Inicio » Zero Day Unit » ZDU-055 Apache ActiveMQ: Ejecución Remota de Código Sin Autenticación — CVSS 10

El Bus de Mensajería Como Puerta Trasera: CVE-2023-46604 en Apache ActiveMQ

Zero Day Universe Julio 12, 2026 26 min lectura
ZDU-055
Severidad 5 — Crítica
Manufactura · Banca · Gobierno Digital
Actor: Cl0p
CVSS 10.0
En CISA KEV

Un atacante con acceso de red a cualquier broker Apache ActiveMQ sin parchear puede ejecutar comandos arbitrarios en el servidor sin credenciales, sin interacción del usuario, con una sola conexión al puerto 61616/TCP. CVE-2023-46604 alcanza CVSS 10.0 —el máximo posible— y fue añadido a la lista de explotación activa de CISA en noviembre de 2023. El grupo Cl0p, ransomware-as-a-service con patrón de acumulación silenciosa de acceso en infraestructura de mensajería y middleware, figura como actor probable en la explotación de esta superficie.

Imagen ZDU CISO-1 — zdu-055-ciso-1

Qué Pasó: Deserialización OpenWire Convierte Cada Broker en Shell Remoto

Apache ActiveMQ contiene una vulnerabilidad de deserialización de datos no confiables en su protocolo OpenWire que permite a un atacante remoto con acceso de red al broker ejecutar comandos shell arbitrarios. El mecanismo es directo: el atacante manipula los tipos de clase serializados en el protocolo OpenWire, forzando al broker a instanciar cualquier clase disponible en el classpath del proceso Java. El resultado es ejecución de código con los privilegios del servicio ActiveMQ —sin requerir credenciales, sin requerir interacción de ningún usuario legítimo. Las versiones afectadas abarcan Apache ActiveMQ 5.x antes de 5.15.16, 5.16.x antes de 5.16.7, 5.17.x antes de 5.17.6, y 5.18.x antes de 5.18.3.

La vulnerabilidad fue reportada públicamente y añadida al catálogo de Vulnerabilidades Explotadas Conocidas de CISA el 2 de noviembre de 2023. El advisory oficial de Apache Security está disponible en el repositorio de seguridad del proyecto. La explotación activa documentada por múltiples actores —incluyendo grupos de ransomware— convierte cada instancia de ActiveMQ expuesta en una puerta trasera ejecutable cuya explotación no depende de técnicas avanzadas, sino únicamente de acceso de red al puerto 61616/TCP con OpenWire habilitado por defecto.

Impacto del incidente
Apache ActiveMQ CVE-2023-46604: Control Total de Infraestructura de Mensajería Empresarial
10.0
CVSS v3 — Máximo posible
CWE-502
Deserialización de datos no confiables
0
Credenciales requeridas para explotar
Nov 2023
Fecha de ingreso a CISA KEV
Efecto cascada: En entornos donde ActiveMQ intermedia comunicaciones entre ERP, sistemas bancarios core, plataformas de salud digital o sistemas SCADA industriales, el compromiso del broker implica acceso irrestricto a mensajes en vuelo —incluyendo datos financieros, transacciones, credenciales de aplicación y comandos hacia sistemas físicos.

Por Qué Importa para tu Organización

1. El vector: infraestructura de mensajería como superficie de ataque sin fricción

Apache ActiveMQ no es una aplicación de usuario final —es el tejido conectivo de arquitecturas empresariales. Opera como bus de integración entre sistemas de pagos, colas de procesamiento transaccional, pipelines de onboarding KYC, plataformas de notificación en tiempo real y sistemas de manufactura conectada. Su compromiso no aísla un sistema: compromete el canal de comunicación entre todos ellos. La deserialización insegura en el protocolo OpenWire opera dentro del tráfico legítimo del broker, lo que significa que controles perimetrales convencionales —firewalls de red, IPS sin firmas específicas— no detectan ni bloquean la explotación. El atacante hereda los privilegios del proceso ActiveMQ y acceso a todos los mensajes en tránsito desde el momento del compromiso.

2. La motivación de Cl0p: acumulación silenciosa antes de extorsión pública

Cl0p no opera como ransomware de impacto inmediato. Su firma táctica documentada —explotación masiva de vulnerabilidades en middleware de transferencia y mensajería, acumulación de acceso durante semanas o meses, exfiltración de datos antes de cualquier cifrado— hace que la ausencia de víctimas confirmadas públicamente vinculadas a este CVE en los últimos 90 días no sea señal de inactividad. Es consistente con su patrón operacional previo en MOVEit, GoAnywhere y Accellion: el grupo acumula acceso, extrae datos, y publica víctimas en su sitio de extorsión cuando la negociación privada falla. Sin IOCs públicos disponibles, sin muestras en ThreatFox, la visibilidad del defensor es mínima —lo que amplifica el riesgo, no lo reduce.

3. El contexto México y LATAM: exposición alta, detección baja

Las organizaciones mexicanas en el sector manufactura del Bajío y norte industrial operan ActiveMQ como middleware de integración ERP y coordinación de cadenas de suministro. El sector financiero —bancos, SOFOMEs, fintechs— lo despliega en arquitecturas de mensajería transaccional donde mensajes en vuelo contienen CURP, RFC, número de cuenta e historial crediticio. El gobierno federal lo utiliza en plataformas de interoperabilidad entre secretarías. Bajo CIS Control 7 (Gestión Continua de Vulnerabilidades) e ISO 27001 control A.8.8, la presencia de versiones vulnerables de ActiveMQ en producción con parche disponible desde noviembre 2023 constituye un gap de cumplimiento documentado. Para entidades reguladas por CNBV —bancos bajo la Ley de Instituciones de Crédito Art. 96 Bis y entidades fintech bajo Disposiciones CNBV Art. 58-62—, la exposición activa a este CVE puede activar obligaciones de reporte de riesgo tecnológico incluso antes de que ocurra un incidente confirmado. La ausencia de víctimas MX documentadas no implica ausencia de exposición: implica ausencia de detección o de divulgación pública.

El Actor Detrás del Ataque

Cl0p
Ransomware Gang / RaaS
Confianza: Probable

Cl0p —también conocido como TA505 o FIN11 en parte de su infraestructura operacional— es un grupo de ransomware-as-a-service de origen ruso-ucraniano activo desde 2019. Su especialización documentada es la explotación masiva de vulnerabilidades en middleware de transferencia de archivos y mensajería empresarial antes de que los defensores puedan reaccionar: MOVEit Transfer (CVE-2023-34362), GoAnywhere MFT (CVE-2023-0669), y Accellion FTA (CVE-2021-27101 y relacionadas) son los precedentes directos de su patrón operacional. En todos estos casos, el grupo explotó la vulnerabilidad a escala global en ventanas de días, acumuló acceso en cientos de organizaciones simultáneamente, y comenzó publicaciones de extorsión semanas o meses después.

Su historial confirma predilección por sectores con datos de alto valor para extorsión: manufactura, salud, educación, finanzas y servicios legales en Europa, Norteamérica y América Latina. La atribución a Cl0p en la explotación de CVE-2023-46604 es probable, no confirmada con fuentes públicas de alta confianza. La ausencia de operación públicamente indexada para este CVE específico es consistente con el uso de infraestructura privada o rotación de tooling —no con inactividad del grupo.

Según la CISA en su catálogo KEV, CVE-2023-46604 tiene explotación activa confirmada que obligó a su inclusión en el catálogo el 2 de noviembre de 2023, con acción requerida para agencias federales en plazo definido —señal de urgencia que aplica como referencia de priorización para el sector privado.

TTPs Documentadas — MITRE ATT&CK

TécnicaIDTáctica
Exploit Public-Facing ApplicationT1190Initial Access
Command and Scripting Interpreter: PowerShell / BashT1059.001Execution
Exploitation for Client ExecutionT1203Execution
Indirect Command ExecutionT1202Defense Evasion

Fuente: MITRE ATT&CK ·
Análisis: NVD CVE-2023-46604

Parche Oficial Disponible — Acción Requerida Inmediata
Apache ActiveMQ — Versiones Corregidas y Ruta de Actualización
5.15.16
Versión corregida rama 5.15.x
5.16.7
Versión corregida rama 5.16.x
5.17.6
Versión corregida rama 5.17.x
5.18.3
Versión corregida rama 5.18.x
Consideraciones de despliegue: El parche requiere reinicio completo del servicio ActiveMQ. Planificar downtime coordinado con equipos de aplicación. Verificar compatibilidad de versiones Java antes del despliegue. Workaround temporal si el parche no puede aplicarse en la ventana inmediata: restringir acceso al puerto 61616/TCP mediante ACL de firewall a IPs estrictamente autorizadas, implementar autenticación fuerte en brokers, y evaluar deshabilitar OpenWire si protocolos alternativos como STOMP o MQTT son operativamente viables.

Qué Deberías Hacer en las Próximas 48 Horas

La presencia de CVE-2023-46604 en CISA KEV con explotación activa confirmada y CVSS 10.0 elimina cualquier margen de priorización diferida. Cada broker ActiveMQ sin parchear en el entorno es, en términos operativos, una puerta trasera ejecutable documentada. Las siguientes cuatro acciones son el mínimo defensivo requerido.

Audita e inventaría todas las instancias ActiveMQ

Ejecuta discovery de todas las instancias Apache ActiveMQ en el entorno —incluyendo middleware legacy, deployments en subsidiarias industriales, entornos de integración ERP y brokers desplegados por equipos de desarrollo sin gobierno centralizado. Identifica la versión exacta de cada instancia y su exposición de red: ¿el puerto 61616/TCP es accesible desde segmentos no autorizados o desde internet? Sin este inventario, cualquier otra acción es incompleta. Plazo: 24 horas.

Aplica el parche o implementa mitigación de red inmediata

Actualiza a la versión corregida según tu rama: 5.15.16, 5.16.7, 5.17.6 o 5.18.3. El parche requiere reinicio del servicio —coordina la ventana de mantenimiento con equipos de aplicación y verifica compatibilidad Java antes del despliegue. Si el parche no puede aplicarse dentro de las primeras 24 horas, implementa como workaround inmediato: ACL de firewall que restrinja el puerto 61616/TCP exclusivamente a IPs autorizadas. El workaround no reemplaza el parche, pero cierra el vector de acceso externo mientras se coordina el mantenimiento.

Activa detección específica para el vector OpenWire

Los SIEM actuales sin reglas específicas para tráfico OpenWire malicioso no detectan la explotación de este CVE —opera dentro del tráfico legítimo de mensajería. Implementa reglas IDS/IPS con firmas específicas para CVE-2023-46604, activa detección sobre comandos ClassInfo y ExceptionResponse en tráfico OpenWire, y habilita logging verboso en ActiveMQ centralizado en SIEM con alerta activa. Agrega monitoreo de procesos hijo anómalos generados por el proceso ActiveMQ como señal de post-explotación.

Evalúa impacto OT/ICS y exposición cloud

Si ActiveMQ opera como broker intermediario entre sistemas IT y entornos OT/ICS —comunicaciones SCADA, controladores industriales, sistemas de manufactura conectada—, la explotación puede escalar desde el dominio IT hacia la manipulación de setpoints y protocolos de seguridad físicos. Coordina con equipos OT la evaluación de dependencias. Paralelamente, audita puertos 61616/TCP expuestos en infraestructura cloud (AWS, GCP, Azure) e instancias en contenedores EKS/GKE/AKS donde ActiveMQ opere como servicio auto-gestionado. La superficie cloud amplifica el vector hacia integraciones SaaS y APIs corporativas que consumen mensajes vía gateways REST-to-JMS.

Si tu organización opera bajo supervisión CNBV, documenta el análisis de riesgo de este CVE y las medidas adoptadas en el expediente de gobierno de TI. La CNBV puede requerir evidencia de diligencia ante incidentes, y la ausencia de documentación ha sido factor agravante en sanciones previas del sector financiero. Considera programar un tabletop exercise de respuesta a compromiso de middleware de mensajería dentro de los próximos 30 días para validar que los playbooks existentes cubren este vector específico.

Cómo Proteger tu Organización

La defensa efectiva contra CVE-2023-46604 requiere capacidades que operen en tres capas simultáneas: visibilidad de activos para detectar instancias vulnerables antes de que el atacante las encuentre, detección de comportamiento anómalo en el protocolo de mensajería que identifique intentos de explotación en tiempo real, y respuesta automatizada que contenga el impacto si el broker es comprometido antes de que el lateral movement alcance sistemas críticos. La ausencia de cualquiera de estas tres capas convierte el parche —imprescindible pero insuficiente— en la única línea de defensa contra un actor que opera con herramientas no indexadas públicamente y sin IOCs disponibles para detección reactiva.

La combinación de gestión continua de vulnerabilidades con inventario autenticado —que detecte versiones vulnerables de ActiveMQ en entornos donde el middleware fue desplegado por equipos de desarrollo sin gobierno centralizado—, correlación de comportamiento en capas de protocolo de mensajería, y threat intelligence actualizada sobre los TTPs de Cl0p marca la diferencia operativa entre detectar la explotación durante el reconocimiento inicial versus descubrirla cuando el actor ya extrajo datos y el incidente es de notificación obligatoria bajo LFPDPPP Art. 36 y GDPR Art. 33 con ventana de 72 horas.

Marco Regulatorio en Juego

Exposición Regulatoria
CVE-2023-46604 activa obligaciones en múltiples marcos simultáneamente
72h
Plazo notificación GDPR Art. 33 a autoridad supervisora
A.8.8
ISO 27001 control fallido — Gestión de vulnerabilidades técnicas
CIS-07
Gap primario — Gestión Continua de Vulnerabilidades
Art. 36
LFPDPPP — Notificación a titulares afectados
Para entidades financieras reguladas CNBV: La explotación confirmada de CVE-2023-46604 en un broker ActiveMQ que procese mensajería transaccional constituye un evento de riesgo tecnológico reportable bajo Disposiciones Fintech Art. 58-62 y CUB Título Décimo Segundo. El CISO debe evaluar con el área jurídica si el nivel de exposición actual activa obligaciones de reporte preventivo. BBVA (30 conductas previas), Santander (26) y Banorte (33) tienen historial de deficiencias de control interno que amplifica el escrutinio regulatorio ante una brecha asociada a este vector.

Impacto Reputacional y en Medios

CVE-2023-46604 recibió cobertura inmediata de medios especializados de ciberseguridad —The Hacker News, BleepingComputer, SecurityWeek— en el momento de su publicación y adición al CISA KEV en noviembre de 2023, dado que la combinación de CVSS 10.0 con explotación activa confirmada es estadísticamente excepcional. El patrón de Cl0p de publicar listas de víctimas en su sitio de extorsión —como ocurrió con MOVEit Transfer, donde cientos de organizaciones aparecieron públicamente en semanas— significa que una organización comprometida por este vector no controla el momento de la divulgación del incidente: lo decide el atacante cuando la negociación privada falla.

Para el CISO como gestor de riesgo reputacional, esto convierte el tiempo de parcheo en tiempo de control de narrativa. Una organización que puede documentar que aplicó el parche dentro de la ventana recomendada por CISA —antes de cualquier incidente confirmado— tiene una posición defendible ante el board, ante reguladores y ante medios si el incidente aun así ocurre. Una organización que no puede demostrarlo, enfrenta la pregunta regulatoria y pública más difícil: ¿por qué una vulnerabilidad CVSS 10 en CISA KEV desde noviembre 2023 seguía sin parchear en el momento del compromiso?

Continúa en el Capítulo ZDU — El Protocolo de los Muertos →

G.E.N.N.I.E. — Centro de Inteligencia Simbiótica

CVE-2023-46604 es arquitectónicamente diferente a la mayoría de vulnerabilidades críticas: no explota una función mal implementada, explota una función que funciona exactamente como fue diseñada —la deserialización de clases Java en OpenWire— sin validación de confianza. Esto significa que el vector no desaparece con configuración defensiva parcial: requiere parche o eliminación del protocolo. El patrón de Cl0p de acumulación silenciosa en middleware de mensajería antes de extorsión pública sugiere que la ventana entre compromiso y detección en entornos sin monitoreo específico de OpenWire puede medirse en semanas, no en horas.

Luna Varela de la Vega — ZDU-INTEL-VARELA

Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.

Aftermath — Las voces que quedan

Cuatro lentes paralelas. Mismo expediente. Lo que cada una vio, en su voz.

Forensia dark web

Lo registré antes de la alerta. El ASN tenía tres semanas en mi sistema antes de que el protocolo OpenWire mostrara actividad anómala — eso no es reconocimiento, es preparación. Cl0p no improvisa: acumula acceso, espera, publica. Cero víctimas visibles en noventa días es exactamente el intervalo que precede a la extorsión masiva en su historial documentado. El expediente está abierto. La ausencia de IOCs públicos no es señal de inactividad. Es una capacidad del actor.

Privacidad y obligación legal

El reloj corre desde la confirmación del incidente. LFPDPPP establece obligación de notificación cuando datos personales son comprometidos o existe riesgo razonable de compromiso — y cuarenta y tres minutos de tráfico anómalo procesado antes de la contención es riesgo razonable. Si las instancias OT integraban datos de operación ligados a personas, la obligación se activa hacia el INAI. La pregunta que ningún expediente cierra limpiamente: qué pasó en esos cuarenta y tres minutos, y qué datos tocó el actor antes de que cortáramos el broker.

Cumplimiento GRC

El mapa cambió en dos puntos. ISO 27001 Anexo A.8.8 — gestión de vulnerabilidades técnicas — quedó expuesto antes del incidente: versión 5.15.11 en producción, cuatro versiones por debajo del umbral de corrección, sin propietario documentado, sin política de parcheo asignada. CIS Control 1 — inventario de activos — falló antes que cualquier control técnico. Las dos instancias OT que no estaban en el inventario son el gap que lo contiene todo. Cualquier SoA firmado sin documentar este vector tiene una deuda pendiente que ahora tiene fecha y número de expediente.

Seguridad cloud

La superficie no era AWS, ni GCP, ni Azure por separado. Era lo que los tres compartían: instancias de ActiveMQ con puerto 61616 accesible desde subredes documentadas como internas pero con rutas reales hacia internet. A02:2025 no se creó en el incidente — estuvo presente desde el despliegue. Ejecuté el aislamiento en tres minutos cuarenta segundos. La ventana entre el despliegue original y la corrección medía dieciocho meses. El tiempo que tardó el actor en encontrarlo no lo registro. El tiempo que tardamos en cerrarlo sí.

La misma amenaza. Cl0p Ransomware Gang. Una identidad robada que controla miles.
ZDU-055 — Severidad 5 — Crítica

Deserialización Apocalíptica: ActiveMQ Cero

CVE-2023-46604 · CVSS 10.0 · Apache ActiveMQ · Ejecución remota sin autenticación · El broker de mensajes que se convirtió en puerta trasera

Imagen ZDU ZDU-VILLAIN — zdu-055-villain

El técnico de turno nocturno en la planta de Monterrey notó algo extraño a las 2:17 de la madrugada: las alarmas de la línea cuatro no respondían. No estaban apagadas. Respondían — pero tarde, con un retraso de entre cuatro y siete segundos que en un entorno normal sería imperceptible y en una línea de manufactura activa significaba que la señal llegaba después de que el evento ya había ocurrido. Revisó el panel. Todo verde. Revisó el log del broker. Vació la pantalla, parpadeo de cursor, y nada más. El sistema de mensajería estaba procesando. Estaba procesando algo que él no había enviado.

CVE-2023-46604 no rompió la puerta. Usó el correo legítimo. El protocolo OpenWire de Apache ActiveMQ — el canal por el que viajan instrucciones entre sistemas empresariales y controladores físicos — acepta objetos serializados como parte de su operación normal. Lo que no hace, en versiones anteriores a 5.15.16, es verificar qué clases instancia esos objetos. Un payload fabricado llega como mensaje. El broker lo deserializa. La clase que instancia existe en el classpath. El código se ejecuta. No hay autenticación que cruzar. No hay firewall que detecte la anomalía porque el tráfico llega por el puerto que siempre estuvo abierto, firmado con el protocolo que siempre estuvo autorizado. El broker no fue comprometido. El broker fue usado.

Detección

KEV-1 lo registró a las 03:41:09 UTC. No fue una alerta generada por el SOC interno — fue la correlación automática contra el catálogo CISA KEV lo que levantó el flag. CVE-2023-46604 había sido añadido al catálogo semanas antes, confirmando explotación activa en campo. La señal que llegó esta madrugada no era un escáner de reconocimiento. Era tráfico OpenWire con estructura ClassInfo anómala dirigido al puerto 61616/TCP de tres instancias de ActiveMQ en la infraestructura de integración del cliente. Tres instancias simultáneas. El patrón no era exploratorio.

Imagen ZDU ZDU-DETECCION-1 — zdu-055-deteccion-1

KEV-1 · 03:41:09 UTC — CVE-2023-46604 confirmado en catálogo CISA KEV. Explotación activa documentada. Tres endpoints OpenWire alcanzados en los últimos diecisiete minutos. Versión desplegada: 5.15.14. Dos versiones por debajo del umbral de corrección. Sin autenticación requerida para el vector. Sin filtrado de clases serializables activo. Riesgo de ejecución remota de código: confirmado. Activando protocolo de notificación TRINITY.

Eris ya estaba en la consola cuando llegó la notificación. No porque KEV-1 la hubiera despertado — llevaba cuarenta minutos rastreando un patrón de tráfico desde un ASN que había aparecido en inteligencia de amenazas tres semanas atrás, asociado a infraestructura de comando y control de grupos de ransomware con patrón operacional consistente con Cl0p: acumulación silenciosa de acceso antes de activar la fase de extorsión. La convergencia entre el ASN que monitoreaba y las tres instancias ActiveMQ que KEV-1 acababa de señalar no era coincidencia. Era confirmación.

Imagen ZDU ZDU-DETECCION-2 — zdu-055-deteccion-2

T1190 confirmado — Exploit Public-Facing Application sobre OpenWire. El payload utiliza ClassPathXmlApplicationContext para instanciar clases remotas vía URL controlada por el actor. Post-explotación inmediata: T1059.001, ejecución de intérprete de comandos con privilegios del proceso ActiveMQ. El ASN de origen tiene tres semanas en mi registro. No estaban escaneando. Estaban esperando. Esto no es inicial access — esto es activación de acceso previo.

Escalación · Análisis · Contención · Forensia

NeonMind activó el FRP a las 03:44:02 UTC. No con una orden — con una pregunta que nadie en la sala respondió de inmediato: cuántas instancias de ActiveMQ estaban en producción, en staging, en subsidiarias industriales, en entornos de integración legacy que nadie había auditado en los últimos dieciocho meses. El inventario tardó once minutos en llegar. Cuando llegó, el número era más alto de lo que cualquiera esperaba. NIST CSF IDENTIFY había fallado antes de que empezara la crisis: lo que no está en el inventario no puede ser protegido, y lo que no puede ser protegido se convierte en punto de entrada cuando el adversario lo encuentra primero.

Imagen ZDU ZDU-ESCALACION-1 — zdu-055-escalacion-1

PROTECT falló antes que DETECT. Si el inventario de activos no cubre las instancias de integración legacy, la segmentación de red no las aisló y el puerto 61616 estuvo accesible desde segmentos que no deberían tocarlo — entonces RESPOND llega tarde por definición. Activamos aislamiento selectivo ahora, pero necesito saber qué queda de pie si cortamos el broker. Magna, necesito esa respuesta antes de ejecutar cualquier contención que afecte las líneas de producción.

Magna llevaba el reporte abierto desde las 6:14. No lo había cerrado. En la pantalla, el diagrama de flujo mostraba exactamente dónde ActiveMQ se sentaba entre el broker empresarial y la capa SCADA — una posición que nadie había diseñado como punto de falla, pero que ahora lo era. La línea entre IT y OT no era una frontera arquitectónica. Era una ficción administrativa. El broker comprometido procesaba mensajes de integración ERP por un lado y señales hacia controladores de línea por el otro. Cortar el broker sin saber qué dependía de él podía significar silenciar alarmas que en ese momento estaban activas en planta.

El CISO entró a la sala sin anuncio. Magna no levantó la vista de inmediato. Tardó tres segundos. Esos tres segundos los contó. Regulator apareció en el umbral detrás de él, carpeta en mano, sin pasar. Magna cerró el diagrama. “La sexta vez este año,” dijo. No explicó a quién le hablaba.

ActiveMQ no es solo mensajería empresarial aquí. Está intermediando señales entre el sistema de supervisión SCADA y tres controladores de línea en la planta norte. Si cortamos sin mapear las dependencias OT primero, podemos aislar al adversario y simultáneamente silenciar las alarmas de seguridad de la línea cuatro. El técnico nocturno ya reportó retraso de señal. Eso no es ruido de red. Es evidencia de que el actor ya está manipulando el flujo de mensajes. Necesito quince minutos para mapear qué queda de pie y qué cae si ejecutamos contención ahora.

 

Imagen ZDU ZDU-ESCALACION-2 — zdu-055-escalacion-2

Stratos tomó el segmento cloud sin esperar instrucción. En los tres entornos — AWS, GCP, Azure — las instancias de ActiveMQ desplegadas en clusters EKS y Compute Engine compartían una característica: puerto 61616 accesible desde subredes que en la documentación estaban marcadas como internas pero que en la configuración real tenían rutas hacia internet. A08:2025 en estado puro. La deserialización insegura no era un fallo de código — era una elección de arquitectura que nadie había cuestionado porque el sistema funcionaba. El broker procesaba mensajes. Los microservicios respondían. Nadie había preguntado qué más podía responder.

— — —

Inteligencia

Blacktrace abrió el expediente de Cl0p con la misma economía de movimientos con que abría cualquier expediente. El grupo tiene firma táctica conocida: explotar vulnerabilidades de middleware y transferencia de archivos antes de que la industria reaccione — MOVEit, GoAnywhere, Accellion. La mecánica es consistente. Identifican una clase de software con despliegue masivo, arman la vulnerabilidad antes de la divulgación pública o inmediatamente después, y comienzan a acumular acceso en silencio. Las víctimas aparecen en su sitio de extorsión semanas después, cuando la negociación ya debería haber comenzado. Cero víctimas públicas vinculadas a CVE-2023-46604 en los últimos noventa días no era señal de inactividad. Era el patrón. La ausencia de víctimas visibles en el período de análisis era, en el historial documentado de Cl0p, el momento más peligroso: cuando el acceso está acumulado y la extorsión todavía no ha comenzado.

Imagen ZDU ZDU-INTELIGENCIA — zdu-055-inteligencia

Sin IOCs activos en ThreatFox. Sin muestras indexadas. Tooling privado o campaña no documentada públicamente — ambas lecturas eran consistentes con la inteligencia disponible. La falta de IOCs no reducía el riesgo. Reducía la visibilidad del defensor. Blacktrace lo anotó en el expediente y cerró la sección de atribución con una observación que no compartió en voz alta: la ausencia de rastro digital visible no era una falla del actor. Era una capacidad.

Conflicto

Los quince minutos que Magna había pedido se convirtieron en veintiuno. El mapa de dependencias OT que emergió era peor de lo que el diagrama inicial sugería. La planta norte no era el único punto de exposición. Había dos instancias adicionales de ActiveMQ en la infraestructura de integración del sector sur de la instalación — instalaciones que no aparecían en el inventario que el SOC interno había entregado cuarenta minutos antes. Habían sido desplegadas dieciocho meses atrás durante una migración de ERP y nunca formalmente incorporadas al inventario de activos de seguridad. No tenían propietario documentado. No tenían política de parcheo asignada. Estaban en producción, procesando señales hacia controladores de temperatura en la línea de pintura, y corrían versión 5.15.11 — cuatro versiones por debajo del umbral de corrección.

Imagen ZDU ZDU-CONFLICTO — zdu-055-conflicto

NeonMind recibió el reporte de Magna en silencio. No comentó el vector OT en la reunión. Lo archivó. La decisión que siguió — aislar primero las instancias empresariales y mantener las OT bajo monitoreo intensificado mientras se evaluaba el impacto de contención en la línea de pintura — fue una decisión de costo. Cualquier opción disponible en ese momento tenía un precio. La pregunta no era cómo evitar el costo. Era quién lo absorbía y cuándo.

Eris, necesito cobertura de detección en tiempo real sobre las dos instancias OT que Magna acaba de mapear. No las tocamos hasta que tengamos visibilidad completa de las dependencias de la línea de pintura. Stratos, aislamiento de las instancias cloud se ejecuta ahora — sin excepciones. Las instancias empresariales se cortan en los próximos cuatro minutos. El callback del técnico de planta es la única señal que me importa antes de tomar la decisión OT.

Contraataque

Stratos ejecutó el aislamiento de las instancias cloud en tres minutos y cuarenta segundos. En AWS, las security groups que permitían tráfico entrante al puerto 61616/TCP desde subredes con rutas externas fueron revocadas. En GCP, los firewall rules equivalentes. En Azure, los network security groups. La superficie de ataque cloud colapsó en un perímetro que por primera vez en la historia de ese despliegue era lo que la documentación decía que era: instancias de broker de mensajes accesibles únicamente desde segmentos de aplicación definidos. El OWASP A02:2025 — Security Misconfiguration — no se había creado en el incidente. Había estado presente desde el día del despliegue. El incidente solo lo había hecho visible.

Imagen ZDU ZDU-CONTRAATAQUE-1 — zdu-055-contraataque-1

 

Stratos añadió una capa de detección sobre el tráfico OpenWire restante: reglas específicas para patrones ClassInfo y ExceptionResponse anómalos, logging de todos los objetos deserializados con checksum de clase contra allowlist validado. No era un parche. Era tiempo comprado mientras el proceso de actualización a las versiones corregidas comenzaba en paralelo. La ventana entre detección y explotación confirmada en las instancias cloud era de cuarenta y tres minutos. Stratos lo registró sin comentario.

Eris validó las primeras veinticuatro horas de monitoreo post-contención con la misma atención con que había rastreado el ASN inicial. El tráfico OpenWire hacia las instancias aisladas cesó en los primeros seis minutos después del aislamiento — lo que indicaba que el actor tenía visibilidad del estado del broker y ajustó su operación en consecuencia. No era un script automatizado. Era alguien que monitoreaba activamente. El ASN cambió de dirección IP a los cuarenta minutos. La infraestructura de C2 rotó. El expediente de atribución ganó una entrada más: adaptación táctica en respuesta a detección, consistente con operación humana sostenida.

 

Imagen ZDU ZDU-CONTRAATAQUE-2 — zdu-055-contraataque-2

El actor salió en seis minutos. Eso no es buena noticia — eso es un actor que tiene visibilidad de nuestro estado operativo y sabe cuándo retirarse. El ASN rotó. La campaña no terminó. Cambió de fase. Lo que teníamos antes era acumulación de acceso. Lo que viene después, si el patrón Cl0p se mantiene, es evaluación de lo que lograron acumular antes de que los cortáramos. Necesito saber si hubo exfiltración antes de la contención. El broker procesó tráfico anómalo durante al menos cuarenta y tres minutos antes de la detección. Eso es tiempo suficiente.

— — —

Resolución

Luna Varela escribió el cierre editorial del expediente con la misma economía que caracterizaba todo lo que producía cuando el caso todavía dolía. CVE-2023-46604 no era una vulnerabilidad nueva. Tenía trece años en el código antes de que alguien la nombrara. Trece años de mensajes serializados pasando por un canal que no preguntaba qué instanciaba, procesados por infraestructura que nadie auditó porque funcionaba. El sistema de mensajería entregaba los mensajes. Los controladores respondían. Las alarmas se activaban cuando debían activarse, casi siempre. Nadie había preguntado qué más podría responder hasta que alguien más lo preguntó primero.

Las dos instancias OT en el sector sur fueron parcheadas setenta y dos horas después del incidente, después de una ventana de mantenimiento negociada con operaciones de planta. Durante esas setenta y dos horas permanecieron bajo monitoreo intensificado. No hubo actividad anómala detectada. Eso podía significar que el actor no las había alcanzado todavía, o podía significar que el actor las había alcanzado y decidió esperar. Blacktrace no cerró ese ángulo del expediente. Lo dejó abierto con una nota: sin evidencia de compromiso confirmado; sin evidencia de ausencia de compromiso confirmado. La distinción importaba.

Imagen ZDU ZDU-RESOLUCION — zdu-055-resolucion

Lo que quedó después de la contención no era una victoria. Era una línea sostenida. El inventario de activos tenía ahora dos instancias que no tenía antes del incidente — lo que significaba que el inventario anterior era incompleto y que nadie podía afirmar con certeza cuántas más había. El proceso de auditoría completa comenzó la semana siguiente. El técnico nocturno de la planta norte escribió un reporte de anomalía que fue el primero en su expediente en dieciocho meses. El log del broker que había mostrado actividad que él no había enviado fue preservado como evidencia forense. A las 23:47 de esa noche, antes de que comenzara la contención, el log registraba una entrada que nadie había leído todavía cuando el turno terminó: LURA_INIT. No correspondía a ningún proceso documentado en la arquitectura.

Scroll al inicio