IMNCrew
Perfil del Actor
IMNCrew es un grupo de amenaza que opera como acto de extorsión de datos y ransomware. Emergió en marzo de 2025, con una focus en sectores financieros, específicamente en Estados Unidos, Croacia e Indonesia. Su metodología se centra en la explotación de servicios perimetrales expuestos, como firewalls y VPNs, para lograr acceso a sistemas críticos.
Origen y Motivación
El grupo surgió en el período final del año 2025, con un objetivo claro: extorsionar información sensible de organizaciones financieras. La motivación apunta a la ganancia financiera mediante la amenaza de liberar datos sensibles o bloquear operaciones críticas. No se han identificado motivos políticos o militares específicos.
Técnicas y Tacticas (TTPs)
IMNCrew utiliza técnicas basadas en la explotación de servicios perimetrales no protegidos, como firewalls y VPNs. Su tactica principal consiste en: 1. Identificar vulnerabilidades en infraestructuras de red. 2. Acceder a sistemas internos mediante ataques de tipo "zero-day" o explotación de fallos conocidos. 3. Ejercer presión sobre las organizaciones mediante amenazas de liberar datos o bloquear operaciones clave.
Campanas Conocidas
Hasta ahora, se han identificado al menos 12 campañas asociadas a IMNCrew. Estas incluyen ataques a empresas financieras en Estados Unidos y Croacia, con un enfoque especial en sistemas de infraestructura crítica. La última campaña registrada fue en mayo de 2026.
Objetivos y Victimas
Los objetivos principales de IMNCrew son: 1. Robar datos sensibles. 2. Extorsionar organizaciones a cambio de la devolución de información o compensación financiera. 3. Crear caos en sistemas críticos al bloquear operaciones esenciales. Las víctimas incluyen empresas financieras y organizaciones gubernamentales, con un enfoque geográfico en tres países: Estados Unidos, Croacia e Indonesia.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio en la red oscura | imncrewwfkbjkhr2oylerfm5qtbzfphhmpcfag43xc2kfgvluqtlgoid.onion | Relacionado con actividades de extorsión y ransomware en 2026. |
Detección y Defensa
Para mitigar el riesgo de ataque por IMNCrew, se recomienda: 1. Realizar monitoreo continuo de servicios perimetrales. 2. Actualizar regularmente firewalls y sistemas de seguridad. 3. Implementar protocolos de respuesta a incidentes para contener amenazas en tiempo real. 4. Limitar el acceso a sistemas críticos y aplicar segmentación de red para prevenir movimientos laterales.