Luna Moth intensifica ataques de phishing y extorsión en EE. UU.

El grupo de cibercrimen conocido como Luna Moth, también identificado como Silent Ransom Group (SRG), ha intensificado sus campañas de phishing de devolución de llamada (callback phishing), apuntando especialmente a firmas legales y entidades financieras en los Estados Unidos. Este grupo ha adoptado tácticas avanzadas de ingeniería social, prescindiendo del uso de ransomware en sus ataques recientes, pero con un objetivo claro: robo de datos y extorsión.

Según el investigador de EclecticIQ, Arda Büyükkaya, Luna Moth ha evolucionado desde sus inicios vinculados a BazarCall —una técnica usada para obtener acceso inicial a redes corporativas que luego facilitaban ataques con ransomware como Ryuk y Conti— hacia operaciones más sofisticadas centradas exclusivamente en el engaño a través de interacción directa con la víctima.

Origen y evolución de Silent Ransom Group

En marzo de 2022, tras la desintegración del grupo Conti, los actores detrás de BazarCall establecieron una operación independiente bajo el nombre de Silent Ransom Group. Desde entonces, han centrado sus esfuerzos en la suplantación de soporte técnico mediante correos electrónicos falsos, sitios web fraudulentos y llamadas telefónicas.

A diferencia de otros ataques cibernéticos tradicionales, las campañas actuales de Luna Moth no requieren malware ni enlaces infectados. El enfoque se basa únicamente en el engaño humano, lo que las hace más difíciles de detectar por soluciones antivirus convencionales.

Cómo opera Luna Moth en sus ataques recientes

Desde marzo de 2025, EclecticIQ ha identificado al menos 37 dominios registrados a través de GoDaddy utilizados por Luna Moth para suplantar a servicios de soporte técnico. Estos dominios imitan portales legítimos de asistencia de reconocidas firmas legales y empresas financieras, empleando errores tipográficos y patrones de nombres comunes como:

• [nombre_empresa]-helpdesk.com
• [nombreempresa]helpdesk.com

El ataque comienza con un correo electrónico fraudulento que solicita a la víctima llamar a un número de asistencia técnica. Cuando la víctima llama, un operador de Luna Moth —haciéndose pasar por personal de TI— la persuade para instalar software de acceso remoto legítimo (RMM), como:

• AnyDesk
• Zoho Assist
• Atera
• SuperOps
• Syncro
• Splashtop

Estas herramientas están firmadas digitalmente y, al ser comúnmente utilizadas en entornos corporativos, no generan alertas de seguridad.

Acceso, exfiltración de datos y extorsión

Una vez instalada la herramienta RMM, el atacante obtiene control total del equipo, lo que le permite:

• Explorar carpetas locales y unidades compartidas
• Identificar y extraer datos confidenciales
• Propagarse a otros dispositivos conectados

La exfiltración se realiza mediante herramientas como WinSCP (vía SFTP) o Rclone para sincronización en la nube. Posteriormente, Luna Moth contacta a la organización víctima para exigir un rescate millonario, advirtiendo que los datos serán publicados en su portal de la clear web si no se paga. Las demandas oscilan entre 1 y 8 millones de dólares, dependiendo del perfil de la organización afectada.

Un ataque silencioso pero efectivo

Büyükkaya destaca que el éxito de estos ataques radica en su sigilo. No involucran archivos adjuntos, malware ni enlaces maliciosos. La víctima instala voluntariamente el software RMM, creyendo estar en contacto con su equipo de soporte técnico. Debido a que estas herramientas son habituales en entornos corporativos, las soluciones de seguridad no las consideran una amenaza, lo que permite que los atacantes operen sin obstáculos.

Recomendaciones de seguridad

EclecticIQ ha publicado una lista de indicadores de compromiso (IoC), que incluye direcciones IP y dominios de phishing que deberían ser añadidos a listas de bloqueo corporativas. Además, se recomienda:

• Restringir el uso de herramientas RMM que no estén autorizadas dentro del entorno organizacional.
• Implementar medidas de verificación de identidad para solicitudes de asistencia técnica.
• Capacitar al personal sobre ingeniería social y phishing de devolución de llamada.

La sofisticación y efectividad de Luna Moth demuestran cómo el factor humano sigue siendo uno de los eslabones más débiles en la ciberseguridad. A medida que los grupos de amenazas evolucionan, es crucial que las organizaciones adapten sus estrategias de defensa para identificar, bloquear y responder a este tipo de ataques altamente personalizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta