🔍 Contexte

Publié le 17 juin 2026 par CloudSEK, ce rapport documente l’Opération Escaneo, une campagne d’intrusion coordonnée et multi-étapes découverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposé hébergé sur 62.171.185.97 a permis de cartographier l’ensemble des capacités offensives du groupe.

🎯 Attribution et ciblage

La campagne est attribuée avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antérieures contre des institutions mexicaines (2024). Les secteurs ciblés incluent :

  • Agences gouvernementales fédérales mexicaines
  • Autorités fiscales (SAT)
  • Fournisseurs d’énergie et de transport
  • Télécommunications et aviation
  • Institutions financières (y compris une cible européenne)

La zone géographique principale est le Mexique, avec des cibles secondaires en Équateur et Portugal.

🛠️ Arsenal technique

Le groupe opère avec un outillage sophistiqué :

  • Kimera V1/V2 : framework de reconnaissance distribué propriétaire
  • Neo-reGeorg : webshells JSPX/JSP avec canaux AES chiffrés
  • Chisel : tunnels TCP-over-HTTP (3 708 sessions sur 13 jours)
  • Impacket (bundle portable) : psexec, wmiexec, secretsdump, Kerberoasting
  • Metasploit : EternalBlue, MS08-067, SambaCry
  • BloodHound/SharpHound : cartographie Active Directory (407 Mo exfiltrés)

💥 Vulnérabilités exploitées

L’armurerie d’exploits couvre :

  • Fortinet FortiOS : CVE-2022-42475, CVE-2023-27997, CVE-2024-21762
  • Ivanti Connect Secure : CVE-2023-46805, CVE-2024-21887, CVE-2025-0282
  • Windows SMB : MS17-010 (EternalBlue), CVE-2020-0796 (SMBGhost), CVE-2020-1206 (SMBleed)
  • Linux : CVE-2021-4034 (PwnKit), CVE-2020-1472 (Zerologon)
  • Apache Tomcat : CVE-2020-1938 (GhostCat)
  • Log4j : CVE-2021-44228 (Log4Shell)
  • VMware AirWatch : CVE-2022-22972

📊 Impact confirmé

  • 1,3 million+ d’enregistrements clients extraits via Oracle SQL spooling
  • 407 Mo de données Active Directory (BloodHound) exfiltrés
  • Clés SSL privées streamées en direct via PostgreSQL sys_eval vers Netcat
  • Routeur Cisco RT01-IBM-PRINCIPAL-IDE compromis via injection TCL
  • Tunnel GRE persistant configuré sur IOS-XE pointant vers le VPS attaquant
  • Chaînes SNMP read-write extraites, données BGP exfiltrées
  • RCE confirmé sur au moins 4 adresses IP victimes distinctes

📋 Type d’article

Il s’agit d’une publication de recherche technique produite par CloudSEK, visant à documenter exhaustivement les TTPs, l’infrastructure et les capacités d’un acteur de menace avancé à partir d’artefacts directs issus de son serveur de staging.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MexicanMafia (cybercriminal) —
  • PanchoVilla (cybercriminal) —

TTP

  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1589.001 — Gather Victim Identity Information: Credentials (Reconnaissance)
  • T1593.002 — Search Open Websites/Domains: Search Engines (Reconnaissance)
  • T1590.001 — Gather Victim Network Information: Domain Properties (Reconnaissance)
  • T1587.001 — Develop Capabilities: Malware (Resource Development)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.008 — Command and Scripting Interpreter: Network Device CLI (Execution)
  • T1072 — Software Deployment Tools (Execution)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1569.002 — System Services: Service Execution (Execution)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1572 — Protocol Tunneling (Persistence)
  • T1546 — Event Triggered Execution (Persistence)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1210 — Exploitation of Remote Services (Privilege Escalation)
  • T1078.002 — Valid Accounts: Domain Accounts (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1562.003 — Impair Defenses: Impair Command History Logging (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1090.002 — Proxy: External Proxy (Defense Evasion)
  • T1550.002 — Use Alternate Authentication Material: Pass the Hash (Defense Evasion)
  • T1205 — Traffic Signaling (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials in Files (Credential Access)
  • T1552.005 — Unsecured Credentials: Cloud Instance Metadata API (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1110.002 — Brute Force: Password Spraying (Credential Access)
  • T1212 — Exploitation for Credential Access (Credential Access)
  • T1082 — System Information Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1135 — Network Share Discovery (Discovery)
  • T1526 — Cloud Service Discovery (Discovery)
  • T1046 — Network Service Discovery (Discovery)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1090.001 — Proxy: Internal Proxy (Lateral Movement)
  • T1080 — Taint Shared Content (Lateral Movement)
  • T1213 — Data from Information Repositories (Collection)
  • T1005 — Data from Local System (Collection)
  • T1119 — Automated Collection (Collection)
  • T1114 — Email Collection (Collection)
  • T1185 — Browser Session Hijacking (Collection)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1132.002 — Data Encoding: Non-Standard Encoding (Command and Control)
  • T1001.001 — Data Obfuscation: Junk Data (Command and Control)
  • T1048.003 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1030 — Data Transfer Size Limits (Exfiltration)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1485 — Data Destruction (Impact)
  • T1491 — Defacement (Impact)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)

IOC

  • IPv4 : 62.171.185.97AbuseIPDB · VT · ThreatFox
  • IPv4 : 165.22.184.26AbuseIPDB · VT · ThreatFox
  • IPv4 : 185.65.245.10AbuseIPDB · VT · ThreatFox
  • IPv4 : 45.61.137.126AbuseIPDB · VT · ThreatFox
  • IPv4 : 200.79.113.136AbuseIPDB · VT · ThreatFox
  • IPv4 : 201.144.122.60AbuseIPDB · VT · ThreatFox
  • IPv4 : 135.237.122.202AbuseIPDB · VT · ThreatFox
  • IPv4 : 201.144.122.58AbuseIPDB · VT · ThreatFox
  • SHA256 : 0a76c28fVT · MalwareBazaar
  • CVEs : CVE-2022-42475NVD · CIRCL
  • CVEs : CVE-2023-27997NVD · CIRCL
  • CVEs : CVE-2024-21762NVD · CIRCL
  • CVEs : CVE-2023-46805NVD · CIRCL
  • CVEs : CVE-2024-21887NVD · CIRCL
  • CVEs : CVE-2025-0282NVD · CIRCL
  • CVEs : CVE-2020-1938NVD · CIRCL
  • CVEs : CVE-2020-0796NVD · CIRCL
  • CVEs : CVE-2020-1472NVD · CIRCL
  • CVEs : CVE-2021-4034NVD · CIRCL
  • CVEs : CVE-2020-1206NVD · CIRCL
  • CVEs : CVE-2022-22972NVD · CIRCL
  • CVEs : CVE-2021-44228NVD · CIRCL
  • Fichiers : deep_scan.py
  • Fichiers : aggressive_spray.py
  • Fichiers : fast_brute.sh
  • Fichiers : pfsense_brute.py
  • Fichiers : opsec_enum.sh
  • Fichiers : dump_batch.sh
  • Fichiers : mkzip34.py
  • Fichiers : chisel.b64
  • Fichiers : pwnkit_b64
  • Fichiers : zerologon_tester.py
  • Fichiers : smbghost_scan.py
  • Fichiers : smbghost_payload
  • Fichiers : exploit_21762.py
  • Fichiers : cors_exploit_poc.html
  • Fichiers : anydesk_svc.conf
  • Fichiers : anydesk_usr.conf
  • Fichiers : ms17scan.rc
  • Fichiers : rt01_telnet_rt02.py
  • Fichiers : kerberoast_tickets.hash
  • Chemins : /tmp
  • Chemins : /etc/shadow
  • Chemins : /etc/passwd

Malware / Outils

  • Kimera V1/V2 (tool)
  • Neo-reGeorg (tool)
  • Chisel (tool)
  • Nuclei (tool)
  • Dalfox (tool)
  • Subfinder (tool)
  • Assetfinder (tool)
  • Findomain (tool)
  • naabu (tool)
  • dnsx (tool)
  • httpx (tool)
  • gowitness (tool)
  • LinkFinder (tool)
  • whatweb (tool)
  • Impacket (framework)
  • Metasploit (framework)
  • ysoserial (tool)
  • Hashcat (tool)
  • John the Ripper (tool)
  • proxychains (tool)
  • BloodHound (tool)
  • SharpHound (tool)
  • AnyDesk (rat)
  • N-able RMM (tool)
  • ajpShooter (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ cloudsek.com — source reconnue (Rösti community) (20pts)
  • ✅ 37059 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 44 IOCs dont des hashes (15pts)
  • ✅ 3/4 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, VirusTotal) (15pts)
  • ✅ 68 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : MexicanMafia, PanchoVilla (5pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 62.171.185.97 (ip) → VT (8/91 détections)
  • 165.22.184.26 (ip) → VT (13/91 détections)
  • 185.65.245.10 (ip) → VT (3/91 détections)

🔗 Source originale : https://www.cloudsek.com/blog/operation-escaneo-mexican-government-financial-institutions-cyberattack