HellCat, también conocido como Morpheus, es un grupo de ransomware como servicio (Ransomware-as-a-Service; RaaS) que apareció por primera vez a mediados de 2024. Los miembros de este grupo son conocidos por participar de forma muy activa en BreachForums y foros allegados, así como por su alto interés en la publicidad y fama para llamar la atención, dejando mensajes sarcásticos y en tono de burla. Suelen enfocarse en objetivos de alto valor y entidades gubernamentales, para que su impacto sea alto y cubierto por los medios.
Debido a su modelo de afiliación e intercambio de ingresos, HellCat ha escalado hasta alcanzar grandes objetivos a nivel mundial. Este modelo de negocio dificulta la correlación entre ataques y actores de amenaza, pues cada afiliado varía en sofisticación y selección de objetivos, todo bajo el mismo nombre: HellCat. Implementan la estrategia usual de doble extorsión, además creando presión con mensajes, burlas y amenazas para aumentar el impacto psicológico y el sentido de urgencia en sus víctimas. Cuidan mucho su identidad y la apariencia de su sitio de filtraciones, además de reclutar afiliados a través de foros de la dark web para continuar su expansión con nuevos talentos.
[1] Nota de rescate del ransomware Morpheus
El grupo se enfoca en tácticas sofisticadas de phishing para distribuir archivos adjuntos maliciosos que explotan vulnerabilidades en los sistemas objetivo y posteriormente ejecutan un script de PowerShell. Luego de obtener acceso inicial, el ransomware se enfoca en exfiltrar información de forma agresiva y establecer métodos de persistencia. Sus ataques se llevan a cabo en etapas, contactando al centro de Comando y Control (SIlverC2) continuamente para verificar la ejecución del siguiente paso. El ransomware ejecuta todo en memoria, evitando escribir en disco para intentar evadir controles de seguridad basados en integridad y firmas de archivos.
Este grupo prioriza el uso de herramientas nativas del sistema operativo, una táctica conocida como “living off the land”. Por ejemplo, el ransomware usa la API Criptográfica de Windows para encriptar los archivos del sistema sin cambiar la extensión de los archivos (como es común en otras familias de ransomware), excluyendo las carpetas y archivos necesarios para el funcionamiento del sistema operativo, al igual que herramientas como “netcat” o “netscan” para esconderse entre tráfico legítimo.
[2] Comparativa de notas de rescate de HellCat (izquierda) y Morpheus (derecha).
HellCat/Morpheus es un grupo altamente disciplinado, pues han hecho declaraciones sobre la importancia que le dan a la operación de la seguridad, utilizando tecnologías seguras de comunicación, servidores remotos contratados de forma anónima, VPNs que no registran actividad de los usuarios, entre otras tácticas para ofuscar y esconder su actividad. Han utilizado herramientas y malware usados por otros grupos maliciosos, destacando su capacidad de adaptar y personalizar tácticas ajenas para lograr sus objetivos.
Es posible que la relación entre HellCat y Morpheus sea únicamente para diferenciar afiliados o clientes, ya que comparten prácticamente el mismo código fuente, comportamiento y mensajes; asimismo se encontraron algunas similitudes en las notas de ransomware usadas por otro grupo de ransomware llamado Underground Team, aunque la base de código y comportamiento son distintos. También se ha visto que el malware “loader” o malware cargador, TransferLoader, ha sido utilizado para infectar sistemas con esta familia de ransomware.
Taxonomía
Tactic
ID
Name
Initial access
T1078
Valid Accounts
T1566
Phishing
T1566.001
Phishing: Spearphishing Attachment
T1190
Exploit Public-Facing Application
T1133
External Remote Services
Discovery
T1046
Network Service Discovery
Execution
T1547.001
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1059.001
Command and Scripting Interpreter: PowerShell
T1059.003
Command and Scripting Interpreter: Windows Command Shell
T1620
Reflective Code Loading
Defense evasion
T1036.008
Masquerading: Masquerade File Type
T1218
System Binary Proxy Execution
1562.001
Impair Defenses: Disable or Modify Tools
1562.006
Impair Defenses: Indicator Blocking
T1078
Valid Accounts
Privilege escalation
T1078
Valid Accounts
Persistence
T1078
Valid Accounts
T1098.004
Account Manipulation: SSH Authorized Keys
T1136.001
Create Account: Local Account
Lateral movement
T1021
Remote Services
T1046
Network Service Discovery
T1078
Valid Accounts
Collection
T1005
Data from Local System
T1039
Data from Network Shared Drive
T1560
Archive Collected Data
Command and control
T1071
Application Layer Protocol
T1573
Encrypted Channel
Exfiltration
T1041
Exfiltration Over C2 Channel
T1567
Exfiltration Over Web Service: Exfiltration to Cloud Storage
Monitorear inicios de sesión sospechosos, especialmente en cuentas que comience a asignar permisos administrativos y crear nuevos usuarios.
Establecer reglas de detección de frameworks de Command-and-Control como Silver C2.
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
Limitar estrictamente el uso de los protocolos SMB y RDP.
Realizar auditorías de seguridad. (NIST CSF, 2024)
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
Tener filtros de correo electrónico y spam.
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
Realizar copias de seguridad, respaldos o back-ups constantemente.
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
Revisar continuamente los privilegios de los usuarios.
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Habilitar la autenticación multifactorial.
Referencias
Cluley, G. (2025, abril 3). HellCat Ransomware: What You Need To Know. Tripwire. Recuperado el 25 de febrero de 2026: https://www.tripwire.com/state-of-security/hellcat-ransomware-what-you-need-know
Özeren, S. (2025, marzo 13). HellCat Ransomware: Exposing the TTPs of a Rising Ransomware Threat in 2025. Picus. Recuperado el 25 de febrero de 2026: https://www.picussecurity.com/resource/blog/hellcat-ransomware
Protection Highlight: Hellcat Ransomware. (2025, abril 8). Broadcom. Recuperado el 25 de febrero de 2026: https://www.broadcom.com/support/security-center/protection-bulletin/protection-highlight-hellcat-ransomware
Richards, N. (2025, febrero 28). Who are hellcat ransomware group? Bridewell. Recuperado el 25 de febrero de 2026: https://www.bridewell.com/insights/blogs/detail/who-are-hellcat-ransomware-group
Subhra, T. (2025, enero 29). Hellcat Ransomware Attacking Organization In Raas Model With Affiliates. Cyber Security News. Recuperado el 25 de febrero de 2026: https://cybersecuritynews.com/hellcat-ransomware-attacking-organization/
Threatlabz. (2025, mayo 14). Technical Analysis of TransferLoader. Zscaler. https://staging.zscaler.com/blogs/security-research/technical-analysis-transferloader#indicators-of-compromise--iocs-
Walter, J. (2025, enero 23). Hellcat and morpheus | two brands, one payload as ransomware affiliates drop identical code. SentinelOne. Recuperado el 25 de febrero de 2026: https://www.sentinelone.com/blog/hellcat-and-morpheus-two-brands-one-payload-as-ransomware-affiliates-drop-identical-code/
Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises.
Registrada como CVE-2026-45659 y catalogad......
TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......
