Google Mandiant y Google Threat Intelligence Group (GTIG) han revelado que están rastreando un nuevo grupo de actividades posiblemente vinculadas a un actor de amenazas con motivaciones financieras conocido como CL0p .
La actividad maliciosa implica enviar correos electrónicos de extorsión a ejecutivos de varias organizaciones y afirmar que han robado datos confidenciales de su Oracle E-Business Suite.
«Esta actividad comenzó el 29 de septiembre de 2025 o antes, pero los expertos de Mandiant aún se encuentran en las primeras etapas de múltiples investigaciones y aún no han fundamentado las afirmaciones de este grupo», dijo Genevieve Stark, jefa de análisis de inteligencia de operaciones de información y ciberdelincuencia de GTIG, a The Hacker News en un comunicado.
El director de tecnología de Mandiant, Charles Carmakal, describió la actividad en curso como una «campaña de correo electrónico de gran volumen» que se lanza desde cientos de cuentas comprometidas, y hay pruebas que sugieren que al menos una de esas cuentas se ha asociado anteriormente con la actividad de ALETA 11 , que es un subconjunto dentro del TA505 grupo.
FIN11, según Mandiant, ha participado en ataques de ransomware y extorsión desde 2020. Anteriormente, estaba vinculado a la distribución de varias familias de malware, como FlawedAmmyy, FRIENDSPEAK y MIBLABEL.
«Los correos electrónicos maliciosos contienen información de contacto y hemos verificado que las dos direcciones de contacto específicas proporcionadas también figuran públicamente en el sitio de filtración de datos (DLS) de Cl0p», añadió Carmakal. «Esta medida sugiere claramente que existe alguna asociación con Cl0p, y que están aprovechando el reconocimiento de la marca para sus operaciones actuales».
Dicho esto, Google dijo que no tiene ninguna prueba por sí sola que confirme los supuestos vínculos, a pesar de las similitudes en las tácticas observadas en los ataques anteriores de Cl0p. La empresa también insta a las organizaciones a investigar sus entornos en busca de pruebas de la actividad de los actores de amenazas.
Actualmente no está claro cómo se obtiene el acceso inicial. Sin embargo, según Bloomberg , se cree que los atacantes comprometieron los correos electrónicos de los usuarios y abusaron de la función predeterminada de restablecimiento de contraseñas para obtener credenciales válidas de los portales de Oracle E-Business Suite con acceso a Internet, citando información compartida por Halycon.
The Hacker News se ha puesto en contacto con Oracle para obtener más comentarios sobre la campaña de extorsión y actualizará la historia si recibimos noticias.
En los últimos años, el prolífico grupo Cl0p ha sido atribuido a una serie de oleadas de ataques que aprovechan las fallas de día cero en las plataformas Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT y Progress MOVEit Transfer, y han afectado con éxito a miles de organizaciones.