Que es
Roaming Mantis es un actor APT (Advanced Persistent Threat) asociado a una red de amenazas cibernéticas con origen desconocido. Según análisis de seguridad, el grupo opera bajo alias como Shaoye y está relacionado con actividades maliciosas, incluyendo la distribución de malware y la exploración de vulnerabilidades en sistemas informáticos. No se ha logrado identificar un país o región clara asociada al grupo, lo que lo clasifica como un unmapped actor. Su nombre también se asocia con el término "Wroba.o", un código utilizado en la literatura de ciberseguridad para referirse a amenazas con características similares.
Contexto
Roaming Mantis ha sido identificado como una amenaza transnacional, con conexiones a múltiples países incluyendo Rusia, Japón, India, Bangladesh, Kazajstán, Afganistán, Irán y Vietnam. En 2020, la empresa Cybereason asumió que el grupo tenía un origen en China, aunque no se han confirmado detalles concretos sobre su estructura o métodos de operación. El grupo ha sido vinculado a la distribución de malware malicioso, como malicious APK, y a actividades de espionaje digital. Su nombre también aparece en reportes de seguridad como MITRE: S0509, lo que sugiere una relación con técnicas específicas de ataque.
Análisis
El grupo Roaming Mantis no ha sido asociado directamente a un país o región específico, lo que complica su identificación. Sin embargo, se han encontrado algunos Indicadores de Compromiso (IOCs) públicos relacionados con actividades del grupo:
| Tipo | Valor | Contexto |
| Domain | securelist.com | Plataforma de seguridad utilizada en reportes de amenazas (2019) |
Los datos disponibles indican que el grupo opera con una red difusa, sin un origen claro. No se han encontrado evidencias concluyentes de actividades de ransomware o brechas de seguridad específicas asociadas a este actor. Su enfoque parece ser la exploración de vulnerabilidades y la ciberespionaje, aunque no se han confirmado ataques específicos en organizaciones concretas.
Conclusion
Roaming Mantis es un actor APT con origen desconocido, asociado a una red transnacional de amenazas. Aunque no se han identificado actividades de ransomware o brechas de seguridad claras, el grupo ha sido vinculado a la distribución de malware y a operaciones de espionaje digital. La falta de datos sobre su estructura o métodos concretos dificulta su detección. Los indicadores disponibles, como el dominio securelist.com, sugieren una conexión con fuentes de seguridad en 2019. Se recomienda monitorear actividades relacionadas con este actor y colaborar con organismos internacionales para investigar su impacto.