Se ha detectado una importante campaña de ataque coordinada, la cual se enfocó en las interfaces de Apache Tomcat Manager. Los atacantes utilizaron aproximadamente 400 direcciones IP únicas en un ataque concentrado que alcanzó su punto máximo el 5 de junio de 2025. Esta actividad maliciosa representa un incremento sustancial, con volúmenes que oscilaron entre 10 y 20 veces los niveles normales de referencia. Esto sugiere un intento sofisticado y deliberado de comprometer los servicios Tomcat expuestos a una escala sin precedentes.
Aumento masivo de fuerza bruta e intentos de inicio de sesión
La campaña de ataque coordinado se identificó por primera vez a través de los sistemas de monitoreo de inteligencia de amenazas de GreyNoise, que detectaron dos vectores de ataque distintos pero relacionados dirigidos a las interfaces de Apache Tomcat Manager.
La etiqueta Tomcat Manager Brute Force Attempt registró 250 direcciones IP únicas involucradas en actividades maliciosas, lo que representa un aumento asombroso con respecto al rango de referencia típico de 1 a 15 direcciones IP.
Simultáneamente, la etiqueta de intento de inicio de sesión de Tomcat Manager registró 298 direcciones IP únicas, superando con creces el rango de referencia normal de 10 a 40 direcciones IP.
Todas las direcciones IP involucradas en los intentos de fuerza bruta se clasificaron como maliciosas, mientras que se determinó que el 99,7% del tráfico de intentos de inicio de sesión era de naturaleza maliciosa.
La cronología del ataque muestra un estallido concentrado de actividad que comenzó a generarse a principios de junio, y el pico más significativo se produjo el 5 de junio de 2025.
La visualización de datos revela que los actores de amenazas mantuvieron una presión sostenida durante varios días, lo que sugiere una campaña bien coordinada en lugar de un escaneo oportunista.
La infraestructura ASN 14061 (DigitalOcean) albergaba una parte importante de las direcciones IP atacantes, lo que indica que los actores de amenazas aprovecharon los recursos de computación en la nube para distribuir su infraestructura de ataque y evitar la detección a través de mecanismos de bloqueo basados en IP.
El análisis técnico del ataque revela prácticas sofisticadas de seguridad operativa empleadas por los actores de la amenaza.
Los atacantes demostraron un enfoque limitado, apuntando específicamente a las interfaces de Tomcat Manager, evitando actividades de escaneo más amplias que podrían desencadenar alertas de seguridad adicionales.
Este enfoque dirigido sugiere que los atacantes poseían información previa sobre objetivos potenciales y diseñaron su campaña para maximizar el éxito y minimizar la probabilidad de detección.
El uso de la infraestructura en la nube de DigitalOcean (ASN 14061) como vector de ataque principal resalta las tácticas en evolución de los ciberdelincuentes que aprovechan cada vez más los servicios legítimos en la nube para realizar actividades maliciosas.
Este enfoque ofrece a los atacantes varias ventajas, incluidas capacidades de implementación rápida, distribución geográfica de las fuentes de ataque y la capacidad de combinar tráfico malicioso con comunicaciones legítimas basadas en la nube.
Los atacantes probablemente utilizaron herramientas y scripts automatizados para coordinar la fuerza bruta simultánea y los intentos de inicio de sesión en cientos de direcciones IP, lo que indica un alto nivel de sofisticación técnica e inversión de recursos.
Mitigaciones
Las organizaciones que ejecutan instalaciones de Apache Tomcat deben implementar de inmediato medidas defensivas integrales para protegerse contra esta campaña de amenazas en curso.
Los equipos de seguridad deben priorizar el bloqueo de todas las direcciones IP maliciosas identificadas involucradas en las categorías de fuerza bruta e intento de inicio de sesión, utilizando fuentes de inteligencia de amenazas actualizadas para mantener los niveles de protección actuales.
La implementación inmediata de reglas de bloqueo basadas en IP dirigidas a las más de 400 direcciones maliciosas identificadas es crucial para evitar nuevos intentos de compromiso.
Más allá de las medidas de bloqueo inmediatas, las organizaciones deben verificar que mecanismos de autenticación sólidos protejan sus interfaces de Tomcat Manager, incluida la implementación de autenticación multifactor (MFA) y políticas de contraseñas seguras.
Las restricciones de acceso deben limitar la disponibilidad de Tomcat Manager únicamente a redes autorizadas, preferiblemente a través de conexiones VPN o listas blancas de IP para acceso administrativo.
Los equipos de seguridad deben realizar revisiones exhaustivas de la actividad de inicio de sesión reciente, examinando los registros de autenticación en busca de patrones anómalos que puedan indicar intentos exitosos de compromiso anteriores a la campaña detectada.
