Vectra AI es nombrado líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Red (NDR). >
NUEVO

Vectra AI es nombrada Líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Redes (NDR). Descargar informe. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Sesiones informativas sobre amenazas

De Conti a Black Basta y a DevMan: el interminable cambio de marca del ransomware

17 de octubre de 2025
Lucie Cardiet
Responsable de investigación de ciberamenazas
De Conti a Black Basta y a DevMan: el interminable cambio de marca del ransomware

Las operaciones de ransomware no desaparecen. Evolucionan.

Los nombres del ransomware pueden cambiar, pero los operadores, la infraestructura y los comportamientos a menudo persisten bajo una nueva marca. El ejemplo más reciente es DevMan, un grupo que opera con código DragonForce modificado y que ahora carga con el peso de graves acusaciones que lo relacionan con uno de los líderes más infames del ransomware.

A mediados de 2025, una cuenta llamada GangExposed, alegó que DevMan es "Tramp": el antiguo líder de Black Basta y uno de los miembros principales de Conti. De ser cierto, esto significa que el mismo individuo ha dirigido tres generaciones de operaciones de ransomware bajo distintas apariencias.

El legado de Conti: El código que nunca murió

El código fuente filtrado de Contisigue siendo uno de los marcos de ransomware más reutilizados que existen. Alimentó directamente el desarrollo de Black Basta y, más tarde, de la familia de ransomware DragonForce. Los registros de chat filtrados de Black Basta Basta confirmaron además que su líder, Tramp (supuestamente Oleg Nefedov), tenía antiguos vínculos con LockBitSupp, el administrador del imperio LockBit RaaS.

Conversación entre BlackBasta y LockBit encontrada en los chatlogs filtrados de BlackBasta

En septiembre de 2025, DragonForce anunció una coalición con Qilin y LockBitcreando una red de ransomware interafiliada. Los mismos nombres reaparecen en sitios de filtraciones, programas de afiliación e infraestructuras compartidas, lo que refuerza que el ransomware opera hoy como un ecosistema, no como equipos aislados.

Captura de pantalla del anuncio de la coalición DragonForce + Qilin + LockBit. Fuente: ReliaQuest

El modelo DragonForce y el nacimiento de DevMan

DragonForce introdujo un modelo "Dragons-as-a-Service", ofreciendo a los afiliados ransomware preconstruido, infraestructura Tor y derechos de publicación de sitios de fugas bajo su marca. Este programa RaaS permitía a los operadores emergentes lanzar ataques rápidamente, utilizando herramientas probadas.

DevMan apareció por primera vez a mediados de abril de 2025, actuando inicialmente como afiliado de Qilin (Agenda) y DragonForce, aunque también vinculado a operaciones de APOS (APOS también ha estado vinculada a PEAR desde...). Los primeros ataques reflejaban los libros de jugadas de DragonForce: Explotación de VPN para la entrada, sondeo de SMB para el movimiento lateral y tácticas de doble extorsión.

En julio de 2025, todo cambió. DevMan se separó de DragonForce, lanzando su propia infraestructura, incluido el primer sitio de filtraciones llamado "DevMan's Place". El análisis forense publicado por ANY.RUN el 1 de julio confirmó que su carga útil reutilizaba código de DragonForce, basado a su vez en Conti, e incluía varios fallos técnicos:

  • La nota de rescate se autocifra, un error de configuración del constructor.
  • La función de fondo de pantalla falla en Windows 11 pero funciona en Windows 10.
  • Se incluyen tres modos de cifrado: completo, sólo cabecera y personalizado.
  • El malware opera completamente fuera de línea, sólo con actividad de red basada en SMB.

La extensión de archivo .DEVMAN y las nuevas cadenas internas distinguen a la variante, pero su ADN sigue siendo inconfundiblemente DragonForce.

Capa Herramientas comunes Puntos ciegos típicos Ventaja del atacante
Conti (2022) Código base original Tripulación privada Negociación manual, jerarquía interna
Black Basta (2023-2024) Horquilla de Conti Semiprivado Centrarse en las grandes empresas, fugas constantes
DragonForce (2024-presente) Basado en el código Conti RaaS público Herramientas de construcción, modelo de coalición, vínculos Qilin + LockBit
DevMan (2025-presente) Código DragonForce modificado RaaS híbrido Extensión personalizada (.DEVMAN), cifrado sin conexión, marca independiente

Alegaciones GangExposed: DevMan = Tramp

En junio de 2025, GangExposed publicó un análisis detallado en el que afirmaba que DevMan es el mismo individuo que Tramp, el antiguo Black Basta y líder de Conti. Su informe utilizó:

  • Análisis estilométrico para comparar patrones lingüísticos en notas de rescate y mensajes de foros.
  • La infraestructura se solapa, vinculando dominios Tor y monederos de criptomoneda entre DevMan y operaciones anteriores.
  • Correlaciones de alias, incluidas las manillas en ruso reutilizadas en ambas identidades.

De ser ciertas, las acusaciones significan que DevMan representa no solo un cambio de marca, sino una continuación del liderazgo que se extiende a lo largo de tres grandes operaciones de ransomware: Conti → Black Basta → DevMan.

La atribución en los ecosistemas de ransomware es compleja

Como señala Jon DiMaggio en The Art of Attribution (Analyst1, 2024), una atribución de alta fiabilidad requiere múltiples líneas de pruebas, incluidas las técnicas, de comportamiento y humanas, y nosólo similitudes de código o coincidencias temporales. En este caso, aunque los hallazgos de GangExposed concuerdan con la información de inteligencia existente sobre la red de Tramp, la afirmación sigue siendo una hipótesis analítica, no una prueba concluyente.

DevMan 2.0: De operador a proveedor de RaaS

Después de la exposición, DevMan redobló la apuesta. El 30 de septiembre de 2025, lanzó DevMan 2.0, una plataforma de ransomware como servicio rediseñada con reclutamiento de afiliados, un panel de control constructor y nuevas variantes escritas en Rust.

Capturas de pantalla de la plataforma revelan:

  • Un panel de afiliación basado en web para crear cifradores dirigidos a Windows, Linux y ESXi.
  • Un modelo estructurado de reparto de beneficios, que ofrece un 22% de participación en los ingresos a los afiliados que generen menos de 20 millones de dólares.
  • Utilidades automatizadas de exfiltración de datos y personalización de notas de rescate.
  • Normas de conducta que prohíben los ataques contra los Estados de la CEI y las entidades sanitarias relacionadas con los niños.

En la práctica, DevMan 2.0 funciona de forma muy parecida a DragonForce, pero con la marca, la infraestructura y el control de los afiliados totalmente a cargo de un operador.

Captura de pantalla del sitio web de DevMan RaaS
Captura de pantalla del sitio web RaaS de DevMan. Fuente: Analyst1.com

Por qué es importante para los defensores

Tanto si las acusaciones de GangExposed son ciertas como si no, DevMan es un ejemplo de cómo las operaciones de ransomware cambian de marca sin modificar su comportamiento. Los equipos SOC se enfrentan a adversarios que evolucionan más rápido de lo que pueden adaptarse las defensas tradicionales. En Conti, Black Basta, DragonForce y DevMan, las tácticas siguen siendo las mismas:

  • Cifrado fuera de línea y movimiento lateral a través de SMB y RDP.
  • Uso de herramientas legítimas para la persistencia.
  • Rápida incorporación de afiliados mediante marcos de construcción compartidos.

Las defensas basadas en firmas fallan contra este modelo. Lo que permanece constante es el comportamiento del atacante, visible en el tráfico de red, el uso indebido de identidades y los intentos de escalada de privilegios. Estos son exactamente los patrones que la plataformaVectra AI detecta en tiempo real.

Vectra AI detecta lo que las marcas no pueden ocultar

Independientemente de que pueda confirmarse o no la atribución, lo importante para los defensores son los comportamientos. La plataforma Vectra AI se centra en detectar las tácticas y los comportamientos de los atacantes, no sus marcas.

Al analizar los comportamientos de identidad, red y cloud , la plataforma Vectra AI detecta los signos de ejecución de ransomware y movimiento lateral antes de que comience el cifrado, ya sea DevMan, Play, Qilin, Scattered Spider o cualquier otro grupo APT.

Los atacantes pueden cambiar sus nombres, pero no sus comportamientos.

Con Vectra AI, puedes ver lo que ellos no pueden ocultar.

Vea una demostración autoguiada de la plataforma Vectra AI para comprobar cómo la IA basada en el comportamiento detecta la actividad del ransomware, incluso a través de cambios de marca.

Preguntas frecuentes