{"id":147629,"date":"2025-05-16T09:44:34","date_gmt":"2025-05-16T16:44:34","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=147629"},"modified":"2025-08-01T09:45:20","modified_gmt":"2025-08-01T16:45:20","slug":"threat-group-assessment-muddled-libra-2024","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/","title":{"rendered":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)"},"content":{"rendered":"<h2><a id=\"post-144374-_heading=h.ium01z2cagif\"><\/a>Resumen ejecutivo<\/h2>\n<p><strong>Actualizaci\u00f3n del 16 de mayo de 2025:<\/strong><\/p>\n<p>Agregamos una secci\u00f3n adicional a este art\u00edculo en la que se describe la evoluci\u00f3n de la actividad de Muddled Libra desde el comienzo para 2024. Este grupo es din\u00e1mico y, a medida que sus miembros entran y salen de \u00e9l, sus conocimientos y competencias cambian de forma natural. Su caja de herramientas se ha ampliado para incluir lo siguiente:<\/p>\n<ul>\n<li>Ingenier\u00eda social de usuarios finales y servicios de asistencia t\u00e9cnica<\/li>\n<li>Phishing tradicional<\/li>\n<li>Acceso interno a subcontratistas del proceso empresarial<\/li>\n<li>Afiliaciones de ransomware para extorsionar<\/li>\n<\/ul>\n<p>En la intersecci\u00f3n de la enrevesada ingenier\u00eda social y la \u00e1gil adaptaci\u00f3n tecnol\u00f3gica se encuentra Muddled Libra. Con un profundo conocimiento de la tecnolog\u00eda de la informaci\u00f3n empresarial, este grupo de amenazas representa un riesgo significativo incluso para las organizaciones con ciberdefensas heredadas bien desarrolladas.<\/p>\n<p>Muddled Libra es un adversario met\u00f3dico que supone una amenaza sustancial para las organizaciones de los sectores de automatizaci\u00f3n de software, BPO, telecomunicaciones y tecnolog\u00eda.<\/p>\n<p>Los investigadores y encargados de respuestas de Unit 42 investigaron m\u00e1s de media docena de incidentes interrelacionados desde mediados de 2022 hasta principios de 2023, que hemos atribuido al grupo de amenazas Muddled Libra. Este grupo de amenazas prefiere atacar a las grandes empresas de subcontrataci\u00f3n que prestan servicios a instituciones y particulares que manejan criptomonedas de gran valor. Para frustrar a Muddled Libra se requiere una combinaci\u00f3n de estrictos controles de seguridad, una formaci\u00f3n diligente sobre concienciaci\u00f3n en materia de seguridad y una vigilancia atenta.<\/p>\n<p>Los clientes de Palo Alto Networks reciben protecci\u00f3n frente a las amenazas descritas en este blog a trav\u00e9s de una arquitectura de seguridad moderna construida en torno a <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM<\/a> en conjunto con <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a>. Los <a href=\"https:\/\/docs.paloaltonetworks.com\/cdss\" target=\"_blank\" rel=\"noopener\">servicios de seguridad entregados en la nube<\/a> <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Seguridad de DNS<\/a> pueden servir de protecci\u00f3n contra la infraestructura de mando y control (C2), mientras que <a href=\"https:\/\/www.paloaltonetworks.com\/technologies\/app-id\" target=\"_blank\" rel=\"noopener\">App-ID<\/a> puede limitar los servicios de anonimizaci\u00f3n que pueden conectarse a la red.<\/p>\n<h2><a id=\"post-144374-_heading=h.h5t5lq77y8vn\"><\/a>Actualizaci\u00f3n del 16 de mayo de 2025<\/h2>\n<p>Despu\u00e9s de una pausa a finales de 2024, Muddled Libra reanuda su actividad. Unit 42 ha respondido a numerosos ataques de gran repercusi\u00f3n, al tiempo que ha observado otros atribuidos al grupo matriz de Muddled Libra, Scattered Spider. En particular, estos ataques se basan en la artesan\u00eda comercial iniciada por Muddled Libra.<\/p>\n<p>Muddled Libra es un subconjunto de un colectivo de amenazas poco relacionado conocido como Scattered Spider, Octo Tempest, Oktapus y otros nombres. La resiliencia de Scattered Spider reside en la amplitud y diversidad de sus miembros.<\/p>\n<p>Este grupo evolucion\u00f3 en las plataformas de comunicaci\u00f3n Discord y Telegram, y atrajo a miembros de diversas procedencias e intereses. Los atacantes de este grupo se especializan en habilidades espec\u00edficas y trabajan juntos para perfeccionarlas con el fin de venderlas o utilizarlas en ciberataques. Los canales que usan sus miembros van desde grupos orientados a la delincuencia, como uno al que llaman The COM, hasta colectivos de entusiastas de juegos populares en l\u00ednea.<\/p>\n<p>Los miembros principales de Muddled Libra se especializaron originalmente en el intercambio de tarjetas SIM, el smishing y el conocimiento de informaci\u00f3n privilegiada sobre software de gesti\u00f3n de sistemas inform\u00e1ticos. A medida que los miembros entran y salen del grupo, adquiere nuevas habilidades y elimina las menos eficaces. La caja de herramientas del grupo se ha ampliado para incluir la ingenier\u00eda social de los usuarios finales y los servicios de asistencia, el phishing tradicional, el acceso interno a los subcontratistas de procesos empresariales y las afiliaciones de ransomware.<\/p>\n<p>La naturaleza flexible y fluida de este grupo lo hace intr\u00ednsecamente dif\u00edcil de desestabilizar. Muddled Libra(v\u00e9ase la <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/?p=144374\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de amenazas de Unit 42<\/a> y la <a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libra-evolution-to-cloud\/\" target=\"_blank\" rel=\"noopener\">investigaci\u00f3n sobre ataques contra CSP<\/a>) ha visto c\u00f3mo se arrestaba a varios miembros clave durante el a\u00f1o pasado. Sin embargo, otros con nuevas habilidades y conocimientos internos de las nuevas industrias se han trasladado r\u00e1pidamente para ocupar su lugar, y otros han formado grupos de amenazas totalmente nuevos.<\/p>\n<p>Unit 42 observ\u00f3 c\u00f3mo se formaban nuevas ramas con objetivos \u00fanicos para expandirse en sectores hasta entonces intactos. Estos grupos nuevos combinan t\u00e9cnicas conocidas con otras nuevas. Los sectores m\u00e1s afectados son el comercio minorista y la hosteler\u00eda. Sin embargo, las industrias y organizaciones favorecidas pueden cambiar por capricho, y los defensores de cada vertical deben reforzar sus ciberdefensas contra estos ataques.<\/p>\n<p>El acceso inicial ha pasado del smishing a la ingenier\u00eda social. Los actores de amenazas dirigen los ataques de ingenier\u00eda social a los servicios de asistencia haci\u00e9ndose pasar por empleados que han olvidado sus contrase\u00f1as o directamente a los empleados, con atacantes que afirman pertenecer al servicio de asistencia de la empresa.<\/p>\n<p>Una vez dentro del entorno, los atacantes han aprovechado herramientas de gesti\u00f3n remota leg\u00edtimas, gratuitas o comprometidas, para acceder a plataformas de gesti\u00f3n de relaciones con los clientes (CRM) para la exfiltraci\u00f3n de datos confidenciales. Los ataques de Muddled Libra tambi\u00e9n han incluido herramientas de administraci\u00f3n de entornos virtuales para causar la m\u00e1xima interrupci\u00f3n. Este grupo tiene una nueva afiliaci\u00f3n con el grupo de ransomware-as-a-service DragonForce para la extorsi\u00f3n.<\/p>\n<h2><a id=\"post-144374-_heading=h.g0ytj6yh9uxv\"><\/a>Descripci\u00f3n general de la amenaza<\/h2>\n<p>El estilo de ataque que define a Muddled Libra apareci\u00f3 en el radar de la ciberseguridad a finales de 2022 con el lanzamiento del kit de phishing 0ktapus, que ofrec\u00eda un marco de alojamiento predise\u00f1ado y plantillas incluidas. Con un gran n\u00famero de portales de autenticaci\u00f3n falsos y realistas y smishing dirigido, los atacantes fueron capaces de recopilar r\u00e1pidamente credenciales y c\u00f3digos MFA de autenticaci\u00f3n multifactor.<\/p>\n<p>La rapidez y amplitud de estos ataques tom\u00f3 desprevenidos a muchos defensores. Aunque el smishing no es nada nuevo, el marco 0ktapus comoditiz\u00f3 el establecimiento de una infraestructura normalmente compleja de forma que incluso los atacantes menos capacitados obtuvieran un alto porcentaje de \u00e9xito.<\/p>\n<p>Estas caracter\u00edsticas inclu\u00edan plantillas predise\u00f1adas y un canal C2 integrado a trav\u00e9s de Telegram, todo por un costo de solo unos cientos de d\u00f3lares estadounidenses. Esta mejora en la funcionalidad llev\u00f3 a los ciberdelincuentes a lanzar una campa\u00f1a de ataque masivo dirigida a una amplia gama de organizaciones.<\/p>\n<p>El gran n\u00famero de objetivos atacados con este kit ha creado bastante confusi\u00f3n en la comunidad investigadora sobre la atribuci\u00f3n de estos ataques. En informes anteriores de <a href=\"https:\/\/www.group-ib.com\/blog\/0ktapus\/\" target=\"_blank\" rel=\"noopener\">Grupo-IB<\/a>, <a href=\"https:\/\/www.crowdstrike.com\/blog\/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies\/\" target=\"_blank\" rel=\"noopener\">CrowdStrike<\/a> y <a href=\"https:\/\/sec.okta.com\/scatterswine\" target=\"_blank\" rel=\"noopener\">Okta<\/a> se han documentado y asignado muchos de estos ataques a los siguientes grupos de intrusi\u00f3n: 0ktapus, Scattered Spider y Scatter Swine.<\/p>\n<h2><a id=\"post-144374-_heading=h.59q2pibwg85k\"><\/a>Cadena de ataque<\/h2>\n<p>Aunque cada incidente es \u00fanico, los investigadores de Unit 42 han identificado suficientes puntos en com\u00fan en las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) como para atribuir numerosos incidentes a Muddled Libra. La cadena de ataque se muestra en la Figura 1.<\/p>\n<figure id=\"attachment_145181\" aria-describedby=\"caption-attachment-145181\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-145181 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-323x440.png\" alt=\"La imagen 2 es la cadena de ataque para Muddled Libra siguiendo el marco ATT&amp;CK de MITRE. Los pasos del uno al 11 pasan por el reconocimiento, el desarrollo de recursos, el acceso inicial, la persistencia, la defensa, la ovaci\u00f3n, las credenciales, el acceso, el descubrimiento, la ejecuci\u00f3n, el movimiento lateral, la recolecci\u00f3n y, por \u00faltimo, la exfiltraci\u00f3n.\" width=\"700\" height=\"953\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-323x440.png 323w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-514x700.png 514w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-768x1046.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-1128x1536.png 1128w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-1504x2048.png 1504w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/LA-Spanish-2024-Update-Muddled-Libra-Attack-Chain-With-Title-01-scaled.png 1880w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-145181\" class=\"wp-caption-text\">Figura 1. Cadena de ataque de Muddled Libra.<\/figcaption><\/figure>\n<p>Las hemos adaptado al marco ATT&amp;CK de MITRE, que se resume a continuaci\u00f3n.<\/p>\n<h3><a id=\"post-144374-_heading=h.7t99tb4tttjw\"><\/a><strong>Reconocimiento<\/strong><\/h3>\n<p>Muddled Libra ha demostrado sistem\u00e1ticamente un profundo conocimiento de las organizaciones objetivo, incluidas las listas de empleados, los puestos de trabajo y los n\u00fameros de tel\u00e9fono m\u00f3vil. En algunos casos, es probable que estos datos se obtuvieran durante ataques anteriores contra objetivos anteriores.<\/p>\n<p>Los actores de amenazas tambi\u00e9n obtienen con frecuencia paquetes de informaci\u00f3n de intermediarios de datos il\u00edcitos como los <a href=\"https:\/\/therecord.media\/genesis-market-russian-market-2easy-shop-cybercrime-fraud\" target=\"_blank\" rel=\"noopener\">ya desaparecidos Genesis y Russian Markets<\/a>. Estos datos <a href=\"https:\/\/therecord.media\/redline-stealer-identified-as-primary-source-of-stolen-credentials-on-two-dark-web-markets\" target=\"_blank\" rel=\"noopener\">suelen obtenerse de dispositivos infectados<\/a>, tanto corporativos como personales, mediante programas maliciosos como el ladr\u00f3n RedLine.<\/p>\n<p>Con la pronta llegada de las pol\u00edticas de \"traiga su propio dispositivo\" (BYOD), seguidas de la popularidad de las soluciones de trabajo h\u00edbrido, los datos y credenciales corporativos se utilizan y almacenan con frecuencia en cach\u00e9 en dispositivos personales. La descentralizaci\u00f3n de la gesti\u00f3n y protecci\u00f3n de los activos inform\u00e1ticos crea una oportunidad lucrativa para los programas maliciosos que roban informaci\u00f3n.<\/p>\n<h3><a id=\"post-144374-_heading=h.ggt8nhoht4wz\"><\/a><strong>Desarrollo de recursos<\/strong><\/h3>\n<p>Los dominios parecidos utilizados en ataques de smishing son un sello cl\u00e1sico de Muddled Libra. Esta t\u00e1ctica es eficaz, ya que los dispositivos m\u00f3viles suelen truncar los enlaces en los mensajes de texto.<\/p>\n<p>Los primeros grupos de ataques atribuidos a la campa\u00f1a 0ktapus utilizaban sistem\u00e1ticamente dominios registrados a trav\u00e9s de Porkbun o Namecheap y alojados en la infraestructura de Digital Ocean. Estos dominios sol\u00edan durar poco, se utilizaban solo durante la fase de acceso inicial y luego se retiraban r\u00e1pidamente.<\/p>\n<p>En la mayor\u00eda de las investigaciones, Unit 42 observ\u00f3 el uso del kit de phishing 0ktapus para recopilar credenciales. Group-IB tiene bien documentado este kit vers\u00e1til, que se encuentra muy difundido en la clandestinidad criminal. Requiere poca habilidad para instalarlo y configurarlo, lo que lo convierte en una herramienta ideal para ataques de smishing muy selectivos.<\/p>\n<h3><a id=\"post-144374-_heading=h.vci3i44jwpyq\"><\/a><strong>Acceso inicial<\/strong><\/h3>\n<p>En todos los incidentes en los que Unit 42 pudo determinar un vector de acceso inicial, se trataba de smishing o ingenier\u00eda social de soporte t\u00e9cnico. En la mayor\u00eda de los incidentes, el autor de la amenaza enviaba un mensaje de se\u00f1uelo directamente a los tel\u00e9fonos m\u00f3viles de los empleados objetivo, alegando que necesitaban actualizar la informaci\u00f3n de la cuenta o volver a autenticarse en una aplicaci\u00f3n corporativa. Los mensajes conten\u00edan un enlace a un dominio corporativo falsificado dise\u00f1ado para emular una p\u00e1gina de inicio de sesi\u00f3n familiar.<\/p>\n<h3><a id=\"post-144374-_heading=h.lzxgpf7h03fd\"><\/a><strong>Persistencia<\/strong><\/h3>\n<p>Muddled Libra se centr\u00f3 especialmente en mantener el acceso a entornos espec\u00edficos. Aunque es habitual que los autores de las amenazas utilicen una versi\u00f3n gratuita o de demostraci\u00f3n de una herramienta de supervisi\u00f3n y gesti\u00f3n remota (RMM) durante las intrusiones, Muddled Libra sol\u00eda instalar media docena o m\u00e1s de estas utilidades. Lo hicieron para asegurarse de que, incluso si se descubr\u00eda uno, mantendr\u00edan una puerta trasera en el entorno.<\/p>\n<p>El uso de herramientas RMM comerciales es particularmente problem\u00e1tico, ya que estas herramientas son aplicaciones leg\u00edtimas y cr\u00edticas para el negocio de las que Muddled Libra est\u00e1 abusando. Podr\u00edan estar presentes leg\u00edtimamente dentro de la organizaci\u00f3n y los defensores deber\u00edan sopesar los riesgos de un bloqueo total frente a una supervisi\u00f3n cuidadosa de su uso. Entre las herramientas observadas se encontraban Zoho Assist, AnyDesk, Splashtop, TeamViewer, ITarian, FleetDeck, ASG Remote Desktop, RustDesk y ManageEngine RMM.<\/p>\n<p>Ninguna de estas herramientas es intr\u00ednsecamente maliciosa y se utilizan con frecuencia en la administraci\u00f3n diaria de muchas redes empresariales. Unit 42 recomienda a las organizaciones bloquear cualquier herramienta RMM no autorizada seg\u00fan el firmante del c\u00f3digo para su uso dentro de la empresa.<\/p>\n<h3><a id=\"post-144374-_heading=h.3iy02x4atmls\"><\/a><strong>Evasi\u00f3n de defensa<\/strong><\/h3>\n<p>Al demostrar su destreza con varios controles de seguridad, Muddled Libra evadi\u00f3 las defensas comunes.<\/p>\n<p>Sus acciones incluyeron lo siguiente:<\/p>\n<ul>\n<li>Deshabilitaci\u00f3n de antivirus y firewalls basados en host<\/li>\n<li>Intento de eliminar perfiles de firewalls<\/li>\n<li>Creaci\u00f3n de exclusiones de defensores<\/li>\n<li>Desactivaci\u00f3n o desinstalaci\u00f3n de EDR y otros productos de supervisi\u00f3n<\/li>\n<\/ul>\n<p>Los atacantes tambi\u00e9n rehabilitaron y usaron cuentas existentes de Active Directory para evitar desencadenar las reglas habituales de supervisi\u00f3n de la gesti\u00f3n de eventos e informaci\u00f3n de seguridad (SIEM). Tambi\u00e9n se los observ\u00f3 actuando dentro de las consolas administrativas de detecci\u00f3n y respuesta de endpoints (EDR) para borrar alertas.<\/p>\n<p>Muddled Libra era cuidadoso con la seguridad operativa, y usaba sistem\u00e1ticamente servicios comerciales de red privada virtual (VPN) para ocultar su ubicaci\u00f3n geogr\u00e1fica e intentar mezclarse con el tr\u00e1fico leg\u00edtimo. La VPN de Mullvad fue la preferida en la mayor\u00eda de los incidentes que investigaron los investigadores de Unit 42, pero tambi\u00e9n se observaron otros muchos proveedores, como ExpressVPN, NordVPN, Ultrasurf, Easy VPN y ZenMate.<\/p>\n<p>Los investigadores de Unit 42 tambi\u00e9n estudiaron el uso de los servicios de proxy residencial rotatorio. Seg\u00fan inform\u00f3 <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/is-your-browser-extension-a-botnet-backdoor\/\" target=\"_blank\" rel=\"noopener\">Brian Krebs en 2021<\/a> los servicios proxy residenciales suelen ocultar su c\u00f3digo dentro de extensiones del navegador, lo que permite a los operadores alquilar conexiones residenciales para usos leg\u00edtimos y maliciosos por igual.<\/p>\n<h3><a id=\"post-144374-_heading=h.eklrez9e7a8h\"><\/a><strong>Acceso a credenciales<\/strong><\/h3>\n<p>Una vez capturadas las credenciales que se utilizar\u00edan para el acceso inicial, el atacante tomaba uno de estos dos caminos. En un caso continuaron con el proceso de autenticaci\u00f3n desde una m\u00e1quina que controlaban y solicitaron inmediatamente un c\u00f3digo de autenticaci\u00f3n multifactor (MFA). En el otro caso, posteriormente generaban una cadena interminable de solicitudes de MFA hasta que el usuario aceptaba una por cansancio o frustraci\u00f3n (tambi\u00e9n conocido como bombardeo MFA).<\/p>\n<p>En los casos en los que el bombardeo MFA no tuvo \u00e9xito, el actor de la amenaza se puso en contacto con el servicio de asistencia de la organizaci\u00f3n y afirm\u00f3 ser la v\u00edctima. Entonces declaraban que su tel\u00e9fono no funcionaba o se hab\u00eda extraviado, y solicitaban registrar un nuevo dispositivo de autenticaci\u00f3n MFA controlado por el atacante.<\/p>\n<p>El \u00e9xito de ingenier\u00eda social de Muddled Libra es notable. En muchos de nuestros casos, el grupo demostr\u00f3 un grado inusualmente alto de comodidad para relacionarse por tel\u00e9fono tanto con el servicio de asistencia como con otros empleados, a quienes convenci\u00f3 para que llevaran a cabo acciones inseguras.<\/p>\n<p>Despu\u00e9s de establecer un punto de apoyo, Muddled Libra se movi\u00f3 r\u00e1pidamente para elevar el acceso. Entre las herramientas est\u00e1ndar de robo de credenciales empleadas en esta fase se encontraban Mimikatz, ProcDump, DCSync, Raccoon Stealer y LAPSToolkit. Ante la imposibilidad de localizar r\u00e1pidamente credenciales elevadas, el grupo recurri\u00f3 a Impacket, MIT Kerberos Ticket Manager y NTLM Encoder\/Decoder.<\/p>\n<p>En algunos incidentes, Muddled Libra adopt\u00f3 la medida inusual de emplear herramientas especializadas para buscar directamente credenciales en el contenido de la memoria mediante MAGNET RAM Capture y Volatility. Dado que se trata de herramientas forenses leg\u00edtimas de las que Muddled Libra se aprovecha, los defensores deber\u00edan considerar detenidamente las desventajas de bloquearlas, como la posibilidad de que la actividad de los equipos de seguridad genere falsas alertas positivas.<\/p>\n<p>Esto plantea un punto importante para los defensores. Aunque las cuentas de usuario puedan tener protecci\u00f3n mediante la gesti\u00f3n de accesos privilegiados, los endpoints suelen tener credenciales elevadas almacenadas en cach\u00e9 para la gesti\u00f3n del sistema o para ejecutar servicios. Se debe tener cuidado para garantizar que las credenciales privilegiadas solo tienen los permisos necesarios para desempe\u00f1ar sus funciones previstas y que se supervisan de cerca para detectar desviaciones del comportamiento normal.<\/p>\n<h3><a id=\"post-144374-_heading=h.7yp58rqv90zi\"><\/a><strong>Descubrimiento<\/strong><\/h3>\n<p>Los m\u00e9todos de descubrimiento de Muddled Libra eran consistentes de un caso a otro. En nuestras investigaciones, el grupo se bas\u00f3 en herramientas de pruebas de infiltraci\u00f3n leg\u00edtimas y bien conocidas para asignar el entorno e identificar los objetivos de inter\u00e9s. Entre su kit de herramientas se encontraban SharpHound, ADRecon, AD Explorer, Angry IP Scanner, Angry Port Scanner y CIMplant.<\/p>\n<p>Muddled Libra tambi\u00e9n demostr\u00f3 su competencia con herramientas comerciales de administraci\u00f3n de sistemas como ManageEngine, LANDESK y PDQ Inventory para el descubrimiento y la automatizaci\u00f3n. Tambi\u00e9n se utilizaron VMware PowerCLI y RVTools en entornos virtuales.<\/p>\n<p>Los defensores deben estar atentos para identificar el escaneo no autorizado de la red y el acceso r\u00e1pido inusual a m\u00faltiples sistemas o el acceso que cruza segmentos l\u00f3gicos del negocio.<\/p>\n<h3><a id=\"post-144374-_heading=h.1q7lxo1b7on8\"><\/a><strong>Ejecuci\u00f3n<\/strong><\/h3>\n<p>A lo largo de nuestras investigaciones, Muddled Libra parec\u00eda interesado principalmente en el robo de datos y credenciales, y rara vez vimos ejecuci\u00f3n remota. Cuando era necesario, el grupo realizaba la ejecuci\u00f3n con Sysinternals PsExec o Impacket. Se usaron credenciales capturadas o hashes de autenticaci\u00f3n para elevar privilegios.<\/p>\n<h3><a id=\"post-144374-_heading=h.nvgy2tcac2x\"><\/a><strong>Movimiento lateral<\/strong><\/h3>\n<p>Para el movimiento lateral, Muddled Libra prefer\u00eda utilizar el protocolo de escritorio remoto (RDP) desde las cajas de cabeza de playa comprometidas. Con este enfoque se redujeron al m\u00ednimo los artefactos de red externos detectables en los registros que podr\u00edan alertar a los defensores y ayudar a los investigadores con la atribuci\u00f3n.<\/p>\n<h3><a id=\"post-144374-_heading=h.dihr0p3pw762\"><\/a><strong>Colecci\u00f3n<\/strong><\/h3>\n<p>Muddled Libra parec\u00eda conocer la t\u00edpica gesti\u00f3n de datos empresariales. Localizaron con \u00e9xito datos confidenciales en las m\u00e1quinas de la v\u00edctima en una amplia gama de repositorios de datos comunes, tanto estructurados como no estructurados, incluidos los siguientes:<\/p>\n<ul>\n<li>Confluence<\/li>\n<li>Git<\/li>\n<li>El\u00e1stico<\/li>\n<li>Paquete Microsoft Office 365 (por ejemplo, SharePoint, Outlook)<\/li>\n<li>Plataformas de mensajer\u00eda interna<\/li>\n<\/ul>\n<p>Tambi\u00e9n localizaron datos en el entorno de la v\u00edctima procedentes de aplicaciones comunes de service desk como Zendesk y Jira. En los datos minados se inclu\u00edan credenciales para su posterior compromiso y apuntaban directamente a informaci\u00f3n confidencial.<\/p>\n<p>Los investigadores de Unit 42 tambi\u00e9n observaron el uso de la herramienta de miner\u00eda de datos de c\u00f3digo abierto Snaffler y de herramientas nativas para buscar en registros, unidades locales y recursos compartidos de red palabras clave como *<span style=\"font-family: 'courier new', courier, monospace;\">contrase\u00f1a<\/span>* y <span style=\"font-family: 'courier new', courier, monospace;\">securestring<\/span>. A continuaci\u00f3n, se organizaban y archivaban los datos comprometidos para su exfiltraci\u00f3n con WinRAR o PeaZip.<\/p>\n<p>Los defensores deben hacer b\u00fasquedas peri\u00f3dicas de palabras clave en sus propios entornos para identificar datos y credenciales almacenados de forma indebida, como parte de una estrategia m\u00e1s amplia de gesti\u00f3n y clasificaci\u00f3n de datos.<\/p>\n<h3><a id=\"post-144374-_heading=h.1xmbtowfufd7\"><\/a><strong>Exfiltraci\u00f3n<\/strong><\/h3>\n<p>En varios casos, Muddled Libra intent\u00f3 establecer shells de proxy inverso o t\u00faneles de shell seguro (SSH) para la exfiltraci\u00f3n de comandos y control. Muddled Libra tambi\u00e9n utiliz\u00f3 sitios comunes de transferencia de archivos como <span style=\"font-family: 'courier new', courier, monospace;\">put[.]io, transfer[.]sh, wasabi[.]com<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">gofile[.]io<\/span> tanto para filtrar datos como para extraer herramientas de ataque. Tambi\u00e9n observamos el uso de Cyberduck como agente de transferencia de archivos.<\/p>\n<h3><a id=\"post-144374-_heading=h.p3ws1ztriyov\"><\/a><strong>Impacto<\/strong><\/h3>\n<p>Unit 42 observ\u00f3 directamente el impacto de una combinaci\u00f3n de robo de datos confidenciales o aprovechamiento por parte de Muddled Libra de la infraestructura de confianza de la organizaci\u00f3n para perpetrar ataques contra clientes posteriores.<\/p>\n<h2><a id=\"post-144374-_heading=h.5u0c3rv7y7m7\"><\/a>Conclusi\u00f3n y mitigaciones<\/h2>\n<p>Muddled Libra es un adversario met\u00f3dico que supone una amenaza sustancial para las organizaciones de los sectores de automatizaci\u00f3n de software, BPO, telecomunicaciones y tecnolog\u00eda. Dominan una serie de disciplinas de seguridad, son capaces de prosperar en entornos relativamente seguros y de ejecutar con rapidez para completar cadenas de ataques devastadoras.<\/p>\n<p>Muddled Libra no aporta nada nuevo, salvo la extra\u00f1a habilidad de encadenar debilidades con efectos desastrosos. Los defensores deben combinar tecnolog\u00eda punta y una higiene de seguridad exhaustiva, as\u00ed como una vigilancia diligente de las amenazas externas y los acontecimientos internos. El riesgo elevado de p\u00e9rdida de datos internos y de clientes es un poderoso incentivo para modernizar los programas de seguridad de la informaci\u00f3n.<\/p>\n<p>Adem\u00e1s de las recomendaciones de mitigaci\u00f3n incluidas en las subsecciones de la cadena de ataque anteriores, recomendamos que las organizaciones sigan estas pautas:<\/p>\n<ul>\n<li>Implementar la AMF y el inicio de sesi\u00f3n \u00fanico (SSO) siempre que sea posible, preferiblemente Fast Identity Online (FIDO). En los casos que investigamos, Muddled Libra tuvo m\u00e1s \u00e9xito cuando convencieron a los empleados para que los ayudaran a saltarse la MFA. Cuando no lo consegu\u00edan, parec\u00edan cambiar de objetivo.<\/li>\n<li>Los defensores tambi\u00e9n deben considerar la mejor manera de implementar alertas de seguridad y bloqueo de cuentas en caso de fallos repetidos de la AMF.<\/li>\n<li>Implementar una formaci\u00f3n exhaustiva de concienciaci\u00f3n de los usuarios. Muddled Libra se centra en gran medida en la ingenier\u00eda social tanto del servicio de asistencia como de otros empleados a trav\u00e9s del tel\u00e9fono y los mensajes de texto. Es fundamental formar a los empleados para que sepan identificar las comunicaciones sospechosas no basadas en el correo electr\u00f3nico.<\/li>\n<li>En caso de que se produzca una vulneraci\u00f3n, suponga que este actor de la amenaza conoce el libro de jugadas moderno de las respuestas ante incidentes. Considere la posibilidad de establecer mecanismos de respuesta fuera de banda.<\/li>\n<li>Asegurarse de que la higiene de las credenciales est\u00e1 al d\u00eda. Conceda acceso solo cuando sea necesario y durante el tiempo necesario.<\/li>\n<li>Supervisar y gestionar el acceso a las defensas y controles cr\u00edticos es fundamental para defenderse de los atacantes expertos. Los derechos deben limitarse a lo estrictamente necesario para cada funci\u00f3n laboral. Deben usarse herramientas de detecci\u00f3n y respuesta a amenazas de identidad (ITDR) como <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">Cortex XSIAM<\/a> para monitorizar comportamientos an\u00f3malos.<\/li>\n<li>Los defensores deben limitar los servicios de anonimizaci\u00f3n que pueden conectarse a la red, idealmente en el firewall mediante <a href=\"https:\/\/www.paloaltonetworks.com\/technologies\/app-id\" target=\"_blank\" rel=\"noopener\">App-ID<\/a>.<\/li>\n<\/ul>\n<p>Para defenderse de las amenazas descritas en este blog, Palo Alto Networks recomienda adem\u00e1s a las organizaciones que empleen las siguientes capacidades:<\/p>\n<ul>\n<li>Seguridad de la red: proporcionada a trav\u00e9s de un firewall de nueva generaci\u00f3n (NGFW) configurado con aprendizaje autom\u00e1tico y los mejores servicios de seguridad entregados en la nube. Esto incluye, por ejemplo, prevenci\u00f3n de amenazas, URL filtering, seguridad DNS y un motor de prevenci\u00f3n de malware capaz de identificar y bloquear muestras e infraestructuras maliciosas.<\/li>\n<li>Seguridad de endpoint: proporcionada a trav\u00e9s de una soluci\u00f3n XDR que puede identificar c\u00f3digo malicioso mediante el uso de aprendizaje autom\u00e1tico avanzado y an\u00e1lisis de comportamiento. Esta soluci\u00f3n debe configurarse para actuar y bloquear las amenazas en tiempo real a medida que se identifican.<\/li>\n<li>Automatizaci\u00f3n de la seguridad: proporcionada a trav\u00e9s de una soluci\u00f3n XSOAR o XSIAM capaz de ofrecer a los analistas del SOC una comprensi\u00f3n exhaustiva de la amenaza derivada de la uni\u00f3n de datos obtenidos de los endpoints, la red, la nube y los sistemas de identidad.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Tel\u00e9fono gratuito para Norteam\u00e9rica: +866.486.4842 (+866.4.UNIT42)<\/li>\n<li>EUROPA, ORIENTE MEDIO Y \u00c1FRICA: +31.20.299.3130<\/li>\n<li>APAC: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<\/ul>\n<h2><a id=\"post-144374-_heading=h.unbgls7o3u2x\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>IP observados durante esta actividad<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">104.247.82[.]11<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">105.101.56[.]49<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">105.158.12[.]236<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">134.209.48[.]68<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">137.220.61[.]53<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.68.27[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146.190.44[.]66<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">149.28.125[.]96<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.245.4[.]113<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.223.208[.]47<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.223.238[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">162.19.135[.]215<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">164.92.234[.]104<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">165.22.201[.]77<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">167.99.221[.]10<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">172.96.11[.]245<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">185.56.80[.]28<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.166.92[.]55<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">193.149.129[.]177<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">207.148.0[.]54<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">213.226.123[.]104<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">35.175.153[.]217<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.156.85[.]140<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.32.221[.]250<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64.227.30[.]114<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">79.137.196[.]160<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">92.99.114[.]231<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-144374-_heading=h.4b3ohpq5bexk\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/playlist.megaphone.fm\/?e=CYBW2420634274&amp;start=855&amp;utm_content=261841717&amp;utm_medium=social&amp;utm_source=linkedinpanw_channel=lcp-10454826?utm_source=linkedin-unit42-global&amp;utm_medium=social\" target=\"_blank\" rel=\"noopener\">Debate de Muddled Libra con Stephanie Regan, asesora principal de Unit 42<\/a>: Podcast Threat Vector, Unit 42 en CyberWire Daily<\/li>\n<li><a href=\"https:\/\/www.youtube.com\/watch?v=Znq1fgMSFJs&amp;list=PLaKGTLgARHpO1zjPmTlWuYsYEKR0SKUPa&amp;index=30\" target=\"_blank\"  rel=\"wpdevart_lightbox_video noopener\" >La exposici\u00f3n de las meticulosas t\u00e1cticas de Muddled Libra con el investigador principal de Unit 42, Kristopher Russo<\/a>: Podcast Threat Vector, Unit 42 en CyberWire Daily<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libra-evolution-to-cloud\/\" target=\"_blank\" rel=\"noopener\">Evoluci\u00f3n de Muddled Libra a la nube<\/a>: Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.group-ib.com\/blog\/0ktapus\/\" target=\"_blank\" rel=\"noopener\">Exponiendo a 0ktapus: La campa\u00f1a de phishing que pretende obtener las credenciales de identidad de Okta,<\/a> Grupo IB<\/li>\n<li><a href=\"https:\/\/www.crowdstrike.com\/blog\/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies\/\" target=\"_blank\" rel=\"noopener\">No es una SIMulaci\u00f3n: las investigaciones de CrowdStrike revelan una campa\u00f1a de intrusi\u00f3n dirigida a empresas de telecomunicaciones y BPO,<\/a> CrowdStrike<\/li>\n<li><a href=\"https:\/\/sec.okta.com\/scatterswine\" target=\"_blank\" rel=\"noopener\">Detecci\u00f3n de Scatter Swine: Perspectivas de una implacable campa\u00f1a de phishing,<\/a> Okta<\/li>\n<li><a href=\"https:\/\/www.mandiant.com\/resources\/blog\/hunting-attestation-signed-malware\" target=\"_blank\" rel=\"noopener\">Juro solemnemente que mi controlador no tiene buenas intenciones: B\u00fasqueda de malware firmado con atestaci\u00f3n,<\/a> Mandiant<\/li>\n<li><a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/is-your-browser-extension-a-botnet-backdoor\/\" target=\"_blank\" rel=\"noopener\">\u00bfEs la extensi\u00f3n de su navegador una puerta trasera de botnet?<\/a> Krebs on Security<\/li>\n<li><a href=\"https:\/\/therecord.media\/genesis-market-russian-market-2easy-shop-cybercrime-fraud\" target=\"_blank\" rel=\"noopener\">La sospecha acecha a los competidores de Genesis Market a ra\u00edz de la intervenci\u00f3n del FBI<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&#038;CK de MITRE.<\/p>\n","protected":false},"author":359,"featured_media":141667,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8829,8793],"tags":[9236,9237,9238,9239,9240,9241,9242,9243,9244,8883],"product_categories":[8922,8924,8926,8921,8934,8935,8936,8938,8890],"coauthors":[3154,3754,3984],"class_list":["post-147629","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-threat-actor-groups-es-la","category-malware-es-la","tag-0ktapus-es-la","tag-alphv-es-la","tag-app-id-es-la","tag-blackcat-ransomware-es-la","tag-mitre-es-la","tag-muddled-libra-es-la","tag-phishing-es-la","tag-scatter-swine-es-la","tag-scattered-spider-es-la","tag-social-engineering-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-app-id-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-cortex-xsoar-es-la","product_categories-next-generation-firewall-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)<\/title>\n<meta name=\"description\" content=\"Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&amp;CK de MITRE.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)\" \/>\n<meta property=\"og:description\" content=\"Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&amp;CK de MITRE.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-05-16T16:44:34+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-01T16:45:20+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Amer Elsad, Kristopher Russo, Austin Dever\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)","description":"Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&CK de MITRE.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/","og_locale":"es_LA","og_type":"article","og_title":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)","og_description":"Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&CK de MITRE.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/","og_site_name":"Unit 42","article_published_time":"2025-05-16T16:44:34+00:00","article_modified_time":"2025-08-01T16:45:20+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","type":"image\/png"}],"author":"Amer Elsad, Kristopher Russo, Austin Dever","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/"},"author":{"name":"Samantha Stallings","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981"},"headline":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)","datePublished":"2025-05-16T16:44:34+00:00","dateModified":"2025-08-01T16:45:20+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/"},"wordCount":3868,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","keywords":["0ktapus","ALPHV","app-ID","BlackCat ransomware","MITRE","Muddled Libra","phishing","Scatter Swine","Scattered Spider","social engineering"],"articleSection":["Amenazas sofisticadas","Grupos de actores de amenazas","Malware"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/","name":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","datePublished":"2025-05-16T16:44:34+00:00","dateModified":"2025-08-01T16:45:20+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981"},"description":"Muddled Libra usa el kit de phishing de 0ktapus, entre otras t\u00e1cticas avanzadas. Detallamos nuestras observaciones de su actividad utilizando el marco ATT&CK de MITRE.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/03-1-Muddle-Libra-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/threat-group-assessment-muddled-libra-2024\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Evaluaci\u00f3n del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/02432a76cded81307123196237e2c981","name":"Samantha Stallings","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/417e56ed8d3092ea85e34b75496b9e05","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/Stallings-Insights-300x300.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/Stallings-Insights-300x300.png","caption":"Samantha Stallings"},"description":"Samantha Stallings is a Technical Writing Manager in Unit 42. In past lives, she has been a stationery designer, preservation assistant for the Frank Lloyd Wright Trust, and technical editor. Outside of work she spends her time hunting down patisserie and reading.","url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/samantha-stallings\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/147629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/359"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=147629"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/147629\/revisions"}],"predecessor-version":[{"id":148719,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/147629\/revisions\/148719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/141667"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=147629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=147629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=147629"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=147629"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=147629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}