La campaña Water Saci despliega Sorvepotel: robo de credenciales y fraude bancario en empresas

Introducción

En las últimas semanas, equipos de ciberseguridad en Latinoamérica han detectado una campaña de amenazas persistentes avanzadas (APT) dirigida a entornos corporativos bajo el nombre de “Water Saci”. Esta ofensiva, caracterizada por su sofisticación y selectividad, utiliza el malware Sorvepotel para comprometer endpoints empresariales, sustraer credenciales y monitorizar la actividad en navegadores con el objetivo final de defraudar a instituciones financieras de la región. Analizamos el trasfondo, los detalles técnicos y las consecuencias de este ataque para el tejido empresarial.

Contexto del Incidente

Water Saci ha sido identificada por múltiples equipos de threat intelligence como una campaña activa desde principios de 2024, focalizada especialmente en empresas con operaciones en el sector financiero, legal y de servicios. La amenaza ha logrado evadir soluciones antimalware tradicionales mediante el uso de cadenas de infección polimórficas y técnicas avanzadas de evasión, lo que ha multiplicado su efectividad en ataques dirigidos. El vector inicial de ataque suele ser un spear phishing cuidadosamente elaborado, adaptado al contexto empresarial de cada objetivo, lo que incrementa la tasa de éxito de la infección inicial.

Detalles Técnicos

El principal artefacto utilizado en la campaña es Sorvepotel, un malware modular diseñado para operaciones de espionaje y robo de credenciales. Según los análisis de los equipos de respuesta a incidentes, Sorvepotel se distribuye habitualmente a través de archivos adjuntos en correos electrónicos (documentos ofuscados con macros maliciosas) o mediante enlaces a sitios de descarga comprometidos. Una vez ejecutado, el malware realiza las siguientes acciones:

– Persistencia: modifica claves de registro y utiliza tareas programadas para asegurar su supervivencia tras reinicios.
– Credential Harvesting: emplea técnicas de scraping y uso de herramientas nativas (Living off the Land Binaries, LOLBins) para extraer credenciales almacenadas en navegadores como Chrome, Edge y Firefox, así como en clientes VPN y gestores de contraseñas.
– Browser Monitoring: inyecta código en procesos de navegador para capturar sesiones activas, cookies, y monitorizar la introducción de credenciales bancarias en tiempo real.
– Comunicación C2: utiliza canales cifrados sobre HTTPS y DNS-tunneling para exfiltrar datos a servidores controlados por los atacantes.

La campaña ha sido catalogada bajo los TTPs MITRE ATT&CK siguientes: TA0001 (Initial Access), T1059 (Command and Scripting Interpreter), T1071.001 (Web Protocols), T1113 (Screen Capture), T1087 (Account Discovery) y T1005 (Data from Local System). No se han publicado CVEs específicos aprovechados, lo que refuerza la hipótesis del uso de ingeniería social y explotación de configuraciones débiles.

Entre los IOC (Indicadores de Compromiso) identificados se encuentran hashes de archivos ejecutables (SHA256), dominios C2 como “saci-update[.]com”, y patrones anómalos de tráfico saliente en horarios no laborales.

Impacto y Riesgos

La campaña Water Saci representa un riesgo elevado para la integridad y confidencialidad de las corporaciones afectadas. Se han documentado casos de fraude bancario directo, donde las credenciales exfiltradas han permitido transferencias no autorizadas y alteraciones en cuentas corporativas. En entornos auditados, se estima que un 12% de endpoints corporativos en empresas medianas de la región han mostrado rastros de actividad asociada a Sorvepotel, con pérdidas económicas acumuladas que superan los 3 millones de dólares en solo dos meses.

Adicionalmente, la capacidad de monitorizar sesiones de navegador permite a los atacantes realizar movimientos laterales y escalar privilegios, comprometiendo no solo la capa financiera sino también la operativa y estratégica de las organizaciones.

Medidas de Mitigación y Recomendaciones

Frente a este panorama, se recomienda implementar de manera urgente las siguientes acciones:

1. Refuerzo de la concienciación y formación en spear phishing para empleados con acceso a información sensible.
2. Deshabilitación de macros en toda la organización y restricción de ejecución de scripts no firmados.
3. Monitorización activa de IOC publicados y análisis de tráfico saliente mediante soluciones EDR y NDR.
4. Configuración de políticas de doble factor de autenticación (2FA/MFA) en accesos a sistemas financieros y críticos.
5. Evaluación de credenciales comprometidas y rotación inmediata, así como auditoría de logs de acceso.

Para las empresas sujetas a GDPR y NIS2, el incidente debe ser notificado en un plazo no superior a 72 horas desde su detección, siguiendo los protocolos de breach notification.

Opinión de Expertos

Expertos en ciberinteligencia, como los analistas del SANS Institute y de la comunidad FIRST, coinciden en que Water Saci marca una evolución en las campañas de fraude financiero regional: “No solo se trata de robo de credenciales, sino de una vigilancia en tiempo real de la actividad empresarial, lo que incrementa el riesgo de fraude dirigido y pérdidas reputacionales”. Recomiendan apostar por modelos Zero Trust y despliegue de honeypots para detección temprana.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar este tipo de campañas como una amenaza sistémica, que puede escalar rápidamente a incidentes de mayor envergadura si no se actúa con diligencia. Los usuarios finales, especialmente los que operan con información financiera, deben extremar las precauciones en la gestión de contraseñas y adoptar buenas prácticas de higiene digital.

Conclusiones

Water Saci y Sorvepotel son la última muestra de cómo las amenazas avanzadas evolucionan para adaptarse a los entornos corporativos y maximizar el impacto económico. La respuesta debe ser igualmente dinámica, combinando tecnología, formación y respuesta ágil ante incidentes, en un contexto cada vez más regulado y expuesto a sanciones por brechas de datos.

(Fuente: www.darkreading.com)