Que es
EmpireMonkey es un actor APT (Advanced Persistent Threat) regional vinculado a actividades de ciberataque, con alias como CobaltGoblin y asociado a grupos como FIN7 y Carbanak. Su nombre se derivó de una publicación en www.timesofmalta.com del año 2019, donde se mencionaron actividades relacionadas con ransomware y operaciones de ciberdelincuencia.
Se identificó como parte del grupo "Other Actors", lo que sugiere una actividad no atribuida a un grupo específico pero con características similares a actores ofensivos. El nombre también está vinculado a eventos de 2019, incluyendo referencias a artículos y análisis de amenzas en el sector financiero.
Contexto
El actor EmpireMonkey fue detectado mediante informes de inteligencia de amenza (TI) y fuentes OSINT. Se encontraron Indicadores de Compromiso (IOCs) vinculados a dominios y hashes que aparecieron en búsquedas realizadas en duckduckgo.com y en análisis de seguridad en 2019. Se destacan:
| Tipo | Valor | Contexto |
| Domain | www.timesofmalta.com |
Publicación en 2019 relacionada con actividades de ransomware y ciberdelincuencia. |
| Hash | d4cd0dabcf4caa22ad92fab40844c786 |
Identificado en búsquedas de inteligencia de amenza y análisis de dominios maliciosos. |
| Domain | duckduckgo.com |
Fuente de datos OSINT relacionada con búsquedas de amenzas en 2019. |
Análisis
El análisis sugiere que EmpireMonkey podría estar asociado a operaciones de ransomware y ciberdelincuencia regional. Su vinculo con grupos como FIN7 y Carbanak indica una evolución en técnicas de ataque, aunque no se confirmó directamente. La presencia de dominios como www.timesofmalta.com y hashes maliciosos sugiere que el grupo podría estar involucrado en actividades de extorsión o robo de datos.
La actividad se concentró principalmente en 2019, con referencias a artículos de medios locales y análisis de amenzas. Sin embargo, no se han documentado victimas específicas ni datos expuestos públicos confirmados. La conexión con grupos como Carbanak sugiere un posible uso de tácticas similares a operaciones de ciberdelincuencia financiera.
Conclusion
EmpireMonkey es un actor APT regional con actividades relacionadas a ransomware y ciberdelincuencia. Aunque no se han confirmado victimas específicas, su vinculo con grupos como FIN7 y Carbanak sugiere una evolución en técnicas de ataque. Los IOCs encontrados (dominios y hashes) indican la necesidad de monitoreo de amenzas relacionadas con www.timesofmalta.com y dominios maliciosos. Las organizaciones deben revisar sus protocolos de defensa contra amenzas de ransomware y actividades de ciberdelincuencia regional.