Los hackers ahora compiten por atacar a las mismas víctimas, revela informe

Los cibercriminales no solo atacan a empresas y usuarios comunes, sino que también compiten entre sí para controlar sistemas vulnerados, según un nuevo informe de la firma de ciberseguridad SentinelOne. Esta tendencia quedó en evidencia con una reciente campaña de hacking donde un grupo desconocido expulsó a otros hackers de sistemas previamente comprometidos.

La investigación documenta un caso inusual: un grupo de hackers, aún no identificado, se infiltró en sistemas que ya habían sido comprometidos por el grupo TeamPCP, conocido por una serie de ataques recientes de alto perfil. Una vez dentro, los nuevos atacantes eliminaron las herramientas y el acceso de TeamPCP, tomando el control total de los sistemas.

El grupo responsable de esta campaña, bautizada PCPJack, usó el acceso obtenido para desplegar un código capaz de replicarse a través de infraestructuras en la nube como un gusano, robar credenciales y enviar la información sustraída a su propia infraestructura de comando y control. Esta operación demuestra que los grupos de ciberdelincuentes no solo buscan nuevas víctimas, sino que pelean por el control de los sistemas ya vulnerados por sus rivales.

El trasfondo de TeamPCP y los ataques recientes

TeamPCP ha estado en el centro de atención por una serie de ataques recientes. Entre sus víctimas se cuentan la infraestructura en la nube de la Comisión Europea y el popular escáner de vulnerabilidades Trivvy, afectando a compañías como LiteLLM y la startup de reclutamiento por IA Mercor. Estos incidentes han dejado expuestos a numerosos clientes y han puesto en evidencia la sofisticación de los métodos empleados por TeamPCP.

La investigadora de SentinelOne, Alex Delamotte, quien identificó la campaña PCPJack, indicó a TechCrunch sus hipótesis sobre quién podría estar detrás del nuevo grupo: exintegrantes descontentos de TeamPCP, una banda rival, o incluso un tercer actor que replicó las tácticas y herramientas empleadas anteriormente por TeamPCP en sus campañas contra infraestructuras en la nube.

Tácticas de ataque y objetivos económicos

Según el informe, los hackers detrás de PCPJack no se limitan a atacar sistemas ya comprometidos por TeamPCP. También buscan servicios expuestos en internet, como plataformas Docker y bases de datos MongoDB. Sin embargo, gran parte de su esfuerzo sigue dirigido a sistemas previamente controlados por TeamPCP.

El grupo PCPJack mantiene un registro de las ocasiones en las que logra expulsar a TeamPCP de un sistema, enviando estos datos a sus propios servidores. El objetivo principal parece ser económico: roban credenciales con la intención de monetizarlas, ya sea revendiéndolas, vendiendo acceso a los sistemas vulnerados como initial access brokers —intermediarios que facilitan el acceso a otros delincuentes— o extorsionando directamente a las víctimas.

A diferencia de otros ciberdelincuentes, PCPJack no instala software para minar criptomonedas en los sistemas atacados, una táctica descartada por requerir mayor tiempo para obtener beneficios.

Otra táctica identificada por Delamotte consiste en el uso de dominios que pretenden captar credenciales de administradores de contraseñas y la creación de sitios falsos de soporte técnico. Estas técnicas buscan engañar a los usuarios para que revelen información sensible, facilitando así el acceso no autorizado a sistemas críticos.

Competencia en el cibercrimen

El caso PCPJack refleja una dinámica cada vez más frecuente en el cibercrimen: la competencia directa entre distintos grupos por el control de víctimas y recursos. Esta rivalidad aumenta la complejidad de los incidentes y obliga a las empresas y usuarios a reforzar sus medidas de seguridad para evitar caer en manos de múltiples actores maliciosos.

La investigación advierte que este tipo de enfrentamientos pueden intensificarse en el futuro, dado el alto valor comercial de las credenciales y el acceso a infraestructuras tecnológicas críticas.

Compartir nota: