NEMIA UY

Newsletter de Ciberseguridad para Uruguay

DragonForce: evolución, expansión y capacidades técnicas de un cartel RaaS emergente

Análisis estratégico y técnico de un actor que consolida infraestructura propia y operación multiplataforma

DragonForce es un grupo de ransomware activo desde diciembre de 2023 que opera bajo el modelo Ransomware-as-a-Service (RaaS) y se autopromociona como un “cartel” para ampliar su influencia dentro del ecosistema criminal. Entre diciembre de 2023 y enero de 2026, el grupo atacó 363 organizaciones, con una aceleración sostenida de su actividad durante 2025.

Resumen ejecutivo: DragonForce combina crecimiento operativo, presencia activa en foros de la dark web y una evolución técnica constante que lo posiciona como uno de los actores RaaS más dinámicos del período reciente.

Origen y consolidación operativa

DragonForce emergió públicamente el 13 de diciembre de 2023, cuando el usuario @dragonforce publicó datos robados en BreachForums. Sus primeras capacidades se apoyaron en código filtrado de LockBit 3.0 (LockBit Black) y Conti. A enero de 2026, el builder basado en LockBit 3.0 ya no aparece disponible, lo que sugiere transición hacia una infraestructura más autónoma y personalizada.

Además, el grupo opera “RansomBay”, un servicio diseñado para sus afiliados que permite:

  • Generación personalizada de binarios.
  • Configuración granular de parámetros de cifrado.
  • Gestión centralizada de campañas.
  • Publicación de filtraciones en su Data Leak Site (DLS).

Tendencia de víctimas y actividad

Tras publicar su primera víctima en diciembre de 2023, DragonForce comenzó a listar organizaciones comprometidas de forma continua en su DLS. El total confirmado hasta enero de 2026 asciende a 363 empresas.

  • Primer mes de actividad (diciembre 2023): 22 víctimas publicadas.
  • Pico de actividad (diciembre 2025): 35 víctimas en un solo mes.

El patrón evidencia profesionalización progresiva y expansión sostenida dentro del mercado RaaS.

Modelo operativo y diferenciación estratégica

DragonForce mantiene presencia activa en foros como BreachForums, RAMP y Exploit, donde promociona servicios, recluta afiliados y publica filtraciones. A diferencia de operadores centrados solo en cifrado, ofrece servicios adicionales de alto valor operativo:

  • Branding de ransomware cartel.
  • Builder personalizado vía RansomBay.
  • Análisis de datos robados.
  • Campañas de presión directa (harassment calling).
  • Coordinación operativa entre equipos.

En paralelo, su comportamiento frente a otros actores ha sido ambiguo: en algunos casos atacó infraestructura de rivales, y en otros mostró similitudes técnicas o intentos de cooperación pública con grupos como Qilin y LockBit. También se observan vínculos o convergencias operativas con BlackLock, RansomHub, Scattered Spider y DEVMAN.

Panel de afiliados: arquitectura y funcionalidades

El panel de afiliados analizado muestra una arquitectura madura con ocho submódulos funcionales, incluyendo gestión de víctimas, generación de builds, coordinación de equipos, permisos para afiliados externos, publicación de contenido y sistema de tickets de soporte.

Comparado con hallazgos previos, destacan cuatro cambios:

  • Eliminación del builder basado en LockBit.
  • Remoción de la opción visible de selección de driver vulnerable (BYOVD).
  • Persistencia de BYOVD integrado por defecto en el binario.
  • Introducción de un modo beta para cifrado por extensión.

Análisis técnico: binario Windows

Las muestras recientes mantienen componentes centrales como rutina de cifrado, terminación de procesos mediante BYOVD (Bring Your Own Vulnerable Driver) y descifrado de configuración embebida con ChaCha8.

Cambios estructurales relevantes:

  • Campo encryption_rules: permite definir reglas por extensión. Sin override, el método depende del tamaño del archivo; con override explícito, aplica el método definido sin depender del tamaño.
  • Metadata ampliada: Encryption Ratio pasó de 1 byte a 4 bytes y el bloque de metadata creció de 534 a 537 bytes.

Estos cambios indican evolución activa del código y mantenimiento continuo de la base malware.

Análisis técnico: binario Linux (ESXi, NAS, RHEL)

Las variantes Linux son funcionalmente equivalentes a Windows en algoritmos de cifrado, lógica de ejecución y descifrado de configuración. En ESXi, la muestra incorpora funciones adicionales:

  • Manejo del apagado de máquinas virtuales.
  • Recolección de información del entorno ESXi.
  • Identificación de usuarios.

El flujo de ejecución en Linux contempla parsing de argumentos, modo daemon con opción -d, logging y retardo configurable, recolección de información del sistema, cifrado de archivos, codificación de nombres y modificación del archivo MOTD. El builder Linux también soporta reglas de cifrado por extensión.

Conclusiones estratégicas

DragonForce exhibe una expansión basada en ecosistema: combina confrontación y cooperación selectiva para posicionarse como actor dominante del mercado RaaS. Su estrategia de cartel y su servicio RansomBay refuerzan tanto captación de afiliados como escalabilidad operativa.

Desde lo técnico, los cambios en panel y binarios confirman desarrollo activo, refinamiento estructural y persistencia de técnicas avanzadas como BYOVD. El grupo ya no depende exclusivamente de código filtrado y muestra mayor madurez operativa e independencia tecnológica.

Evaluación final: DragonForce representa un actor RaaS en fase de consolidación, con infraestructura propia, builder personalizado, capacidades multiplataforma (Windows y Linux/ESXi) y potencial de expansión sostenida en entornos corporativos y virtualizados.

Fuente: S2W Threat Intelligence (Medium) — Inside the Ecosystem Operations: DragonForce

Volver a noticias internacionales