Latin Amerika'da hükümet ve finans kurumlarını hedef alan büyük çaplı bir siber saldırı, saldırganların yaptığı basit bir hata sayesinde gün yüzüne çıktı. Saldırganlar, kullandıkları hazırlık sunucusunu açık unutarak araştırmacıların operasyonun tamamını haritalandırmasına olanak sağladı. CloudSEK güvenlik firması, bu operasyonu 'Escaneo' olarak adlandırdı ve 2026 başlarında keşfedilen açık dizin sayesinde saldırganların araç setini detaylıca analiz etti. Saldırı, Meksika başta olmak üzere Ekvador ve Portekiz'de de etkili oldu; hükümet, vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankacılık sektörlerini kapsadı. CloudSEK, en az beş kurbana ait işaretçi tespit etti ve büyük ölçekli veri hırsızlığını doğruladı.
Saldırganlar, ağlara giriş için internet üzerinden erişilebilen güvenlik cihazlarındaki açıkları kullandı. Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 gibi kusurların yanı sıra Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 zafiyetlerinden yararlandılar. Saldırganlar, mevcut proof-of-concept (PoC) kodlarını hedef sistemi çökertmeyecek şekilde uyarlayarak kullandı. Ayrıca Apache Tomcat'teki GhostCat açığı, Windows'taki EternalBlue ve Zerologon ile Log4Shell gibi yaygın zafiyetleri de istismar ettiler. Tüm bu saldırılar, grubun 'Kimera' adını verdiği özel bir keşif motoru tarafından yönlendirildi. CloudSEK'e göre bu motor, hedefleri yüksek hızda tarayıp önceliklendirerek doğrudan sömürü aşamasına aktarıyor.
Saldırganlar, ağlara sızdıktan sonra erişimlerini kalıcı kılmak için çeşitli yöntemler kullandı. Neo-reGeorg web kabukları ile web sunucularında şifreli dayanak noktaları oluşturdular, Chisel ters tünelleri ile HTTP üzerinden trafik taşıdılar ve ele geçirilmiş bir Cisco yönlendiriciye, ana bilgisayar tabanlı savunmalara görünmeyen bir GRE tüneli yerleştirdiler. Chisel günlükleri, 13 günlük bir süre içinde 3.708 oturum kaydetti. Kurban ağlarının içinde SAP ve Oracle sistemlerine erişen saldırganlar, büyük miktarda hassas veri çaldı. Bunlar arasında bir ulaşım sağlayıcısına ait 1,3 milyondan fazla kişisel kayıt, 407 MB büyüklüğünde Active Directory haritası, canlı olarak bir veritabanı sunucusundan sızdırılan SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler yer alıyor.
CloudSEK, bu kampanyanın orta düzeyde güvenle 'Meksika Mafyası' veya 'Pancho Villa' olarak bilinen bir grup tarafından yürütüldüğünü belirtiyor. Bu grup, 2024 boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik saldırılar üstlenmiş ve bazen bu saldırıları protesto olarak nitelendirmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının hedef kuruluşlar tarafından yalanlandığını da ekliyor. İlişkilendirmeden bağımsız olarak, CloudSEK Latin Amerika kuruluşlarına öncelikle Fortinet ve Ivanti güvenlik duvarlarını yamalamalarını ve GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ile SAP ve Oracle üzerinden gelen beklenmedik komutlar gibi operasyonun daha sessiz işaretlerine karşı dikkatli olmalarını tavsiye ediyor.