Voltar
Tabela de conteúdo

Resumo Executivo

Este relatório documenta uma campanha coordenada e multifásica conduzida por um ator de ameaça visando infraestruturas críticas em toda a América Latina. Artefatos do servidor de preparação do ator de ameaça revelam uma sofisticada cadeia de ferramentas operacionais abrangendo todas as fases da estrutura MITRE ATT&CK, desde o reconhecimento automatizado até a exfiltração de dados. A campanha é caracterizada por um motor de reconhecimento distribuído proprietário (Kimera), um arsenal de exploits selecionados visando dispositivos de perímetro empresarial (Fortinet, Ivanti, Cisco), kits de ferramentas portáteis para movimento lateral e infraestrutura de comando e controle em camadas usando webshells Neo-reGeorg, túneis reversos Chisel e roteadores Cisco comprometidos com túneis GRE persistentes.

O ator de ameaça demonstrou capacidade de operar em ambientes Windows e Linux, comprometer sistemas SAP ERP e bancos de dados Oracle para execução de comandos, extrair material criptográfico e conjuntos de dados do Active Directory, e manter acesso de longa duração através de múltiplos mecanismos de persistência redundantes. Com base nas informações disponíveis, atribuímos esta campanha com confiança média à MexicanMafia, também conhecida como PanchoVilla.

Contexto

Ataques Conhecidos/Reivindicados por Pancho Villa

1. Polícia Estadual de Oaxaca (Secretaría de Seguridad y Protección Ciudadana) — Março de 2024 Pancho Villa publicou no Breach Forums alegando ter exfiltrado 2.935.021 linhas de dados abrangendo 2007–2024, totalizando mais de 800MB. Os dados incluíam nomes de indivíduos detidos, dados pessoais e credenciais de policiais. Quando o governo estadual negou a violação, Pancho Villa desfigurou o site oficial do governo de Oaxaca nas primeiras horas de 3 de abril de 2024, inserindo a imagem do grupo como prova — onde permaneceu visível até pelo menos às 8h daquele dia.

2. "Chilango Leaks" — Governo da Cidade do México (CDMX) — Abril de 2024 A Mexican Mafia divulgou 20GB do que chamaram de "Chilango Leaks", que incluía aproximadamente 2,1 milhões de e-mails privados de mais de 2.000 contas de servidores públicos da CDMX em agências que vão desde a Secretaría de Obras y Servicios até o DIF.

3. UNAM — Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) — início de 2024 O membro "Lord Peña" obteve 2,3 milhões de arquivos do IIMAS da UNAM, incluindo dados bancários, pelos quais pediu US$ 500.

4. UNAM — Instituto de Investigaciones Filológicas (IIFL) — Abril de 2024 O membro "Dyce" hackeou o IIFL da UNAM e colocou à venda um banco de dados de 29GB alegando conter credenciais de rede, nomes completos, imagens e chaves de acesso.

5. SAT (Autoridade Fiscal) — Vulnerabilidades Divulgadas — Março/Abril de 2024 Lord Peña divulgou pelo menos três vulnerabilidades no site do SAT durante o período anual de declaração de imposto de renda pessoal em 2024.

6. ORFIS Veracruz (Órgano de Fiscalización Superior) — Março de 2024 Lord Peña listou acesso a servidores internos do ORFIS no Breach Forums por US$ 1.500.

7. Governo do Estado do México — Março de 2024 O membro "Buda" colocou à venda uma base de dados de subdomínios do governo do Estado do México.

8. Quálitas Seguros — Junho de 2024 Pancho Villa alegou possuir 300.000 linhas de dados de clientes da Quálitas México, incluindo nomes, números de telefone, endereços e tipos de seguro, oferecidos para venda por US$ 400.

9. PEMEX — Julho de 2024 A Mexican Mafia invadiu servidores contratados pela PEMEX e obteve mais de 50 bases de dados com 11.000 registos, incluindo contratos de funcionários, nomes, endereços de e-mail e dados de folha de pagamento. Os dados foram inicialmente listados por US$ 1.000, depois aumentados para US$ 2.000 para, como Pancho Villa afirmou, "afastar investigadores de inteligência".

10. Poder Judicial da Cidade do México (PJCDMX) — Agosto de 2024 A Mexican Mafia comprometeu o Supremo Tribunal da Cidade do México, oferecendo mais de 300.000 credenciais de utilizadores do seu sistema de gestão de agendamentos e casos (SICOR/OPC), cobrindo dados de 2017 a 2024, incluindo pedidos de pensão, processos judiciais, atribuições atuariais e recibos de pagamento. Após um ultimato de 72 horas expirar sem uma venda, eles publicaram o código-fonte e as credenciais de 162.439 utilizadores, incluindo contas da UNAM (1.192), IMSS, ISSSTE, SEP e FGR. Pancho Villa disse que a violação levou "10 a 15 minutos" devido a sistemas legados sem patches.

11. Tribunal Superior de Justiça de Oaxaca — Outubro de 2024 A Mexican Mafia alegou ter acesso a mais de 30 terabytes de dados do Tribunal Superior de Oaxaca, incluindo vídeos de processos judiciais que expuseram as identidades dos envolvidos em casos legais. Pancho Villa enquadrou isso como um protesto contra a negligência governamental das comunidades indígenas.

Ressalvas importantes:

  • A violação assistida por IA de 2025–2026 de agências governamentais mexicanas (relatório Gambit Security) foi não atribuída à Mexican Mafia, mas com base nas sobreposições, pode-se constatar com alta confiança que o ator de ameaça que analisamos está a seguir os mesmos passos.
  • Algumas alegações (especialmente tamanhos de bases de dados) foram contestadas ou negadas pelas instituições afetadas, embora em vários casos (desfiguração de Oaxaca, fuga de código-fonte do PJCDMX) a verificação independente tenha sido possível.

Análise 

No início de 2026, durante a descoberta rotineira de infraestrutura maliciosa, CloudSEK descobriu um diretório aberto hospedado em 62.171.185[.]97.

Com base nos artefatos obtidos do servidor, conseguimos mapear de forma abrangente as capacidades do ator de ameaça.

Attribute Detail
Activity Period 2025–2026
Primary Sectors Government, Tax Authority, Utilities, Transportation, Telecommunications, Financial Services
Geographic Focus Latin America (Mexico primary; Ecuador secondary; Portugal tertiary)
Confirmed Victims Multiple (RCE beacons from ≥5 distinct victim IPs; 407 MB AD dataset exfiltrated; over 1.3 million PII records extracted)
Confidence Level High — based on direct artifact analysis from the threat actor’s staging server

1. Classificação do Ator de Ameaça

O ator de ameaça exibe TTPs consistentes com um grupo bem-equipado, operacionalmente disciplinado, com infraestrutura estabelecida e capacidade de desenvolvimento de ferramentas personalizadas. As seguintes características são avaliadas com alta confiança a partir da análise de artefatos.

1.1 Indicadores de Maturidade Operacional

  • Mantém uma estrutura proprietária de reconhecimento distribuído (Kimera) com enumeração paralelizada e um pipeline automatizado de vulnerabilidade para exploração
  • Opera um arsenal centralizado de exploits com implementações de CVE estáveis e testadas operacionalmente — incluindo variantes personalizadas de PoCs públicos modificadas para evitar falhas nos alvos
  • Realiza quebra de credenciais em infraestrutura local (on-premise) para evitar a exfiltração de hashes criptografados pela internet (ciente de OPSEC)
  • Implementa configurações de proxychains por alvo com carimbos de data/hora de criação e comentários do operador, indicando documentação operacional estruturada
  • Capacidade demonstrada de comprometer infraestrutura de camada de rede (roteadores Cisco, VPNs FortiGate) além de sistemas de nível de host
  • Duração da campanha ativa de pelo menos 13 dias confirmada pelos logs de sessão do Chisel (3.708 sessões processadas)

1.2 Foco Geográfico e Setorial

  • Alvo principal de ministérios governamentais da América Latina, autoridades fiscais e provedores de serviços públicos
  • Padrões regex em espanhol em scripts de coleta de credenciais confirmam o foco operacional regional
  • Alvo secundário de infraestrutura de telecomunicações e aviação para acesso em nível de rede
  • Atividade terciária contra instituição financeira europeia (confirmada via pivô de túnel reverso Chisel)

1.3 Avaliação das Motivações

  • Roubo de dados e agregação de PII em larga escala (>1,3M registros extraídos de um único provedor de transporte)
  • Roubo de credenciais e material criptográfico permitindo a personificação e a descriptografia de tráfego
  • Mapeamento do Active Directory para persistência de longo prazo sustentada além da rotação de credenciais
  • Exploração financeira via fluxos de trabalho de aquisição comprometidos e roubo de chaves de API de plataformas de e-commerce
  • Potencial de espionagem estratégica através do comprometimento das chaves privadas SSL da autoridade fiscal e da infraestrutura MDM

2. Mapeamento MITRE ATT&CK 

A tabela a seguir mapeia todas as técnicas observadas para o framework MITRE ATT&CK Enterprise v15. Cada linha reflete evidências diretas de artefatos do servidor de preparação do ator da ameaça.

Koushik Pal
Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.
Nenhum item encontrado.

Blogs relacionados