Inicio » Zero Day Unit » ZDU-036 Quest KACE SMA: Bypass Total de Autenticación Administrativa

El Cerebro de tu Gestión de Endpoints en Manos Enemigas

ZDU-036Severidad 5 — Crítica
Gestión de Sistemas
Actor: Scattered Spider
CVSS 10.0
En CISA KEV

Quest KACE Systems Management Appliance sufre un colapso arquitectónico de autenticación que permite a atacantes remotos obtener sesiones administrativas legítimas sin credenciales válidas. Con CVSS 10.0 y explotación activa confirmada por CISA, cada instancia KACE comprometida se convierte en una puerta trasera hacia toda la infraestructura de endpoints corporativos.

Imagen ZDU CISO-1 — zdu-036-ciso-threat-poster

Qué Pasó: Colapso Total de Autenticación Administrativa

CVE-2025-32975 expone una falla crítica de autenticación impropia en Quest KACE Systems Management Appliance que permite a atacantes remotos suplantaretrospectivamente usuarios administrativos sin poseer credenciales válidas. El producto Quest KACE SMA funciona como el cerebro centralizador de gestión de endpoints corporativos, controlando inventarios de activos, distribución de parches, configuraciones de software y acceso remoto a estaciones de trabajo críticas. La vulnerabilidad fue agregada al catálogo CISA KEV el 20 de abril de 2026, confirmando explotación activa en entornos de producción.

La superficie de ataque abarca organizaciones que dependen de KACE SMA para administrar infraestructuras híbridas, desde sectores financieros hasta manufactura e instituciones gubernamentales. Quest ha liberado un parche crítico disponible en su base de conocimiento KB 4379499, pero la ventana de exposición permanece abierta mientras las organizaciones evalúan el impacto operacional del reinicio requerido del appliance.

Impacto del incidente
Quest KACE SMA: Control administrativo sobre infraestructura completa de endpoints
CVSS 10.0
Puntuación máxima
24 horas
Ventana crítica
Admin total
Nivel de acceso
Zero-click
Complejidad
Efecto cascada:
KACE SMA comprometido hereda control administrativo completo sobre inventarios de activos, credenciales de Active Directory, datos de usuarios finales y capacidades de ejecución remota en toda la red corporativa.

Por Qué Importa para tu Organización

1. El vector: infraestructura de gestión como superficie de ataque

KACE SMA no es un endpoint más — es el sistema que controla todos los endpoints. Un compromise en esta plataforma significa que el atacante hereda todos los privilegios administrativos sobre inventarios de activos, distribución de software, configuraciones de seguridad y acceso remoto. En organizaciones híbridas, esto incluye control sobre estaciones de trabajo que gestionan PLCs industriales, terminales bancarias y sistemas críticos de gobierno.

2. La motivación: persistencia administrativa sin detección

Scattered Spider, el actor probable detrás de estas explotaciones, se especializa en comprometer identidades críticas para establecer persistencia de largo plazo. La suplantación de usuarios administrativos legítimos en KACE permite movimiento lateral masivo mientras mantiene apariencia de actividad normal, dificultando la detección por parte de equipos SOC.

3. El contexto México/LATAM: gestión centralizada crítica

Las organizaciones mexicanas en sectores financiero, manufacturero y gobierno dependen intensivamente de plataformas como KACE para gestionar infraestructuras complejas que integran legacy systems con servicios cloud. El compromiso de estos systems management appliances activa obligaciones regulatorias inmediatas bajo LFPDPPP y marcos sectoriales específicos, especialmente cuando procesan datos de empleados o clientes.

El Actor Detrás del Ataque

Scattered Spider
APT / Crimeware
Confianza: Probable

Scattered Spider emerge como el actor más probable detrás de la explotación activa de CVE-2025-32975, aunque la atribución se basa en análisis de TTPs similares y no en evidencia forense directa. Este grupo estadounidense, también conocido como UNC3944 y Scattered Spider por Mandiant, se especializa en ingeniería social sofisticada, compromiso de identidades críticas y SIM swapping para obtener acceso inicial a organizaciones objetivo.

El grupo ha demostrado capacidades avanzadas para operar desde territorio estadounidense contra targets en telecomunicaciones, seguros, retail y hospitales, utilizando técnicas de suplantación administrativa que coinciden perfectamente con el vector de ataque de este CVE. Su historial incluye compromiso de proveedores de servicios gestionados y plataformas de gestión centralizadas para expandir su superficie de ataque hacia múltiples organizaciones cliente.

Según Mandiant, Scattered Spider combina ingeniería social de alta calidad con comprensión profunda de plataformas de gestión empresarial, lo que les permite establecer persistencia administrativa que evade detección tradicional.

TTPs Documentadas — MITRE ATT&CK

TécnicaIDTáctica
Valid Accounts: Default AccountsT1078.001Initial Access
Modify Authentication ProcessT1556Defense Evasion
Compromise Accounts: Cloud AccountsT1586.003Resource Development
Use Alternate Authentication Material: Pass the TokenT1550.002Defense Evasion

Fuente: MITRE ATT&CK ·
Análisis: Quest Security Advisory

Parche Disponible — Acción Inmediata
Quest ha liberado un parche crítico disponible en KB 4379499. Dada la puntuación CVSS 10.0 y presencia en CISA KEV, la ventana de aplicación es crítica: 24 horas máximo para sistemas expuestos, 72 horas para instancias internas.
Advertencia operacional:
El parche requiere reinicio completo del appliance KACE y puede necesitar reconfiguración de conexiones de agentes. Implementar workarounds temporales: restricción por IP, deshabilitación de interfaces web no esenciales, monitoreo intensivo de logs.

Qué Deberías Hacer en las Próximas 48 Horas

La explotación activa confirmada por CISA y la puntuación CVSS máxima convierten este CVE en una emergencia operacional que requiere respuesta coordinada inmediata.

Aislamiento Inmediato

Desconectar todos los Quest KACE SMA de acceso directo a internet. Implementar restricción de acceso por IP origen y requerir VPN con MFA para cualquier sesión administrativa. Invalidar todos los tokens de sesión activos.

Auditoría de Compromiso

Revisar logs de autenticación KACE de últimas 72 horas buscando cuentas administrativas creadas sin autorización. Verificar integridad de sistemas OT conectados, especialmente PLCs y controladores críticos.

Monitoreo Intensivo

Activar alertas en tiempo real para eventos de creación de cuentas privilegiadas, reutilización anómala de tokens y acceso administrativo desde ubicaciones no habituales. Correlacionar con logs de AD y sistemas críticos.

Parcheo de Emergencia

Coordinar ventana de mantenimiento de emergencia para aplicar parche KB 4379499. Preparar rollback plan y verificar conectividad de agentes post-reinicio. Priorizar instancias expuestas a internet.

Activar protocolo de respuesta a incidentes críticos y comunicar a stakeholders ejecutivos sobre potencial compromiso de infraestructura. Considerar ejercicio tabletop para validar procedimientos de contención.

Cómo Proteger tu Organización

Este CVE demuestra por qué la visibilidad continua sobre plataformas de gestión críticas no es opcional. Nuestro servicio SOC 24/7 incluye monitoreo especializado de systems management appliances, correlacionando eventos de autenticación anómala con actividad en sistemas gestionados para detectar compromiso antes de que escale.

La diferencia está en la correlación inteligente: cuando KACE SMA muestra actividad administrativa sospechosa, correlacionamos inmediatamente con logs de endpoints gestionados, detectamos patrones de movimiento lateral y activamos contención automatizada antes de que el atacante establezca persistencia en la infraestructura crítica.

Marco Regulatorio en Juego
LFPDPPP Art. 36 y 37 activan obligación de notificación a titulares si KACE procesaba datos personales; GDPR Art. 33 requiere notificación a autoridad supervisora en 72 horas si hay residentes UE afectados; ISO 27001 controles A.8.5 (Autenticación segura) y A.5.16 (Gestión de identidad) evidencian fallas arquitectónicas; NIST SP 800-53 controles IA-2 e IA-3 comprometen identificación organizacional. Para entidades financieras bajo CNBV: Circular Única de Bancos Título Décimo Tercero sobre gestión de riesgos tecnológicos requiere notificación en 72 horas si afecta datos de clientes.
Lección regulatoria:
Las plataformas de gestión críticas como KACE SMA requieren controles compensatorios adicionales precisamente porque un compromise significa pérdida de control sobre todo el entorno gestionado, no solo el sistema vulnerable.

Impacto Reputacional y en Medios

La ausencia de cobertura mediática mexicana específica sobre CVE-2025-32975 no refleja menor gravedad, sino posiblemente que las víctimas aún no han detectado compromise o mantienen confidencialidad mientras investigan el alcance. Quest KACE SMA es una plataforma ampliamente desplegada en organizaciones que requieren gestión centralizada de endpoints críticos.

Para CISOs, este escenario plantea un dilema reputacional específico: un compromise no detectado en KACE puede haber expuesto durante semanas o meses toda la infraestructura de endpoints sin que la organización lo sepa. La recomendación es asumir compromise potencial y ejecutar investigación forense proactiva antes de que evidencia externa fuerce divulgación pública.

Continúa en el Capítulo ZDU — El Suplantador de Identidades →

G.E.N.N.I.E. — Centro de Inteligencia Simbiótica

Quest KACE SMA representa el escenario pesadilla de sistemas de gestión: cuando el controlador se convierte en el controlado. La suplantación sin credenciales transforma cada appliance en un proxy administrativo hostil, heredando todos los privilegios del gestor legítimo sobre infraestructura crítica.

Luna Varela de la Vega — ZDU-INTEL-VARELA

Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.

La misma amenaza. Scattered Spider. Una identidad robada que controla miles.
ZDU-036 — Severidad 5 — Crítica

ZDU-036: Suplantación Administrativa — Colapso de Identidad Crítica

Quest KACE SMA · CVE-2025-32975 · CVSS 10.0 · Bypass total de autenticación · Scattered Spider (probable) · TRINITY activa

Imagen ZDU ZDU-VILLAIN — zdu-036-villain

El primer administrador no fue bloqueado. Simplemente dejó de ser él.

La sesión se abrió a las 14:32 desde una workstation conocida, con el token correcto, el comportamiento esperado. El sistema Quest KACE SMA registró el login como legítimo — porque técnicamente lo era. Excepto que el usuario real estaba en una junta de presupuesto tres pisos arriba, con su laptop cerrada sobre la mesa de juntas.

Nadie lo vio entrar. Nadie lo vio moverse. Cuando el SOC revisó los logs cuatro horas después, encontró diecisiete cuentas administrativas activas simultáneamente en el appliance de gestión central. Todas válidas. Todas autenticadas. Ninguna controlada por humanos reales.

CVE-2025-32975 no roba credenciales. Las suplanta. La diferencia es letal: un atacante remoto puede generar sesiones administrativas sin conocer contraseñas, sin interceptar tokens, sin phishing. Simplemente es el administrador. El sistema no detecta anomalía porque no hay anomalía técnica — solo identidad colapsada.

Cuando Magna llegó al data center tres horas después, encontró al equipo de infraestructura mirando pantallas que mostraban su propia actividad reflejada desde cuentas que no estaban usando. Era como verse en un espejo que se movía solo.

Detección

Imagen ZDU ZDU-DETECCION-1 — zdu-036-deteccion-1

KEV-1 detectó el patrón a las 18:47 — cuatro horas después del primer login fantasma. No fue el volumen de sesiones lo que disparó la alerta. Fue la geometría imposible: tres administradores autenticados desde ubicaciones físicas separadas por 2,400 kilómetros, con solapamiento temporal de 90 segundos entre conexiones. El algoritmo de clustering geográfico marcó la secuencia como IDENTITY_TOPOLOGY_VIOLATION.

«Detección KEV: CVE-2025-32975 — Quest KACE SMA — bypass de autenticación con suplantación administrativa. Diecisiete sesiones concurrentes. Cero solicitudes de segundo factor registradas. Patrón consistente con T1078.001 Valid Accounts Default y T1556 Modify Authentication Process. Correlación CISA KEV activa desde 2025-05-07. Explotación confirmada in-the-wild. Recomendación: aislar appliance inmediatamente — este CVE elimina el concepto de usuario confiable.»

Eris recibió el alert mientras revisaba tráfico Scattered Spider en BreachForums. La coincidencia temporal la hizo detenerse: ese grupo había estado silencioso durante semanas, sin víctimas públicas, sin leaks. Pero su modus operandi histórico encajaba perfectamente — ingeniería social sofisticada, compromiso de identidades críticas, operación desde territorio estadounidense.

Abrió el dashboard de MITRE ATT&CK y trazó la cadena: T1078.001 → T1586.003 Compromise Accounts → T1550.002 Pass the Token. No era un ataque de fuerza bruta. Era algo más elegante y más aterrador: los atacantes no necesitaban robar identidad — la fabricaban.

«Seventeen admin sessions. Zero MFA challenges. Zero password resets. Esto no es compromiso — es clonación de identidad a nivel de aplicación. Si KACE dice que eres tú, entonces eres tú. Scattered Spider tiene capacidad documentada para este tipo de suplantación. Revisando logs retroactivos 30 días.»

Imagen ZDU ZDU-DETECCION-2 — zdu-036-deteccion-2

Escalación · Análisis · Contención · Forensia

NeonMind activó TRINITY a las 19:03. No esperó confirmación de impacto — CVSS 10.0 con bypass total de autenticación en infraestructura de gestión central era automáticamente crítico. Convocó al equipo completo en canal cifrado y abrió con la métrica que nadie quería escuchar:

«NIST CSF postura: GOVERN comprometido — visibilidad de activos perdida. IDENTIFY severamente degradado — inventario de identidades no confiable. PROTECT colapsado — controles PR.AC destruidos. DETECT parcialmente funcional — solo detectamos cuatro horas después. RESPOND activo pero operando a ciegas. Necesito saber qué más controla ese appliance antes de aislarlo.»

Magna ya tenía la respuesta. Había pasado los últimos veinte minutos trazando dependencias en el diagrama de red industrial. Quest KACE SMA no era solo gestión de endpoints corporativos — también administraba workstations en planta que configuraban PLCs Siemens y Schneider Electric. El appliance comprometido tenía acceso directo a sistemas que supervisaban procesos de manufactura crítica.

Imagen ZDU ZDU-INTELIGENCIA — zdu-036-inteligencia

«KACE gestiona 340 endpoints. 89 están en red OT. 12 tienen acceso directo a HMI de líneas de producción. Si alguien suplanta al admin de KACE, puede desplegar configuraciones maliciosas a esas workstations y desde ahí pivotar a controladores. OWASP OT:2025 A02 — acceso no autenticado a sistemas críticos. No podemos simplemente apagarlo — esas workstations dependen de KACE para actualizaciones de seguridad.»

El silencio en el canal duró exactamente tres segundos. Luego NeonMind habló con el tono que usaba cuando las opciones buenas ya no existían:

«Entonces no lo aislamos todavía. Primero revocamos todas las cuentas comprometidas, forzamos regeneración de tokens, y establecemos monitoring manual en cada sesión administrativa. Stratos — necesito que audites todas las integraciones cloud de ese KACE. Si tiene service accounts vinculados a AWS o GCP, están comprometidos también.»

Eris encontró la primera evidencia forense a las 19:47. En los logs de autenticación había un patrón que solo era visible retroactivamente: las sesiones fantasma siempre se abrían exactamente 90 segundos después de que un administrador legítimo cerrara sesión. Como si alguien estuviera esperando la ventana de oportunidad — el momento en que el token aún era válido pero el usuario real ya no estaba monitoreando.

«Tengo timeline de compromiso. Primera sesión suplantada: 2025-05-04 a las 03:22. Cuatro días antes de que KEV-1 detectara. Scattered Spider estuvo dentro todo ese tiempo, probablemente mapeando la red completa. No atacaron nada todavía — solo observaron. Eso es consistente con su playbook: reconocimiento prolongado antes de monetización.»

NeonMind actualizó el tablero FRP con el dato que cambiaba todo: no estaban conteniendo un ataque activo — estaban descubriendo una operación de inteligencia que llevaba días en curso.

Regulator intervino desde legal con la pregunta que nadie había formulado todavía:

«¿Qué datos procesa ese appliance? Si tiene inventarios de empleados, credenciales de AD, o cualquier información personal — LFPDPPP activa notificación obligatoria en 72 horas si confirmamos acceso no autorizado. Y ya confirmamos diecisiete accesos no autorizados.»

Inteligencia

Imagen ZDU ZDU-ESCALACION — zdu-036-escalacion

Blacktrace revisó los últimos 90 días de actividad Scattered Spider en foros dark web. Encontró algo más inquietante que evidencia de ataque: ausencia total de actividad. Cero leaks. Cero víctimas publicadas. Cero boasting en canales habituales. Para un grupo que históricamente operaba con perfil visible, el silencio era ensordecedor.

«Scattered Spider está fantasma desde marzo. Sin victims claims. Sin data leaks. Sin malware samples nuevas en la wild. Dos escenarios posibles: o cambiaron completamente su operación a reconocimiento silencioso sin monetización inmediata, o están reservando sus accesos para algo más grande. CVE-2025-32975 les da capacidad de comprometer infraestructura de gestión sin dejar rastro técnico — perfecta para operación de inteligencia prolongada.»

Eris cruzó esa información con los logs forenses. Las sesiones suplantadas no habían ejecutado comandos destructivos, no habían exfiltrado datos masivos, no habían desplegado ransomware. Solo habían navegado inventarios, revisado configuraciones, mapeado dependencias. Comportamiento de reconnaissance puro.

«No vinieron a destruir. Vinieron a aprender. Eso es peor.»

NeonMind detuvo la escritura exactamente un segundo cuando el CISO entró al war room físico. No dijo nada — solo se ubicó en el umbral, leyendo el tablero proyectado en la pared. Su presencia alteró la gravedad de la sala de forma imperceptible pero innegable.

Conflicto

Imagen ZDU ZDU-CONFLICTO — zdu-036-conflicto

Magna descubrió la verdadera dimensión del problema a las 20:34. Revisando los logs de configuración del appliance KACE, encontró que alguien — probablemente durante las sesiones suplantadas — había modificado las políticas de despliegue de parches para las workstations OT. Los cambios eran sutiles: retrasar actualizaciones críticas por 72 horas, deshabilitar verificación de firmas digitales, permitir ejecución de scripts sin supervisión.

«No robaron nada. Prepararon el terreno. Modificaron políticas de seguridad en sistemas OT para que cuando decidan atacar realmente, no haya defensas funcionales. Es como si hubieran desactivado las alarmas de incendio pero sin quemar nada todavía. IEC 62443 nivel de seguridad: degradado de SL3 a SL1 sin que nadie lo notara.»

El CISO habló por primera vez desde que había entrado:

«¿Cuánto tiempo tenemos antes de que se den cuenta de que los detectamos?»

«Asumiendo que están monitoreando sus propios accesos — ya lo saben. La pregunta es si deciden atacar ahora o retirarse silenciosamente.»

Contraataque

Imagen ZDU ZDU-CONTRAATAQUE-1 — zdu-036-contraataque-1

Stratos completó la auditoría de integraciones cloud a las 21:15. El resultado confirmaba el peor escenario: el appliance KACE comprometido tenía service accounts vinculados a AWS con permisos de IAM excesivos — incluido acceso a S3 buckets con datos de clientes y EC2 instances que corrían aplicaciones críticas de negocio.

«KACE tiene un IAM role en AWS con permisos ec2:* y s3:*. Si Scattered Spider suplantó esas cuentas administrativas, tienen las llaves del reino cloud. Revisando CloudTrail retroactivo — necesito confirmar si ya pivotaron hacia AWS o si solo mapearon el acceso.»

Tres minutos después encontró la evidencia: llamadas API a DescribeInstances, ListBuckets, y GetCallerIdentity originadas desde el appliance KACE durante las sesiones suplantadas. No habían ejecutado acciones destructivas, pero habían enumerado completamente la infraestructura cloud.

«Confirmado: reconnaissance cloud activo. Revocando ese IAM role inmediatamente. Implementando MFA forzoso en todos los puntos de acceso KACE restantes. Scattered Spider ahora sabe exactamente qué tenemos en AWS — pero ya no pueden tocarlo.»

NeonMind orquestó la contención final con precisión quirúrgica: aislar el appliance KACE de internet pero mantener conectividad interna limitada para no interrumpir operaciones OT críticas. Regenerar todas las credenciales administrativas simultáneamente. Establecer monitoring manual en cada sesión hasta confirmar 72 horas sin actividad sospechosa.

A las 23:40, Eris validó el estado:

«Veinticuatro horas limpias. Cero sesiones suplantadas. Cero intentos de reconexión. O se retiraron silenciosamente, o están esperando que bajemos la guardia.»

Imagen ZDU ZDU-CONTRAATAQUE-2 — zdu-036-contraataque-2

Resolución

Luna escribió el post-mortem a las 02:15, después de que el equipo técnico finalmente abandonara el war room. No usó la palabra “victoria” en ningún párrafo. Usó “contención” once veces y “exposición residual” cuatro.

CVE-2025-32975 había demostrado algo que la industria llevaba años negando: los sistemas de gestión de identidad no son infalibles — son puntos únicos de fallo. Quest KACE SMA, con CVSS 10.0 y capacidad de suplantación administrativa sin credenciales, había convertido el concepto de “usuario confiable” en una ficción.

Las organizaciones que operaban estos appliances — especialmente en sectores críticos como manufactura, finanzas, gobierno — enfrentaban una realidad incómoda: durante días, posiblemente semanas, alguien más había sido sus administradores. Había visto lo que ellos veían. Había controlado lo que ellos controlaban. Y lo había hecho sin dejar rastro técnico detectable hasta que era demasiado tarde.

Luna terminó el análisis con la única pregunta que importaba:

Si un atacante puede ser cualquier administrador sin necesidad de robar credenciales, ¿qué significa realmente “autenticación”? ¿Y cuántos otros sistemas críticos operan bajo la misma ilusión de identidad verificable?

El CISO leyó el draft antes de publicación. No pidió cambios. Solo agregó una nota al margen que Luna decidió no incluir en la versión final:

“Detectamos esto porque KEV-1 vio un patrón geográficamente imposible. ¿Qué pasa con los ataques que son geográficamente posibles?”

Esa pregunta quedó sin respuesta. Como tantas otras cosas esa noche.

Veritas revisó los análisis legales de privacidad dos pisos abajo, en una oficina que nadie visitaba después de las diez. Cuando Luna bajó a las 03:40 buscando café, lo encontró todavía escribiendo — redactando notificaciones LFPDPPP con un nivel de detalle que solo tenía sentido si conocías exactamente qué datos importaban a quién. Y por qué.

Luna se detuvo en el umbral. No dijo nada. Pero por primera vez en semanas, se quedó ahí treinta segundos más de lo necesario.

Imagen ZDU ZDU-RESOLUCION — zdu-036-resolucion
Héroe activado

KEV-1

Agente Autónomo CISA KEV. Detección geométrica de identidad imposible y correlación temprana de patrones de suplantación administrativa

CISA KEV · Behavioral Detection · Identity Fabrication

Héroe activado

Eris Sentinel

Threat Intelligence y forensia de sesiones suplantadas con correlación de TTPs MITRE para cadenas de bypass administrativo

MITRE ATT&CK · Session Forensics · Token Impersonation

Héroe activado

NeonMind

Comando Fast Response Protocol bajo NIST CSF. Orquestación de contención quirúrgica sin interrumpir operación administrativa

Fast Response · NIST CSF · SOAR

Héroe activado

Magna

ICS/OT Security. Análisis de impacto en infraestructura crítica y controles compensatorios en redes industriales conectadas

ICS/OT Security · Industrial Control · Critical Infrastructure

Héroe activado

Stratos

Cloud SASE y auditoría AWS IAM. Revocación de accesos cloud y aislamiento de identidades comprometidas en perímetro elástico

Cloud SASE · AWS IAM · Access Revocation

Héroe activado

Blacktrace

Dark Web Intelligence. Análisis del silencio operativo de Scattered Spider y mapeo de motivación táctica en explotación sigilosa

Dark Web Intel · OSINT · Scattered Spider

Héroe activado

Regulator

GRC. Compliance drafting y timeline de notificación regulatoria por data exposure vía bypass administrativo

GRC · Compliance Drafting · Notification Timeline

Héroe activado

Veritas

Legal · Privacy. Redacción de notificaciones de privacidad y revisión de obligaciones bajo LFPDPPP en México

Legal · Privacy Notice · LFPDPPP

Héroe activado

Luna Varela

Inteligencia Estratégica. Post-mortem editorial y síntesis narrativa de la operación coordinada

Strategic Intelligence · Editorial Synthesis · Narrative

Héroe activado

G.E.N.N.I.E.

Inteligencia Artificial Central. Análisis de patrones de suplantación y correlación cross-incidente en el universo ZDU

AI Core · Pattern Analysis · ZDU Correlation

Villano

Scattered Spider

Threat actor especializado en social engineering de identidades administrativas, bypass de MFA y persistencia silenciosa en infraestructura corporativa. Operación coordinada bajo motivación financiera; permanece activo y monitoreado por Blacktrace en dark web.

Social Engineering · MFA Bypass · Identity Persistence


Scattered Spider — retrato villano vertical
Retrato · click para detalle
Indicadores de Compromiso · IOC

Evidencia técnica verificada

8.7AP ScoreMetodología →
14IOCs activos
CRITICALSeveridad
CVSS 10.0Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorVTFuenteConfThreatAcciones
MD5e1ec76a0e1f48901566d53828c34b5dc56/71otx✓ VTtrojan.ulise/mikeyVTMB
MD583b7a106a5e810a1781e62b27890939650/72otx✓ VTtrojan.purelogs/msilVTMB
MD51fc0a876a121882ffaad6677f444cf5b28/62otx✓ VTtrojan.gafgyt/tl0101…VTMB
SHA1ea690c3acfa6592c601e4b5dd6122805063bac53otx75%VTMB
SHA25686db2530298e6335d3ecc66c...1faa00f1otx75%VTMB
SHA256ab6677fcbbb1ff4a22cc3e73...f850e6c5otx75%VTMB
SHA256b1b2f1e36dcaa36bc587fda1...b0b0ffafotx75%VTMB
IPv445.148.10.212otx75%VTSH
IPv4103.177.110.202otx75%VTSH
IPv494.154.172.43otx75%VTSH
URLhttp://103.177.110.202/bot_x64.exeotx75%VT
SHA256f79d05065a2ba7937b8781e6...a5e37f9botx75%VTMB
SHA1d3beab2e2252a13d5689e9911c2b2b2fc3a41086otx75%VTMB
SHA1deb4b5841eea43cb8c5777ee33ee09bf294a670dotx75%VTMB
MITRE ATT&CKT1078.001T1556T1586.003T1550.002T1078
ActorVolt Typhoon (probable)
Fuentes verificadas:AlienVault OTXVirusTotal / GTI· TLP:WHITE · 2026-07-19
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. La columna VT muestra positives/total de motores antivirus en VirusTotal/GTI. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.
Scroll al inicio