México.Una operación cibernética avanzada ha sido identificada recientemente, liderada por un grupo de Initial Access Brokers (IAB) que explota claves de máquina filtradas en aplicaciones desarrolladas con ASP.NET.
En esta situación, el conjunto detectado es Prophet Spider, un grupo que pone en riesgo servidores web vulnerables para permitir el acceso a terceros, que luego implementan malware o ransomware. Sus metas abarcan entidades europeas y americanas en áreas como finanzas, manufactura, comercio y transporte.
El colectivo emplea un método denominado deserialización del estado de vista de ASP.NET, a través del cual ejecuta código malicioso directamente en la memoria del servidor. Esto impide dejar huellas forenses convencionales y facilita que cada mandato malintencionado se procese de manera individual.
Una vez ejecutadas, estas cargas se manejan en el marco del servidor IIS (Servicios de Información de Internet), lo que posibilita a los intrusos ejecutar órdenes, mover archivos y conservar el acceso de manera constante. Además, se notó la utilización reiterada del directorio C:\Windows\Temp\111t y del binario updf, que emplea el ataque GodPotato para escalar privilegios y conseguir acceso con nivel de SISTEMA.
“El objetivo principal continúa siendo el de establecer y mantener accesos iniciales, que posteriormente pueden ser comercializados con otros actores delictivos dentro del ecosistema del cibercrimen”, explica Víctor Ruiz, fundador de SILIKN y autor del análisis.
La investigación señala que uno de los mayores desafíos de detección radica en que las solicitudes POST utilizadas en estos ataques rara vez son registradas por sistemas tradicionales. Además, el uso de técnicas como la carga reflexiva de ensamblajes .NET permite a Prophet Spider evadir controles estándar en los endpoints.
En México, la unidad de investigación de SILIKN identificó que cerca de 400 dependencias gubernamentales presentan configuraciones vulnerables similares, incluyendo la Comisión Federal de Electricidad (CFE) y la Comisión Nacional del Agua (Conagua).
“La CFE ha sido históricamente un objetivo frecuente de ciberataques”, señala el informe. En 2015, aproximadamente el 70 % de las agresiones dirigidas al gobierno federal se centraron en CFE y Pemex. En 2019, se contabilizaron más de 4,200 sucesos en un periodo de cinco meses. Durante 2020, la Auditoría Superior de la Federación alertó acerca de la ausencia de actualizaciones y pruebas de penetración. Como respuesta, la CFE destinó más de 400 millones de pesos en 2025 para actualizar sus sistemas y fortalecer la vigilancia, especialmente después de sucesos mundiales como los apagones atribuidos a grupos como Guacamaya.
Por su parte, Conagua fue afectada en abril de 2023 por el ransomware BlackByte, el cual paralizó sus sistemas, incluyendo el Sistema Nacional de Información del Agua y los servidores del Servicio Meteorológico Nacional.
Expertos recomiendan a las organizaciones revisar sus implementaciones de ASP.NET para detectar claves de máquina expuestas y verificar que esté habilitada la firma de código (MAC) del estado de vista. También sugieren registrar de forma condicional las solicitudes POST, monitorear el evento 1316 de Windows y utilizar soluciones avanzadas de detección en endpoints para identificar la carga reflexiva de .NET.
“El monitoreo avanzado y la actualización permanente de infraestructuras tecnológicas son esenciales para contener esta nueva ola de amenazas”, concluye Ruiz.
