FIN7 (Carbanak, Carbon Spider, Sangria Tempest) es un grupo de cibercrimen financiero activo desde 2013. Ha robado más de 1.000 millones de USD de bancos, restaurantes, hoteles y retail. Opera con estructura empresarial: creó una empresa pantalla (Combi Security) para reclutar empleados que no sabían que trabajaban para criminales.

Sí. Aunque líderes fueron arrestados (2018), el grupo se reconfiguró. Evolucionó de ataques POS a operaciones de ransomware (asociado con Darkside/BlackMatter/ALPHV). En 2024-2026 se les vincula con campañas de malvertising y distribución de loaders.

¿Qué es Combi Security?

Empresa pantalla creada por FIN7 para reclutar pentesters, desarrolladores y analistas. Los empleados creían trabajar en una empresa legítima de ciberseguridad, pero en realidad desarrollaban herramientas y ejecutaban ataques para FIN7. Varios empleados fueron arrestados en 2018.

IntermedioFIN7CarbanakcibercrimenfinancieroPOSransomware

FIN7 (Carbanak): Cibercrimen Financiero Sofisticado

Perfil técnico de FIN7 (Carbanak/Carbon Spider/Sangria Tempest): grupo de cibercrimen financiero con estructura empresarial. Robos a POS, bancos, evolución a ransomware, empresa pantalla Combi Security, y herramientas custom.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: APTs y Threat Actors — Parte 8

FIN7 opera como una empresa de cibercrimen con departamentos, empleados y estructura corporativa

FIN7 es el grupo de cibercrimen financiero más sofisticado y longevo. Desde 2013 ha robado más de mil millones de dólares atacando sistemas POS (Point of Sale) de restaurantes y hoteles, comprometiendo bancos via SWIFT, y evolucionando hacia ransomware. Su innovación no es solo técnica: creó una estructura empresarial completa con empresa pantalla, empleados con "horario laboral", y procesos de reclutamiento en portales de empleo legítimos.

Ficha del grupo

Campo	Detalle
MITRE ID	G0046
Nombres	Carbanak, Carbon Spider, Sangria Tempest, ELBRUS, ITG14
Atribución	Grupo criminal, miembros de Ucrania y Rusia
Motivación	Financiero (robos bancarios, POS, ransomware)
Activo desde	2013
Nivel	Tier 3: phishing sofisticado, custom tools, estructura empresarial
Sectores	Retail, hostelería, restauración, banca, financiero
Regiones	Global (EEUU foco principal, Europa, Asia)

Evolución: de POS a ransomware

2013-2015: CARBANAK ERA
  Target: bancos (SWIFT transfers, ATM cashout)
  Método: phishing → backdoor → acceso a red bancaria → transferencias
  Impacto: 1B+ USD robados de 100+ bancos en 40 países

2015-2018: FIN7 POS ERA
  Target: restaurants (Chipotle, Arby's, Chili's), hotels, retail
  Método: phishing → Carbanak/Pillowmint → POS malware → robo tarjetas
  Impacto: millones de tarjetas robadas y vendidas

2018: ARRESTOS
  3 miembros arrestados (Ucrania): Dmytro Fedorov, Fedir Hladyr, Andrii Kolpakov
  Hladyr (admin de Combi Security) condenado a 10 años

2019-2022: EVOLUCIÓN A RANSOMWARE
  Asociación con Darkside (Colonial Pipeline) y BlackMatter
  Después: asociación con ALPHV/BlackCat
  Herramientas: POWERPLANT, BIRDWATCH, CROWVIEW

2023-2026: MALVERTISING + LOADER DISTRIBUTION
  Distribución masiva de loaders via Google Ads maliciosos
  Campañas de MSIX/APPX malicious installers
  Asociación con múltiples grupos RaaS

Herramientas principales

Herramienta	Tipo	Era
Carbanak	Backdoor modular	2013-2018, ataques bancarios
Pillowmint	POS malware	2015-2018, robo tarjetas
Griffon	Backdoor JS	2018+, JavaScript backdoor
POWERPLANT	PowerShell backdoor	2019+, post-explotación
BIRDWATCH	.NET downloader	2020+, delivery de ransomware
CROWVIEW	Remote admin tool	2021+, acceso remoto
POWERTRASH	Loader obfuscado	2022+, delivery chain
Cobalt Strike	C2 framework	Uso extensivo desde 2018
Tirion/Lizar	Backdoor	Sustituto de Carbanak post-arrestos

Combi Security: la empresa pantalla

FIN7 creó Combi Security, una "empresa de ciberseguridad" en Israel y Rusia:

Reclutamiento:
  - Anuncios en portales de empleo legítimos (LinkedIn, job boards)
  - Buscaban: pentesters, reverse engineers, desarrolladores
  - Proceso de entrevista normal: CV, entrevista técnica, prueba
  - Ofrecían salario competitivo (~1000-2000 USD/mes)

Operaciones "legítimas":
  - Los "empleados" recibían targets disfrazados de "clientes de pentest"
  - Desarrollaban herramientas que creían para testing
  - Ejecutaban "tests de penetración" contra restaurantes/bancos
  - Muchos no sabían que era criminal

Estructura:
  - Managers que coordinaban equipos
  - Horario laboral (9-18, turnos)
  - Canales de comunicación (Jabber, HipChat)
  - Proceso de escalación para targets de alto valor

Técnicas ATT&CK principales

Táctica	Técnica	ID	Uso
Initial Access	Phishing: Attachment	T1566.001	Documentos Word/Excel con macros (VBA)
Initial Access	Drive-by Compromise	T1189	Malvertising con Google Ads (2023+)
Execution	User Execution	T1204.002	Víctima abre documento malicioso
Execution	PowerShell	T1059.001	POWERPLANT, scripts de post-explotación
Persistence	Scheduled Task	T1053.005	Persistencia de backdoor
Defense Evasion	Obfuscated Files	T1027	Macros ofuscadas, POWERTRASH loader
Defense Evasion	Masquerading	T1036	Procesos disfrazados de servicios legítimos
Collection	Input Capture	T1056	Keylogging en terminales POS
Collection	Screen Capture	T1113	Screenshots de sistemas bancarios
Impact	Financial Theft	T1657	Transferencias SWIFT, ATM cashout, tarjetas
Impact	Data Encrypted	T1486	Ransomware (via Darkside/ALPHV partnership)

Cadena de ataque típica (era POS)

1. Phishing a empleado de cadena de restaurantes
   (tema: reservas, facturas, quejas de clientes)
2. Macro en documento Word → descarga Carbanak
3. Reconocimiento interno: identificar POS terminals
4. Lateral movement a segmento POS
5. Instalar Pillowmint en terminales POS
6. Capturar datos de tarjetas (Track 1/Track 2) en memoria
7. Exfiltrar datos de tarjetas al C2
8. Vender tarjetas en foros underground

Evolución al ransomware

FIN7 pasó de POS (margen decreciente por chip EMV) a ransomware (más rentable):

Período	Ransomware asociado	Rol de FIN7
2020-2021	Darkside	Acceso inicial + post-explotación
2021	BlackMatter	Sucesor de Darkside post-Colonial Pipeline
2021-2023	ALPHV/BlackCat	Acceso inicial como affiliate
2023+	Múltiples RaaS	Distribución de loaders para affiliates

Detección

Indicadores

Phishing FIN7:
  - Documentos Word/Excel con macros sofisticadas
  - Temas: pedidos, facturas, reservas (sector hospitality/retail)
  - Dominios typosquat de proveedores conocidos

Malvertising (2023+):
  - Google Ads que redirigen a sitios con MSIX/APPX maliciosos
  - Instaladores que imitan software legítimo (Zoom, 7-Zip, etc.)
  - Firma digital con certificado robado

Post-explotación:
  - PowerShell ofuscado (POWERPLANT)
  - Cobalt Strike beacons
  - Acceso anómalo a segmentos POS desde red corporativa
  - Tráfico de datos de tarjeta (Track 1/2 patterns) en red

Prevención para retail/hospitality

Segmentación POS: red POS completamente aislada de red corporativa
EMV chip: reduce utilidad de datos Track 1/2 robados
Email security: sandbox para adjuntos Office
Macro policies: deshabilitar macros de documentos de Internet
PCI DSS compliance: requisitos de seguridad para datos de tarjeta
P2PE (Point-to-Point Encryption): cifrado desde el terminal al procesador

Conclusión

FIN7 demuestra que el cibercrimen puede operar como una empresa organizada con empleados, procesos y estructura corporativa. Su evolución de POS a ransomware refleja la adaptación del cibercrimen al cambio tecnológico. Para retail y hospitality, FIN7 sigue siendo una amenaza directa. Para otros sectores, su rol como access broker para operaciones de ransomware los hace relevantes.

Fuentes y referencias

MITRE ATT&CK: FIN7 (G0046)
DOJ: Indictments of FIN7 members (2018)
Mandiant: "FIN7: Evolution of the Financially-Motivated Threat Group" (2022)
Recorded Future: "FIN7 and the Ransomware Ecosystem" (2023)
Kaspersky: "Carbanak APT: The Great Bank Robbery" (2015)