APTs activos en Ecuador y LATAM
Perfiles de grupos de amenazas persistentes avanzadas que operan activamente en la región. TTPs mapeados a MITRE ATT&CK, indicadores de compromiso y recomendaciones de defensa.
Sectores más atacados
Vectores principales
Motivación
Blind Eagle
APT-C-36CRÍTICOACTIVOGrupo de espionaje que opera desde Sudamérica con campañas altamente dirigidas contra entidades gubernamentales y financieras en la región andina. Utiliza spearphishing con documentos que suplantan entidades oficiales como el SRI, IESS y superintendencias.
TTPs — MITRE ATT&CK
Spearphishing con documentos PDF/DOCX troyanizados
Macros VBA, PowerShell ofuscado, DLL sideloading
Registry Run Keys, tareas programadas
Dynamic DNS, servicios legítimos (Discord, Telegram)
Exfiltración vía HTTPS a infraestructura propia
Malware asociado
Indicadores de compromiso
- Emails suplantando DIAN, SRI, Fiscalía
- Dominios .duckdns.org
- URLs acortadas con bit.ly/cutt.ly
- Archivos .iso/.img como vector de entrega
Recomendaciones de defensa
- Bloquear macros en documentos de Office desde fuentes externas
- Implementar filtrado de URLs y dominios dinámicos (*.duckdns.org)
- Capacitar al personal sobre phishing dirigido con suplantación de entidades ecuatorianas
- Monitorear conexiones salientes a servicios de DNS dinámico
- Implementar EDR con detección de PowerShell ofuscado
Machete
El Machete / APT-C-43ALTOACTIVOGrupo de ciberespionaje de habla hispana activo desde 2010, enfocado en robar documentos clasificados de entidades gubernamentales y militares latinoamericanas. Sus campañas han sido detectadas en múltiples instituciones del gobierno ecuatoriano.
TTPs — MITRE ATT&CK
Spearphishing con documentos militares/gubernamentales falsos
Scripts Python compilados (.pyw), AutoIt
Keylogging, capturas de pantalla, copia de USBs
FTP a servidores controlados
Enumeración de archivos .doc, .xls, .pdf en el sistema
Malware asociado
Indicadores de compromiso
- Documentos con temática militar/gubernamental
- Ejecutables Python empaquetados con py2exe
- Tráfico FTP saliente inusual
- Capturas de pantalla periódicas en %TEMP%
Recomendaciones de defensa
- Monitorear tráfico FTP saliente no autorizado
- Restringir ejecución de scripts Python en endpoints gubernamentales
- Implementar DLP para documentos clasificados
- Auditar dispositivos USB conectados a sistemas sensibles
- Bloquear acceso a servicios de almacenamiento no corporativos
Lazarus Group
APT38 / Hidden CobraCRÍTICOACTIVOGrupo estatal norcoreano responsable de ataques al sistema SWIFT y robos millonarios a bancos latinoamericanos. Bancarizas de Ecuador, Chile, México y Costa Rica han sido objetivos directos o colaterales de sus campañas de robo financiero.
TTPs — MITRE ATT&CK
Ofertas de trabajo falsas (LinkedIn), watering hole
Loader personalizado, DLL injection en procesos legítimos
Servicios Windows modificados, bootkits
Manipulación de transacciones SWIFT
Timestomping, wiper post-ataque
Malware asociado
Indicadores de compromiso
- Ofertas laborales falsas en LinkedIn/Indeed
- Aplicaciones de trading troyanizadas
- Conexiones a infraestructura norcoreana conocida
- Modificaciones en software SWIFT local
Recomendaciones de defensa
- Auditar integridad del software SWIFT y sistemas core bancarios
- Implementar segmentación estricta en redes de procesamiento financiero
- Monitorear perfiles falsos de reclutadores en LinkedIn
- Validar aplicaciones de trading/cripto antes de instalar
- Revisar logs de transacciones SWIFT por anomalías
Mekotio / Grandoreiro
Troyanos bancarios LATAMALTOACTIVOFamilia de troyanos bancarios de origen brasileño que afectan activamente a usuarios de banca en línea en Ecuador. Mekotio y Grandoreiro interceptan sesiones de banca electrónica, roban credenciales y generan transferencias fraudulentas. Afectan tanto a bancos comerciales como a cooperativas reguladas por la SEPS.
TTPs — MITRE ATT&CK
Phishing masivo: facturas SRI, notificaciones bancarias
MSI installers, scripts VBS, AutoHotKey
Overlay de ventanas bancarias, keylogging
Binarios >50MB para evadir sandboxes, geo-fencing
Comunicación cifrada a C2 con DGA (Domain Generation Algorithm)
Malware asociado
Indicadores de compromiso
- MSI de >50MB descargados de URLs acortadas
- Emails suplantando bancos ecuatorianos y SRI
- Ventanas overlay sobre portales de banca en línea
- Registros DNS con patrones DGA
Recomendaciones de defensa
- Implementar autenticación de dos factores resistente a overlay (tokens hardware)
- Bloquear descarga de archivos .msi desde correos electrónicos
- Monitorear resoluciones DNS con patrones algorítmicos (DGA)
- Capacitar a clientes de banca en línea sobre phishing bancario
- Evaluar integridad visual de la app bancaria contra ataques de overlay
Ousaban / Javali
Troyano bancario regionalMEDIOACTIVOTroyano bancario que se distribuye a través de campañas de phishing suplantando servicios de entrega y facturación. Tiene capacidad de captura de credenciales bancarias mediante ventanas superpuestas y ha sido detectado en campañas dirigidas a instituciones financieras ecuatorianas.
TTPs — MITRE ATT&CK
Emails de entrega de paquetes falsos, facturas electrónicas
JavaScript downloader → MSI → DLL sideloading
Overlay banking, clipboard hijacking
Geolocalización de víctima, anti-VM, anti-debug
Capturas de pantalla en portales bancarios
Malware asociado
Indicadores de compromiso
- Emails suplantando Servientrega, Correos del Ecuador
- JavaScript ofuscado en archivos .zip adjuntos
- DLLs firmadas con certificados robados
- Conexiones a IPs de Brasil y Panamá
Recomendaciones de defensa
- Filtrar archivos .zip con JavaScript embebido en correo electrónico
- Implementar validación de certificados en software bancario
- Monitorear conexiones a rangos IP de hosting en Brasil/Panamá
- Implementar detección de clipboard hijacking en endpoints financieros
- Notificar a clientes sobre campañas activas de phishing bancario
¿Su organización está preparada para estas amenazas?
Evaluamos la postura de seguridad de su organización contra las tácticas reales que usan estos grupos en Ecuador.