CloudSEK führt „Operation Escaneo“ mit mittlerer Sicherheit auf den Bedrohungsakteur MexicanMafia oder PanchoVilla zurück. Die Gruppe hat laut dem Unternehmen bereits in der Vergangenheit kritische Infrastruktur in Lateinamerika angegriffen, besonders in Mexiko. Zu den früheren Opfern zählen nach Angaben von CloudSEK die Polizei des Bundesstaats Oaxaca, die Regierung von Mexiko-Stadt, die Regierung des Bundesstaats Mexiko, die mexikanische Steuerbehörde SAT, der Oberste Gerichtshof von Mexiko-Stadt und das mexikanische Erdölunternehmen Pemex.

Im aktuellen Bericht beschreibt CloudSEK eine koordinierte, mehrstufige Kampagne mit Schwerpunkt auf kritischer Infrastruktur in Lateinamerika. Die Forscher sprechen von einem „ausgereiften“ Werkzeugkasten mit automatisierter Aufklärung und Datenausschleusung. Genannt werden unter anderem die proprietäre Aufklärungs-Engine Kimera, ein „kuratiertes Exploit-Arsenal“ gegen verbreitete Perimeter-Geräte von Fortinet, Ivanti und Cisco, portable Werkzeuge für seitliche Bewegung sowie eine „mehrschichtige Kommando-und-Kontroll-Infrastruktur mit Neo-reGeorg-Webshells, Chisel-Reverse-Tunneln und kompromittierten Cisco-Routern mit persistenten GRE-Tunneln“.

Nach Angaben der Forscher kann der Akteur sowohl in Windows- als auch in Linux-Umgebungen operieren. Zudem habe er gezeigt, dass er SAP-ERP- und Oracle-Datenbanksysteme für Befehlsausführung kompromittieren, kryptografisches Material und Active-Directory-Datensätze extrahieren sowie mit mehreren redundanten Persistenzmechanismen langfristigen Zugriff aufrechterhalten kann.

Für den Erstzugang nutzt MexicanMafia laut CloudSEK nach der Aufklärung mit Kimera eine Reihe bekannter Schwachstellen. Dazu zählen die FortiGate-SSL-VPN-Lücken CVE-2022-42475, CVE-2023-27997 und CVE-2024-21762, außerdem die Kette aus Authentifizierungsumgehung und Befehlsinjektion in Ivanti Connect Secure über CVE-2023-46805 und CVE-2024-21887. Hinzu kommt die Ausnutzung von Apache-Tomcat-AJP-Konnektoren über GhostCat, CVE-2020-1938.

Für Codeausführung und Persistenz setzt die Kampagne Webshells und Tunneling-Werkzeuge ein. Privilegienerweiterung und seitliche Bewegung erfolgen laut CloudSEK teils über die Ausnutzung weiterer Schwachstellen, darunter Zerologon, EternalBlue und PwnKit mit CVE-2021-4034, teils über Werkzeuge wie RDP, PsExec und Impacket.

CloudSEK stuft MexicanMafia als hochgradig ausgereiften Akteur ein. Neben dem eigenen Aufklärungs-Framework betreibe die Gruppe ein Exploit-Arsenal mit angepassten Proof-of-Concepts, knackt Zugangsdaten lokal auf operativer Infrastruktur und habe gezeigt, dass sie „Infrastruktur auf Netzwerkschicht-Ebene wie Cisco-Router und FortiGate-VPNs zusätzlich zu hostbasierten Systemen kompromittieren“ kann.

Obwohl CloudSEK MexicanMafia als finanziell motiviert beschreibt, sehen die Forscher auch ein Spionage-„Potenzial“. Als Beispiele nennen sie die Kompromittierung besonders wertvoller Daten wie privater SSL-Schlüssel der Steuerbehörde und von MDM-Infrastruktur. CloudSEK-Forscher Koushik Pal sagte Dark Reading, dies bedeute nicht zwangsläufig politische Interessen; vielmehr könne die Gruppe auf Untergrundforen verkaufen, was sie erbeuten kann. Er beobachte keine klare Entsprechung zu dem Modell, bei dem Finanzoperationen ausdrücklich staatliche Programme finanzieren. Stattdessen sehe es nach opportunistischer Monetarisierung parallel zu einer Form der Informationssammlung aus, möglicherweise ohne zentrale Abstimmung zwischen beiden Zielen.

Als mögliche Motive nennt CloudSEK den massenhaften Diebstahl wertvoller Daten, den Diebstahl von Zugangsdaten und kryptografischem Material, die Kartierung von Active Directory zur langfristigen Persistenz sowie finanzielle Ausnutzung. Pal wertet die Kampagne zudem als Hinweis darauf, dass sich die Werkzeuglücke zwischen Cyberkriminellen und APT-Akteuren weitgehend geschlossen hat. Historisch habe der Unterschied eher in operativer Geduld und disziplinierter Zielauswahl gelegen als in den technischen Fähigkeiten. Für Lateinamerika spreche das für eine Verschiebung der Bedrohungslage.