{"id":161824,"date":"2025-10-22T03:00:25","date_gmt":"2025-10-22T10:00:25","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=161824"},"modified":"2025-10-21T15:46:31","modified_gmt":"2025-10-21T22:46:31","slug":"cloud-based-gift-card-fraud-campaign","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/cloud-based-gift-card-fraud-campaign\/","title":{"rendered":"Jingle Thief: Por dentro de una campa\u00f1a de fraude de tarjetas de regalo basada en la nube"},"content":{"rendered":"

<\/a>Resumen ejecutivo<\/h2>\n

Investigamos una campa\u00f1a llevada a cabo por actores de amenazas motivados financieramente que operan desde Marruecos. Nos referimos a esta campa\u00f1a como Jingle Thief, debido al modus operandi<\/em> de los atacantes de realizar fraudes con tarjetas de regalo durante las temporadas festivas. Los atacantes de Jingle Thief utilizan phishing y smishing para robar credenciales, con el fin de comprometer a organizaciones que emiten tarjetas de regalo. Sus operaciones se dirigen principalmente a empresas globales en los sectores de retail<\/em> (comercio minorista) y servicios al consumidor. Una vez que obtienen acceso a una organizaci\u00f3n, buscan el tipo y nivel de acceso necesario para emitir tarjetas de regalo no autorizadas.<\/p>\n

La actividad relacionada con esta campa\u00f1a es rastreada por Unit 42 como el cl\u00faster CL\u2011CRI\u20111032. Los actores de amenazas detr\u00e1s de esta actividad se dirigen a organizaciones que dependen principalmente de servicios e infraestructura basados en la nube. Luego, explotan las capacidades de Microsoft 365 para realizar reconocimiento, mantener persistencia a largo plazo y ejecutar fraudes a gran escala con tarjetas de regalo. Evaluamos con confianza moderada que el cl\u00faster de actividad que rastreamos como CL-CRI-1032 se superpone con la actividad de actores de amenazas rastreados p\u00fablicamente como Atlas Lion y STORM-0539<\/a>.<\/p>\n

Lo que hace que el actor de amenazas detr\u00e1s de esta actividad sea particularmente peligroso es su capacidad de mantener una presencia dentro de las organizaciones por per\u00edodos prolongados, a veces m\u00e1s de un a\u00f1o. Durante este tiempo, adquieren un profundo conocimiento del entorno, incluyendo c\u00f3mo acceder a la infraestructura cr\u00edtica, lo que hace que la detecci\u00f3n y la remediaci\u00f3n sean especialmente desafiantes. En abril y mayo de 2025, el actor de amenazas detr\u00e1s de la campa\u00f1a Jingle Thief lanz\u00f3 una ola de ataques coordinados contra m\u00faltiples empresas globales.<\/p>\n

Este art\u00edculo presenta un an\u00e1lisis de extremo a extremo del ciclo de vida de la campa\u00f1a Jingle Thief, basado en telemetr\u00eda y detecciones de incidentes del mundo real. Proporcionamos una visi\u00f3n clara de los m\u00e9todos involucrados en esta actividad y orientaci\u00f3n pr\u00e1ctica para mitigar las amenazas basadas en la identidad (ataques que se dirigen a las cuentas de usuario y credenciales) en entornos de nube. A medida que la identidad reemplaza cada vez m\u00e1s al per\u00edmetro tradicional, comprender campa\u00f1as como Jingle Thief es esencial para asegurar la infraestructura empresarial moderna.<\/p>\n

Esta actividad fue identificada a trav\u00e9s de anomal\u00edas de comportamiento detectadas por Cortex User Entity Behavior Analytics (UEBA)<\/a> (An\u00e1lisis de Comportamiento de Usuarios y Entidades) e Identity Threat Detection and Response (ITDR)<\/a> (Detecci\u00f3n y Respuesta a Amenazas de Identidad). Los clientes est\u00e1n mejor protegidos de esta actividad con el nuevo m\u00f3dulo Advanced Email Security de Cortex<\/a>.<\/p>\n

Si cree que puede haber sido comprometido o tiene un asunto urgente, contacte al equipo de Respuesta a Incidentes de Unit 42<\/a>.<\/p>\n\n\n\n
Temas relacionados de Unit 42<\/th>\nIngenier\u00eda social<\/a>,\u00a0phishing<\/a><\/th>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>\u00bfQui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a Jingle Thief?<\/h2>\n

Evaluamos con confianza moderada que la campa\u00f1a Jingle Thief fue creada por atacantes con motivaciones financieras con sede en Marruecos que han estado activos desde 2021. Sus operaciones se dirigen principalmente a empresas globales en los sectores de retail<\/em> y servicios al consumidor. Aunque no est\u00e1n afiliados a un estado-naci\u00f3n, la actividad que rastreamos como CL\u2011CRI\u20111032 incluye t\u00e1cticas avanzadas, persistencia y enfoque operativo.<\/p>\n

A diferencia de los actores de amenazas que dependen de malware gen\u00e9rico (commodity<\/em>) o la explotaci\u00f3n de endpoints<\/em>, los atacantes detr\u00e1s de CL\u2011CRI\u20111032 operan casi exclusivamente en entornos de nube una vez que obtienen credenciales a trav\u00e9s de phishing. Explotan la infraestructura basada en la nube para suplantar a usuarios leg\u00edtimos, obtener acceso no autorizado a datos sensibles y llevar a cabo fraudes con tarjetas de regalo a escala.<\/p>\n

<\/a>Anatom\u00eda de la campa\u00f1a Jingle Thief<\/h2>\n

En una campa\u00f1a que observamos, los actores de amenazas mantuvieron el acceso durante aproximadamente 10 meses y comprometieron m\u00e1s de 60 cuentas de usuario dentro de una sola empresa global. La actividad involucr\u00f3 el uso de servicios de Microsoft 365, incluyendo SharePoint, OneDrive, Exchange y Entra ID. Esto demostr\u00f3 un alto grado de adaptabilidad y paciencia operativa. Detectar este enfoque requiere una observaci\u00f3n atenta de las acciones de los adversarios durante un per\u00edodo prolongado. Los actores de amenazas detr\u00e1s de la campa\u00f1a Jingle Thief a menudo alinean su actividad con los per\u00edodos festivos, aumentando las operaciones durante \u00e9pocas de reducci\u00f3n de personal y aumento del gasto en tarjetas de regalo.<\/p>\n

Habiendo obtenido acceso inicial, los actores de amenazas realizaron reconocimiento para mapear el entorno, se movieron lateralmente para acceder a \u00e1reas m\u00e1s sensibles e identificaron oportunidades para ejecutar fraudes financieros a gran escala. La Figura 1 ilustra el ciclo de vida del ataque de extremo a extremo en Microsoft 365, destacando c\u00f3mo los actores de amenazas progresaron desde la entrada basada en phishing hasta el acceso persistente a trav\u00e9s del registro de dispositivos.<\/p>\n

\"Secuencia
Figura 1. Cadena de ataque de phishing de Jingle Thief en Microsoft 365.<\/figcaption><\/figure>\n

El paso final del ataque, el registro de dispositivos, crea un punto de apoyo que los actores de amenazas explotan para emitir tarjetas de regalo, las cuales luego aprovechan para obtener ganancias monetarias.<\/p>\n

<\/a>\u00bfPor qu\u00e9 tarjetas de regalo? La presa elegida<\/strong><\/h3>\n

Las tarjetas de regalo son altamente atractivas para los actores con motivaciones financieras debido a su facilidad de canje y r\u00e1pida monetizaci\u00f3n. Los actores de amenazas revenden las tarjetas de regalo en foros del mercado gris a precios reducidos, lo que permite un flujo de caja casi instant\u00e1neo.<\/p>\n

Factores adicionales que hacen atractivas a las tarjetas de regalo incluyen:<\/p>\n