Investigadores de Cisco Talos alertan sobre una campaña en la que actores de amenazas están reutilizando una versión obsoleta del DFIR Velociraptor —creado por Mike Cohen y mantenido por Rapid7— para escalar privilegios y desplegar ransomware en entornos Windows y VMware ESXi. El vector clave es la compilación 0.73.4.0, vulnerable a CVE-2025-6264, lo que permite la ejecución de comandos con privilegios elevados. La operación combina técnicas living-off-the-land con abuso de herramientas legítimas, elevando el listón de sigilo y eficacia de los atacantes.
DFIR como arma: evolución de las tácticas living-off-the-land
El uso de utilidades de respuesta a incidentes como parte de la cadena ofensiva no es aislado. Sophos documentó previamente casos en los que intrusos emplearon Velociraptor para descargar y ejecutar Visual Studio Code en hosts comprometidos y establecer túneles cifrados hacia su infraestructura de mando y control. Esta tendencia muestra cómo herramientas legítimas de administración y forense se integran en las operaciones, reduciendo la huella de malware tradicional y complicando la detección y el análisis postincidente.
Cadena de ataque: de Entra ID a vSphere y Velociraptor vulnerable
Según Cisco Talos, los atacantes crearon cuentas locales con privilegios de administrador sincronizadas con Entra ID para obtener acceso a la consola de VMware vSphere y afianzar el control sobre las máquinas virtuales. Posteriormente, desplegaron Velociraptor 0.73.4.0, afectado por CVE-2025-6264 (elevación de privilegios), que facilitaría la ejecución arbitraria de comandos y la toma de control del host.
El binario se ejecutó repetidamente para mantener la persistencia e incluso conservó su capacidad de control tras intentos de aislar la máquina, operando de facto como un nodo de gestión sobre el punto comprometido. Esta fase redujo la necesidad de introducir nuevas cargas maliciosas, apoyándose en capacidades ya presentes en el entorno.
Impacto defensivo y doble frente de cifrado: Windows y ESXi
En la etapa de impacto, los operadores deshabilitaron la protección en tiempo real de Microsoft Defender mediante cambios en GPO de Active Directory y apagaron el monitoreo de comportamiento y de actividad de archivos. Aunque hubo alertas en soluciones EDR, el ransomware en Windows se identificó con rasgos de LockBit, pero los archivos cifrados adoptaron la extensión .xlockxlock, característica asociada a Warlock. En hosts ESXi, los analistas hallaron un binario de Linux vinculado a Babuk.
Además, se observó un cifrador de PowerShell sin archivos que generaba claves AES aleatorias en cada ejecución, probablemente utilizado para el cifrado masivo en Windows y diseñado para evadir controles basados en archivos y firmas estáticas.
Atribución y ecosistema de afiliados
La actividad se atribuye con cautela a la agrupación china Storm-2603 (también referenciada como CL-CRI-1040 y Gold Salem). Evaluaciones de Halcyon han asociado a estos actores con intereses estatales, relaciones como afiliados de LockBit y vínculos con la familia Warlock. Esta hibridación explica la coexistencia de distintos cifradores y técnicas dentro del mismo incidente.
Detección e IoC: correlación con MITRE ATT&CK
Cisco Talos publicó dos conjuntos de IoC: artefactos descargados y huellas de Velociraptor. Se recomienda integrarlos en SIEM/EDR y correlacionar con TTP de MITRE ATT&CK, incluyendo T1078 (Valid Accounts), T1562.001 (Impair Defenses), T1105 (Ingress Tool Transfer) y T1059.001 (PowerShell). Señales prácticas de búsqueda: creación inusual de administradores locales sincronizados con Entra ID, accesos atípicos a vSphere, cambios GPO que debilitan Defender, ejecución o actualización no planificada de Velociraptor y uso anómalo de PowerShell con generación de claves al vuelo.
Medidas de mitigación y hardening recomendadas
– Inventariar y actualizar Velociraptor a la última versión soportada; bloquear explícitamente la 0.73.4.0 y aplicar listas de permitidos basadas en firma/editores.
– Endurecer vSphere y Entra ID con MFA, PAM y segmentación de administración; revisar conectores de sincronización y delegaciones de privilegios.
– Proteger GPO críticos con control de cambios, alertas y aprobaciones; habilitar tamper protection y políticas de EDR reforzadas.
– Endurecer PowerShell (Constrained Language Mode, registro detallado, AMSI) y aplicar control de aplicaciones (AppLocker, WDAC).
– Limitar transferencias salientes y túneles no autorizados; segmentar y mantener copias de seguridad offline probadas.
– Incorporar los IoC de Talos y de proveedores como Sophos/Halcyon en su SIEM; ejecutar threat hunting recurrente sobre TTP relacionados.
La reutilización de herramientas legítimas como Velociraptor dentro de campañas de ransomware subraya la necesidad de gestión de parches rigurosa, controles de identidad sólidos y telemetría accionable. Revise de inmediato la presencia de Velociraptor 0.73.4.0, integre los IoC publicados por Cisco Talos y verifique que sus defensas detectan intentos de desactivar políticas y abusos de PowerShell. Fortalezca la superficie de administración (vSphere/Entra ID), pruebe su plan de respuesta y mantenga una disciplina de copias de seguridad que permita recuperar operaciones con rapidez.
