwałości na urządzeniach sieciowych mogą pozostać niewidoczne dla klasycznych narzędzi endpointowych. Potrzebne są więc pełniejsze logi z warstwy sieciowej, wykrywanie anomalii w ruchu zarządczym oraz korelacja zdarzeń między hostami a infrastrukturą sieciową.

Ważna pozostaje również segmentacja środowiska i kontrola uprawnień. Zasada najmniejszych uprawnień, silne MFA dla zdalnego dostępu, rozdzielenie kont administracyjnych od użytkowych oraz ograniczenie komunikacji między segmentami istotnie utrudniają rozwój intruzji po uzyskaniu dostępu początkowego.

W środowiskach o wysokiej krytyczności warto dodatkowo:

  • monitorować nietypowe użycie PsExec, WMI, RDP i Impacket,
  • rotować uprzywilejowane poświadczenia po incydencie,
  • twardo zabezpieczać Active Directory i konta serwisowe,
  • odseparować systemy ERP, katalogowe i MDM od mniej zaufanych stref,
  • uwzględnić w planach reagowania audyt routerów, VPN-ów i zapór, a nie tylko hostów.

Podsumowanie

Operation Escaneo jest wyraźnym sygnałem ostrzegawczym dla organizacji odpowiedzialnych za ochronę infrastruktury krytycznej. Kampania pokazuje, że przeciwnicy nastawieni na zysk potrafią działać z techniczną dyscypliną typową dla grup APT, łącząc monetyzację z pozyskiwaniem danych o wysokiej wartości operacyjnej.

Z perspektywy obrony najważniejsze są dziś ochrona urządzeń brzegowych, zwiększenie widoczności w warstwie sieciowej, segmentacja środowiska oraz gotowość do wykrywania trwałości wykraczającej poza pojedyncze serwery i stacje robocze. Dla wielu organizacji to sygnał, że modele oceny przeciwnika i priorytety obronne wymagają pilnej aktualizacji.

Źródła

  • https://www.darkreading.com/cybersecurity-operations/operation-escaneo-signals-shift-latam-threat-landscape
  • https://www.cloudsek.com/
  • https://nvd.nist.gov/
  • https://www.cisa.gov/
  • https://tomcat.apache.org/