Este artículo analiza con detalle un sofisticado intento de ataque a cajeros automáticos usando una Raspberry Pi oculta y malware personalizado desarrollado por el grupo UNC2891 (también conocido como LightBasin). Se explica cómo se combinó el acceso físico con acceso remoto vía conexión 4G, la utilización de técnicas anti‑forenses como bind mounts en Linux y el rootkit CAKETAP diseñado para interferir con módulos de seguridad en sistemas Oracle Solaris. Asimismo, se discute cómo grupos especializados en ciberdelitos bancarios están evolucionando para eludir defensas tradicionales y qué medidas recomiendan los expertos para prevenir futuras intrusiones.

Introducción del ataque físico y digital

En los primeros meses de 2025, el grupo UNC2891 consiguió acceso físico a un banco del área de Asia‑Pacífico, ya sea mediante infiltración o colaboración interna, e instaló discretamente una Raspberry Pi equipada con un módem 4G dentro de la red del cajero automático, conectada al switch de red vinculado a los ATMs.

Este dispositivo actuó como un puente remoto hacia la red interna del banco, permitiendo a los atacantes eludir por completo los cortafuegos y barreras perimetrales establecidas por la infraestructura del banco.

Mediante salida a Internet vía 4G y uso de un dominio DNS dinámico, se mantuvo una conexión persistente con comandos de control, incluso cuando se intentó aislar físicamente la instalación.

Técnicas de ocultación y malware personalizado

Para ocultar su presencia, los atacantes utilizaron técnicas avanzadas de engaño: montaron sistemas de archivos bind mount sobre rutas como /proc/[pid], de modo que procesos malignos aparecieran bajo nombres «legítimos» como lightdm — nombre de un gestor de pantalla Linux — engañando así a herramientas forenses convencionales.

El backdoor empleado era una versión personalizada del malware Tinyshell, renombrado para parecer legítimo y configurado para comunicarse mediante HTTP cifrado hacia un servidor de comando y control a través de DNS dinámico.

El objetivo final era desplegar el rootkit CAKETAP en el servidor de conmutación de cajeros (ATM-switching server), interponiendo la verificación de PIN y autorización de transacciones desde el módulo de seguridad HSM, permitiendo retiros fraudulentos mediante spoofing de respuestas.

Cómo se descubrió y neutralizó

La empresa de ciberseguridad Group‑IB detectó actividad inusual en un servidor de monitorización interna del banco, que intentaba comunicarse periódicamente con la Raspberry Pi a intervalos regulares de diez minutos, lo cual activó las alertas internas.

Una vez localizada la Raspberry Pi implantada, se retiró y se investigaron los sistemas comprometidos. Aunque el dispositivo físico fue eliminado, los atacantes habían logrado establecer otro punto de persistencia adicional mediante un backdoor instalado en el servidor de correo, que tenía acceso directo a internet.

Esto complicó la contención total del ataque, pues permitió que el grupo mantuviera presencia en la red bancaria incluso después de neutralizar el equipo original.

Lecciones y recomendaciones

Este incidente expone la vulnerabilidad que representa el cruce entre ataque físico y digital: incluso frente a robustas defensas perimetrales, un dispositivo barato como una Raspberry Pi puede introducir una vía de intrusión peligrosa.
Group‑IB recomienda reforzar la monitorización sobre llamadas a mount/unmount en el sistema, especialmente alertas cuando se usen bind mounts en /proc/[pid], y bloquear ejecución de binarios desde directorios temporales.

También se sugiere asegurar físicamente los puertos de red y áreas donde se encuentran los cajeros, y realizar copias de memoria (memory images) además de imágenes de disco durante incidentes, para mejorar la respuesta a ataques complejos

Las entidades financieras necesitan incorporar control de dispositivos IoT y físico dentro del marco de seguridad, y no depender únicamente de defensas lógicas — especialmente ante adversarios con alto conocimiento técnico y capacidad de movimiento lateral sigiloso .

Conclusión

Este ataque fallido de UNC2891 demuestra la evolución de los cibercriminales bancarios hacia estrategias híbridas que combinan acceso físico encubierto, malware personalizado y evasión forense avanzada. Aunque la operación fue frustrada antes de pérdidas económicas graves, sirve como advertencia clara: proteger solo lo digital ya no es suficiente. Las instituciones financieras deben reforzar las medidas de seguridad física, aumentar la supervisión de dispositivos conectados a la red y anticipar técnicas emergentes de ocultación. La cooperación entre equipos de seguridad interna, inteligencia externa y respuesta rápida es esencial para prevenir amenazas cada vez más sofisticadas.