Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » smarty.arpinet.am

smarty.arpinet.am

eraleign-apt73 ransomware

smarty.arpinet.am

Resumen

La plataforma de gestión inmobiliaria smartly.arpinet.am fue comprometida en un ataque ransomware que involucró a 4 equipos y duró entre 10 y 35 minutos. El sistema fue infectado mediante el uso del canal de envío de malware (MSE), lo cual implica que los datos fueron manipulados antes de ser enviados al remitente, violando la integridad del mensaje en tránsito.

La Victima

El objetivo principal era una plataforma de gestión inmobiliaria llamada smartly.arpinet.am, ubicada en Armenia. La aplicación se utilizaba para mostrar datos inmobiliarios y gestionar propiedades, pero fue comprometida mediante un ataque de malware enviado a través del canal MSE (Malware Sending Environment).

El Grupo Atacante

La operación se clasificó bajo el grupo de amenazas eraleign (apt73), asociado con la organización Attack Capital. Este grupo tiene una reputación conocida por sus ataques sofisticados que combinan técnicas de red, malware y análisis forense para extorsión financiera.

Cronologia del Ataque

El ataque se desarrolló en dos fases principales: - Fase 1 (04/05/2026): Infiltración inicial mediante el canal MSE a smartly.arpinet.am, permitiendo la manipulación de datos antes de su envío al remitente. - Fase 2 (09/05/2026): Ejecución del malware y activación del ransomware que bloqueó acceso al sistema, iniciando el periodo de exfiltración de datos hasta los días siguientes.

Datos Comprometidos

La infraestructura fue comprometida con herramientas de malware diseñadas para extorsión financiera, incluyendo unransomware y capacidades de exfiltración de información sensible. El impacto incluye la manipulación de datos inmobiliarios antes del envío al cliente final.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles en bases de datos actuales para esta operación específica. Se recomienda monitoreo continuo de fuentes como OpenCTI, RansomLook o CISA para detectar amenazas similares.

Conclusion

El ataque demostró cómo el canal MSE puede facilitar la manipulación de mensajes antes del envío al destinatario, creando condiciones ideales para extorsión financiera mediante el exfiltración de datos sensibles antes de que sean enviados a los clientes finales.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me