Los ciberdelincuentes operaron en las sombras durante más de un mes, comprometiendo equipos de seguridad perimetral antes de que existiera un parche disponible.
El perímetro defensivo de cientos de organizaciones fue penetrado silenciosamente desde sus cimientos. Este 18 de marzo de 2026, se reporta una agresiva campaña del grupo de ransomware Interlock, la cual está explotando de forma activa una vulnerabilidad crítica de zero-day en el software Secure Firewall Management Center (FMC) de Cisco.
La Brecha Temporal: 36 Días a Ciegas
La vulnerabilidad, rastreada bajo el identificador CVE-2026-20131, es devastadora por su naturaleza: permite a un atacante remoto y sin autenticación ejecutar código Java arbitrario con los máximos privilegios de root.
Aunque Cisco hizo pública la falla el 4 de marzo de 2026, los investigadores de inteligencia de amenazas descubrieron que el grupo Interlock ya estaba explotando esta vulnerabilidad desde el 26 de enero de 2026, dándoles una ventaja operativa de 36 días completos mientras los defensores permanecían en la ignorancia. Amazon compartió de inmediato sus hallazgos técnicos con Cisco para apoyar la investigación, aclarando que la infraestructura de AWS no estuvo involucrada en los ataques.
El Arsenal al Descubierto
Un golpe de suerte permitió a los investigadores avanzar en el caso cuando un servidor de infraestructura mal configurado por los propios atacantes expuso el conjunto de herramientas operativas de Interlock. Al simular un sistema comprometido, los investigadores lograron que los criminales desplegaran su carga útil principal:
- Los ataques iniciales se realizaban mediante solicitudes HTTP hacia una ruta vulnerable del software, las cuales contenían intentos de ejecución de código Java y URLs incrustadas para descargar herramientas de control.
- Para la post-explotación en entornos Windows, utilizan scripts de PowerShell que enumeran el sistema de forma exhaustiva, recolectando detalles del equipo, conexiones de red y artefactos de navegación, comprimiéndolos en archivos ZIP listos para su exfiltración.
- El grupo despliega troyanos de acceso remoto (RAT) personalizados construidos tanto en JavaScript (que utiliza WMI y conexiones WebSocket persistentes con cifrado RC4) como en Java (basado en librerías GlassFish) para garantizar un acceso interactivo redundante.
- Para ocultar su rastro, utilizan un script en Bash que configura servidores Linux como proxies inversos HTTP utilizando HAProxy, programado para borrar agresivamente los registros de actividad cada cinco minutos.
- Además, abusan de herramientas legítimas ampliamente utilizadas, como ConnectWise ScreenConnect, Volatility (para análisis de memoria) y Certify (para explotación de Active Directory).
El grupo Interlock, detectado por primera vez en septiembre de 2024 y que se presume opera desde la zona horaria UTC+3, es conocido por su modelo de doble extorsión, donde sus notas de rescate citan de forma única la exposición a regulaciones legales para maximizar la presión sobre sus víctimas.
Para defenderse, los expertos advierten que las firmas de hash tradicionales son inútiles, ya que los atacantes personalizan en gran medida el código descargado para cada red objetivo específica. Las organizaciones que operen Cisco Secure Firewall Management Center deben aplicar los últimos parches de seguridad de inmediato y centrar sus defensas en la detección de patrones de comportamiento y anomalías residentes en la memoria.
