Sicarii
Perfil del Actor
Sicarii es un operativo de ransomware-as-a-service (RaaS) que emergió en el final de 2025, con una identidad basada en un marcaje pro-Israelí/Judeo. Este actor se enfoca en victimizar organizaciones que tienen mayoría árabe o musulmana, evitando sistemas israelíes y utilizando técnicas como la explotación de servicios RDP expuestos y dispositivos Fortinet. Su administrador posteriormente instruyó a los operadores para migrar al plataforma BQTLock.
Origen y Motivación
Aunque no se especifican motivaciones explícitas, el nombre "Sicarii" sugiere una conexión con un movimiento histórico de resistencia contra la ocupación romana en Judea. Sin embargo, en su contexto moderno, el actor opera bajo un sello pro-Israelí/Judeo, lo que podría indicar una postura política o ideológica orientada hacia grupos judíos y países con identidad israelí. No se han descubierto detalles sobre su fundación o motivaciones específicas.
Técnicas y Tacticas (TTPs)
-
Exploit de servicios expuestos: Uso de vulnerabilidades en RDP y dispositivos Fortinet.
-
Plataforma BQTLock: Migración de operadores a una nueva plataforma de ransomware.
-
Campañas cibernéticas orientadas a zonas geográficas: Enfocado en organizaciones con mayoría árabe o musulmana.
Campanas Conocidas
Se reporta un caso concreto de ataque, aunque no se han revelado detalles sobre las víctimas específicas o el impacto exacto. La operación se ha asociado con la utilización de dominios Onion como canales de comunicación.
Objetivos y Victimas
-
Objetivo principal: Atacar organizaciones en regiones con mayoría árabe o musulmana, evitando sistemas israelíes.
-
Victimas conocidas: Una organización específica (sin detalles públicos).
Indicadores de Compromiso (IOCs)
| Tipo |
Valor |
Contexto |
| C2 (Command and Control) |
sicari7zpu3mtxqggde7mu3ywppntdqg22arcukvlaihjbfcb2rnktid.onion |
Comunicación con el servidor principal del ciberataque. |
| C2 (Command and Control) |
sicarilxx2br6esqnhad4w26bcgb5j2snbbnhyo4b6t7kby2oy4x3jad.onion |
Plataforma de chat para coordinación entre operadores. |
Detección y Defensa
-
Monitoreo de servicios RDP: Identificar vulnerabilidades en servidores expuestos.
-
Actualización de dispositivos Fortinet: Aplicar parches para mitigar riesgos de explotación.
-
Uso de inteligencia de amenazas: Analizar dominios Onion y patrones de ataque relacionados con Sicarii.
-
Contención inmediata: Bloquear comunicaciones con dominios sospechosos y aislar sistemas comprometidos.