Microsoft alerta sobre los ataques de Octo Tempest, un grupo de cibercriminales que afecta a múltiples sectores. Se ofrecen recomendaciones para mejorar la seguridad y protegerse contra estas amenazas.
Por el equipo de investigación de seguridad de Microsoft Defender.
Recientemente, Microsoft ha identificado la actividad del grupo cibercriminal Octo Tempest, también conocido como Scattered Spider, en el sector aéreo. Este hallazgo se suma a las operaciones previas que afectaron a empresas de distribución, restauración, hostelería y seguros entre abril y julio de 2025. La estrategia del grupo sigue un patrón claro: concentrarse en una industria específica durante un tiempo prolongado antes de cambiar a otra. Microsoft continúa fortaleciendo sus sistemas de protección para anticipar estos movimientos.
El objetivo de esta publicación es proporcionar información valiosa a los clientes sobre la cobertura de seguridad que ofrecen Microsoft Defender y Microsoft Sentinel, así como ofrecer recomendaciones clave para mejorar la defensa contra amenazas como Octo Tempest.
Octo Tempest, conocido también como Scattered Spider, Muddled Libra, UNC3944 o 0ktapus, es un grupo especializado en cibercrimen que tiene como objetivo obtener beneficios económicos mediante diversas tácticas en sus ataques. Entre sus métodos más destacados se encuentran:
En su reciente actividad, han implementado el ransomware DragonForce, enfocándose en entornos VMWare ESX. A diferencia de sus patrones anteriores, donde utilizaban privilegios en la nube para acceder localmente, ahora comprometen sistemas locales desde el inicio antes de expandirse a la nube.
Microsoft Defender está diseñado para detectar actividades sospechosas relacionadas con Octo Tempest en todas las áreas del portafolio de seguridad. Esto incluye dispositivos, identidades y aplicaciones SaaS. Se garantiza así una protección integral frente a estas amenazas emergentes.
A continuación se presentan algunas tácticas y técnicas observadas en recientes ataques vinculados a Octo Tempest:
| Táctica | Técnica | Cobertura de Protección (no exhaustiva) |
| Acceso Inicial | Iniciar el restablecimiento de contraseña en credenciales objetivo | Restablecimiento inusual de contraseña; (MDC) |
| Descubrimiento | Reconocimiento ambiental continuo | Volcado sospechoso de credenciales; (MDE) |
| Acceso a credenciales / Movimiento lateral | Identificar activos críticos | Herramientas como Mimikatz; (MDE) |
| Recopilar credenciales adicionales | Sospecha DCSync; (MDI) | |
| Acceso VPN y despliegue con herramientas maliciosas. | Prevención del uso malicioso; (MDE) | |
| Evasión / Persistencia | Uso de EDR y gestión administrativa | Actividad típica asociada al ransomware; (MDE) |
| Acciones sobre Objetivos | Filtración de datos robados | Posible exfiltración detectada; (MDE) |
| Despliegue del ransomware DragonForce evitado; (MDE) |
Interrupción automática: Esta capacidad exclusiva integrada en Microsoft Defender utiliza señales multidominio e inteligencia sobre amenazas avanzada para predecir e interrumpir automáticamente los movimientos del atacante. La tecnología correlaciona múltiples indicadores para generar incidentes precisos que permiten desactivar cuentas comprometidas y revocar sesiones activas.
Aunque esta interrupción puede contener al atacante, es crucial que los equipos SOC realicen una respuesta integral para asegurar una contención total ante la amenaza.
Octo Tempest destaca por sus tácticas agresivas de ingeniería social. Para ayudar a las organizaciones a identificar estas actividades maliciosas, se recomienda utilizar la búsqueda avanzada disponible en Microsoft Defender.
Microsoft Security Exposure Management, accesible desde el portal Microsoft Defender, proporciona herramientas esenciales para proteger activos críticos y responder rápidamente ante amenazas reales.
Es vital clasificar correctamente los activos críticos dentro del portal para recibir recomendaciones precisas sobre iniciativas de seguridad. Aunque Microsoft Defender identifica automáticamente dispositivos críticos, se aconseja crear reglas personalizadas que refuercen aún más la protección.
A través del análisis de rutas de ataque, los equipos pueden rastrear amenazas que cruzan múltiples dominios. Esta herramienta permite identificar entidades críticas que aparecen repetidamente en las rutas utilizadas por Octo Tempest, facilitando así su corrección o mitigación.
Dada la naturaleza híbrida del grupo criminal, es esencial adoptar un enfoque proactivo en la seguridad informática actual. La implementación efectiva de medidas preventivas permitirá no solo reducir la superficie expuesta sino también limitar el impacto potencial ante futuras amenazas.