Operação Escaneo: grupo MexicanMafia usa táticas de APT contra instituições mexicanas

19 de junho de 2026

Resumo

Um diretório exposto no IP 62.171.185[.]97 permitiu à CloudSEK mapear a cadeia operacional da Operation Escaneo, atribuída com confiança média ao grupo MexicanMafia (PanchoVilla). A campanha empregou o scanner personalizado Kimera, exploits direcionados a Fortinet, Ivanti e Cisco, além de persistência avançada via webshells Neo-reGeorg, túneis Chisel e GRE em roteadores Cisco, invisíveis a detecções baseadas em host. O grupo adotou disciplina típica de APTs: cracking on-premise de credenciais para evitar exfiltração de hashes e manutenção de acessos resilientes à rotação de senhas. É mais um sinal de que atores criminosos na América Latina estão aplicando técnicas de espionagem tradicionalmente associadas a ameaças estatais, agora voltadas para ganho financeiro.

Aprofundamento CEVIU

Aprofundamento

A Operação Escaneo não é só mais um ataque de ransomware ou vazamento esporádico. É um modelo operacional completo, com ciclo fechado de reconhecimento, exploração, movimentação, persistência e exfiltração, tudo mapeado em artefatos reais de um servidor de staging exposto. O Kimera não é um script amador: ele orquestra dnsx, naabu e httpx em paralelo, remove limites de file descriptors e integra Nuclei e Dalfox sem intervenção humana. Isso significa que o grupo automatiza fases inteiras do kill chain antes mesmo de tentar uma única exploração.

O uso de GRE em roteadores Cisco como camada de persistência é crítico: não é só um túnel reverso. É uma mudança de topologia de rede invisível a EDRs, firewalls e sistemas de detecção baseados em host. Enquanto as equipes de segurança monitoram processos suspeitos no Windows ou logs de webshell, o tráfego já está fluindo por uma interface virtual dentro do próprio equipamento de rede, como se fosse tráfego legítimo de gerência. E isso não é teórico: foram encontrados scripts de configuração GRE específicos para IOS-XE, com fallback automático para túneis Chisel quando o GRE falha.

O que mudou

Em junho de 2026, a CloudSEK confirmou o que até então eram indícios fragmentados: a mexicanMafia evoluiu de um coletivo de vendedores de dados em fóruns para um grupo com capacidade de desenvolvimento contínuo de ferramentas (Kimera V2), infraestrutura C2 redundante (Neo-reGeorg + GRE + Chisel) e disciplina operacional de longa duração, como demonstrado nos 13 dias com 3.708 sessões Chisel registradas. Antes, os ataques eram divulgados como golpes pontuais (ex: Oaxaca, SAT). Agora, há evidência concreta de ciclo operacional fechado, com testes de Zerologon, PwnKit e exploração de SAP/Oracle para execução direta, algo ausente nas primeiras divulgações de 2024.

Por que isso importa

Esse é o primeiro caso documentado na América Latina em que um ator criminoso aplica técnicas de APT estatal (como túneis GRE em hardware de rede) com escopo exclusivamente financeiro, sem discurso político ou espionagem estratégica. O impacto prático é imediato: equipes de SOC precisam repensar detecção. Não basta procurar por webshells PHP; é preciso inspecionar tráfego GRE em portas 47 e 1723 em roteadores Cisco, validar assinaturas de firmware modificado e cruzar logs de N-able RMM com acessos a dispositivos de rede via SSH. Além disso, o aumento de 78% em incidentes de ransomware na região em 2025 mostra que essa profissionalização não é isolada: é um padrão emergente, impulsionado por 'narco digital' e serviços cibernéticos terceirizados.

Linha do tempo

2024-03-01
MexicanMafia divulga vazamento de 2,9 mi de linhas de dados da Polícia do Estado de Oaxaca
2024-04-03
Grupo defaceia site oficial do governo de Oaxaca como prova do ataque
2024-08-01
Comprometimento do Poder Judicial da Cidade do México e publicação de 162 mil credenciais
2026-06-19
CloudSEK mapeia cadeia operacional completa da Operação Escaneo via diretório exposto no IP 62.171.185[.]97

Perguntas frequentes

O que torna o Kimera diferente de scanners como Amass ou Subfinder?

Kimera não é só de descoberta. Ele integra automaticamente varredura de subdomínios, portas, fingerprinting HTTP, extração de endpoints JS, validação de XSS com Dalfox e scanning com Nuclei, tudo em um único fluxo sem pausa. Também remove limites de threads e file descriptors para operar em escala industrial, algo que ferramentas genéricas não fazem por padrão.

Por que túneis GRE em roteadores Cisco são tão perigosos para detecção?

GRE é um protocolo de encapsulamento nativo de rede, usado para rotas legítimas de gerência. Quando implantado em roteadores comprometidos, o tráfego malicioso trafega como pacotes IP normais, sem processo suspeito no sistema operacional, sem conexões TCP abertas e sem logs de aplicativo. Sistemas baseados em host simplesmente não veem nada.

Como o MexicanMafia evita detecção ao extrair dados do Active Directory?

Eles usam BloodHound para mapear relações privilegiadas, extraem credenciais diretamente de GPP XML, e executam consultas LDAP via PowerShell ofuscado com injeção em jobs do DBMS_SCHEDULER Oracle. Os dados são comprimidos em blocos de 407 MB e fragmentados em pedaços de ~3,9 KB para evitar detecção por limiares de tamanho em proxies e DLPs.

Qual é a diferença entre esse MexicanMafia e a organização criminosa tradicional com o mesmo nome?

São entidades distintas. A 'Mexican Mafia' presa nos EUA em abril de 2026 é uma organização de rua e prisão ativa desde os anos 1950. Já o grupo cibernético MexicanMafia (PanchoVilla) é um coletivo digital sem vínculo comum com ela, usa o nome como marca, mas opera com engenheiros de segurança, desenvolvedores de exploits e operadores de infraestrutura C2.

Links relacionados

Fontes

cloudsek.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 19 de junho de 2026
Editoria: CEVIU Segurança da Informação