jordiserrano.meClickFixKAIROSIntelTracker🌐 Traducir
Panel de inteligencia » icefire

icefire

Threat-actor 2 min lectura
Fecha
25 May 2026
Actor
-
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium
46
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

2IOCs
0TTPs
N/DActor
United StatesPais

icefire

icefire

Perfil del Actor

IceFire es un grupo de amenaza que se identificó como un ransomware en 2022, y posteriormente expandió sus actividades a sistemas Linux en el primer trimestre de 2023. El grupo utiliza técnicas de doble extorsión (double-extortion), lo que implica secuestrar datos críticos y exigir pagos para devolverlos. Sus objetivos principales son obtener beneficios económicos mediante la cifrado de información valiosa.

Origen y Motivación

IceFire se originó en 2022, con una expansión significativa hacia Linux en 2023. La motivación principal parece estar relacionada con el robo y la extorsión de datos sensibles, especialmente en sectores como medios y entretenimiento. El grupo ha enfocado sus ataques en países como Turquía, Irán, Pakistán y Emiratos Árabes Unidos, donde las organizaciones tienen acceso a información crítica.

Técnicas y Tacticas (TTPs)

IceFire utiliza técnicas de ataque basadas en vulnerabilidades. En 2023, el grupo explotó una brecha en IBM Aspera Faspex (CVE-2022-47986), lo que permitió su acceso a sistemas Linux. Además, emplean métodos de doble extorsión para maximizar la valoración de sus víctimas.

Campanas Conocidas

El grupo ha sido asociado con ataques contra organizaciones del sector medios y entretenimiento en Turquía, Irán, Pakistán y Emiratos Árabes Unidos. Aunque no se han identificado nombres específicos de campañas, sus actividades incluyen el secuestro de datos críticos y la extorsión financiera.

Objetivos y Victimas

Los objetivos principales de IceFire son el cifrado de información valiosa y el extorción financiera. Según los registros, han afectado a 11 organizaciones en los países mencionados. Las víctimas suelen ser empresas que manejan contenidos multimedia o sistemas críticos.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
DLS 7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd.onion Contexto: C2 servidor
DLS kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion Contexto: C2 servidor

Detección y Defensa

Para mitigar el impacto de IceFire, las organizaciones deben monitorear dominios maliciosos como los DLS mencionados. Es fundamental aplicar parches de seguridad en sistemas que puedan ser vulnerables a CVE-2022-47986. Además, se recomienda implementar soluciones de detección en extremo y mantener respaldos regularmente para minimizar riesgos asociados al cifrado de datos.

Diamond Model

Adversary
No atribuido
Victim
icefire
7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd.onion
United States
Capability
Threat-actor
Infrastructure
7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd.onion

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
Domain 7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd.onion Dominio victima VT OffSec SOCRadar

Referencias y enlaces

→ Mas incidentes en United States → Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom