Condor2026/CAMPAIGN-DE-PHISHING-AEAT-Y-MALWARE-ASOCIADO

GitHub: Condor2026/CAMPAIGN-DE-PHISHING-AEAT-Y-MALWARE-ASOCIADO

一份针对西班牙 AEAT 机构钓鱼攻击活动及相关恶意软件基础设施的综合性威胁情报分析报告。

Stars: 0 | Forks: 0

Typing animation

# 📡 INFORME COMPLETO DE CIBERAMENAZA: CAMPAÑA DE PHISHING AEAT Y MALWARE ASOCIADO **Threat Intelligence Report - Análisis Integral** **Fecha:** 1 de Julio de 2026 **Nivel de Clasificación:** PÚBLICO - DIVULGATIVO **Propósito:** Concienciación ciudadana y documentación técnica para profesionales de ciberseguridad # 🦅 Condor2026 – Informe de Ciberamenaza: Campaña de Phishing contra la AEAT | **Rol** | Purple Team | OSINT Developer | Threat Hunter | Osinter | The Tracker | | :--- | :--- | :--- | :--- | :--- | :--- | | **Estado** | 🟢 Activo | 🟢 Activo | 🟢 Activo | 🟢 Activo | 🟢 Activo | ## 🚨 Resumen Ejecutivo Se ha identificado una **infraestructura criminal activa** que opera desde la IP `104.21.72.114` (Cloudflare) utilizada para: - **Phishing masivo** suplantando a la Agencia Tributaria Española (AEAT) mediante `aeat-11.eu.cc` - **Distribución de malware** incluyendo el gusano **Allaple.A** (Worm.Win32.Allaple) - **Aplicaciones Android maliciosas** disfrazadas de VPNs y lectores de manga - **Infraestructura C2** con **52 subdominios** en `*.hze1.xyz` **Volumen:** 20+ dominios | 90+ archivos maliciosos | 80+ APKs | 3 IPs en Japón ## 🌐 Infraestructura Maliciosa - IPs y Dominios ### IP Principal | IP | Proveedor | Detecciones | País | Observación | | :--- | :--- | :--- | :--- | :--- | | `104.21.72.114` | Cloudflare (AS13335) | 3/91 | ZZ | **IP CENTRAL** - 20+ dominios | | `59.84.150.206` | 10010 | 0/91 | JP | Exfiltración Allaple | | `59.84.17.45` | 10010 | 0/91 | JP | Exfiltración Allaple | | `59.84.171.222` | 10010 | 0/91 | JP | Exfiltración Allaple | ### Dominios que resuelven a 104.21.72.114 | # | Dominio | Detecciones | Fecha | Estado | | :--- | :--- | :--- | :--- | :--- | | 1 | **aeat-11.eu.cc** | ✅ 1/91 | 2026-06-30 | 🟥 PHISHING AEAT | | 2 | **www.phonelookupss0vslzp.cfd** | ✅ 3/91 | 2026-07-01 | 🟥 MALICIOSO | | 3 | zentouchmassagers.com | 0/91 | 2026-07-01 | 🟨 SOSPECHOSO | | 4 | skorkita.my.id | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 5 | www.skorkita.my.id | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 6 | trafik.creative2026.com | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 7 | moreimprove.com | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 8 | quvaronis.site | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 9 | nagawin-valo.com | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 10 | dadujp.org | 0/91 | 2026-06-30 | 🟨 SOSPECHOSO | | 11 | image-match.mdyn-internal.net | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 12 | title-match.mdyn-internal.net | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 13 | rvip2resm.com | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 14 | hokatsu.xyz | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 15 | funnelora.world | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 16 | www.fanalo.com | 0/91 | 2026-06-29 | 🟨 SOSPECHOSO | | 17 | api.fanalo.com | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 18 | sds917.com | ✅ 3/91 | 2026-06-29 | 🟥 MALICIOSO | | 19 | newlyfeasiblemite.world | ✅ 3/91 | 2026-06-29 | 🟥 MALICIOSO | | 20 | canoki.app | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 21 | api.canoki.app | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 22 | cdn.canoki.app | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 23 | teamcreators-heekentertainment.com | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 24 | dogzone.cfd | 0/91 | 2026-06-28 | 🟨 SOSPECHOSO | | 25 | ondeadrian.co | 0/91 | 2026-06-27 | 🟨 SOSPECHOSO | | 26 | slotacasino-hu.com | 0/91 | 2026-06-27 | 🟨 SOSPECHOSO | | 27 | www.slotacasino-hu.com | 0/91 | 2026-06-27 | 🟨 SOSPECHOSO | | 28 | avso72.icu | 0/91 | 2026-06-26 | 🟨 SOSPECHOSO | ### Subdominios C2 - Red "WAVE" (hze1.xyz) wave3.hze1.xyz wave4.hze1.xyz wave12.hze1.xyz wave13.hze1.xyz wave14.hze1.xyz wave15.hze1.xyz wave16.hze1.xyz wave23.hze1.xyz wave25.hze1.xyz wave27.hze1.xyz wave28.hze1.xyz wave30.hze1.xyz wave31.hze1.xyz wave33.hze1.xyz wave34.hze1.xyz wave35.hze1.xyz wave36.hze1.xyz wave37.hze1.xyz wave38.hze1.xyz wave40.hze1.xyz wave41.hze1.xyz wave42.hze1.xyz wave45.hze1.xyz wave47.hze1.xyz wave50.hze1.xyz wave53.hze1.xyz wave54.hze1.xyz wave57.hze1.xyz wave60.hze1.xyz wave61.hze1.xyz wave63.hze1.xyz wave64.hze1.xyz wave68.hze1.xyz wave69.hze1.xyz wave70.hze1.xyz wave72.hze1.xyz wave73.hze1.xyz wave76.hze1.xyz wave77.hze1.xyz wave82.hze1.xyz wave83.hze1.xyz wave84.hze1.xyz wave87.hze1.xyz wave90.hze1.xyz wave91.hze1.xyz wave99.hze1.xyz wave100.hze1.xyz wave112.hze1.xyz wave120.hze1.xyz wave121.hze1.xyz **TOTAL:** 52 subdominios ### Dominios Relacionados (Siblings) git.mdyn-internal.net petro.mdyn-internal.net rancher-k3s-infra-1.mdyn-internal.net m.hnjpzl.com p.hnjpzl.com www.hnjpzl.com media.fanalo.com www.creative2026.com ## 🦠 Archivos Maliciosos - Hashes (Windows PE32) ### Muestra Principal - Gusano Allaple.A | Propiedad | Valor | | :--- | :--- | | **SHA-256** | `1ac48f922bb90f9709bfc6a63cc56d416890bda73857b98a6de88bc9cb9bfa1d` | | **MD5** | `45f3d34bfe9b1ffb076e9d6e25f8c304` | | **SHA-1** | `968ea74978118f0c14af360886ca284108b47556` | | **Nombre** | bcwvzwbh.exe | | **Tamaño** | 172.00 KB | | **Tipo** | Win32 EXE (GUI) Intel 80386 | | **Detecciones** | **66/70** | | **Clasificación** | Net-Worm.Win32.Allaple.a / CoinMiner | # CAMPAÑA-DE-PHISHING-AEAT-Y-MALWARE-ASOCIADO Threat Intelligence **informe COMPLETO y EXTREMADAMENTE DETALLADO** ## 📋 ÍNDICE 1. [Resumen Ejecutivo](#resumen-ejecutivo) 2. [Descripción de la Amenaza](#descripción-de-la-amenaza) 3. [Infraestructura Maliciosa - IPs y Dominios COMPLETOS](#infraestructura-malicosa---ips-y-dominios-completos) 4. [Archivos Maliciosos - Listado COMPLETO de Hashes](#archivos-maliciosos---listado-completo-de-hashes) 5. [Análisis Detallado del Gusano Allaple](#análisis-detallado-del-gusano-allaple) 6. [Aplicaciones Android Fraudulentas](#aplicaciones-android-fraudulentas) 7. [Cadena de Ataque Explicada](#cadena-de-ataque-explicada) 8. [Recomendaciones de Mitigación](#recomendaciones-de-mitigación) 9. [Referencias Oficiales](#referencias-oficiales) 10. [Aviso Legal](#aviso-legal) ## 🚨 RESUMEN EJECUTIVO **Se ha identificado una infraestructura criminal activa** que opera desde la dirección IP `104.21.72.114` (alojada en Cloudflare) y que está siendo utilizada para: 1. **Campañas de phishing masivo** contra la Agencia Tributaria Española (AEAT) mediante el dominio `aeat-11.eu.cc` y otros. 2. **Distribución de malware** incluyendo el gusano **Allaple.A** (Worm.Win32.Allaple) y variantes de troyanos bancarios. 3. **Aplicaciones Android maliciosas** disfrazadas de VPNs y lectores de manga. 4. **Infraestructura de Comando y Control (C2)** con decenas de subdominios en la zona `*.hze1.xyz`. **El volumen de indicadores es masivo:** 20+ dominios, 90+ archivos maliciosos, y 3 direcciones IP en Japón que actúan como puntos de exfiltración de datos. ## 🎯 DESCRIPCIÓN DE LA AMENAZA ### ¿Qué están haciendo los atacantes? Los ciberdelincuentes han desplegado una **operación multifacética** que combina: | Vector de Ataque | Descripción | Ejemplo | | :--- | :--- | :--- | | **Phishing/Smishing** | Envío de SMS y correos suplantando a la AEAT | "Tienes una notificación pendiente de la Agencia Tributaria" | | **Suplantación Web** | Clones exactos de la Sede Electrónica de la AEAT | `aeat-11.eu.cc` | | **Distribución de Malware** | Descargas automáticas de ejecutables maliciosos | `gv2.exe`, `malware.exe`, `ConsoleApp25566.exe` | | **Apps Android Maliciosas** | Aplicaciones fraudulentas en tiendas alternativas | "VPN Secure VIP", "com.manga.library.online" | | **Red de C2** | Infraestructura para recibir órdenes y robar datos | `wave[1-121].hze1.xyz`, IPs en Japón | ## 🌐 INFRAESTRUCTURA MALICIOSA - IPs Y DOMINIOS COMPLETOS ### 🔴 Dirección IP Principal (Comando y Control) | Dirección IP | Proveedor | Detecciones | País | Observación | | :--- | :--- | :--- | :--- | :--- | | **104.21.72.114** | Cloudflare (AS13335) | 3/91 | ZZ | **IP CENTRAL** - 20+ dominios resuelven a esta IP | | 59.84.150.206 | 10010 | 0/91 | JP | Punto de exfiltración de datos del gusano Allaple | | 59.84.17.45 | 10010 | 0/91 | JP | Punto de exfiltración de datos del gusano Allaple | | 59.84.171.222 | 10010 | 0/91 | JP | Punto de exfiltración de datos del gusano Allaple | ### 📌 DOMINIOS COMPLETOS QUE RESUELVEN A 104.21.72.114 **LISTADO EXHAUSTIVO DE TODOS LOS DOMINIOS IDENTIFICADOS:** | # | Dominio | Detecciones | Fecha de Resolución | Estado | | :--- | :--- | :--- | :--- | :--- | | 1 | **aeat-11.eu.cc** | ✅ 1/91 | 2026-06-30 | **ACTIVO - PHISHING AEAT** | | 2 | **www.phonelookupss0vslzp.cfd** | ✅ 3/91 | 2026-07-01 | ACTIVO - MALICIOSO | | 3 | zentouchmassagers.com | 0/91 | 2026-07-01 | SOSPECHOSO | | 4 | skorkita.my.id | 0/91 | 2026-06-30 | SOSPECHOSO | | 5 | www.skorkita.my.id | 0/91 | 2026-06-30 | SOSPECHOSO | | 6 | trafik.creative2026.com | 0/91 | 2026-06-30 | SOSPECHOSO | | 7 | moreimprove.com | 0/91 | 2026-06-30 | SOSPECHOSO | | 8 | quvaronis.site | 0/91 | 2026-06-30 | SOSPECHOSO | | 9 | nagawin-valo.com | 0/91 | 2026-06-30 | SOSPECHOSO | | 10 | dadujp.org | 0/91 | 2026-06-30 | SOSPECHOSO | | 11 | image-match.mdyn-internal.net | 0/91 | 2026-06-29 | SOSPECHOSO | | 12 | title-match.mdyn-internal.net | 0/91 | 2026-06-29 | SOSPECHOSO | | 13 | rvip2resm.com | 0/91 | 2026-06-29 | SOSPECHOSO | | 14 | hokatsu.xyz | 0/91 | 2026-06-29 | SOSPECHOSO | | 15 | funnelora.world | 0/91 | 2026-06-29 | SOSPECHOSO | | 16 | www.fanalo.com | 0/91 | 2026-06-29 | SOSPECHOSO | | 17 | api.fanalo.com | 0/91 | 2026-06-28 | SOSPECHOSO | | 18 | sds917.com | ✅ 3/91 | 2026-06-29 | MALICIOSO | | 19 | newlyfeasiblemite.world | ✅ 3/91 | 2026-06-29 | MALICIOSO | | 20 | canoki.app | 0/91 | 2026-06-28 | SOSPECHOSO | | 21 | api.canoki.app | 0/91 | 2026-06-28 | SOSPECHOSO | | 22 | cdn.canoki.app | 0/91 | 2026-06-28 | SOSPECHOSO | | 23 | teamcreators-heekentertainment.com | 0/91 | 2026-06-28 | SOSPECHOSO | | 24 | dogzone.cfd | 0/91 | 2026-06-28 | SOSPECHOSO | | 25 | ondeadrian.co | 0/91 | 2026-06-27 | SOSPECHOSO | | 26 | slotacasino-hu.com | 0/91 | 2026-06-27 | SOSPECHOSO | | 27 | www.slotacasino-hu.com | 0/91 | 2026-06-27 | SOSPECHOSO | | 28 | avso72.icu | 0/91 | 2026-06-26 | SOSPECHOSO | ### 🌊 SUBDOMINIOS DE LA RED C2 - SERIE "WAVE" (hze1.xyz) **Esta es la infraestructura de Comando y Control. TODOS estos dominios están bajo el mismo operador:** | # | Subdominio | # | Subdominio | # | Subdominio | | :--- | :--- | :--- | :--- | :--- | :--- | | 1 | wave3.hze1.xyz | 21 | wave40.hze1.xyz | 41 | wave77.hze1.xyz | | 2 | wave4.hze1.xyz | 22 | wave41.hze1.xyz | 42 | wave82.hze1.xyz | | 3 | wave12.hze1.xyz | 23 | wave42.hze1.xyz | 43 | wave83.hze1.xyz | | 4 | wave13.hze1.xyz | 24 | wave45.hze1.xyz | 44 | wave84.hze1.xyz | | 5 | wave14.hze1.xyz | 25 | wave47.hze1.xyz | 45 | wave87.hze1.xyz | | 6 | wave15.hze1.xyz | 26 | wave50.hze1.xyz | 46 | wave90.hze1.xyz | | 7 | wave16.hze1.xyz | 27 | wave53.hze1.xyz | 47 | wave91.hze1.xyz | | 8 | wave23.hze1.xyz | 28 | wave54.hze1.xyz | 48 | wave99.hze1.xyz | | 9 | wave25.hze1.xyz | 29 | wave57.hze1.xyz | 49 | wave100.hze1.xyz | | 10 | wave27.hze1.xyz | 30 | wave60.hze1.xyz | 50 | wave112.hze1.xyz | | 11 | wave28.hze1.xyz | 31 | wave61.hze1.xyz | 51 | wave120.hze1.xyz | | 12 | wave30.hze1.xyz | 32 | wave63.hze1.xyz | 52 | wave121.hze1.xyz | | 13 | wave31.hze1.xyz | 33 | wave64.hze1.xyz | | | | 14 | wave33.hze1.xyz | 34 | wave68.hze1.xyz | | | | 15 | wave34.hze1.xyz | 35 | wave69.hze1.xyz | | | | 16 | wave35.hze1.xyz | 36 | wave70.hze1.xyz | | | | 17 | wave36.hze1.xyz | 37 | wave72.hze1.xyz | | | | 18 | wave37.hze1.xyz | 38 | wave73.hze1.xyz | | | | 19 | wave38.hze1.xyz | 39 | wave76.hze1.xyz | | | **TOTAL:** 52 subdominios identificados en la zona `*.hze1.xyz` ### 🔗 DOMINIOS HERMANOS (Siblings) RELACIONADOS | Dominio Relacionado | Observación | | :--- | :--- | | git.mdyn-internal.net | Infraestructura interna | | petro.mdyn-internal.net | Infraestructura interna | | rancher-k3s-infra-1.mdyn-internal.net | Infraestructura interna | | m.hnjpzl.com | Subdominio relacionado | | p.hnjpzl.com | Subdominio relacionado | | www.hnjpzl.com | Subdominio relacionado | | media.fanalo.com | Subdominio relacionado | | www.creative2026.com | Subdominio relacionado | ## 🦠 ARCHIVOS MALICIOSOS - LISTADO COMPLETO DE HASHES ### 🔴 ARCHIVOS WINDOWS PE32 (Ejecutables) - 100% MALICIOSOS | # | SHA-256 Hash | Nombre | Detecciones | Última Fecha | Tipo de Amenaza | | :--- | :--- | :--- | :--- | :--- | :--- | | 1 | `1ac48f922bb90f9709bfc6a63cc56d416890bda73857b98a6de88bc9cb9bfa1d` | bcwvzwbh.exe | **66/70** | 2023-06-08 | **Worm.Allaple.A** | | 2 | `4389b187b803d3593ef94412a57ce81f` | 4389b187...virus | 43/69 | 2021-09-06 | Virus | | 3 | `1778182dbceb4d55341a8937e7f85964` | 1778182d...virus | 43/69 | 2021-09-06 | Virus | | 4 | `c22f07d4449d83b55827efdde2097950` | c22f07d4...virus | 43/69 | 2021-09-06 | Virus | | 5 | `a09e8aef304d56a673089d9acf769ef6` | a09e8aef...virus | 42/69 | 2021-09-06 | Virus | | 6 | `gv2.exe` | gv2.exe | **57/71** | 2026-02-25 | Troyano | | 7 | `eClient.exe` | eClient.exe | 44/71 | 2026-02-23 | Troyano | | 8 | `ConsoleApp25566.exe` | ConsoleApp25566.exe | **56/73** | 2025-03-13 | Troyano | | 9 | `hkklr.exe` | hkklr.exe | 37/72 | 2026-02-23 | Troyano | | 10 | `malware.exe` | malware.exe | **50/71** | 2026-03-21 | Troyano | | 11 | `ConsoleApp103432.exe` | ConsoleApp103432.exe | **54/73** | 2025-03-14 | Troyano | | 12 | `gquantri.exe` | gquantri.exe | **56/71** | 2026-02-25 | Troyano | | 13 | `molliza.exe` | molliza.exe | **50/72** | 2026-03-21 | Troyano | | 14 | `gStub.exe` | gStub.exe | **57/72** | 2026-02-25 | Troyano/Stub | | 15 | `mClient.exe` | mClient.exe | **57/72** | 2026-02-25 | Troyano | | 16 | `eRelease.exe` | eRelease.exe | **50/69** | 2026-06-04 | Troyano | | 17 | `mv2.exe` | mv2.exe | **57/72** | 2026-02-25 | Troyano | | 18 | `gv3.exe` | gv3.exe | **59/72** | 2026-02-25 | Troyano | | 19 | `Revised Order USD 510,400.exe` | New Revised Order USD510,400.exe | 43/67 | 2022-01-28 | Troyano de Ingeniería Social | | 20 | `Revised Order USD 760,200.exe` | Revised Order USD 760,200.exe | 43/68 | 2021-11-21 | Troyano de Ingeniería Social | | 21 | `ConsoleApp333333.exe` | ConsoleApp333333.exe | 41/69 | 2021-12-22 | Troyano | | 22 | `olp6f7j.exe` | olp6f7j.exe | 49/71 | 2026-03-21 | Troyano | | 23 | `1e9d4j.exe` | 1e9d4j.exe | **50/72** | 2025-12-08 | Troyano | | 24 | `csam.exe` | csam.exe | **51/72** | 2026-03-21 | Troyano | | 25 | `a91ea9a241a7f433d69d443b6f6e7da8` | a91ea9a2...virus | 28/69 | 2021-06-16 | Virus | | 26 | `ConsoleApp422222222222.exe` | ConsoleApp422222222222.exe | **55/73** | 2025-03-14 | Troyano | | 27 | `abcdiri5j3duf.exe` | abcdiri5j3duf.exe | **48/72** | 2024-06-05 | Troyano | | 28 | `ev3.exe` | ev3.exe | 43/72 | 2026-02-24 | Troyano | | 29 | `mv3.exe` | mv3.exe | **55/70** | 2026-02-25 | Troyano | | 30 | `New Order USD 450,100.exe` | New Order USD 450,100.exe | 42/69 | 2021-12-29 | Troyano de Ingeniería Social | | 31 | `Stub.exe` | Stub.exe | **60/72** | 2025-12-12 | Troyano/Stub | | 32 | `bv7f75j9p.exe` | bv7f75j9p.exe | 44/72 | 2026-02-24 | Troyano | | 33 | `qlk0my.exe` | qlk0my.exe | 42/72 | 2026-02-24 | Troyano | | 34 | `lj6re.exe` | lj6re.exe | **51/72** | 2026-03-21 | Troyano | | 35 | `6hzqfyk.exe` | 6hzqfyk.exe | 45/72 | 2026-02-23 | Troyano | | 36 | `gClient.exe` | gClient.exe | **58/72** | 2026-02-25 | Troyano | | 37 | `New Order Euro 920,100.exe` | New Order Euro 920,100.exe | 37/70 | 2021-06-18 | Troyano de Ingeniería Social | | 38 | `xvjcf.exe` | xvjcf.exe | 36/71 | 2026-02-23 | Troyano | | 39 | `vlgoogle_update.exe` | vlgoogle_update.exe | 36/72 | 2026-02-23 | Falso Actualizador Google | | 40 | `exxnsbkt.exe` | exxnsbkt.exe | **65/71** | 2023-07-06 | Gusano Allaple | | 41 | `bnbtzwxt.exe` | bnbtzwxt.exe | **66/70** | 2023-09-10 | Gusano Allaple | | 42 | `jsnbjwrh.exe` | jsnbjwrh.exe | **68/71** | 2023-09-09 | Gusano Allaple | | 43 | `crcjvnxt.exe` | crcjvnxt.exe | **66/70** | 2023-06-11 | Gusano Allaple | | 44 | `bcwvzwbh.exe` | bcwvzwbh.exe | **66/70** | 2023-07-13 | Gusano Allaple | | 45 | `eRelease.exe` (duplicado) | eRelease.exe | 41/72 | 2026-02-23 | Troyano | | 46 | `molliza.exe` (duplicado) | molliza.exe | **51/72** | 2026-03-21 | Troyano | | 47 | `ev3.exe` (duplicado) | ev3.exe | **50/69** | 2026-06-04 | Troyano | | 48 | `1e9d4j.exe` (duplicado) | 1e9d4j.exe | **50/72** | 2025-12-08 | Troyano | ### 🔴 MÁS ARCHIVOS WINDOWS (Continuación) - Hashes Adicionales | # | SHA-256 Hash | Nombre | Detecciones | | :--- | :--- | :--- | :--- | | 49 | `0359e53facd383b3ade3569a6d49e59f5113ca470af93a3e0c934c53072d3481` | - | Detectado | | 50 | `06a45f15410721dbb0ee9bca5b87f3322c81c52d079a3e3f5be250cc6b60f713` | - | Detectado | | 51 | `0a7ef414faa9efe6c37aa913faf159f8c7582b1c2ce90f82a23d4df182240260` | - | Detectado | | 52 | `184952aff45765cd4b3ddac9e4129acbbb5f61acf28d24862a5f91b10fd0b843` | - | Detectado | | 53 | `19ef7d57f144673400ea649c39ae553efb09c04a60927c68a586809a97f84e96` | - | Detectado | | 54 | `2589f71ed3f6a6ea354812caab8803d6cb3c8eec64f9663a54e18f08a057f4b2` | - | Detectado | | 55 | `2748c9f3dee707de1078ea18f66a3ebae7d7ff8563e611f45d768cf4e21ce5e8` | - | Detectado | | 56 | `3764b503a87733f712d26a7e80664809f74ad97251611eefb1992cefd0e40499` | - | Detectado | | 57 | `483273309709dd590f73932bc47965dbf3bce0b60de257eba49134a844dd8e1d` | - | Detectado | | 58 | `4b649beaf8d14e8f89b38d075bdbe08a707b394c6cb7d54e90baa2c437f46c4f` | - | Detectado | | 59 | `50b2d353ca88efd70fd5e61c85d49719052b21accad6f248b1e7b662b1bba47e` | - | Detectado | | 60 | `51ccdcddfb715a32aa6f861513693946d3bece1916a67ffb9d523238bfdd2189` | - | Detectado (AsyncRAT) | | 61 | `5907eb2e7c2db8323d597fca025acc6811120c224489a7384ee1a730742e309d` | - | Detectado | | 62 | `592c2f7461d67bd5533df483a0ed898a96a3b0680f3b68f42c3805e00a304702` | - | Detectado | | 63 | `59803fa0b33d60e864d909e772f5fa9fc6bbc0f9ad70b8e8085f1b0dbb9236db` | - | Detectado | | 64 | `5d348957ccfbae61fc83342704b64aa32ba80d8cda242112ac722c54ff70c60e` | - | Detectado | | 65 | `64f78018a4a56921fd34ae3949e4f6a9fb56f6bde8da3e4dec7960f2699f1ccb` | - | Detectado | | 66 | `693246d9a254ce646a3a78ac57b88f7a030f052e71908c4859140c2235f1819e` | - | Detectado | | 67 | `6c42060db95edf0e2778e09681b1398e28951af65c42710f8398b419d310d8b3` | - | Detectado | | 68 | `709db8d7c0bd0d61aa62eff286d169d213d755a90d7c241d9524453f96a98110` | - | Detectado | | 69 | `790082d97c4b1a21fde1e54363994ac4ad660ef1aa903f77a8caaadf0143dc2c` | - | Detectado | | 70 | `7bf4e6804fc1fe0f603c9fe97915e1f756fe34454530c86a9fe8aa2e59a462dd` | - | Detectado | | 71 | `880eb9daca82301b633600938ef7b7e05b39db87fdc0812ee3043f3d33b9c76e` | - | Detectado | | 72 | `9154837ec79cc82ce4f5a4626da76fb1d67180d89cfc3e26936583d6aeffbb71` | - | Detectado | | 73 | `9b29cc122d8744397b5ba8cb325ec015547d39fc9d489fab1ef836df298f33aa` | - | Detectado | | 74 | `9d2449a49d84cad985e24d232def2343dfb2d4f0d7a0230c0fad055542cf0ff7` | - | Detectado | | 75 | `a197fc187901bbccc960fef91abffa4707824c726de1d2622208a52dc7ecef56` | - | Detectado | | 76 | `a568b55a031ba1131dd3cf1a3f4c5cdd36ec1c88d3c6f013a3b836e68cfc5f94` | - | Detectado | | 77 | `a763ab8282150e4031bf71b68298c35f002e2d84095d1d4d12da7de08762a7e2` | - | Detectado | | 78 | `a8f04d07afd722886b98c71412ede3f41763e7b8c5ad561677a511784de42b7a` | - | Detectado | | 79 | `ae062b0bf115b8c9e894085314270b0bd7a946e78ded4a107392b46ffe72c81b` | - | Detectado | | 80 | `b6b952ff1f2c9f035fb5139537d1784d57487a98e323a9effc5cd6923c788697` | - | Detectado | | 81 | `b9a1261acec6a93023de9039212542ffdf22d6523cdde186d0c9d8972fc9543c` | - | Detectado | | 82 | `bdbe9d0b80eedfab60aa36d263f4649ec545d6963831e41a7836acfda820092c` | - | Detectado | | 83 | `d9005c177525af7b298960630997e6ab63f5471e8a3c0ebd0beb31aafda78cf3` | - | Detectado | | 84 | `e3c54f4a873d8c3e99e4a30e2ed6ca44aab8240ff1ebf24034e35653dc967cff` | - | Detectado | | 85 | `e8534c201f8e066f80245d5a2279b2f658ae8bf3085e33efc4367c5c8d64755b` | - | Detectado | | 86 | `f6541a82676122bf4f0540ecc939406ca35ff6c844011bd486e669b2d0a53e08` | - | Detectado | | 87 | `9b3af3a85f3f54ab4cfb494c5a6ddaeb8674f57545032fdfad1e8aa1f04e2cad` | - | Detectado | | 88 | `4d8ee018b1c8ec5c52a23526b8111eb9464d68e1a5908a1d93bda3b8a2d59b77` | - | Detectado | | 89 | `5efd0eb972b801efb22bd7676abf51d6bb396d2c33c8ccacb78e22bdf077c76b` | - | Detectado | | 90 | `90cf2b69362def6aa341d9fe1fc5b15310541017c499b5ae9d3f9546da7347ed` | - | Detectado | **TOTAL ARCHIVOS WINDOWS MALICIOSOS:** 90+ ## 📱 APLICACIONES ANDROID FRAUDULENTAS (APKs) - LISTADO COMPLETO ### Estas aplicaciones se hacen pasar por herramientas legítimas pero contienen código malicioso | # | Nombre del APK | Detecciones | SHA-256 (si disponible) | Riesgo | | :--- | :--- | :--- | :--- | :--- | | 1 | `com.manga.library.online.apk` | 0/64 | - | **ALTO** - Falsa app de manga | | 2 | `VPN Secure VIP v2.3.9.apk` | 2/60 | - | **ALTO** - Falsa VPN Premium | | 3 | `VPN 2.4.0 (142) arm64-v8a.apk` | 0/68 | - | ALTO - VPN falsa | | 4 | `VPN+v2.3.9+(141)+arm64-v8a.apk` | 0/66 | - | ALTO - VPN falsa | | 5 | `mangalib_v2_0.apk` | 0/65 | - | ALTO - Falsa app de manga | | 6 | `VPN Secure VIP v2.3.9.apk` (duplicado) | 2/60 | - | ALTO | | 7 | `VPN_Secure_VIP_v2.3.9-world78.spcs.bio.apk` | 1/67 | - | ALTO | | 8 | `a-114-com.lkcity.myapp_102.apk` | 0/64 | - | ALTO | | 9 | `C40F2D1085414FECAD8FB78C2D858E4B` | 0/67 | - | ALTO | | 10 | `base.apk` | 1/63 | - | ALTO | | 11 | `3asQ Manga - مانجا العاشق_1.4.7_APKPure.apk` | 0/67 | - | ALTO | | 12 | `up-mod-vpn-fast-proxy-secure-mod-apk-2-4-0-142.apk` | **7/66** | `5a96acda6e3f3db9b271d58daacfc20efe1e7edd142f792824b201038985802d` | **MUY ALTO** | | 13 | `6473149F5365CB6B54B2DEE9C05C84DB` | 0/61 | - | ALTO | | 14 | `e0svre.exe` | 0/67 | - | ALTO | | 15 | `1748580110_vpn-fast-proxy-v2_8_0-mod-5mod_ru.apk` | 4/67 | - | ALTO | | 16 | `VPN_v2.4.0(142)_arm64-v8a.apk` | 2/66 | - | ALTO | | 17 | `VPN Secure v2.4.0 (PREMIUM).apk` | **5/68** | - | **MUY ALTO** | | 18 | `57b63c3a288c7a7dd40b302ba615116a9995e17bf3a55854be8bb4f218dac48f` | 0/62 | - | ALTO | | 19 | `58c7603b71266c425a7e062a445a50e63a6b5988a538aea744077ca3c4ec0bb6` | 0/56 | - | ALTO | | 20 | `7909f6dd7b25e3336e124b7b2b3ed25b2982ca6b.apk` | 0/65 | - | ALTO | | 21 | `VPN 2.4.0 (142) armeabi-v7a.apk` | 0/67 | - | ALTO | | 22 | `up-mod-vpn-fast-proxy-secure-mod-apk-2-3-9-141.apk` | **7/65** | - | **MUY ALTO** | | 23 | `69671D0D81117323F993FB6448E2910D` | 0/67 | - | ALTO | | 24 | `6ad9ba0226ce5346c2c6c4b8f01ffb1c52723eecbe2014b9a856eeca97f8142a` | 0/62 | - | ALTO | | 25 | `VPN_Secure_v2.3.9_(141)_Mod.apk` | 0/66 | - | ALTO | | 26 | `com-mod-vpn-secure-2-3-9-premium-unlocked-141.apk` | 2/66 | - | ALTO | | 27 | `RAJA88WIN.apk` | 0/50 | - | ALTO | | 28 | `76B238AF8C9E769DC12603AB75773D91` | 0/66 | - | ALTO | | 29 | `VPN_2.3.9_infinity.apk` | 3/68 | - | ALTO | | 30 | `009E4F660573380937F1B24E671772F1` | 0/61 | - | ALTO | | 31 | `783427b15b4da1bc15bd322180b2b9db58c6fc575f7b29e67bac305b48118079` | 0/63 | - | ALTO | | 32 | `VPN Secure VIP v2.4.0.apk` | 2/68 | - | ALTO | | 33 | `VPN_v2.3.9_Mod_By_HexonMods_UserUpload.Net.apk` | 2/64 | - | ALTO | | 34 | `a06ab4803c9485036193850f4c4507db3c3fa17c988dcd55cce27041cc311b18` | 2/66 | - | ALTO | | 35 | `ac4881c3c5a7e088e196b548f8a6973041f7aecd9329789a9b93d91b2744734b` | 0/68 | - | ALTO | | 36 | `ac9e518e32944fec1fa3ac2fcb238c3749d01f10682a33247bbb97a83eb5f628` | 0/63 | - | ALTO | | 37 | `b92ba22406f3f193e949c7356b70033da6fbcb1f9e528351e587d4498286cfd7` | 0/66 | - | ALTO | | 38 | `bb45400aebf48b8fb18e8c6ce55db640ddf035c70920dfbc43cbd97925b5a2e2` | 0/62 | - | ALTO | | 39 | `org.koitharu.kotatsu_576.apk` | 0/57 | - | ALTO | | 40 | `VPN_Secure_v2.4.0_(142)_Mod.apk` | 0/66 | - | ALTO | | 41 | `apk_2063604993_1530718032072656411.apk` | 0/64 | - | ALTO | | 42 | `VPN Secure VIP v2.3.9 @proandroid2.apk` | 2/64 | - | ALTO | | 43 | `c579359a63d7d56767968434c6cc67995c0d537b1c183719d360d25893e646e0` | 0/66 | - | ALTO | | 44 | `VPN - Proxy Rápido + Seguro v2.4.0-MOD-Tekmods.com.apk` | 2/67 | - | ALTO | | 45 | `VPN 2.3.9_arm64-v8a.apk` | 1/62 | - | ALTO | | 46 | `VPN_v2.4.0(142)_armeabi-v7a.apk` | 2/67 | - | ALTO | | 47 | `1030f696ce37899f395b81bb9108c9b38961ceeb3fc41829e24e41d3136b495e` | 0/64 | - | ALTO | | 48 | `163d74c8861e35b3e4c89f93cf3a8d208ec5ef5f7dab09aa6a65dc20e32fc67b` | 0/66 | - | ALTO | | 49 | `16d76d3615acee944b4e4b99be74ce11deab2d33fc4ca3649ef7092940688d92` | 0/66 | - | ALTO | | 50 | `1ca3667b56d8df2ab6772ccb4e30b1ef7ee68c22b70428a268e897c2c7dc4399` | 0/64 | - | ALTO | | 51 | `247ae127d618fe910574aaf95e0afa1eacbd5267e2f3ca3f6c80e201f555b0c4` | 1/68 | - | ALTO | | 52 | `2a4c991a6141c49457d0d30b5cfa3fb29bf3d8a2166032cbcbe12d7b0299728e` | **6/68** | - | **MUY ALTO** | | 53 | `2afa107a8f7a89a47f7294f661e4348ef585c64fe5a108abd66cf5d4802db4e4` | 0/67 | - | ALTO | | 54 | `2fe47294c0bf4941adc6db9814db84b50a42599ae06fbad8377702c25fa80f27` | 0/67 | - | ALTO | | 55 | `31c9532c53df111a9c70ea07d3fb5cb96e066545f88793e90bbcaf2719ac4354` | 1/67 | - | ALTO | | 56 | `3707d23be090b02767942732df4f42147318dbe4c8ec2a2abfd3e828759fecaa` | 0/68 | - | ALTO | | 57 | `3adbc904f5ddad995c55526758ab73d13e8b3318c8df359654efab590856ce93` | 1/68 | - | ALTO | | 58 | `3e9bc5194efab079df0d2550af288fc715d36f9c2c9aabb7400f50536ebb72e1` | 0/68 | - | ALTO | | 59 | `4a59dec85cfbb5e87a9c535c084d5a4a4cf7d65a4a94721575f9cdf66fa0e31d` | 0/66 | - | ALTO | | 60 | `4dc55d19d227eff3e653b7587cf99f17981330b95e527c85897274203f4314c1` | 2/67 | - | ALTO | | 61 | `522a8cf0a27b4a032ba6a009729708aa1ab3cbd2fa78bb5d42e219435241690b` | 1/67 | - | ALTO | | 62 | `55737dacb3b98e48dd3d02eed5b4cf447f67db350912847550626fdca564e0a7` | 0/67 | - | ALTO | | 63 | `5a776e8fc68171bb9ff9f2181052aea8a492a46795b154390c6527f0e81f6a41` | 0/68 | - | ALTO | | 64 | `64648253d0b879b46d55e7d90548ddea9e7a65ff07bace944e53251a2a3d71e6` | 0/67 | - | ALTO | | 65 | `6556c410e47b20e442ba3208b630696e73dd9ced2831fa1639dd34056810f935` | 4/67 | - | ALTO | | 66 | `6ab0904df88029a73e128f5ef27dfbaf8041bd978d3b6857969ac47d0e5373ea` | 0/68 | - | ALTO | | 67 | `6d828945fc8ad231e28f4843187817c511b7e41c8273fcd944457d4b59705a3e` | 0/68 | - | ALTO | | 68 | `71746c1b322264da47cffff92feb41b79914832bb949def559d2e0ba8b23768b` | 1/67 | - | ALTO | | 69 | `723b31eeaf9127e5747c1ee5c722605830f59d55f5b319a72d29b0e8001981de` | 0/68 | - | ALTO | | 70 | `76531e9e7b16aef9e3467d1aa6d7892bb9784503ae7b8976c6a93b014c093799` | 0/68 | - | ALTO | | 71 | `77302c38f65c932d76ba11169b2f5e94a38437438abfd22e2dea5a28c2d04da9` | 2/67 | - | ALTO | | 72 | `7819736100cc58c8157e71237fcaa9356afe4cac4b159347f6fbbd4bce5947d5` | 0/68 | - | ALTO | | 73 | `7a79de1931b2406869bac7aef4e3c3353f19afcee1a66de364be7ccc5ad8582d` | 2/67 | - | ALTO | | 74 | `93281b53a464250b355f3aab0169b0e9f24223d3dbf99a850d3e400b2d088ddf` | 2/67 | - | ALTO | | 75 | `a06ab4803c9485036193850f4c4507db3c3fa17c988dcd55cce27041cc311b18` | 2/66 | - | ALTO | | 76 | `a57b5ac3edfe2c5e8143da68038e08c6de961f72f843b3592ebdc8a841727bdf` | 0/68 | - | ALTO | | 77 | `bccad550a907426b924efe9723f2694d370aedd9778c37a340b66a0f98095600` | 0/68 | - | ALTO | | 78 | `bcdbf7dd0c7d2a0dfc7f44e3be2e6cb7f2aa60e649a9afa532c855fe8a570cdd` | 0/68 | - | ALTO | | 79 | `bebaf5dd4a956190f3163c83a78f41da9ea1d34e8ec7f88f97183f6f30a516b4` | 0/68 | - | ALTO | | 80 | `c15fabdfd1b248bef77617dd0ca18b47b6e44cb9574838ffe0c0b8a3a37c5a74` | 1/67 | - | ALTO | **TOTAL APKS MALICIOSAS:** 80+ ## 🧬 ANÁLISIS DETALLADO DEL GUSANO ALLAPLE.A ### Muestra: `bcwvzwbh.exe` (SHA-256: `1ac48f922bb90f9709bfc6a63cc56d416890bda73857b98a6de88bc9cb9bfa1d`) | Propiedad | Valor | | :--- | :--- | | **Tamaño** | 172.00 KB (176,128 bytes) | | **Tipo** | Win32 EXE (GUI) Intel 80386 | | **Linker** | Microsoft Linker (5.12) | | **Compilado** | 1989-09-30 03:47:15 UTC (Fechado antiguo para evadir detección) | | **MD5** | `45f3d34bfe9b1ffb076e9d6e25f8c304` | | **SHA-1** | `968ea74978118f0c14af360886ca284108b47556` | | **Imphash** | `3f40bc97a2f4e3df72542a53a4c199ca` | | **SSDEEP** | `1536:wya3optdIz3Ry9X/YPDkfdPQQay1qqvw+76KW1jiNGlRefZKHPEBHJ6lgc:xaMa2tlGy1qUw+8jAquZKHPMYec` | ### 🧠 COMPORTAMIENTO DEL GUSANO ALLAPLE | Categoría | Acciones Detectadas | | :--- | :--- | | **Propagación** | Se replica a sí mismo en la red local, creando copias con nombres aleatorios (`bnbtzwxt.exe`, `jsnbjwrh.exe`, etc.) | | **Inyección de Procesos** | Inyecta código malicioso en procesos legítimos: `wmiadap.exe`, `wmiprvse.exe` | | **Escaneo de Red** | Realiza escaneos de puertos ICMP y TCP para encontrar nuevas víctimas | | **Exfiltración** | Se comunica con IPs en Japón (59.84.150.206, 59.84.17.45, 59.84.171.222) | | **Minería** | Algunas variantes incluyen minero de criptomonedas (CoinMiner) | | **Persistencia** | Crea múltiples copias de sí mismo en el sistema | | **Mutex** | Crea mutex globales para controlar la ejecución: `Global\ADAP_WMI_ENTRY`, `Global\RefreshRA_Mutex`, `jhdheruhfrthkgjhtjkghjk5trh` | ### 🛡️ DETECCIONES POR VENDOR - ALLAPLE.A | Vendor | Detección | | :--- | :--- | | Avast | Win32:Allaple [Wrm] | | AVG | Win32:Allaple [Wrm] | | BitDefender | Win32.Worm.Allaple.Gen | | Kaspersky | Net-Worm.Win32.Allaple.a | | Microsoft | Worm:Win32/Allaple.A | | Symantec | W32.Rahack.H | | ESET-NOD32 | Win32/Virut.NLH | | Sophos | W32/Allaple-F | | McAfee | W32/RAHack | | TrendMicro | WORM_ALLAPLE.IK | ### 🔗 ARCHIVOS DROPPEADOS POR ALLAPLE | # | Nombre | # | Nombre | | :--- | :--- | :--- | :--- | | 1 | bcwvzwbh.exe | 26 | kllcxkhh.exe | | 2 | bhrhnkht.exe | 27 | krnxjewk.exe | | 3 | bnbtzwxt.exe | 28 | ktleztjn.exe | | 4 | brvrjrke.exe | 29 | kwwsenhh.exe | | 5 | bsxrsrlj.exe | 30 | ljetzrnh.exe | | 6 | bzqlkhrh.exe | 31 | lssleset.exe | | 7 | ccsrnjqz.exe | 32 | njbsvtll.exe | | 8 | crcjvnxt.exe | 33 | nqwltrrj.exe | | 9 | ehbebsrn.exe | 34 | nsqjttkv.exe | | 10 | ejkkkxee.exe | 35 | qherzzkr.exe | | 11 | ekwjrwse.exe | 36 | qjllsjhl.exe | | 12 | elwtjnbj.exe | 37 | qsbebheb.exe | | 13 | enlthesj.exe | 38 | rsewzjqn.exe | | 14 | eqvnslev.exe | 39 | shlkekbz.exe | | 15 | esxnhleq.exe | 40 | tkvhhrjz.exe | | 16 | exxnsbkt.exe | 41 | tkwlhjvn.exe | | 17 | hjxzlbxs.exe | 42 | tlcwjrwt.exe | | 18 | hlllwvlh.exe | 43 | trljrnlz.exe | | 19 | hzekewxt.exe | 44 | tsektjkj.exe | | 20 | jhjkjqcb.exe | 45 | tvrkrzhc.exe | | 21 | jjhlcsjz.exe | 46 | vjlvxbnq.exe | | 22 | jsnbjwrh.exe | 47 | vkjljzrn.exe | | 23 | jwenshcj.exe | 48 | vxqeebjj.exe | | 24 | kblrhwcr.exe | 49 | xeelvkll.exe | | 25 | kllcxkhh.exe | 50 | xrljqjzn.exe | ## 🔐 REGLAS IDS/SNORT DETECTADAS | Regla | Severidad | Descripción | | :--- | :--- | :--- | | `MALWARE-CNC Win.Trojan.AllAple Variant ICMP flood` | **ALTA** | Detección de tráfico ICMP del gusano Allaple | | `PROTOCOL-ICMP Unusual PING detected` | MEDIA | Escaneo de red mediante ping | | `PROTOCOL-ICMP traceroute` | MEDIA | Actividad de traceroute | | `(port_scan) ICMP filtered sweep` | MEDIA | Escaneo de puertos ICMP | | `(port_scan) TCP filtered portsweep` | MEDIA | Escaneo de puertos TCP | | `(icmp4) ICMP destination unreachable` | MEDIA | Comunicación ICMP anómala | ## 🔗 COLECCIONES Y FAMILIAS DE MALWARE IDENTIFICADAS | Colección | Familia/Descripción | | :--- | :--- | | **AsyncRAT** | RAT (Remote Access Trojan) - Permite control remoto del equipo víctima | | **Asyncrat Malware** | Variante de AsyncRAT | | **xmrig** | Minero de criptomonedas Monero | | **Drive by JS / Eternal Blue** | Exploit de EternalBlue para propagación | | **virustotal** | Muestras reportadas a VirusTotal | ## 📊 ESTADÍSTICAS DEL ANÁLISIS | Métrica | Cantidad | | :--- | :--- | | **IPs maliciosas identificadas** | 4 | | **Dominios maliciosos** | 28+ | | **Subdominios wave (C2)** | 52 | | **Archivos Windows maliciosos** | 90+ | | **APKs Android maliciosos** | 80+ | | **Archivos dropeados por Allaple** | 50 | | **Vendors que detectan Allaple** | 66/70 | | **Reglas IDS activadas** | 6 | ## 🔄 CADENA DE ATAQUE - EXPLICACIÓN PASO A PASO ### FASE 1: CONTACTO INICIAL (Phishing) Víctima recibe SMS/Email ↓ "Tienes una notificación de la Agencia Tributaria" ↓ Hace clic en el enlace → aeat-11.eu.cc ### FASE 2: SUPLANTACIÓN WEB aeat-11.eu.cc (104.21.72.114) ↓ Muestra clon exacto de la Sede Electrónica de la AEAT ↓ Formulario falso solicita: DNI, IBAN, Tarjeta de Crédito, Contraseñas ### FASE 3: EXFILTRACIÓN Y DESCARGA DE MALWARE Datos del formulario → Enviados a los atacantes ↓ Descarga automática de malware (gv2.exe, malware.exe, etc.) ↓ Ejecución del malware en el sistema de la víctima ### FASE 4: INFECCIÓN Y CONTROL Malware instalado (Allaple.A) ↓ Se conecta a C2: waveXX.hze1.xyz (104.21.72.114) ↓ Escanea la red local y busca nuevas víctimas ↓ Exfiltra datos a IPs en Japón (59.84.150.206, etc.) ↓ Puede instalar AsyncRAT para control remoto ### FASE 5: CONSECUENCIAS Robo de credenciales bancarias → Vaciado de cuentas ↓ Instalación de minero de criptomonedas → Uso de recursos del PC ↓ Propagación del gusano → Infección de más equipos ↓ Posible ransomware o espionaje ## 🛡️ RECOMENDACIONES DE MITIGACIÓN - GUÍA COMPLETA ### 🔹 PARA USUARIOS FINALES (Medidas de Autoprotección) | # | Medida | Descripción | | :--- | :--- | :--- | | 1 | **NUNCA hagas clic en enlaces de SMS/Email** | La AEAT NO envía enlaces por SMS. Accede siempre escribiendo la URL manualmente | | 2 | **Verifica la URL** | Oficial: `https://www.agenciatributaria.gob.es` - **NO** `aeat-11.eu.cc` | | 3 | **Desconfía de ofertas de "devolución de impuestos"** | Es la táctica más utilizada en estas campañas | | 4 | **Mantén el antivirus actualizado** | Asegúrate de tener un antivirus con detección de gusanos y troyanos | | 5 | **NO descargues APKs de fuentes no oficiales** | Solo Google Play Store o tiendas oficiales | | 6 | **Revisa los permisos de las apps** | Si una VPN pide acceso a tus contactos o SMS, es sospechoso | | 7 | **Cambia tus contraseñas regularmente** | Especialmente las de banca online y correo electrónico | | 8 | **Activa la autenticación de dos factores (2FA)** | Siempre que esté disponible | ### 🔹 SI HAS SIDO VÍCTIMA - PLAN DE ACCIÓN INMEDIATO | Paso | Acción | Urgencia | | :--- | :--- | :--- | | **1** | Contacta con tu entidad bancaria para **bloquear tu cuenta** y cancelar tarjetas | 🟥 **INMEDIATA** | | **2** | Cambia **TODAS** tus contraseñas (AEAT, banca, email, redes sociales) | 🟥 **INMEDIATA** | | **3** | Ejecuta un análisis completo con tu antivirus | 🟧 **ALTA** | | **4** | Si tienes el malware Allaple, considera formatear el dispositivo | 🟨 **MEDIA** | | **5** | Denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil) | 🟨 **MEDIA** | | **6** | Reporta el incidente al INCIBE a través de su buzón de incidencias | 🟩 **RECOMENDABLE** | ### 🔹 PARA ADMINISTRADORES DE SISTEMAS Y PROFESIONALES IT | # | Medida | Acción Específica | | :--- | :--- | :--- | | 1 | **Bloquear IOCs** | Añadir a firewalls y listas negras: - IP: `104.21.72.114` - Dominios: `aeat-11.eu.cc`, `*.hze1.xyz`, todos los listados | | 2 | **Actualizar sistemas** | Parchear vulnerabilidades conocidas (EternalBlue, etc.) | | 3 | **Segmentación de red** | Limitar movimiento lateral del gusano Allaple | | 4 | **Monitorización** | Alertas por conexiones a `104.21.72.114` o IPs en Japón | | 5 | **Implementar 2FA** | En todos los accesos críticos | | 6 | **Backups** | Mantener copias de seguridad offline | | 7 | **Formación** | Sesiones de concienciación para empleados sobre phishing | ### 🔹 FIRMWARE Y REGLAS DE SEGURIDAD (IDS/IPS) | Regla | Descripción | | :--- | :--- | | `alert icmp any any -> any any (msg:"Posible Allaple ICMP flood"; content:"|08|"; depth:1; threshold:type both, track by_src, count 10, seconds 5; sid:10000001;)` | Detección de ICMP flood de Allaple | | `alert tcp any any -> any 445 (msg:"Posible EternalBlue/Allaple scanning"; flags:S,12; threshold:type both, track by_src, count 5, seconds 10; sid:10000002;)` | Escaneo de puerto 445 | | `alert dns any any -> any any (msg:"Dominio C2 hze1.xyz detectado"; content:"hze1.xyz"; nocase; sid:10000003;)` | Detección de dominios C2 | ## 📚 REFERENCIAS OFICIALES Y FUENTES | Entidad | Enlace | Descripción | | :--- | :--- | :--- | | **INCIBE** | [https://www.incibe.es/](https://www.incibe.es/) | Instituto Nacional de Ciberseguridad - Reportar incidentes | | **Agencia Tributaria** | [https://www.agenciatributaria.gob.es](https://www.agenciatributaria.gob.es) | Web oficial - Verificar comunicaciones | | **Policía Nacional** | [https://www.policia.es/](https://www.policia.es/) | Denunciar delitos informáticos | | **Guardia Civil** | [https://www.guardiacivil.es/](https://www.guardiacivil.es/) | Denunciar delitos informáticos | | **OSI (Oficina de Seguridad del Internauta)** | [https://www.osi.es/](https://www.osi.es/) | Guías de seguridad para ciudadanos | | **VirusTotal** | [https://www.virustotal.com/](https://www.virustotal.com/) | Verificar hashes de archivos | ## ⚖️ AVISO LEGAL Y ÉTICO **Este informe se elabora exclusivamente con fines de:** 1. **Investigación en ciberseguridad** 2. **Concienciación y educación ciudadana** 3. **Protección de usuarios frente a amenazas digitales** **DECLARACIONES:** - ❌ **NO** contiene datos personales de víctimas - ❌ **NO** contiene credenciales o información bancaria - ❌ **NO** fomenta ni facilita actividades ilegales - ✅ **TODOS** los IOCs son de fuentes públicas (OSINT) - ✅ El análisis se ha realizado en entornos controlados (sandbox) - ✅ Se respeta la legislación vigente (RGPD/LOPD/GDPR) **El autor no se hace responsable del mal uso de esta información. Su difusión tiene como objetivo fortalecer la ciberseguridad colectiva.** ## 📝 CRÉDITOS Y FUENTES DE DATOS - **Análisis OSINT:** VirusTotal, Shodan, DNS Dumpster - **Sandbox:** Análisis estático y dinámico de ejecutables - **Fuentes oficiales:** INCIBE, AEAT, OSI - **Herramientas:** YARA, Snort, Wireshark, Volatility ## 🔄 VERSIONADO DEL INFORME | Versión | Fecha | Cambios | | :--- | :--- | :--- | | 1.0 | 2026-07-01 | Publicación inicial - Listado completo de IOCs | **⚠️ Si has recibido un SMS o correo sospechoso relacionado con la AEAT:** 1. **NO HAGAS CLIC EN EL ENLACE** 2. **Reporta el mensaje como spam** 3. **Elimínalo inmediatamente** 4. **Si has introducido datos, sigue el plan de acción inmediato** **📌 Este README se actualizará periódicamente con nuevos IOCs según se vayan identificando.** ## Virus Total @KiraSecurity (Condor2026). - **https://www.virustotal.com/gui/collection/b2dbc617f1dfe9fdba74de00831cebc0d6f2fca640ccde51fd8e25bcfa60af89** - **https://www.virustotal.com/gui/search?query=1ac48f922bb90f9709bfc6a63cc56d416890bda73857b98a6de88bc9cb9bfa1d** - **https://www.virustotal.com/graph/g9911f449c66f4e10bac5b0192d77901a0283d5b16f514d71862f1f210944a0e4** Alerta Agencia tributaria, denuncio esta ip y urls por subplantacion y robo de credenciales. INCIBE ALERT, ESPAÑA, NO ES HACIENDA. (https://aaeat-11.eu.cc) MALICIOSO - Gusano (Worm). warning 2026-07-01 14:34:19 Autor: | **github:Condor2026** | | **VirusTotal:Condor2026** | | **Email:KiraSecuruty@proton.me** | 🦅 Condor2026 - The Tracker | OSINT | Purple Team | Threat Hunter
标签:DAST, ESC4, OSINT, 威胁情报, 开发者工具, 恶意软件分析, 紫队, 网络信息收集, 配置审计, 防御加固