Cuando múltiples equipos de seguridad alrededor del mundo detectan el mismo patrón, sabes que estás frente a una campaña coordinada masiva.
La línea entre el cibercrimen financiero y el ciberespionaje patrocinado por estados se está difuminando rápidamente. Un equipo de Respuesta a Incidentes ha revelado los detalles de la Operación Storming Tide, una sofisticada campaña de intrusión de múltiples etapas descubierta en febrero de 2026 en una organización europea de logística y transporte.
El Actor de Amenazas: Mora_001
La investigación atribuye este ataque a Mora_001 (también conocido internamente como FortiSync Quasar), un actor de amenazas de origen ruso previamente vinculado a la explotación de vulnerabilidades en dispositivos Fortinet y a la implementación de ransomware.
Diversas firmas de inteligencia, incluyendo Amazon, SentinelOne, Arctic Wolf, eSentire y Huntress, han observado tácticas similares en incidentes recientes, lo que llevó a concluir que todos estos ataques forman parte de una misma campaña global coordinada por múltiples grupos criminales. El objetivo principal de esta operación parece ser la recopilación de inteligencia y la exfiltración de datos, dejando el impacto financiero como un motivo secundario y oportunista.
Evolución del Ataque y Herramientas
El ataque documentado siguió una línea de tiempo meticulosamente calculada para priorizar el sigilo por encima de la velocidad:
- Compromiso Inicial (Finales de 2025): Los atacantes vulneraron un firewall perimetral de Fortinet y configuraron un túnel VPN remoto, creando un canal de reingreso encriptado y persistente de manera indetectable.
- Período de Inactividad: Tras el acceso inicial, el grupo se mantuvo completamente inactivo durante meses para evitar levantar sospechas y eludir el monitoreo tradicional de la red.
- Movimiento Lateral (Principios de 2026): Mora_001 saltó hacia la red interna utilizando dispositivos no administrados, evadiendo así la cobertura de las soluciones de detección en los endpoints corporativos.
- Despliegue del Arsenal (Febrero de 2026): Los atacantes utilizaron el avanzado cargador Matanbuchus 3.0 (comercializado como malware como servicio) para introducir herramientas más letales, incluyendo el troyano Astarion RAT para control remoto, SystemBC para enmascarar el tráfico de Comando y Control (C2), y RClone para preparar la exfiltración masiva de datos hacia repositorios de Amazon S3.
Afortunadamente, el equipo de seguridad logró detectar los escaneos anómalos en la red interna y contuvo la amenaza antes de que se concretara el robo de información o se ejecutara una posible carga final de cifrado.
