🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais

Este relatório documenta uma campanha coordenada e multifásica conduzida por um ator de ameaça visando infraestruturas críticas em toda a América Latina. Artefatos do servidor de preparação do ator de ameaça revelam uma sofisticada cadeia de ferramentas operacionais abrangendo todas as fases da estrutura MITRE ATT&CK, desde o reconhecimento automatizado até a exfiltração de dados. A campanha é caracterizada por um motor de reconhecimento distribuído proprietário (Kimera), um arsenal de exploits selecionados visando dispositivos de perímetro empresarial (Fortinet, Ivanti, Cisco), kits de ferramentas portáteis para movimento lateral e infraestrutura de comando e controle em camadas usando webshells Neo-reGeorg, túneis reversos Chisel e roteadores Cisco comprometidos com túneis GRE persistentes.
O ator de ameaça demonstrou capacidade de operar em ambientes Windows e Linux, comprometer sistemas SAP ERP e bancos de dados Oracle para execução de comandos, extrair material criptográfico e conjuntos de dados do Active Directory, e manter acesso de longa duração através de múltiplos mecanismos de persistência redundantes. Com base nas informações disponíveis, atribuímos esta campanha com confiança média à MexicanMafia, também conhecida como PanchoVilla.
Ataques Conhecidos/Reivindicados por Pancho Villa
1. Polícia Estadual de Oaxaca (Secretaría de Seguridad y Protección Ciudadana) — Março de 2024 Pancho Villa publicou no Breach Forums alegando ter exfiltrado 2.935.021 linhas de dados abrangendo 2007–2024, totalizando mais de 800MB. Os dados incluíam nomes de indivíduos detidos, dados pessoais e credenciais de policiais. Quando o governo estadual negou a violação, Pancho Villa desfigurou o site oficial do governo de Oaxaca nas primeiras horas de 3 de abril de 2024, inserindo a imagem do grupo como prova — onde permaneceu visível até pelo menos às 8h daquele dia.
2. "Chilango Leaks" — Governo da Cidade do México (CDMX) — Abril de 2024 A Mexican Mafia divulgou 20GB do que chamaram de "Chilango Leaks", que incluía aproximadamente 2,1 milhões de e-mails privados de mais de 2.000 contas de servidores públicos da CDMX em agências que vão desde a Secretaría de Obras y Servicios até o DIF.
3. UNAM — Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) — início de 2024 O membro "Lord Peña" obteve 2,3 milhões de arquivos do IIMAS da UNAM, incluindo dados bancários, pelos quais pediu US$ 500.
4. UNAM — Instituto de Investigaciones Filológicas (IIFL) — Abril de 2024 O membro "Dyce" hackeou o IIFL da UNAM e colocou à venda um banco de dados de 29GB alegando conter credenciais de rede, nomes completos, imagens e chaves de acesso.
5. SAT (Autoridade Fiscal) — Vulnerabilidades Divulgadas — Março/Abril de 2024 Lord Peña divulgou pelo menos três vulnerabilidades no site do SAT durante o período anual de declaração de imposto de renda pessoal em 2024.
6. ORFIS Veracruz (Órgano de Fiscalización Superior) — Março de 2024 Lord Peña listou acesso a servidores internos do ORFIS no Breach Forums por US$ 1.500.
7. Governo do Estado do México — Março de 2024 O membro "Buda" colocou à venda uma base de dados de subdomínios do governo do Estado do México.
8. Quálitas Seguros — Junho de 2024 Pancho Villa alegou possuir 300.000 linhas de dados de clientes da Quálitas México, incluindo nomes, números de telefone, endereços e tipos de seguro, oferecidos para venda por US$ 400.
9. PEMEX — Julho de 2024 A Mexican Mafia invadiu servidores contratados pela PEMEX e obteve mais de 50 bases de dados com 11.000 registos, incluindo contratos de funcionários, nomes, endereços de e-mail e dados de folha de pagamento. Os dados foram inicialmente listados por US$ 1.000, depois aumentados para US$ 2.000 para, como Pancho Villa afirmou, "afastar investigadores de inteligência".
10. Poder Judicial da Cidade do México (PJCDMX) — Agosto de 2024 A Mexican Mafia comprometeu o Supremo Tribunal da Cidade do México, oferecendo mais de 300.000 credenciais de utilizadores do seu sistema de gestão de agendamentos e casos (SICOR/OPC), cobrindo dados de 2017 a 2024, incluindo pedidos de pensão, processos judiciais, atribuições atuariais e recibos de pagamento. Após um ultimato de 72 horas expirar sem uma venda, eles publicaram o código-fonte e as credenciais de 162.439 utilizadores, incluindo contas da UNAM (1.192), IMSS, ISSSTE, SEP e FGR. Pancho Villa disse que a violação levou "10 a 15 minutos" devido a sistemas legados sem patches.
11. Tribunal Superior de Justiça de Oaxaca — Outubro de 2024 A Mexican Mafia alegou ter acesso a mais de 30 terabytes de dados do Tribunal Superior de Oaxaca, incluindo vídeos de processos judiciais que expuseram as identidades dos envolvidos em casos legais. Pancho Villa enquadrou isso como um protesto contra a negligência governamental das comunidades indígenas.
Ressalvas importantes:
No início de 2026, durante a descoberta rotineira de infraestrutura maliciosa, CloudSEK descobriu um diretório aberto hospedado em 62.171.185[.]97.

Com base nos artefatos obtidos do servidor, conseguimos mapear de forma abrangente as capacidades do ator de ameaça.

O ator de ameaça exibe TTPs consistentes com um grupo bem-equipado, operacionalmente disciplinado, com infraestrutura estabelecida e capacidade de desenvolvimento de ferramentas personalizadas. As seguintes características são avaliadas com alta confiança a partir da análise de artefatos.
A tabela a seguir mapeia todas as técnicas observadas para o framework MITRE ATT&CK Enterprise v15. Cada linha reflete evidências diretas de artefatos do servidor de preparação do ator da ameaça.