Latin Amerika genelinde hükümete ve mali hedeflere karşı koordineli bir kampanya, saldırganların bir hazırlık sunucusunu çevrimiçi ortamda açığa çıkardıktan sonra yaptıkları kendi hatasıyla ortaya çıktı.
CloudSEK'in yeni analizi, araştırmacıların 2026'nın başlarında grubun sunucusunda açık bir dizin bulması ve geride kalan eserlerden araç setini haritalandırmasının ardından Escaneo Operasyonu adını verdiği operasyonu ayrıntılı olarak açıkladı.
Kampanya Meksika genelinde kritik altyapıyı vurdu; Ekvador ve Portekiz'de hükümet, vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankaları kapsayan daha az aktivite yaşandı.
Önemli Gelişmeler
CloudSEK, en az beş kurbandan gelen işaretlerin ve büyük ölçekli veri hırsızlığının doğrulandığını söyledi.
Çevreden İçeri Girmek
Giriş çoğunlukla internete bakan güvenlik cihazları aracılığıyla geldi. Grup, CVE-2022-42475 ve CVE-2024-21762 dahil olmak üzere Fortinet FortiOS SSL-VPN kusurlarına ve Ivanti Connect Secure kusurları CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282'ye yönelik açıklardan yararlanmaya devam etti ve genel kavram kanıtını (PoC) kodunu uyarlayarak sistemin çökmesini önledi. hedef.
Erişimi, Apache Tomcat'in GhostCat kusuru, Windows hataları EternalBlue, Zerologon ve Log4Shell'e yönelik istismarlarla çevre donanımının çok ötesine geçti.
Uzmanların Görüşleri
Bunların tamamı, grubun Kimera adını verdiği özel bir keşif motoru tarafından beslendi; CloudSEK, bunun hedefleri yüksek hızda tarayıp önceliklendirdiğini ve ardından onları doğrudan kullanım aşamasına aktardığını söyledi.
Meksika altyapısını hedef alan saldırılar hakkında daha fazlasını okuyun: Kritik Altyapı Siber Saldırısında Kullanılan OpenAI ve Antropik LLM'ler
Sistem Güvenliği
Tüneller, Yönlendiriciler ve Çalınan Veriler
Sonuç ve Değerlendirme
Grup, bağlantıda kalabilmek için erişimini katmanlara ayırdı. Neo-reGeorg web kabukları, web sunucularında şifrelenmiş dayanaklar sağlıyordu, Chisel ters tünelleri trafiği HTTP üzerinden taşıyordu ve güvenliği ihlal edilmiş bir Cisco yönlendiricisi, ana bilgisayar tabanlı savunmalar tarafından görülemeyen ağ düzeyinde bir kanal olan saldırganlara işaret eden bir GRE tüneli ile donatılmıştı.
Nasıl Önlem Alınmalı?
Yalnızca keski günlükleri 13 günlük bir pencerede 3.708 oturum kaydetti.
Saldırganlar, kurban ağlarının içinde komutları çalıştırmak için SAP ve Oracle sistemlerine ulaştı ve aşağıdakiler de dahil olmak üzere büyük miktarda hassas veriyi ele geçirdi:
Gelecekte Ne Bekleniyor?
Tek bir ulaşım sağlayıcısından 1,3 milyondan fazla kişisel kayıt
Bir kurbanın Active Directory'sinin 407 MB'lık haritası
Bir veritabanı sunucusundan canlı olarak yayınlanan SSL özel anahtarları
SAP hizmet hesabı karmaları ve tarayıcıda saklanan parolalar
Şüpheli Hacktivist Bağlantısı
CloudSEK, kampanyayı orta derecede bir güvenle, Meksika Mafyası veya Pancho Villa olarak adlandırdığı ve 2024 yılını Meksika hükümetine, yargı ve enerji hedeflerine yönelik ihlalleri iddia ederek geçiren ve bazen hackleri protesto olarak gösteren bir gruba bağladı.
Teknik Analiz
Firma, grubun geçmiş iddialarından bazılarının adı geçen kuruluşlar tarafından tartışıldığını belirterek bağlantıyı hedge etti.
Bağlantı ne olursa olsun CloudSEK, Latin Amerikalı kuruluşlara öncelikle çevre cihazlarına yama yapmaları, Fortinet ve Ivanti'nin kusurlarını tespit etmeleri ve operasyonun daha sessiz konuşmalarını izlemeleri yönünde çağrıda bulundu.
Bunlar arasında harici adreslere ulaşan GRE tünelleri, Chisel'in HTTP üzerinden TCP trafiği ve SAP ve Oracle üzerinden çalışan beklenmedik komutlar yer alıyor.