Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Operation Escaneo to wieloetapowa kampania cybernetyczna przypisywana z umiarkowaną pewnością grupie określanej jako MexicanMafia lub PanchoVilla. Jej znaczenie wykracza poza pojedynczy incydent, ponieważ łączy klasyczne motywacje finansowe z metodami operacyjnymi charakterystycznymi dla bardziej dojrzałych aktorów prowadzących długotrwałą infiltrację środowisk ofiar.
Dla organizacji działających w Ameryce Łacińskiej oznacza to konieczność zmiany podejścia do obrony. Przeciwnik nie ogranicza się już do szybkiej monetyzacji dostępu, ale potrafi budować trwałą obecność w sieci, prowadzić rozpoznanie, poruszać się między segmentami infrastruktury i pozyskiwać dane o wartości strategicznej.
W skrócie
Kampania była wymierzona głównie w infrastrukturę krytyczną w Ameryce Łacińskiej w latach 2025–2026, ze szczególnym naciskiem na Meksyk. Dodatkowe aktywności obserwowano również w innych lokalizacjach, w tym w Ekwadorze i Portugalii.
- atakujący wykorzystywali własne narzędzia rozpoznawcze, w tym silnik Kimera,
- wektory wejścia obejmowały podatne urządzenia brzegowe i usługi wystawione do Internetu,
- po uzyskaniu dostępu stosowano web shelle, tunele odwrotne i warstwową infrastrukturę C2,
- kampania obejmowała środowiska Windows, Linux, SAP ERP i Oracle,
- celem były zarówno dane możliwe do spieniężenia, jak i zasoby o potencjalnej wartości wywiadowczej.
Kontekst / historia
Grupa MexicanMafia była wcześniej łączona z aktywnością wymierzoną w podmioty publiczne i strategiczne w Meksyku, w tym instytucje rządowe, administrację podatkową, wymiar sprawiedliwości oraz sektor energetyczny. Przez długi czas podobne działania były postrzegane głównie jako regionalna cyberprzestępczość, jednak Operation Escaneo wskazuje na wyraźny wzrost dojrzałości operacyjnej.
Szerszy kontekst jest równie istotny. Ameryka Łacińska była często opisywana jako region będący przede wszystkim celem ataków, a nie zapleczem dla aktorów zdolnych do prowadzenia złożonych operacji. Obecna kampania pokazuje jednak, że granica między lokalną cyberprzestępczością a zaawansowanymi operacjami długoterminowymi staje się coraz mniej wyraźna.
Analiza techniczna
Operation Escaneo miała charakter skoordynowany i wieloetapowy. Punktem wyjścia było zautomatyzowane rozpoznanie z użyciem własnego silnika Kimera, który umożliwiał szybkie identyfikowanie podatnych usług brzegowych, błędnych konfiguracji oraz potencjalnych ścieżek wejścia do środowiska ofiary.
W fazie initial access operatorzy wykorzystywali znane podatności w popularnych rozwiązaniach dostępnych na styku sieci i Internetu. Wśród wskazywanych wektorów pojawiły się luki w FortiGate SSL-VPN, łańcuch obejścia uwierzytelniania i wykonania poleceń w Ivanti Connect Secure oraz podatność GhostCat w Apache Tomcat AJP. Taki dobór celów potwierdza koncentrację na systemach o wysokiej wartości operacyjnej.
Po uzyskaniu dostępu atakujący wdrażali web shelle, tunele odwrotne oraz warstwową infrastrukturę C2. W opisywanym zestawie technik pojawiają się Neo-reGeorg, Chisel oraz przejęte routery Cisco z utrwalonymi tunelami GRE. To szczególnie ważne, ponieważ wskazuje na zdolność do utrzymania obecności nie tylko na hostach, ale również w warstwie sieciowej, co znacząco utrudnia wykrycie i pełne usunięcie intruza.
Do eskalacji uprawnień i ruchu bocznego wykorzystywano zarówno exploity, jak i legalne narzędzia administracyjne. Wśród opisywanych technik znalazły się nadużycia związane z Zerologon, EternalBlue i PwnKit, a także użycie RDP, PsExec oraz pakietu Impacket. To model charakterystyczny dla dojrzałych operacji, w których aktywność ma możliwie mocno wtapiać się w legalny ruch administracyjny.
Kampania obejmowała również środowiska heterogeniczne. Oprócz systemów Windows i Linux operatorzy kompromitowali SAP ERP oraz bazy Oracle w celu wykonywania poleceń, rozszerzania zasięgu dostępu i dalszego mapowania środowiska. Raportowane były także działania związane z pozyskiwaniem materiału kryptograficznego, mapowaniem Active Directory oraz eksfiltracją danych uwierzytelniających.
Najbardziej niepokojącym aspektem pozostaje dobór przejmowanych danych. Oprócz zasobów, które można łatwo wykorzystać finansowo, grupa miała uzyskiwać dostęp do kluczy prywatnych SSL organów podatkowych oraz infrastruktury MDM. To sugeruje możliwość wykorzystania takich zasobów do dalszego rozpoznania, podszywania się pod zaufane systemy lub przygotowania kolejnych etapów ataku.
Konsekwencje / ryzyko
Z punktu widzenia obrońców kampania niesie kilka kluczowych wniosków. Po pierwsze, urządzenia brzegowe pozostają jednym z najważniejszych punktów wejścia do organizacji. Ich kompromitacja może umożliwić obejście części tradycyjnych zabezpieczeń skoncentrowanych na endpointach.
Po drugie, utrzymywanie dostępu w routerach, tunelach i usługach pośredniczących zwiększa ryzyko długotrwałej obecności przeciwnika w środowisku. Nawet częściowe wykrycie incydentu nie daje gwarancji pełnego usunięcia zagrożenia, jeśli organizacja nie przeanalizuje również warstwy sieciowej i komunikacji wychodzącej.
Po trzecie, kompromitacja systemów SAP, Oracle, Active Directory, infrastruktury MDM oraz materiału kryptograficznego tworzy ryzyko wielowymiarowe. Obejmuje ono wycieki danych, oszustwa finansowe, przejęcie tożsamości uprzywilejowanych, dalszą kompromitację urządzeń mobilnych oraz możliwość podszywania się pod zaufane usługi.
Wreszcie kampania pokazuje, że granica między cyberprzestępczością a operacjami o charakterze wywiadowczym staje się coraz bardziej płynna. Dla ofiary oznacza to, że incydent może nie kończyć się na kradzieży danych, lecz przechodzić w etap długoterminowej obserwacji, przygotowania sabotażu lub sprzedaży dostępu kolejnym aktorom.
Rekomendacje
Organizacje powinny rozpocząć od pilnego przeglądu i łatania wszystkich narażonych systemów brzegowych, zwłaszcza rozwiązań VPN, urządzeń bezpieczeństwa oraz serwerów aplikacyjnych wystawionych do Internetu. Sam proces aktualizacji nie wystarczy jednak bez weryfikacji, czy podatne komponenty nie zostały już wcześniej naruszone.
Niezbędne jest także rozszerzenie monitoringu o telemetrię sieciową, w tym analizę tuneli, nietypowych interfejsów, anomalii routingu oraz komunikacji C2. W środowiskach o podwyższonym ryzyku warto objąć szczególnym nadzorem routery, firewalle, systemy zdalnego dostępu i połączenia między segmentami.
Kolejnym krokiem powinno być wzmocnienie segmentacji sieci oraz ograniczenie ruchu lateralnego. Dostęp administracyjny musi podlegać ścisłej kontroli, a narzędzia takie jak RDP, PsExec i frameworki zdalnego wykonywania poleceń powinny być monitorowane, ograniczane i objęte alertowaniem behawioralnym.
Warto również przeprowadzić audyt tożsamości uprzywilejowanych, integralności Active Directory, repozytoriów kluczy i certyfikatów oraz systemów MDM. W przypadku środowisk SAP i Oracle konieczna jest dodatkowa analiza logów, kont serwisowych, niestandardowych zadań i nieautoryzowanych zmian konfiguracyjnych.
- wdrożenie polowań na zagrożenia ukierunkowanych na web shelle, tunele i niestandardowe procesy proxy,
- przegląd reguł EDR/XDR pod kątem legalnych narzędzi wykorzystywanych w modelu living-off-the-land,
- rotacja poświadczeń po incydencie lub po wykryciu oznak kompromitacji,
- walidacja zapasowych ścieżek trwałości, szczególnie w urządzeniach sieciowych,
- ćwiczenia IR zakładające długotrwałą obecność przeciwnika i częściową utratę zaufania do infrastruktury administracyjnej.
Podsumowanie
Operation Escaneo to wyraźny sygnał ostrzegawczy dla organizacji działających w Ameryce Łacińskiej i poza nią. Kampania pokazuje, że regionalni lub hiszpańskojęzyczni aktorzy mogą prowadzić operacje o dojrzałości technicznej zbliżonej do zaawansowanych grup APT, jednocześnie zachowując motywację finansową.
Połączenie automatycznego rozpoznania, eksploatacji urządzeń brzegowych, trwałości na poziomie sieci, kompromitacji systemów korporacyjnych i kradzieży danych strategicznych oznacza realny wzrost ryzyka dla infrastruktury krytycznej. Dla zespołów bezpieczeństwa kluczowe staje się analizowanie pełnego łańcucha operacyjnego przeciwnika, a nie wyłącznie pojedynczych artefaktów malware.