Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Grupo de ciberdelincuencia Jingle Thief

Grupo de ciberdelincuencia Jingle Thief

Por Mezo en Amenaza persistente avanzada (APT)
Traducir a:

Jingle Thief es un grupo de cibercriminales con fines financieros que los investigadores han estado rastreando debido a sus ataques selectivos y de bajo ruido contra entornos en la nube utilizados por organizaciones que emiten tarjetas de regalo. Dado que las tarjetas de regalo se pueden canjear con pocos datos personales y son fáciles de revender, comprometer los flujos de trabajo de emisión permite retiros rápidos y difíciles de rastrear. Las operaciones del grupo se caracterizan por largos tiempos de permanencia, un reconocimiento minucioso y una preferencia por el uso indebido de identidades en lugar del malware tradicional, una combinación que dificulta la detección y la respuesta.

Quiénes son y cómo los llaman los investigadores

Los analistas de seguridad etiquetan este grupo de actividad como CL-CRI-1032. La etiqueta se desglosa como un grupo ('CL') impulsado por una motivación delictiva ('CRI'). Las evaluaciones de atribución, realizadas con un nivel de confianza moderado, vinculan la actividad a grupos delictivos identificados como Atlas Lion y Storm-0539, que se cree que operan desde Marruecos y están activos desde al menos finales de 2021. El apodo de "Jingle Thief" refleja la costumbre del grupo de atacar durante las vacaciones, cuando aumenta la demanda de tarjetas de regalo y la presión de los emisores.

Objetivos principales y perfil de la víctima

Jingle Thief se centra en organizaciones minoristas y de servicios al consumidor que gestionan la emisión de tarjetas de regalo en plataformas en la nube. Su objetivo es simple: obtener el acceso necesario para emitir tarjetas de regalo de alto valor y luego monetizarlas (normalmente mediante la reventa en mercados grises). Priorizan el acceso que les permite realizar la emisión a gran escala, dejando un mínimo rastro forense.

Tácticas, técnicas y procedimientos (TTP)

En lugar de desarrollar malware a medida, Jingle Thief se basa en la ingeniería social y el abuso de identidad en la nube:

  • Robo de credenciales: El grupo utiliza campañas de phishing y smishing personalizadas para obtener credenciales de Microsoft 365. Los mensajes se personalizan en gran medida tras un reconocimiento preliminar, a menudo imitando avisos de TI o actualizaciones de tickets para aumentar las tasas de clics y el envío de credenciales.
  • Uso indebido de identidad y suplantación de identidad: Una vez obtenidas las credenciales, los atacantes inician sesión y se hacen pasar por usuarios legítimos para acceder a aplicaciones de emisión y documentación confidencial. Evitan deliberadamente exploits de endpoints ruidosos y prefieren el abuso de cuentas nativas de la nube.
  • Reconocimiento y movimiento lateral: después del acceso inicial, mapean el patrimonio de la nube (explorando SharePoint, OneDrive, guías de VPN, hojas de cálculo y flujos de trabajo internos utilizados para emitir o rastrear tarjetas de regalo), luego aumentan los privilegios y se mueven lateralmente a través de cuentas y servicios en la nube.

Persistencia y estrategias para eludir la MFA

Jingle Thief mantiene presencia a largo plazo (de meses a más de un año). Las técnicas de persistencia observadas incluyen la creación de reglas de reenvío de la bandeja de entrada, el traslado inmediato de los mensajes de phishing enviados a Elementos Eliminados para ocultar rastros, el registro de aplicaciones de autenticación fraudulentas y la inscripción de dispositivos atacantes en Entra ID. Estas acciones permiten al grupo sobrevivir a restablecimientos de contraseñas y revocaciones de tokens, y restablecer el acceso rápidamente.

Patrones operativos y escala

Los investigadores observaron una oleada coordinada de ataques entre abril y mayo de 2025 dirigidos a múltiples empresas de todo el mundo. En una campaña, los atacantes supuestamente mantuvieron el acceso durante unos 10 meses y comprometieron aproximadamente 60 cuentas de usuario en un único entorno. Sus operaciones suelen dirigirse directamente a los portales de emisión de tarjetas de regalo, emitiéndolas a través de múltiples programas, mientras intentan minimizar el registro y los metadatos forenses.

¿Por qué es atractivo el fraude con tarjetas de regalo?

Las tarjetas de regalo son atractivas para los estafadores porque se pueden canjear o revender con datos de identificación mínimos, y sus flujos de trabajo de emisión suelen estar menos supervisados que los de los sistemas de pago financieros. Cuando los atacantes obtienen acceso a estos flujos de trabajo en la nube, pueden escalar el fraude rápidamente, dejando rastros de auditoría menos evidentes para los defensores.

Indicadores de compromiso

  • Creación inexplicable de reglas de bandeja de entrada o reenvío automático a direcciones externas.
  • Nuevos registros de autenticadores o inscripciones de dispositivos inesperadas en Entra ID.
  • Aumentos repentinos en la emisión de tarjetas de regalo de alto valor o emisiones fuera del horario comercial normal.
  • Acceso a ubicaciones de SharePoint/OneDrive que almacenan flujos de trabajo de tarjetas de regalo, hojas de cálculo o guías de administración de VPN/TI.
  • Múltiples inicios de sesión en buzones de correo desde diferentes geolocalizaciones o IP desconocidas que no coinciden con el comportamiento normal del usuario.

Controles defensivos recomendados

  • Implemente MFA resistente a phishing (claves de acceso/FIDO2) y bloquee segundos factores débiles que se puedan registrar de forma remota.
  • Fortalecer la higiene de la identidad: deshabilitar la autenticación heredada, requerir políticas de acceso condicional y utilizar estaciones de trabajo con acceso privilegiado para la administración.
  • Supervise y alerte sobre reglas de reenvío de buzones, nuevas inscripciones de autenticadores/dispositivos y accesos anómalos a aplicaciones de emisión de tarjetas de regalo.
  • Aplique el mínimo privilegio a los sistemas de emisión y separe los flujos de trabajo de emisión de tarjetas de regalo de los almacenes de datos y correo comercial general.

Evaluación de cierre

La combinación de Jingle Thief de reconocimiento profundo, uso indebido de cuentas, largos tiempos de permanencia y técnicas de evasión de MFA lo convierte en un adversario de alto riesgo para cualquier organización que emita tarjetas de regalo. Dado que el grupo aprovecha las funciones de identidad y servicio en la nube en lugar de exploits de endpoints ruidosos, su detección requiere una monitorización rigurosa de la identidad, políticas estrictas de MFA y controles diseñados para proteger los flujos de trabajo de emisión. Priorizar estas medidas defensivas reduce la posibilidad de que los atacantes emitan, retiren y desaparezcan discretamente.

Tendencias

American Express - Estafa de intento de inicio de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes suelen aprovechar la popularidad de marcas de confianza para engañar a usuarios desprevenidos y conseguir que revelen información confidencial. La estafa "American Express - Intento de inicio de sesión bloqueado" es un claro ejemplo de esta táctica. Estos correos electrónicos se hacen pasar por alertas de seguridad de American Express, afirmando que se bloqueó un intento...

Mas Visto

Cargando...