Basado en información de The Hacker News →
Introducción
Cuando un grupo de ransomware afiliado combina una vulnerabilidad crítica de acceso remoto con herramientas legítimas de administración y credenciales robadas de la cadena de suministro, el resultado es una intrusión que difícilmente activa las alarmas tradicionales. Eso es exactamente lo que está documentando la inteligencia de amenazas sobre la operación Anubis.
El problema
Según un reporte de The Hacker News, actores de amenaza vinculados a la operación de ransomware Anubis han sido detectados explotando la vulnerabilidad Citrix Bleed 2, identificada como CVE-2025-5777, para obtener acceso inicial a entornos corporativos. Una vez dentro, los atacantes despliegan herramientas legítimas de monitoreo y administración remota (RMM), roban credenciales y ejecutan movimientos laterales con intervención manual directa ("hands-on-keyboard").
Consecuencias
La combinación de estos vectores permite a los atacantes permanecer indetectados durante semanas, escalar privilegios mediante credenciales comprometidas de la cadena de suministro y desplegar el ransomware en toda la organización. El impacto típico incluye cifrado masivo de datos, exfiltración de información sensible y paralización operativa. Dado que los RMM son herramientas legítimas, el tráfico de comando y control se mezcla con el tráfico administrativo normal, eludiendo firewalls y sistemas de detección basados en firmas.