Obtenga información directa de los expertos del podcast de Inteligencia contra amenazas Microsoft. Escuchar ahora.
Security Insider
Inteligencia sobre amenazas e información procesable para adelantar a la competencia
Amenazas emergentes
Inteligencia sobre amenazas anual de 2023 en reseña: Desarrollos e información clave
La Inteligencia contra amenazas Microsoft resume las principales tendencias de los actores de amenazas en técnicas, tácticas y procedimientos (TTP) de 2023.
Últimas noticias
Informes de inteligencia
Gestionar las ciberamenazas y fortalecer las defensas en la era de la IA
Informes de inteligencia
Irán intensifica las operaciones de influencia cibernética en apoyo de Hamás
Amenazas emergentes
Aprovechar la economía de confianza: el fraude de la ingeniería social
Información del actor de amenazas
Seguridad de Microsoft está realizando un seguimiento activo de los actores de amenazas a través del Estado nación observado, ransomware y actividades delictivas. Esta información representa la actividad publicada públicamente por los investigadores de amenazas de Seguridad de Microsoft y proporciona un catálogo centralizado de perfiles de actores de los blogs mencionados.
Mint Sandstorm
Mint Sandstorm (anteriormente PHOSPHORUS) normalmente intenta comprometer las cuentas personales de las personas a través de phishing de objetivo definido y el uso de la ingeniería social para construir una relación con las víctimas antes de dirigirse a ellas.
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) es un actor de amenaza que forma parte de la economía de ransomware como servicio (RaaS), que se asocia con otros actores de amenazas para proporcionar cargadores Cobalt Strike personalizados.
Wine Tempest
Wine Tempest (anteriormente PARINACOTA) suele utilizar ransomware controlado por humanos para sus ataques, la mayoría de las veces implementando el ransomware Wadhrama. Son ingeniosos, cambian de táctica en función de sus necesidades y han utilizado máquinas comprometidas para diversos fines, como la minería de criptomonedas, el envío de correos electrónicos no deseados o el proxy para otros ataques.
Smoke Sandstorm
Smoke Sandstorm (anteriormente BOHRIUM/DEV-0056) vulneró cuentas de correo electrónico de una compañía de integración de TI con sede en Baréin en septiembre de 2021. Esta compañía trabaja en integración de TI con clientes del gobierno de Baréin, quienes probablemente sean el objetivo final de Smoke Sandstorm.
Storm-0530
Un grupo de actores originarios de Corea del Norte al que Microsoft realiza un seguimiento como Storm-0530 (anteriormente DEV-0530) ha estado desarrollando y utilizando ransomware en ataques desde junio de 2021.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Hazel Sandstorm
Hazel Sandstorm (anteriormente EUROPIUM) ha sido vinculada públicamente al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Microsoft cree, con un nivel alto de confianza, que el 15 de julio de 2022, actores patrocinados por el gobierno iraní llevaron a cabo un ciberataque destructivo contra el gobierno albanés, interrumpiendo sitios web gubernamentales y servicios públicos.
Cadet Blizzard
Microsoft realiza un seguimiento de Cadet Blizzard (anteriormente DEV-0586) como un actor de amenazas financiado por el estado ruso, que empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) es un grupo asociado a la distribución de ransomware de gran impacto. Microsoft ha observado que Pistachio Tempest usa diversas cargas útiles de ransomware a medida que el grupo experimenta con nuevas ofertas de ransomware como servicio (RaaS), desde Ryuk y Conti hasta Hive, Nokoyawa y, más recientemente, Agenda y Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente DEV-0193) es responsable de desarrollar, distribuir y administrar muchas cargas distintas, como Trickbot, Bazaloader y AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Nylon Typhoon
Nylon Typhoon (anteriormente NICKEL) utiliza vulnerabilidades de seguridad contra sistemas sin parches para comprometer servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado volcadores o ladrones de credenciales para obtener credenciales legítimas, que luego utilizaron para obtener acceso a las cuentas de las víctimas y acceder a sistemas de mayor valor.
Crimson Sandstorm
Se ha observado que los actores de Crimson Sandstorm (anteriormente CURIUM) utilizan una red de cuentas ficticias de redes sociales para ganarse la confianza de los objetivos y distribuir malware con el fin último de filtrar datos.
Diamond Sleet
Diamond Sleet (anteriormente ZINC) es un actor de amenazas que ejecuta actividades globales en nombre del gobierno de Corea del Norte. En activo desde al menos 2009, Diamond Sleet tiene como objetivos los sectores de defensa, medios de comunicación, tecnología de la información e investigación científica, así como los investigadores de seguridad, y se centra en el espionaje, el robo de datos, el beneficio económico y la destrucción de redes.
Gray Sandstorm
Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Mint Sandstorm
Mint Sandstorm (anteriormente PHOSPHORUS) normalmente intenta comprometer las cuentas personales de las personas a través de phishing de objetivo definido y el uso de la ingeniería social para construir una relación con las víctimas antes de dirigirse a ellas.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Crimson Sandstorm
Se ha observado que los actores de Crimson Sandstorm (anteriormente CURIUM) utilizan una red de cuentas ficticias de redes sociales para ganarse la confianza de los objetivos y distribuir malware con el fin último de filtrar datos.
Gray Sandstorm
Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Periwinkle Tempest
Periwinkle Tempest (anteriormente DEV-0193) es responsable de desarrollar, distribuir y administrar muchas cargas distintas, como Trickbot, Bazaloader y AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Cadet Blizzard
Microsoft realiza un seguimiento de Cadet Blizzard (anteriormente DEV-0586) como un actor de amenazas financiado por el estado ruso, que empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Mint Sandstorm
Mint Sandstorm (anteriormente PHOSPHORUS) normalmente intenta comprometer las cuentas personales de las personas a través de phishing de objetivo definido y el uso de la ingeniería social para construir una relación con las víctimas antes de dirigirse a ellas.
Smoke Sandstorm
Smoke Sandstorm (anteriormente BOHRIUM/DEV-0056) vulneró cuentas de correo electrónico de una compañía de integración de TI con sede en Baréin en septiembre de 2021. Esta compañía trabaja en integración de TI con clientes del gobierno de Baréin, quienes probablemente sean el objetivo final de Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Hazel Sandstorm
Hazel Sandstorm (anteriormente EUROPIUM) ha sido vinculada públicamente al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Microsoft cree, con un nivel alto de confianza, que el 15 de julio de 2022, actores patrocinados por el gobierno iraní llevaron a cabo un ciberataque destructivo contra el gobierno albanés, interrumpiendo sitios web gubernamentales y servicios públicos.
Cadet Blizzard
Microsoft realiza un seguimiento de Cadet Blizzard (anteriormente DEV-0586) como un actor de amenazas financiado por el estado ruso, que empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Nylon Typhoon
Nylon Typhoon (anteriormente NICKEL) utiliza vulnerabilidades de seguridad contra sistemas sin parches para comprometer servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado volcadores o ladrones de credenciales para obtener credenciales legítimas, que luego utilizaron para obtener acceso a las cuentas de las víctimas y acceder a sistemas de mayor valor.
Crimson Sandstorm
Se ha observado que los actores de Crimson Sandstorm (anteriormente CURIUM) utilizan una red de cuentas ficticias de redes sociales para ganarse la confianza de los objetivos y distribuir malware con el fin último de filtrar datos.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) es un grupo asociado a la distribución de ransomware de gran impacto. Microsoft ha observado que Pistachio Tempest usa diversas cargas útiles de ransomware a medida que el grupo experimenta con nuevas ofertas de ransomware como servicio (RaaS), desde Ryuk y Conti hasta Hive, Nokoyawa y, más recientemente, Agenda y Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente DEV-0193) es responsable de desarrollar, distribuir y administrar muchas cargas distintas, como Trickbot, Bazaloader y AnchorDNS.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) es un actor de amenaza que forma parte de la economía de ransomware como servicio (RaaS), que se asocia con otros actores de amenazas para proporcionar cargadores Cobalt Strike personalizados.
Smoke Sandstorm
Smoke Sandstorm (anteriormente BOHRIUM/DEV-0056) vulneró cuentas de correo electrónico de una compañía de integración de TI con sede en Baréin en septiembre de 2021. Esta compañía trabaja en integración de TI con clientes del gobierno de Baréin, quienes probablemente sean el objetivo final de Smoke Sandstorm.
Storm-0530
Un grupo de actores originarios de Corea del Norte al que Microsoft realiza un seguimiento como Storm-0530 (anteriormente DEV-0530) ha estado desarrollando y utilizando ransomware en ataques desde junio de 2021.
Mint Sandstorm
Mint Sandstorm (anteriormente PHOSPHORUS) normalmente intenta comprometer las cuentas personales de las personas a través de phishing de objetivo definido y el uso de la ingeniería social para construir una relación con las víctimas antes de dirigirse a ellas.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Nylon Typhoon
Nylon Typhoon (anteriormente NICKEL) utiliza vulnerabilidades de seguridad contra sistemas sin parches para comprometer servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado volcadores o ladrones de credenciales para obtener credenciales legítimas, que luego utilizaron para obtener acceso a las cuentas de las víctimas y acceder a sistemas de mayor valor.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Diamond Sleet
Diamond Sleet (anteriormente ZINC) es un actor de amenazas que ejecuta actividades globales en nombre del gobierno de Corea del Norte. En activo desde al menos 2009, Diamond Sleet tiene como objetivos los sectores de defensa, medios de comunicación, tecnología de la información e investigación científica, así como los investigadores de seguridad, y se centra en el espionaje, el robo de datos, el beneficio económico y la destrucción de redes.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Cadet Blizzard
Microsoft realiza un seguimiento de Cadet Blizzard (anteriormente DEV-0586) como un actor de amenazas financiado por el estado ruso, que empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022.
Crimson Sandstorm
Se ha observado que los actores de Crimson Sandstorm (anteriormente CURIUM) utilizan una red de cuentas ficticias de redes sociales para ganarse la confianza de los objetivos y distribuir malware con el fin último de filtrar datos.
Diamond Sleet
Diamond Sleet (anteriormente ZINC) es un actor de amenazas que ejecuta actividades globales en nombre del gobierno de Corea del Norte. En activo desde al menos 2009, Diamond Sleet tiene como objetivos los sectores de defensa, medios de comunicación, tecnología de la información e investigación científica, así como los investigadores de seguridad, y se centra en el espionaje, el robo de datos, el beneficio económico y la destrucción de redes.
Gray Sandstorm
Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Diamond Sleet
Diamond Sleet (anteriormente ZINC) es un actor de amenazas que ejecuta actividades globales en nombre del gobierno de Corea del Norte. En activo desde al menos 2009, Diamond Sleet tiene como objetivos los sectores de defensa, medios de comunicación, tecnología de la información e investigación científica, así como los investigadores de seguridad, y se centra en el espionaje, el robo de datos, el beneficio económico y la destrucción de redes.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Gray Sandstorm
Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Smoke Sandstorm
Smoke Sandstorm (anteriormente BOHRIUM/DEV-0056) vulneró cuentas de correo electrónico de una compañía de integración de TI con sede en Baréin en septiembre de 2021. Esta compañía trabaja en integración de TI con clientes del gobierno de Baréin, quienes probablemente sean el objetivo final de Smoke Sandstorm.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Forest Blizzard
Forest Blizzard (anteriormente, STRONTIUM) utiliza una gran variedad de técnicas de acceso inicia, que incluyen la explotación de aplicaciones vulnerables y orientadas a la web y, para obtener credenciales, el phishing de objetivo definido y la implementación de una herramienta de difusión de contraseñas/fuerza bruta que funciona con TOR.
Midnight Blizzard
El actor que Microsoft sigue como Midnight Blizzard (NOBELIUM) es un actor de amenazas con base en Rusia atribuido por los gobiernos de Estados Unidos y Reino Unido al Servicio de Inteligencia Exterior de la Federación Rusa, también conocido como SVR.
Volt Typhoon
El actor al que Microsoft realiza un seguimiento como Volt Typhoon es un grupo de actividades de estado nación con base en China. Volt Typhoon se centra en el espionaje, el robo de datos y el acceso a credenciales.
Plaid Rain
Desde febrero 2022, se ha observado que Plaid Rain (anteriormente, POLONIUM) dirige sus actividades principalmente contra organizaciones en Israel dedicadas a sectores clave de fabricación, TI y defensa.
Hazel Sandstorm
Hazel Sandstorm (anteriormente EUROPIUM) ha sido vinculada públicamente al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Microsoft cree, con un nivel alto de confianza, que el 15 de julio de 2022, actores patrocinados por el gobierno iraní llevaron a cabo un ciberataque destructivo contra el gobierno albanés, interrumpiendo sitios web gubernamentales y servicios públicos.
Cadet Blizzard
Microsoft realiza un seguimiento de Cadet Blizzard (anteriormente DEV-0586) como un actor de amenazas financiado por el estado ruso, que empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022.
Aqua Blizzard
Aqua Blizzard (anteriormente ACTINIUM) utiliza correos electrónicos de phishing de objetivo definido con archivos adjuntos de macro malintencionados que emplean plantillas remotas. El objetivo principal de las actividades de Aqua Blizzard es obtener acceso persistente a redes específicas mediante la implementación de malware personalizado y herramientas comerciales, con fines de recopilación de información.
Nylon Typhoon
Nylon Typhoon (anteriormente NICKEL) utiliza vulnerabilidades de seguridad contra sistemas sin parches para comprometer servicios y dispositivos de acceso remoto. Tras una intrusión exitosa, han utilizado volcadores o ladrones de credenciales para obtener credenciales legítimas, que luego utilizaron para obtener acceso a las cuentas de las víctimas y acceder a sistemas de mayor valor.
Crimson Sandstorm
Se ha observado que los actores de Crimson Sandstorm (anteriormente CURIUM) utilizan una red de cuentas ficticias de redes sociales para ganarse la confianza de los objetivos y distribuir malware con el fin último de filtrar datos.
Diamond Sleet
Diamond Sleet (anteriormente ZINC) es un actor de amenazas que ejecuta actividades globales en nombre del gobierno de Corea del Norte. En activo desde al menos 2009, Diamond Sleet tiene como objetivos los sectores de defensa, medios de comunicación, tecnología de la información e investigación científica, así como los investigadores de seguridad, y se centra en el espionaje, el robo de datos, el beneficio económico y la destrucción de redes.
Gray Sandstorm
Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces.
Manatee Tempest
Manatee Tempest (anteriormente DEV-0243) es un actor de amenaza que forma parte de la economía de ransomware como servicio (RaaS), que se asocia con otros actores de amenazas para proporcionar cargadores Cobalt Strike personalizados.
Wine Tempest
Wine Tempest (anteriormente PARINACOTA) suele utilizar ransomware controlado por humanos para sus ataques, la mayoría de las veces implementando el ransomware Wadhrama. Son ingeniosos, cambian de táctica en función de sus necesidades y han utilizado máquinas comprometidas para diversos fines, como la minería de criptomonedas, el envío de correos electrónicos no deseados o el proxy para otros ataques.
Smoke Sandstorm
Smoke Sandstorm (anteriormente BOHRIUM/DEV-0056) vulneró cuentas de correo electrónico de una compañía de integración de TI con sede en Baréin en septiembre de 2021. Esta compañía trabaja en integración de TI con clientes del gobierno de Baréin, quienes probablemente sean el objetivo final de Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (anteriormente DEV-0237) es un grupo asociado a la distribución de ransomware de gran impacto. Microsoft ha observado que Pistachio Tempest usa diversas cargas útiles de ransomware a medida que el grupo experimenta con nuevas ofertas de ransomware como servicio (RaaS), desde Ryuk y Conti hasta Hive, Nokoyawa y, más recientemente, Agenda y Mindware.
Periwinkle Tempest
Periwinkle Tempest (anteriormente DEV-0193) es responsable de desarrollar, distribuir y administrar muchas cargas distintas, como Trickbot, Bazaloader y AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Caramel Tsunami
Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos.
Silk Typhoon
En 2021, Silk Typhoon (anteriormente HAFNIUM) utilizó vulnerabilidades de día cero para atacar versiones locales de Microsoft Exchange Server en ataques limitados y selectivos.
Navegar por tema
IA
La seguridad es tan buena como tu inteligencia sobre amenazas
Compromiso de correo empresarial
Desmontando el compromiso del correo empresarial
Ransomware
Proteger la organización del ransomware
Conocer a los expertos
Perfil del experto: Homa Hayatyfar
El administrador de datos de la entidad de seguridad y de ciencias aplicadas Homa Hayatyfar describe el uso de modelos de Machine Learning para reforzar las defensas, una de las muchas maneras en las que la IA está cambiando el panorama de seguridad.
Conocer a los expertos
Perfil del experto
Situar la inteligencia sobre ciberamenazas en el contexto geopolítico
Perfil del experto
Consejo experto sobre los tres retos más persistentes en ciberseguridad
Perfil del experto
El investigador de seguridad Dustin Duran explica cómo pensar como un atacante
Explorar los informes de inteligencia
Informe de protección digital de Microsoft 2023
La última edición del Informe de protección digital de Microsoft explora el cambiante panorama de las amenazas y recorre las oportunidades y los desafíos a medida que nos volvemos resilientes cibernéticos.
Mantener una ciberdefensa práctica
Higiene cibernética
Una ciberhigiene básica evita el 99 % de los ataques.
Búsqueda de amenazas
Información sobre los fundamentos básicos de la búsqueda de amenazas
Ciberdelito
Impedir que los ciberdelincuentes abusen de las herramientas de seguridad
Comenzar
Unirse a los eventos de Microsoft
Expande tu experiencia, aprende nuevas aptitudes y amplía tu comunidad con los eventos y oportunidades de aprendizaje de Microsoft.
Ponte en contacto con nosotros
Seguir a Microsoft