THREAT INTELLIGENCE

APTs activos en Ecuador y LATAM

Perfiles de grupos de amenazas persistentes avanzadas que operan activamente en la región. TTPs mapeados a MITRE ATT&CK, indicadores de compromiso y recomendaciones de defensa.

5Grupos perfilados
2Amenaza crítica
5Activos en 2025-2026

Sectores más atacados

Gobierno y sector público
Banca y cooperativas (SEPS)
Telecomunicaciones
Energía y recursos

Vectores principales

Spearphishing dirigido
Troyanos bancarios
Suplantación de entidades (SRI, IESS)
Watering hole en sitios .gob.ec

Motivación

Espionaje gubernamental
Robo financiero (SWIFT/banca)
Fraude bancario masivo
Robo de información clasificada

Blind Eagle

APT-C-36CRÍTICOACTIVO
Origen: Sudamérica
Objetivos: Ecuador, Colombia, Chile, Panamá
Último avistamiento: 2026

Grupo de espionaje que opera desde Sudamérica con campañas altamente dirigidas contra entidades gubernamentales y financieras en la región andina. Utiliza spearphishing con documentos que suplantan entidades oficiales como el SRI, IESS y superintendencias.

GobiernoFinancieroEnergíaTelecomunicaciones

TTPs — MITRE ATT&CK

T1566.001Initial Access

Spearphishing con documentos PDF/DOCX troyanizados

T1059.001Execution

Macros VBA, PowerShell ofuscado, DLL sideloading

T1547.001Persistence

Registry Run Keys, tareas programadas

T1071.001C2

Dynamic DNS, servicios legítimos (Discord, Telegram)

T1041Exfiltration

Exfiltración vía HTTPS a infraestructura propia

Malware asociado

njRATAsyncRATQuasar RATLimeRATBitRAT

Indicadores de compromiso

  • Emails suplantando DIAN, SRI, Fiscalía
  • Dominios .duckdns.org
  • URLs acortadas con bit.ly/cutt.ly
  • Archivos .iso/.img como vector de entrega

Recomendaciones de defensa

  • Bloquear macros en documentos de Office desde fuentes externas
  • Implementar filtrado de URLs y dominios dinámicos (*.duckdns.org)
  • Capacitar al personal sobre phishing dirigido con suplantación de entidades ecuatorianas
  • Monitorear conexiones salientes a servicios de DNS dinámico
  • Implementar EDR con detección de PowerShell ofuscado

Machete

El Machete / APT-C-43ALTOACTIVO
Origen: Hispanoamérica
Objetivos: Ecuador, Venezuela, Colombia, Nicaragua, Bolivia
Último avistamiento: 2025

Grupo de ciberespionaje de habla hispana activo desde 2010, enfocado en robar documentos clasificados de entidades gubernamentales y militares latinoamericanas. Sus campañas han sido detectadas en múltiples instituciones del gobierno ecuatoriano.

GobiernoMilitarEmbajadasInstituciones públicas

TTPs — MITRE ATT&CK

T1566.001Initial Access

Spearphishing con documentos militares/gubernamentales falsos

T1059.006Execution

Scripts Python compilados (.pyw), AutoIt

T1056.001Collection

Keylogging, capturas de pantalla, copia de USBs

T1048.003Exfiltration

FTP a servidores controlados

T1083Discovery

Enumeración de archivos .doc, .xls, .pdf en el sistema

Malware asociado

Machete backdoor (Python)PyarkCustom keyloggers

Indicadores de compromiso

  • Documentos con temática militar/gubernamental
  • Ejecutables Python empaquetados con py2exe
  • Tráfico FTP saliente inusual
  • Capturas de pantalla periódicas en %TEMP%

Recomendaciones de defensa

  • Monitorear tráfico FTP saliente no autorizado
  • Restringir ejecución de scripts Python en endpoints gubernamentales
  • Implementar DLP para documentos clasificados
  • Auditar dispositivos USB conectados a sistemas sensibles
  • Bloquear acceso a servicios de almacenamiento no corporativos

Lazarus Group

APT38 / Hidden CobraCRÍTICOACTIVO
Origen: Corea del Norte
Objetivos: Global — América Latina, Ecuador (sector financiero)
Último avistamiento: 2026

Grupo estatal norcoreano responsable de ataques al sistema SWIFT y robos millonarios a bancos latinoamericanos. Bancarizas de Ecuador, Chile, México y Costa Rica han sido objetivos directos o colaterales de sus campañas de robo financiero.

BancaFintechExchanges criptoSWIFT

TTPs — MITRE ATT&CK

T1566.002Initial Access

Ofertas de trabajo falsas (LinkedIn), watering hole

T1055.001Execution

Loader personalizado, DLL injection en procesos legítimos

T1543.003Persistence

Servicios Windows modificados, bootkits

T1657Impact

Manipulación de transacciones SWIFT

T1070.006Defense Evasion

Timestomping, wiper post-ataque

Malware asociado

FALLCHILLManuscryptThreatNeedleCOPPERHEDGEAppleJeus

Indicadores de compromiso

  • Ofertas laborales falsas en LinkedIn/Indeed
  • Aplicaciones de trading troyanizadas
  • Conexiones a infraestructura norcoreana conocida
  • Modificaciones en software SWIFT local

Recomendaciones de defensa

  • Auditar integridad del software SWIFT y sistemas core bancarios
  • Implementar segmentación estricta en redes de procesamiento financiero
  • Monitorear perfiles falsos de reclutadores en LinkedIn
  • Validar aplicaciones de trading/cripto antes de instalar
  • Revisar logs de transacciones SWIFT por anomalías

Mekotio / Grandoreiro

Troyanos bancarios LATAMALTOACTIVO
Origen: Brasil
Objetivos: Ecuador, México, Brasil, Chile, España
Último avistamiento: 2026

Familia de troyanos bancarios de origen brasileño que afectan activamente a usuarios de banca en línea en Ecuador. Mekotio y Grandoreiro interceptan sesiones de banca electrónica, roban credenciales y generan transferencias fraudulentas. Afectan tanto a bancos comerciales como a cooperativas reguladas por la SEPS.

BancaCooperativas (SEPS)Usuarios finalesComercio electrónico

TTPs — MITRE ATT&CK

T1566.001Initial Access

Phishing masivo: facturas SRI, notificaciones bancarias

T1059.005Execution

MSI installers, scripts VBS, AutoHotKey

T1056.004Credential Access

Overlay de ventanas bancarias, keylogging

T1497.001Defense Evasion

Binarios >50MB para evadir sandboxes, geo-fencing

T1568.002C2

Comunicación cifrada a C2 con DGA (Domain Generation Algorithm)

Malware asociado

MekotioGrandoreiroCasbaneiroZumanek

Indicadores de compromiso

  • MSI de >50MB descargados de URLs acortadas
  • Emails suplantando bancos ecuatorianos y SRI
  • Ventanas overlay sobre portales de banca en línea
  • Registros DNS con patrones DGA

Recomendaciones de defensa

  • Implementar autenticación de dos factores resistente a overlay (tokens hardware)
  • Bloquear descarga de archivos .msi desde correos electrónicos
  • Monitorear resoluciones DNS con patrones algorítmicos (DGA)
  • Capacitar a clientes de banca en línea sobre phishing bancario
  • Evaluar integridad visual de la app bancaria contra ataques de overlay

Ousaban / Javali

Troyano bancario regionalMEDIOACTIVO
Origen: Brasil
Objetivos: Ecuador, Brasil, México, Perú
Último avistamiento: 2025

Troyano bancario que se distribuye a través de campañas de phishing suplantando servicios de entrega y facturación. Tiene capacidad de captura de credenciales bancarias mediante ventanas superpuestas y ha sido detectado en campañas dirigidas a instituciones financieras ecuatorianas.

BancaCooperativas financierasServicios de pago

TTPs — MITRE ATT&CK

T1566.001Initial Access

Emails de entrega de paquetes falsos, facturas electrónicas

T1059.007Execution

JavaScript downloader → MSI → DLL sideloading

T1115Credential Access

Overlay banking, clipboard hijacking

T1497.001Defense Evasion

Geolocalización de víctima, anti-VM, anti-debug

T1113Collection

Capturas de pantalla en portales bancarios

Malware asociado

OusabanJavali

Indicadores de compromiso

  • Emails suplantando Servientrega, Correos del Ecuador
  • JavaScript ofuscado en archivos .zip adjuntos
  • DLLs firmadas con certificados robados
  • Conexiones a IPs de Brasil y Panamá

Recomendaciones de defensa

  • Filtrar archivos .zip con JavaScript embebido en correo electrónico
  • Implementar validación de certificados en software bancario
  • Monitorear conexiones a rangos IP de hosting en Brasil/Panamá
  • Implementar detección de clipboard hijacking en endpoints financieros
  • Notificar a clientes sobre campañas activas de phishing bancario

¿Su organización está preparada para estas amenazas?

Evaluamos la postura de seguridad de su organización contra las tácticas reales que usan estos grupos en Ecuador.