El equipo de Amazon Threat Intelligence ha interrumpido operaciones activas atribuidas a piratas informáticos que trabajan para la agencia de inteligencia militar extranjera rusa, GRU, que apuntaban a la infraestructura de nube de los clientes.
El proveedor de servicios en la nube observó un enfoque en la infraestructura crítica occidental, especialmente el sector energético, en la actividad que comenzó en 2021.
Con el tiempo, el actor de amenazas pasó de explotar vulnerabilidades (de día cero y conocidas) a aprovechar dispositivos periféricos mal configurados para el acceso inicial.
Menos vulnerabilidades explotadas
CJ Moses, CISO de Amazon Integrated Security, señala que hasta 2024, la campaña de «años» explotó múltiples vulnerabilidades en WatchGuard, Confluence y Veeam como principal vector de acceso inicial y apuntó a dispositivos mal configurados.
Este año, sin embargo, el actor de amenazas se basó menos en las vulnerabilidades y más en apuntar a dispositivos de borde de red de clientes mal configurados, como enrutadores empresariales, puertas de enlace VPN, dispositivos de gestión de red, plataformas de colaboración y soluciones de gestión de proyectos basadas en la nube.
«Apuntar a la 'fruta madura' de los dispositivos de clientes probablemente mal configurados con interfaces de administración expuestas logra los mismos objetivos estratégicos, que es el acceso persistente a redes de infraestructura crítica y la recolección de credenciales para acceder a los servicios en línea de las organizaciones víctimas», Moisés explica.
«El cambio en el ritmo operativo del actor de amenazas representa una evolución preocupante: si bien el objetivo de la configuración incorrecta del cliente ha estado en curso desde al menos 2022, el actor mantuvo un enfoque sostenido en esta actividad en 2025 al tiempo que redujo la inversión en la explotación de día cero y día N», añadió.
Sin embargo, la evolución táctica no reflejó ningún cambio en los objetivos operativos del grupo: robar credenciales y moverse lateralmente en la red de la víctima con la menor exposición y el menor número de recursos posible.
Basándose en los patrones de focalización y las superposiciones en la infraestructura observadas en los ataques de Sandworm (APT44, Seashell Blizzard) y Curly COMrades, Amazon evalúa con alta confianza que los ataques observados fueron llevados a cabo por piratas informáticos que trabajan para el GRU ruso.
Amazon cree que los hackers de Curly COMRades, informado por primera vez por Bitdefenderpuede tener la tarea de actividad posterior al compromiso en una campaña GRU más amplia que involucra múltiples subgrupos especializados.
Difundiendo en la red
Aunque Amazon no observó directamente el mecanismo de extracción, la evidencia en forma de demoras entre el compromiso del dispositivo y el aprovechamiento de las credenciales, y el abuso de las credenciales de la organización, apunta a la captura pasiva de paquetes y la interceptación del tráfico.
Los dispositivos comprometidos eran dispositivos de red administrados por el cliente alojados en instancias AWS EC2, y Amazon señaló que los ataques no aprovecharon fallas en el servicio AWS en sí.
Después de descubrir los ataques, Amazon tomó medidas inmediatas para proteger las instancias EC2 comprometidas y notificó a los clientes afectados sobre la infracción. Además, compartieron inteligencia con proveedores y socios industriales afectados.
«A través de esfuerzos coordinados, desde nuestro descubrimiento de esta actividad, hemos interrumpido las operaciones activas de los actores de amenazas y reducido la superficie de ataque disponible para este subgrupo de actividades de amenazas», dijo Amazon.
Amazon compartió las direcciones IP ofensivas en su informe, pero advirtió que no las bloquee sin realizar primero una investigación contextual porque son servidores legítimos que el actor de amenazas comprometió para representar su tráfico.
La compañía recomendó además una serie de “acciones prioritarias inmediatas” para el próximo año, como auditar los dispositivos de red, observar la actividad de reproducción de credenciales y monitorear el acceso a los portales administrativos.
Específicamente en entornos de AWS, se recomienda aislar las interfaces de administración, restringir los grupos de seguridad y habilitar CloudTrail, GuardDuty y VPC Flow Logs.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
