Un reciente informe de la firma suiza PRODAFT reveló que el grupo de ciberespionaje de habla rusa Nebulous Mantis lleva adelante una campaña altamente sofisticada contra organizaciones vinculadas a la OTAN, organismos gubernamentales y sectores estratégicos. Desde 2022, el grupo utiliza el malware RomCom RAT no solo para infiltrarse y recolectar información sensible, sino también para desplegar, en una etapa final, ransomware que cifra los datos robados.
Fuente: https://catalyst.prodaft.com/public/report/inside-the-latest-espionage-campaign-of-nebulous-mantis/overview
La operación comienza con campañas de spear-phishing dirigidas a blancos específicos. Los correos contienen enlaces a documentos maliciosos que, al ser abiertos, instalan RomCom RAT. Una vez dentro del sistema, el malware establece contacto con servidores de comando y control (C2) a través del InterPlanetary File System (IPFS), desde donde descarga cargas adicionales para mapear el entorno, obtener persistencia y moverse lateralmente por la red.
Técnicas avanzadas y persistencia
Nebulous Mantis se caracteriza por su capacidad para operar en silencio. Emplea técnicas living-off-the-land (LOTL), aprovechando herramientas legítimas del sistema para evitar levantar sospechas. Su infraestructura se apoya en servicios de alojamiento blindado («bulletproof hosting») y comunicaciones cifradas, lo que dificulta enormemente su detección por soluciones tradicionales de seguridad.
Más que espionaje: la amenaza del ransomware
Una vez que han recopilado toda la información crítica del dispositivo infectado, los operadores la transfieren a sus servidores C2. Para borrar rastros o incluso obtener rédito económico, el grupo activa una última fase: el despliegue de ransomware. Esta carga cifra todos los archivos del sistema comprometido y exige un pago para su recuperación, fusionando así espionaje con tácticas típicas del crimen organizado.
Fuente
https://thehackernews.com/2025/04/nebulous-mantis-targets-nato-linked.html
Ciberprisma - alianza por la ciberseguridad 