AWS ha facilitado la gestión de infraestructura en la nube, pero también ha abierto nuevas puertas para los ciberdelincuentes. Un simple error de configuración puede convertirse en la oportunidad perfecta para que los atacantes se infiltren y utilicen los recursos de una empresa para sus propios fines.
El equipo de inteligencia de amenazas de Palo Alto Networks, ha identificado a JavaGhost, un grupo de hackers que ha pasado de desfigurar sitios web a lanzar ataques de phishing altamente sofisticados. ¿Cómo lo hacen? Aprovechan permisos mal configurados en Amazon Identity and Access Management (IAM) para tomar el control de servicios como Simple Email Service (SES) y WorkMail, usándolos para enviar correos fraudulentos desde dominios legítimos.
El problema es grave: estos correos son prácticamente imposibles de distinguir de los reales, lo que aumenta las posibilidades de que los destinatarios caigan en la trampa. Si utilizas AWS en tu negocio o proyecto, necesitas entender cómo operan estos ataques y, sobre todo, cómo protegerte antes de que un descuido termine costándote caro.
JavaGhost ha encontrado una manera inteligente de burlar las medidas de seguridad: en lugar de enviar correos de phishing desde servidores sospechosos, usa la propia infraestructura de AWS de empresas legítimas. Esto les permite evadir filtros de seguridad, ya que los mensajes parecen venir de fuentes confiables.
Este grupo de hackers ha ido afinando sus tácticas hasta 2024, incorporando técnicas avanzadas para evitar ser detectados en los registros de AWS CloudTrail. De hecho, algunos de sus métodos recuerdan a los utilizados por Scattered Spider, otro grupo de amenazas conocido por su sofisticación.
Todo comienza cuando logran acceso a claves de IAM expuestas. Pero aquí es donde se diferencian de otros atacantes: en lugar de usar la API GetCallerIdentity, que muchos sistemas de seguridad monitorean, JavaGhost opta por otras llamadas API más discretas, como GetServiceQuota, GetSendQuota y GetAccount, lo que les permite confirmar su acceso sin levantar sospechas.
Para ocultarse aún más, han desarrollado un proceso ingenioso: usan las API GetFederationToken y GetSigninToken para generar credenciales temporales y URL de inicio de sesión. Esto les da acceso a la consola de AWS sin dejar rastros evidentes de su identidad.
Un elemento clave en sus operaciones es el uso de políticas con permisos excesivos, otorgándose acceso ilimitado dentro de la cuenta comprometida. En pocas palabras, una vez dentro, tienen carta blanca para moverse sin restricciones y aprovechar los servicios de AWS para lanzar sus ataques sin ser detectados.
Podría interesarte leer: Falsos PDFs CAPTCHA propagan Lumma Stealer vía Webflow y GoDaddy
Una vez que logran acceso a la consola de AWS, los hackers de JavaGhost no pierden el tiempo y comienzan a montar su infraestructura de phishing. Lo primero que hacen es crear identidades de correo en Amazon SES y configurar DomainKeys Identified Mail (DKIM) para que sus correos parezcan completamente legítimos.
Luego, ajustan varios parámetros en SES Virtual Delivery Manager y en la configuración de correo antes de pasar a la siguiente fase: crear organizaciones y usuarios en Amazon WorkMail. Este paso genera una serie de eventos en los registros de AWS CloudTrail, como CreateReceiptRule, CreateReceiptRuleSet y PutIdentityPolicy, pero lo hacen de manera cuidadosa para no llamar la atención.
Antes de lanzar su ataque, generan credenciales SMTP, lo que crea automáticamente usuarios IAM con permisos específicos. Pero no se detienen ahí. A medida que avanza la campaña, agregan más usuarios IAM y les asignan la política “AdministratorAccess”, lo que les da control total sobre la cuenta comprometida.
Y como si quisieran dejar su firma, JavaGhost siempre deja un rastro: crean un grupo de seguridad EC2 llamado "Java_Ghost" con la descripción "Estamos allí pero no somos visibles". Es su manera de burlarse de sus víctimas, un detalle que coincide con el eslogan que solían mostrar en su antiguo sitio web.
Sitio web de JavaGhost (Fuente: Palo Alto Networks)
JavaGhost es un claro ejemplo de cómo los ciberdelincuentes pueden aprovechar configuraciones mal gestionadas en la nube para llevar a cabo ataques sofisticados. Al abusar de los permisos excesivos en AWS IAM, este grupo logra infiltrarse en entornos legítimos y utilizar servicios como SES y WorkMail para enviar correos de phishing difíciles de detectar.
Lo más preocupante es que sus tácticas evolucionan constantemente, utilizando técnicas avanzadas para evadir la detección y mantener el acceso sin levantar sospechas. Esto demuestra la importancia de revisar y reforzar la seguridad en AWS, aplicando el principio de menor privilegio, monitoreando CloudTrail en busca de actividades sospechosas y evitando el uso de credenciales expuestas.