Novedades

CVE-2025-61882, una vulnerabilidad crítica de Oracle E-Business Suite (CVSS 9.8), está siendo explotada activamente para ejecución remota de código y robo de datos por la banda Clop. Oracle urge a aplicar el parche de emergencia tras detectar PoC públicos y ataques en curso.

Oracle ha lanzado una alerta de máxima criticidad tras descubrir la explotación activa de CVE-2025-61882, una vulnerabilidad zero-day en E-Business Suite. Esta vulnerabilidad permite ejecución de código sin autenticación, facilitando la entrada de ciberdelincuentes y el robo de datos confidenciales, como ha demostrado una reciente campaña de ataques atribuida al grupo de ransomware Clop.

La vulnerabilidad afecta al componente BI Publisher Integration de Oracle Concurrent Processing y permite RCE remoto sin autenticación. Está presente en versiones 12.2.3 a 12.2.14 de Oracle E-Business Suite. Explotarla es sencillo, debido a la ausencia de controles previos, y ya circulan exploits y PoC públicos (basados en Python) filtrados por grupos como Scattered Lapsus$ Hunters. El exploit permite tanto ejecutar comandos arbitrarios como establecer reverse shells hacia servidores controlados por el atacante.

El impacto es elevado: la facilidad de explotación y la existencia de PoCs públicos incrementan el riesgo de ataques masivos. Ya se han reportado incidentes de robo de datos y extorsión en compañías de todo el mundo, con amenazas de publicar información sensible si no se paga rescate. La situación podría escalar si otros actores adoptan el exploit en nuevos ataques.

Oracle ha publicado un parche de emergencia que debe aplicarse tras instalar la Critical Patch Update de octubre 2023. Es vital actualizar inmediatamente y revisar los indicadores de compromiso (IPs, comandos, archivos de exploit) difundidos por Oracle. Se recomienda auditar el acceso de red a estos sistemas y reforzar la monitorización proactiva de logs y alertas en entornos potencialmente afectados.

La explotación activa de CVE-2025-61882 resalta la importancia de una gestión ágil de parches y vigilancia continua. Actualizar sistemas, monitorizar IOC y fomentar la colaboración entre defensores es clave ante amenazas como Clop que buscan vulnerabilidades críticas en entornos empresariales.

Más información

• Oracle patches EBS zero-day exploited in Clop data theft attacks: https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
• CVE-2025-61882 (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-61882

La entrada Oracle urge a parchear grave zero-day RCE explotada por Clop (CVE-2025-61882) se publicó primero en Una Al Día.

Un nuevo malware bautizado como SORVEPOTEL está causando estragos en Brasil al expandirse de forma masiva a través de WhatsApp Web. Su objetivo no es robar datos ni pedir rescates, sino propagarse con rapidez entre usuarios y organizaciones, poniendo en riesgo a múltiples sectores.

La compañía de ciberseguridad Trend Micro alertó sobre la detección de SORVEPOTEL, un malware autorreplicante que se propaga por WhatsApp y que ha registrado 477 infecciones, de las cuales 457 corresponden a Brasil.

‘Se ha observado que SORVEPOTEL se propaga por sistemas Windows a través de mensajes de phishing con archivos ZIP maliciosos, disfrazados de documentos aparentemente legítimos’, explicó Trend Micro en su informe.

A diferencia de otros ataques que buscan robar información o cifrar archivos, este malware está diseñado para expandirse de manera veloz y alcanzar la mayor cantidad posible de equipos.

Cómo funciona la infección

1. El ataque comienza con un mensaje de phishing enviado desde un contacto comprometido, lo que genera confianza en la víctima.
2. El mensaje incluye un archivo ZIP malicioso, disfrazado de recibo o documento de salud.
3. Dentro del ZIP se esconde un acceso directo de Windows (.LNK), que ejecuta un script de PowerShell y descarga la carga maliciosa desde servidores externos.
4. El malware se instala de forma persistente en la carpeta de inicio de Windows y establece conexión con un servidor de comando y control (C2).
5. Si detecta que la víctima tiene abierta la versión de escritorio de WhatsApp Web, reenvía automáticamente el archivo ZIP a todos los contactos y grupos de esa cuenta.

Este comportamiento provoca un flujo masivo de spam, lo que termina ocasionando la suspensión de muchas cuentas infectadas por violar los términos de uso de WhatsApp. Los principales sectores comprometidos incluyen, gobierno y servicios públicos, manufactura y construcción, tecnología, educación, entre otros.

El caso SORVEPOTEL demuestra cómo los cibercriminales están utilizando plataformas de comunicación masivas como WhatsApp no solo para engañar a usuarios, sino para convertirlas en canales de propagación automática de malware.

Aunque por ahora no hay evidencia de robo de datos o cifrado de archivos, especialistas advierten que esta técnica podría evolucionar hacia versiones más agresivas en el futuro.

Recomendaciones generales

• Desactivar descargas automáticas en WhatsApp.
• Evitar abrir archivos comprimidos (ZIP) de remitentes desconocidos.
• Implementar controles en entornos corporativos para limitar la transferencia de archivos.
• Capacitar a empleados en detección de phishing y buenas prácticas digitales.
• Mantener sistemas y antivirus actualizados para detectar comportamientos anómalos.

Más información

• Trend Micro Research: https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html?utm_source=chatgpt.com
• GBHackers: https://gbhackers.com/sorvepotel-malware/

La entrada SORVEPOTEL: el malware que se propaga velozmente por WhatsApp y golpea a Brasil se publicó primero en Una Al Día.

La compañía de software de código abierto Red Hat se encuentra en el centro de la atención internacional tras confirmar un incidente de seguridad que podría afectar a miles de empresas, incluidas varias en España. El grupo de extorsión Crimson Collective asegura haber accedido a repositorios privados vinculados al área de consultoría de la firma, obteniendo cerca de 570 GB de información comprimida correspondiente a unos 28.000 proyectos internos.

Red Hat confirmó un incidente de seguridad que podría afectar a miles de empresas, tras el acceso de Crimson Collective a repositorios privados, robando 570 GB de información de 28.000 proyectos internos.

Los atacantes afirman que entre los datos se encuentran tokens de autenticación, URIs de bases de datos y más de 800 informes de clientes que podrían exponer configuraciones críticas de infraestructuras corporativas. Crimson Collective asegura que intentó negociar un rescate con Red Hat, pero la respuesta de la empresa se limitó a un mensaje genérico remitiéndolos al canal oficial de reporte de vulnerabilidades.

En un comunicado, Red Hat reconoció la brecha y aseguró haber activado medidas de contención. Subrayó además que no existen evidencias de que otros servicios clave o la cadena de suministro de software se hayan visto comprometidos. Sin embargo, Crimson Collective insiste en que el acceso se produjo semanas antes de que se hiciera público.

A este incidente se suma la revelación de una vulnerabilidad crítica (CVE-2025-10725) en OpenShift AI, con una puntuación de 9,9 en la escala CVSS. El fallo permite a un usuario autenticado con privilegios mínimos escalar permisos y tomar el control del clúster.

Red Hat ha publicado parches urgentes y recomienda su aplicación inmediata. Como medida adicional, sugiere eliminar configuraciones inseguras de roles y restringir la creación de trabajos a identidades de confianza.

Este incidente sitúa a Red Hat bajo gran presión internacional. En España, expertos en ciberseguridad llaman a reforzar las defensas, rotar credenciales y auditar accesos, recordando que los ciberataques continúan aumentando en sofisticación y alcance.

Más información:

• DiarioBitcoin: https://www.diariobitcoin.com/seguridad/red-hat-confirma-hackeo-de-crimson-collective-habrian-sustraido-casi-570-gb-y-28-000-proyectos-privados-de-github/
• BitLife Media: https://bitlifemedia.com/2025/10/crimson-collective-asegura-haber-robado-570-gb-de-datos-internos-en-un-ciberataque-a-red-hat/
• Cybersecurity News: https://cybersecuritynews.com/red-hat-openshift-ai-service-vulnerability/
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-10725

La entrada Red Hat enfrenta un ataque masivo y una vulnerabilidad crítica de seguridad se publicó primero en Una Al Día.

La CISA ha actualizado su catálogo de vulnerabilidades KEV para incluir una grave falla de ejecución remota de comandos en Meteobridge, identificada como CVE-2025-4008, cuya explotación activa pone en riesgo infraestructuras y sistemas conectados.

La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha confirmado la explotación activa de una vulnerabilidad crítica en Smartbedded Meteobridge, aumentando el nivel de alerta para operadores de infraestructuras y usuarios de estos dispositivos. Esta advertencia llega tras la evidencia recopilada durante los últimos meses sobre intentos efectivos de explotación remota sin autenticación.

La vulnerabilidad CVE-2025-4008 afecta al portal web de Meteobridge, diseñado para la gestión de estaciones meteorológicas. El fallo reside en el script template.cgi, expuesto públicamente bajo /cgi-bin/template.cgi, que procesa entradas poco seguras con llamadas eval. Esto permite a un atacante remoto no autenticado inyectar comandos arbitrarios que se ejecutan con privilegios de root. Un ejemplo de explotación es el envío de una petición GET especialmente manipulada o el uso de un enlace malicioso incrustado en una página web, facilitando la cadena de ataque sin necesidad de headers o tokens de autenticación.

La explotación de esta vulnerabilidad puede llevar a compromiso total del dispositivo afectado, permitiendo desde manipulación de datos meteorológicos hasta el uso del sistema como punto de entrada para ataques más amplios dentro de la red. Al tratarse de un fallo no autenticado y de fácil ejecución, el riesgo de ataques automatizados (botnets) es particularmente alto, especialmente en redes que expongan estos servicios a Internet o a segmentos vulnerables.

La principal medida recomendada es actualizar Meteobridge a la versión 6.2 o superior, disponible desde el 13 de mayo de 2025. Adicionalmente, se aconseja restringir el acceso a la interfaz web únicamente a redes de gestión seguras, monitorizar logs de acceso y tráfico, y deshabilitar temporalmente la función vulnerable si la actualización inmediata no es posible. Para agencias federales, la CISA requiere la aplicación de parches antes del 23 de octubre de 2025.

La explotación activa de la CVE-2025-4008 subraya la importancia de mantener actualizados todos los dispositivos expuestos, así como de aplicar buenas prácticas de segmentación y monitorización. El caso Meteobridge pone de manifiesto que incluso dispositivos especializados pueden convertirse en vectores para comprometer infraestructuras críticas si no se gestionan adecuadamente.

Más información

• CVE-2025-4008 (NIST NVD)
• CISA KEV Catalog
• CISA Flags Meteobridge CVE-2025-4008 Flaw as Actively Exploited in the Wild (The Hacker News)

La entrada CISA alerta sobre fallo crítico en Meteobridge: ejecución remota de comandos sin autenticación se publicó primero en Una Al Día.

En las últimas semanas analistas de seguridad han detectado una oleada de ataques contra macOS que utiliza certificados de Validación Extendida (EV) emitidos legítimamente para firmar imágenes de disco (DMG) con payloads maliciosos. La técnica busca explotar la confianza que generan las firmas válidas para sortear detecciones y comprobaciones nativas del sistema.

La campaña emergió cuando varias muestras aparecieron en feeds de inteligencia, todas con firmas válidas de Developer ID Application. Según el investigador ‘g0njxa’, este abuso de certificados EV, aunque conocido en Windows, se está extendiendo con fuerza al ecosistema macOS. Un ejemplo llamativo es un DMG firmado con el Developer ID THOMAS BOULAY DUVAL (J97GLQ5KW9) y SHA256 a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7. La muestra usaba un identificador de paquete que imitaba al firmante “thomas.parfums”, un intento de integrarse en distribuciones legítimas.

El vector inicial parece ser phishing: sitios comprometidos alojan instaladores DMG firmados que suplantan aplicaciones de confianza. Al montarse el DMG, se ejecuta un lanzador AppleScript incrustado; el Mach-O incluido contiene referencias codificadas a un host remoto que orquesta la siguiente fase.

Aunque Apple revoca certificados denunciados, la ventana entre firma y revocación suele ser suficiente para que los atacantes consigan infecciones iniciales. Pese al coste y la verificación estricta para obtener certificados EV, los actores los consideran una inversión rentable para lograr sigilo y legitimidad temprana.

Recomendaciones prácticas: evitar abrir DMG procedentes de fuentes no verificadas; comprobar el firmante y el identificador del paquete; mantener macOS y soluciones antimalware actualizadas; y preferir descargas desde canales oficiales.

La lección es clara: la confianza establecida puede volverse un vector y exigir una verificación adicional más allá de la mera firma.

Más información:

• https://cybersecuritynews.com/hackers-abuse-ev-certificates/amp/
• https://gbhackers.com/ev-certificates/
• https://cyberpress.org/ev-code-signing-malware/

La entrada Certificados EV: el nuevo camuflaje del malware en macOS se publicó primero en Una Al Día.

OpenSSL ha parcheado tres vulnerabilidades con el lanzamiento de nuevas versiones, una de ellas permite la recuperación de la clave privada, mientras que otras posibilitan ejecución de código y ataques de denegación de servicio (DoS). Si utilizas OpenSSL en tus sistemas, la actualización es prioritaria.

OpenSSL es un pilar en la seguridad de la comunicación cifrada global. Recientemente, se han descubierto y corregido tres vulnerabilidades en versiones ampliamente utilizadas, destacando de nuevo la importancia de mantener este componente actualizado. Las versiones afectadas abarcan desde la rama 1.0.2 hasta la 3.5, y los parches ya están disponibles.

Las vulnerabilidades corregidas son CVE-2025-9230, CVE-2025-9231 y CVE-2025-9232. CVE-2025-9231 destaca por permitir la recuperación de la clave privada en implementaciones del algoritmo SM2 sobre plataformas ARM de 64 bits; si bien OpenSSL no soporta SM2 en TLS de forma nativa, proveedores personalizados podrían estar expuestos. CVE-2025-9230 es un out-of-bounds read/write que podría ser aprovechado para ejecución remota de código o DoS, aunque la probabilidad de explotación es baja. Finalmente, CVE-2025-9232 es de baja severidad y puede causar una caída del servicio.

El mayor riesgo reside en la exfiltración de claves privadas y en la posible exposición de datos cifrados, permitiendo ataques man-in-the-middle (MitM) y decriptado de tráfico seguro. La explotación de CVE-2025-9230, aunque menos probable, podría resultar en compromisos graves del sistema como ejecución de código arbitrario. La última vulnerabilidad, aunque menos severa, puede usarse para inducir fallos mediante ataques de denegación de servicio.

Se recomienda encarecidamente actualizar OpenSSL a las versiones 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd o 1.0.2zm según corresponda. Monitorizar logs en busca de comportamientos anómalos relacionados con la criptografía, limitar fuentes externas de entrada para evitar explotación remota y estar atentos a futuras actualizaciones de seguridad.

Actualizar OpenSSL es imprescindible ante la aparición de vulnerabilidades asociadas a criptografía y comunicación segura. Aunque el escenario de explotación es limitado para todas excepto CVE-2025-9230, los riesgos de compromiso de clave privada y RCE/DoS hacen que parchear cuanto antes sea clave para organizaciones y desarrolladores.

Más información

• CVE-2025-9230
• CVE-2025-9231
• CVE-2025-9232
• OpenSSL Vulnerabilities Allow Private Key Recovery, Code Execution, DoS Attacks (SecurityWeek)

La entrada OpenSSL soluciona fallos críticos: riesgo de robo de clave y ataques DoS se publicó primero en Una Al Día.

CISA ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463 en Sudo, permitiendo a atacantes locales sin privilegios escalar a root. El fallo ya cuenta con parches disponibles y ha sido incluido en el catálogo de amenazas activas.

El comando Sudo es fundamental en entornos Linux y macOS para controlar el acceso a privilegios de administración. Una grave vulnerabilidad de escalada de privilegios locales (LPE), identificada como CVE-2025-32463 y con una puntuación CVSS de 9.3, ha sido recientemente explotada, poniendo en jaque la seguridad de servidores y estaciones de trabajo a nivel mundial.

CVE-2025-32463 afecta a Sudo versiones desde la 1.9.14, introduciendo un fallo que permite a usuarios sin privilegios ejecutar comandos con privilegios de root incluso aunque no estén en el archivo sudoers. La explotación se basa en la manipulación del fichero /etc/nsswitch.conf en combinación con el uso del parámetro chroot de Sudo. Un atacante crea un archivo nsswitch.conf controlado, utiliza chroot para engañar a Sudo y consigue ejecución privilegiada. El fallo fue corregido en la versión 1.9.17p1, donde se eliminaron las opciones comprometidas.

El principal riesgo es la posibilidad de que cualquier atacante local obtenga acceso total al sistema, comprometiendo de manera completa la seguridad y la integridad de los servidores afectados. Esto puede derivar en robo de información, instalación de malware o persistencia para ataques posteriores. El hecho de que ya exista una prueba de concepto (PoC) pública y explots en circulación incrementa el nivel de amenaza, tanto para infraestructuras críticas como para despliegues empresariales y usuarios individuales.

Se recomienda actualizar Sudo urgentemente a la versión 1.9.17p1 o superior. Es fundamental revisar el catálogo KEV de CISA y aplicar las mejoras de configuración sugeridas, restringiendo los accesos al sistema y monitorizando actividades sospechosas. Además, se aconseja deshabilitar funcionalidades innecesarias y realizar auditorías sobre configuraciones de seguridad previas a la corrección.

La rápida aplicación de parches y la vigilancia continua son críticas para frenar la explotación de CVE-2025-32463. Los equipos de TI deben priorizar la actualización de Sudo y consultar fuentes oficiales, como el KEV de CISA y el NIST, para evaluar riesgos actuales y futuros. La prevención eficaz reduce la superficie de ataque y refuerza la resiliencia organizacional.

Más información

• Vulnerabilidad CVE-2025-32463 en NIST: https://nvd.nist.gov/vuln/detail/CVE-2025-32463
• Alerta de CISA sobre CVE-2025-32463: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog
• Noticia original en SecurityWeek: https://www.cisa.gov/news-events/alerts/2025/09/30/cisa-adds-new-vulnerabilities-known-exploited-vulnerabilities-catalog

La entrada CISA alerta: Vulnerabilidad crítica en Sudo permite escalada local a root se publicó primero en Una Al Día.

Una vulnerabilidad crítica de secuestro de DLL (DLL hijacking) ha sido descubierta en Notepad++, el popular editor de código fuente utilizado por millones de desarrolladores en todo el mundo. El fallo, identificado como CVE-2025-56383, afecta a la versión 8.8.3 y podría impactar a todas las instalaciones existentes del software.

El problema radica en la forma en que Notepad++ carga las bibliotecas necesarias para su funcionamiento. Si el programa busca un archivo DLL sin especificar la ruta completa, Windows recurre a un orden predefinido de directorios. Un atacante local puede aprovechar esta debilidad colocando una DLL maliciosa con el mismo nombre que una legítima en un directorio que se cargue antes del original.

Según la demostración publicada, el ataque puede ejecutarse reemplazando archivos de complementos, como NppExport.dll, dentro del directorio de plugins de Notepad++. El atacante puede renombrar el archivo legítimo y hacer que su DLL maliciosa lo sustituya, mientras reenvía las funciones legítimas al archivo original para no levantar sospechas. Esta técnica, conocida como proxying, permite ejecutar código malicioso en segundo plano cada vez que se abre el editor.

Aunque la demostración solo mostró la aparición de un cuadro de mensaje como prueba de ejecución, el impacto potencial es grave: el atacante podría usar la vulnerabilidad para obtener persistencia en el sistema o escalar privilegios.

Por el momento, los desarrolladores de Notepad++ no han publicado un parche oficial para esta vulnerabilidad. Se recomienda a los usuarios descargar únicamente versiones desde el sitio web oficial, vigilar cambios no autorizados en los directorios de instalación y aplicar controles de integridad de archivos.

La amenaza principal está en entornos donde un atacante ya tenga acceso inicial al sistema. En ese escenario, esta vulnerabilidad facilitaría la instalación de malware persistente cada vez que se ejecute.

Más información:

• https://cybersecuritynews.com/notepad-hijacking-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2025-56383

La entrada Notepad++ vulnerable a ataques de secuestro de DLL: CVE-2025-56383 se publicó primero en Una Al Día.

Incluso Steam, la mayor tienda online de videojuegos de PC, no está exenta de aplicaciones maliciosas. El último caso conocido es BlockBlasters, un juego de plataformas 2D, que en segundo plano ejecuta un ladrón de credenciales.

El malware en Steam

Valve, la empresa detrás de Steam, ha apostado a lo largo de los años por proyectos para abrir la puerta a pequeños desarrolladores. Proyectos como Steam Greenlight, Steam Direct o acceso anticipado.

Concretamente, Steam Direct consiste en tres pasos para poder publicar en la tienda: el primero y segundo se basan en papeleo; mientras que el tercero es la fase de revisión, donde el equipo de Steam pone a prueba el juego para asegurar que no desencadena comportamientos inesperados en los equipos de los usuarios.

Por tanto, si Steam dispone de un sistema de pruebas y revisión, ¿cómo se infiltra el malware? En la mayoría de los casos, los desarrolladores publican una versión inicial sin ninguna traza maliciosa para, posteriormente, actualizar el juego añadiendo los comportamientos y el malware. Tras esto, comienza la fase de ingeniería social para conseguir que las víctimas descarguen el juego.

El caso viral de BlockBlasters

El último caso de este tipo ha sido BlockBlasters, desarrollado por Genesis Interactive. Este se ha viralizado especialmente debido a que una de sus víctimas ha sido el creador de contenido RastalandTV, el cual se encontraba en directo recolectando donaciones para su tratamiento de cáncer, cuando un espectador le recomendó dicho juego y le robaron más de 30.000 dólares.

BlockBlasters fue publicado el 30 de julio de 2025 sin ningún tipo de malware, no fue hasta el 12 de agosto que empezó a recibir actualizaciones y cambios en el código. Específicamente, el 30 de agosto publicaron la versión (build) 19799326 donde se modificaron varios archivos, los cuales contenían el malware.

El programa malicioso funcionaba de manera «clásica», uno de los archivos se encargaba de rastrear el equipo en busca de información como el sistema operativo, antivirus, etc. Una vez, este terminaba de recolectar toda la información necesaria desplegaba otros dos: uno de ellos era un stealer especializado en navegadores (contraseñas, cookies y carteras de criptomonedas) mientras que el otro enviaba la información robada a un canal de Telegram.

Tras la tragedia y la viralidad, un grupo de expertos publicaron un informe forense en el que analizan el comportamiento del malware en profundidad, obteniendo acceso al canal de Telegram y publicando la lista de afectados, entre otra información relevante.

Finalmente, se han identificado dos actores detrás de la estafa y su información ya ha sido notificada a las autoridades competentes.

Otros casos de malware en Steam

Si bien es cierto que BlockBlasters ha sido el caso más viral, no es el único. En lo que va de 2025 es el cuarto videojuego detectado con estos comportamientos:

1. 2018. Abstractism. Instalaba un minero de criptomonedas.
2. Slay the Spire, mod. Downfall. Instalaba un infostealer.
3. 2025. Sniper: Phantom’s resolution. Demo que instalaba un ladrón de credenciales.
4. 2025. Chemia. Instalaba varios tipos de malware.
5. 2025. PirateFi. Malware avanzado de robo de credenciales e información de sesiones.

Conclusiones y recomendaciones

El malware y los ciberdelincuentes se encuentran en todas partes hoy día y páginas en las que se tiene confianza, como Steam, son el principal objetivo. Realizar algo totalmente legítimo como descargar un videojuego es también un posible riesgo. Por tanto, lo más recomedable es seguir una serie de pautas como el uso de antivirus, dobles factores, gestores de contraseñas, entre otros. Siendo lo más importante, tener sentido común.

Más información

• Youtube. 2025. BaityBait. STEAM y su problema con el MALWARE. https://www.youtube.com/watch?v=XR7QGGYOd9M
• Youtube. 2025. BaityBait. STEAM PERMITE el robo MÁS ASQUEROSO del año. https://www.youtube.com/watch?v=JoxDe7L5moc
• Yahoo News. 2025. Nathaniel Mott. Twitch streamer raising money for cancer treatment has funds stolen by malware-ridden Steam game — BlockBlasters title stole $150,000 from hundreds of players. https://www.yahoo.com/news/articles/twitch-streamer-raising-money-cancer-144945930.html
• SteamDB. 2025. BlockBlasters Build 19799326 on 30 August 2025. https://steamdb.info/patchnotes/19799326/
• 2025. BlockBlasters Forensic Report. https://docs.google.com/document/d/1vI4uKIYLl5iw6k1gspG4KY1JOoMIBGC1B6drPHmIZic/edit?tab=t.0#heading=h.u52snj6f3ie3
• Bitdefender. 2018. Graham Clueley. Steam game Abstractism pulled after cryptomining accusations. https://www.bitdefender.com/en-us/blog/hotforsecurity/steam-game-abstractism-pulled-after-cryptomining-accusations
• BleepingComputer. 2025. Bill Toulas. Hacker sneaks infostealer malware into early access Steam game. https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/
• Kaspersky. 2025. Alexey Sadylko. Atención, jugadores: los troyanos han invadido Steam. https://www.kaspersky.es/blog/games-with-trojans-in-steam/30774/

La entrada BlockBlasters: así roban tus contraseñas en Steam se publicó primero en Una Al Día.

Microsoft ha detectado una nueva variante del malware XCSSET para macOS, dirigida específicamente a desarrolladores que usan Xcode. Esta versión incorpora funcionalidades avanzadas como robos de datos de navegador, secuestro del portapapeles y nuevos mecanismos de persistencia para atacar entornos de desarrollo.

La familia de malware XCSSET, conocida por atacar sistemas macOS a través de proyectos Xcode infectados, vuelve a estar en el punto de mira tras la publicación de un nuevo informe por parte de Microsoft Threat Intelligence. El vector de infección se centra en desarrolladores, explotando la práctica común de compartir proyectos de desarrollo.

El nuevo XCSSET presenta capacidades ampliadas. Ahora, utiliza una versión modificada de la herramienta open-source HackBrowserData para extraer contraseñas y sesiones de Firefox, se centra en el hurto de criptomonedas mediante la monitorización del portapapeles con patrones RegEx que detectan y reemplazan direcciones asociadas a carteras, y refuerza su persistencia creando entradas LaunchDaemon y una falsa ‘System Settings.app’ que oculta su actividad. Su principal mecanismo de propagación sigue siendo la infección de proyectos Xcode: una vez que el proyecto es compilado, el código malicioso se replica y puede llegar a otros desarrolladores mediante colaboraciones o repositorios compartidos.

El impacto potencial incluye la exfiltración de credenciales, robo de notas personales, sustracción de carteras de criptomonedas y datos sensibles almacenados en navegadores. La capacidad de infiltración a través de proyectos colaborativos incrementa el riesgo para entornos de desarrollo, pudiendo afectar a empresas y cadenas de suministro de software. Además, la sofisticación de los nuevos métodos de persistencia dificulta tanto su detección temprana como la remoción.

Para mitigar estas amenazas, se recomienda encarecidamente a los desarrolladores inspeccionar cualquier proyecto Xcode recibido antes de compilarlo. Mantener macOS y las aplicaciones actualizadas es crucial, dado que XCSSET ha explotado vulnerabilidades zero-day previamente. El uso de una solución EDR para macOS y la revisión constante de procesos y aplicaciones sospechosas puede ayudar a detectar actividad anómala. Además, es esencial realizar backups regulares y no reutilizar credenciales entre servicios.

El resurgimiento de XCSSET demuestra la obstinación de las amenazas dirigidas contra el ecosistema de Apple, especialmente hacia desarrolladores. La defensa proactiva, la actualización constante y las buenas prácticas de higiene digital son fundamentales en este contexto. Sin vigilancia, un solo proyecto contaminado puede comprometer toda una organización.

Más información

• Microsoft: https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/
• Microsoft warns of new XCSSET macOS malware variant targeting Xcode devs: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-xcsset-macos-malware-variant-targeting-xcode-devs/

La entrada XCSSET evoluciona: nueva variante de malware para macOS ataca proyectos Xcode y roba criptomonedas se publicó primero en Una Al Día.

Un grupo de ciberdelincuentes norcoreanos ha introducido una nueva amenaza dirigida a desarrolladores de software en el ecosistema de criptomonedas y Web3. Esta campaña, conocida como «DeceptiveDevelopment«, utiliza herramientas personalizadas, incluyendo un backdoor previamente desconocido denominado AkdoorTea. La firma de ciberseguridad ESET vincula este grupo con operaciones del régimen de Pyongyang.

AkdoorTea es un backdoor multiplataforma desarrollado en Python y Go, diseñado para funcionar en Windows, Linux y macOS. Su funcionamiento combina varias técnicas avanzadas: utiliza canales de comunicación cifrados para conectarse a servidores de comando y control (C2), puede ejecutar scripts remotos, manipular archivos y recopilar credenciales y datos sensibles de aplicaciones de blockchain. Para mantener persistencia, emplea mecanismos de autoarranque, modifica configuraciones del sistema y oculta sus procesos mediante técnicas de ofuscación de código.

La distribución de este malware se realiza mediante ofertas de empleo falsas en el sector de criptomonedas. Los atacantes se hacen pasar por reclutadores y convencen a las víctimas para ejecutar scripts maliciosos bajo el pretexto de completar pruebas técnicas. Una vez ejecutados, los scripts descargan y activan el backdoor AkdoorTea, que establece una puerta trasera y crea un túnel seguro cifrado para transmitir información de manera encubierta al servidor C2.

La estrategia principal se basa en ingeniería social avanzada. Se crean perfiles falsos en plataformas profesionales para contactar desarrolladores y ofrecer entrevistas de trabajo. Durante estas entrevistas, se solicita realizar tareas aparentemente legítimas, que en realidad sirven para ejecutar el malware y mapear la infraestructura local de la víctima. Esta táctica ha sido llamada «Contagious Interview» y se ha usado previamente en campañas de malware como BeaverTail e InvisibleFerret.

Para protegerse de estas amenazas, es fundamental verificar la autenticidad de las ofertas de empleo, revisar los permisos de ejecución antes de ejecutar scripts o programas desconocidos, mantener actualizado el software antivirus y utilizar herramientas de análisis de malware que detecten comportamiento anómalo. Además, es clave educar al personal sobre las técnicas de ingeniería social y cómo evitarlas, así como supervisar los logs de red en busca de conexiones sospechosas con servidores externos.

Más información

• North Korean Hackers Use New AkdoorTea Backdoor to Target Global Crypto Developers: https://thehackernews.com/2025/09/north-korean-hackers-use-new-akdoortea.html
• DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception : https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/

La entrada Ciberdelincuentes norcoreanos despliegan AkdoorTea para atacar a desarrolladores de criptomonedas se publicó primero en Una Al Día.

Cisco ha parcheado una vulnerabilidad zero-day (CVE-2025-20352) críticamente explotada, que permitía a atacantes remotos con privilegios elevados ejecutar código como root en routers y switches con IOS e IOS XE. Este fallo ya estaba siendo explotado en entornos reales.

Cisco anunció una serie de parches para IOS e IOS XE, tras descubrir una vulnerabilidad zero-day (CVE-2025-20352) que afectaba a diversos routers y switches, incluyendo los modelos Meraki MS390 y Catalyst 9300 bajo determinados releases.

El defecto, clasificado con un CVSS de 7.7, reside en el subsistema SNMP y es explotable mediante el envío de paquetes especialmente manipulados. Si el atacante posee la cadena community SNMPv1/v2c de solo lectura o credenciales SNMPv3 válidas junto con privilegio administrativo, puede lograr la ejecución remota de código (RCE) como root. El fallo es un desbordamiento de pila, y ya existen pruebas de concepto disponibles para otras vulnerabilidades asociadas a esta ronda de actualizaciones.

El riesgo principal es total: ejecución de comandos arbitrarios como root en el dispositivo comprometido, permitiendo control completo, interrupciones del servicio (DoS), filtrado de información o inclusión de software malicioso en la infraestructura de red corporativa. La explotación ya se daba activamente mediante robo de credenciales administrativas.

Es crítico actualizar cuanto antes a las versiones corregidas de IOS/IOS XE. Revise y restrinja la exposición del SNMP, limite el uso de cadenas community predeterminadas, y adopte el principio de menor privilegio en credenciales administrativas. Monitorice los logs en busca de accesos no autorizados y siga atentos a los boletines de seguridad oficiales.

Las infraestructuras de red de Cisco continúan siendo objetivo prioritario de ataques. Mantener sistemas actualizados y reforzar las políticas de acceso SNMP es imprescindible para reducir el riesgo de intrusiones con impacto crítico en la organización.

Más información

• CVE-2025-20352 – NIST National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2025-20352
• Cisco Patches Zero-Day Flaw Affecting Routers and Switches (SecurityWeek): https://www.securityweek.com/cisco-patches-zero-day-flaw-affecting-routers-and-switches/
• Cisco Security Advisory: IOS and IOS XE Software SNMP Stack Overflow Vulnerability: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-overflow-65F2bSK

La entrada Cisco soluciona vulnerabilidad zero-day que permitía ejecución de código raíz en routers y switches se publicó primero en Una Al Día.

Cloudflare ha informado este mes de septiembre de la mitigación de un ataque de denegación de servicio distribuido (DDoS) que marcó un nuevo hito: 22,2 terabits por segundo (Tbps) y 10,6 mil millones de paquetes por segundo (Bpps). La cifra no es anecdótica; duplica el récord anterior de 11,5 Tbps y confirma que la escala de este tipo de ofensivas continúa creciendo.

Lo llamativo no fue solo el volumen. El ataque duró apenas 40 segundos, siguiendo la táctica de hit-and-run: ráfagas extremadamente breves y potentes que buscan desbordar las defensas antes de que puedan reaccionar. En este caso, el tráfico se generó desde una botnet masiva, integrada por equipos comprometidos y dispositivos IoT, que lanzó un asalto multivector combinando varias técnicas de saturación.

Cloudflare destacó que la mitigación fue 100 % autónoma. No hubo analistas revisando el tráfico ni intervenciones de emergencia. Los sistemas de detección y respuesta, basados en machine learning, absorbieron la avalancha en el borde de la red y neutralizaron el impacto antes de que llegara al objetivo. En la práctica, esto demuestra un cambio de modelo: los mecanismos manuales de scrubbing o filtrado ya no son viables ante ataques de esta magnitud.

Este tipo de ofensivas dejan claro que la defensa digital no puede depender solo de la reacción humana. La velocidad y escala de los ataques hacen necesario un nivel de automatización y capacidad de red que muchas empresas aún no tienen en sus planes de ciberseguridad.

El aumento de dispositivos conectados y la expansión del 5G anticipan escenarios aún más complejos. Todo apunta a que los ataques hipervolumétricos seguirán ganando terreno. No se trata de preguntarse si ocurrirá de nuevo, sino de asumir que la preparación frente a este tipo de ofensivas será un requisito básico de resiliencia digital.

Más información:

• https://cybersecuritynews.com/ddos-attack-world-record/

La entrada Cloudflare neutraliza el mayor ataque DDoS registrado: 22,2 Tbps se publicó primero en Una Al Día.

Una nueva vulnerabilidad crítica en SolarWinds Web Help Desk (WHD) permite a un atacante remoto no autenticado ejecutar código en el servidor (RCE) a través de AjaxProxy por deserialización insegura. Es un bypass de los parches previos (CVE‑2024‑28988, que ya era bypass de CVE‑2024‑28986). SolarWinds publicó WHD 12.8.7 Hotfix 1, que corrige el problema. Prioriza el parche y evita exponer WHD a Internet.

¿Qué es esto y por qué importa?

CVE‑2025‑26399 explota un fallo de deserialización de datos no seguros (CWE‑502) dentro del componente AjaxProxy de WHD. El registro oficial en NVD lo clasifica como RCE no autenticado con una criticidad de 9.8. La nota de NVD deja claro que es un “patch bypass” de CVE‑2024‑28988, el cual a su vez ya “bypasseaba” CVE‑2024‑28986. En otras palabras: mismo tipo de bug, nueva forma de explotarlo.

En 2024, CVE‑2024‑28986 se añadió al KEV de CISA por explotación activa, y ZDI (Zero Day Initiative) publicó detalles técnicos sobre la vía de AjaxProxy para el caso CVE‑2024‑28988 (también RCE no autenticado). El nuevo CVE‑2025‑26399 es un bypass de aquello. Actualmente no existe una PoC (prueba de concepto) pública, sin embargo, es acertado pensar que aparecerá a corto plazo si hay exposición.

Detección y threat hunting

En materia de detección, los equipos de seguridad pueden apoyarse en varios indicadores característicos de este tipo de ataques. A nivel de red, el envío de objetos Java serializados deja huellas muy reconocibles: los denominados magic bytes (AC ED 00 05 en hexadecimal o rO0 en Base64) suelen aparecer al inicio del «payload«. También es común encontrar cabeceras como Content-Type: application/x-java-serialized-object o cuerpos binarios anómalamente grandes en peticiones hacia rutas asociadas a AjaxProxy. Configurar el WAF o el IDS para identificar estas señales puede marcar la diferencia entre un intento fallido y un compromiso real.

Por otro lado, la revisión de los logs de aplicación puede aportar evidencias adicionales. Excepciones como StreamCorruptedException o InvalidClassException generadas por la JVM (Máquina virtual Java) al intentar procesar objetos serializados de forma incorrecta pueden ser un indicio temprano de explotación o de escaneo activo. Estos registros deben correlacionarse con accesos repetitivos a endpoints de WHD que normalmente no recibirían este tipo de peticiones complejas.

Mitigación priorizada

La primera medida imprescindible es aplicar el parche oficial que corrige esta vulnerabilidad: SolarWinds Web Help Desk 12.8.7 con Hotfix 1. Este hotfix, liberado el 23 de septiembre de 2025, actualiza varias librerías internas, elimina dependencias problemáticas como c3p0.jar y añade otras más seguras como HikariCP.jar, además de sustituir componentes del producto. Instalarlo debería ser la máxima prioridad de cualquier organización que utilice Web Help Desk en producción.

En segundo lugar, es fundamental eliminar cualquier exposición innecesaria del servicio a Internet. La consola de administración de WHD debería estar restringida a redes internas o, en su defecto, protegida detrás de una VPN corporativa con autenticación multifactor. El acceso directo desde Internet multiplica las probabilidades de explotación, especialmente tratándose de un fallo sin autenticación previa. Adicionalmente, conviene reforzar los controles perimetrales: establecer listas blancas de direcciones IP autorizadas, desplegar un proxy inverso que filtre el tráfico y segmentar la red para que el servidor que aloja WHD quede lo más aislado posible de otros sistemas críticos.

Además del parcheo y la segmentación, la monitorización activa del tráfico y los logs es esencial. Configurar reglas en firewalls, WAF o sistemas IDS/IPS que permitan identificar patrones típicos de deserialización Java ayudará a detectar intentos de explotación.

Finalmente, tras aplicar el parche, es importante validar la efectividad de la corrección. Esto no solo implica confirmar la versión del producto, sino también inspeccionar el directorio WEB-INF/lib para asegurar que los archivos mencionados por SolarWinds (como la ausencia de c3p0.jar y la presencia de HikariCP.jar) están en su lugar. Integrar estas comprobaciones en los procesos habituales de auditoría y threat hunting aportará garantías adicionales de que la organización no sigue siendo vulnerable a CVE-2025-26399.

Más información

• NVD – CVE‑2025‑26399: https://nvd.nist.gov/vuln/detail/CVE-2025-26399
• WHD 12.8.7 hotfix 1 release notes: https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm
• SolarWinds Web Help Desk AjaxProxy Deserialization of Untrusted Data Remote Code Execution Vulnerability: https://www.zerodayinitiative.com/advisories/ZDI-25-407/
• CISA Adds One Known Exploited Vulnerability to Catalog: https://www.cisa.gov/news-events/alerts/2024/08/15/cisa-adds-one-known-exploited-vulnerability-catalog
• Deserialization Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

La entrada SolarWinds Web Help Desk vuelve a recaer con una vulnerabilidad crítica antigua, CVE‑2025‑26399 se publicó primero en Una Al Día.

Microsoft ha corregido una vulnerabilidad crítica en Entra ID—antes Azure Active Directory—que pudo haber permitido la suplantación de cualquier usuario, incluidos Global Administrators, en cualquier tenant. Con CVSS de 10.0, el fallo se considera de máximo impacto y ya ha sido solucionado sin requerir acción por los usuarios.

El pasado julio, Microsoft resolvió una de las vulnerabilidades más severas registradas en Entra ID (antes Azure Active Directory), detectada por el investigador Dirk-jan Mollema y clasificada como CVE-2025-55241. Este fallo permitía a atacantes suplantar cualquier identidad, incluso administradores globales, a través de cualquier tenant. La compañía asegura que no hay indicios de explotación activa y que la remediación es completamente automática.

CVE-2025-55241 surgía de una deficiencia en la validación de tokens de servicio a servicio (S2S) emitidos por el Access Control Service (ACS) y un fallo en la API heredada Azure AD Graph (graph.windows.net). Esta combinación permitía que un token generado en un tenant propio se utilizara en cualquier otro, eludiendo controles de origen y permitiendo acceso transversal entre tenants (cross-tenant). Lo crítico del asunto es que los tokens eran válidos incluso bajo políticas de Conditional Access y la falta de logs en la API dificultaba la detección de abuso.

El riesgo máximo radicaba en que cualquier atacante podía hacerse pasar por un Global Administrator, permitiendo compromiso total del tenant, creación de cuentas, exfiltración de datos o cambios en permisos, e incluso acceso total a recursos en Azure y servicios vinculados (SharePoint, Exchange, etc.). Además, el ataque podía eludir MFA, registros y políticas de acceso, complicando tanto la detección como la respuesta ante incidentes.

Microsoft ha implementado el parche de forma automática desde el 17 de julio de 2025, no requiriendo acción manual por parte de los clientes. Se recomienda eliminar cualquier dependencia de la API Azure AD Graph, migrar aplicaciones a Microsoft Graph y revisar la configuración de permisos delegados. Además, es vital monitorizar aplicaciones externas y fortalecer la revisiones periódicas de roles y accesos privilegiados.

Este incidente subraya los riesgos latentes en APIs heredadas y la importancia de la visibilidad sobre los mecanismos de autenticación y delegación en la nube. Aunque la vulnerabilidad ha sido cerrada sin consecuencias conocidas, es fundamental actualizar desarrollos y controles, migrar a APIs soportadas y monitorizar eventos anómalos para fortalecer la defensa de los entornos cloud.

Más información

• CVE-2025-55241 (NVD):https://nvd.nist.gov/vuln/detail/CVE-2025-55241
• Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Across Tenants (The Hacker News): https://thehackernews.com/2025/09/microsoft-patches-critical-entra-id.html

La entrada Microsoft soluciona grave vulnerabilidad en Entra ID que permitía suplantar cualquier identidad se publicó primero en Una Al Día.

Una operación de ciberespionaje atribuida al grupo iraní UNC1549 (también rastreado como “Subtle Snail”) comprometió 34 dispositivos en 11 compañías de telecomunicaciones mediante señuelos de empleo en LinkedIn y un backdoor llamado MINIBIKE. El uso de infraestructura de Azure para el C2 y técnicas de side-loading dificultó la detección y permitió el robo selectivo de credenciales y datos sensibles.

El caso: ingeniería social de “RR. HH.”, side-loading y C2 en la nube

Una investigación publicada el 19 de septiembre de 2025 detalla cómo UNC1549 se hizo pasar por reclutadores de empresas legítimas para contactar a perfiles técnicos (investigadores, desarrolladores y administradores TI) en LinkedIn, validar correos por spear-phishing y culminar con una falsa entrevista vía un dominio señuelo que imitaba a organizaciones del sector aeroespacial. La cadena conducía a la descarga de un ZIP con un ejecutable que disparaba DLL side-loading para activar MINIBIKE, logrando así la ejecución encubierta del backdoor.

El impacto confirmado: 34 dispositivos comprometidos en 11 operadores de telecomunicaciones con presencia en Canadá, Francia, Emiratos Árabes Unidos, Reino Unido y Estados Unidos. Según el reporte, los objetivos no se limitaron a la intrusión; el grupo buscó persistencia a largo plazo y exfiltración de información estratégica, incluyendo configuraciones de VPN y archivos en recursos compartidos.

Herramientas y TTP: MINIBIKE, evasión y robo de credenciales

MINIBIKE es un backdoor modular capaz de enumerar procesos, ejecutar binarios y DLL, subir archivos por partes y mantener comunicación con su C2 a través de Azure (App Services/VPS como proxy) para camuflar el tráfico entre conexiones legítimas a la nube. La persistencia se refuerza con claves de Registro y técnicas anti-análisis (anti-debugging, control-flow flattening, hashing personalizado de API).

Para el robo de credenciales y artefacts de navegadores, los operadores integraron un componente stealer que aprovecha un proyecto público para romper la App-Bound Encryption de Chrome y así descifrar contraseñas almacenadas en Chrome, Brave y Edge. Además, se documentó el interés por credenciales de Microsoft Outlook y la captura de screenshots y portapapeles.

Aunque el eje de la campaña actual son las telecomunicaciones, el historial de UNC1549 muestra actividad continuada desde 2022 contra sectores aeroespacial y defensa en Oriente Medio, con señuelos de empleo y hospedaje de C2 en Azure; su tooling incluye también el backdoor MINIBUS y el tunneler LIGHTRAIL. Ese tradecraft y la infraestructura (más de 125 subdominios C2 en Azure) ya habían sido perfilados por Mandiant/Google en 2024.

Atribución y solapamientos

La campaña es atribuida a un actor de nexo iraní. PRODAFT rastrea el clúster como Subtle Snail y lo vincula al IRGC con evaluación analítica; además, se observan solapamientos con Smoke Sandstorm y Crimson Sandstorm (también conocidos como Tortoiseshell/TA456/Imperial Kitten/Yellow Liderc). La foto sugiere una línea continuista en el uso de ofertas laborales y C2 en nube para espionaje y long-term dwell.

¿Por qué importa para el sector telco (y más allá)?

Las telecos son puntos neurálgicos: ofrecen rutas privilegiadas a metadatos, credenciales de acceso a redes y piezas de infraestructura que, si se comprometen, abren puertas a terceros objetivos. El uso de Azure para C2 y de DLL side-loading reduce señales de alerta tradicionales (listas de bloqueo de dominios “raros”, binarios obviamente maliciosos), lo que aumenta la supervivencia del implante y eleva el listón de detección hacia telemetría de comportamiento y controles de ejecución.

Recomendaciones prácticas

1. Endurecer el endpoint: aplicar WDAC/AppLocker, bloquear DLL search-order hijacking, y monitorear procesos que carguen DLL no firmadas/inesperadas junto a ejecutables legítimos (LOLBins).
2. Filtrado de egress con allow-lists hacia servicios en la nube usados por la organización; inspeccionar patrones anómalos hacia dominios *.azurewebsites.net u hospedajes cloud fuera de perfiles conocidos.
3. Controles de identidad: habilitar MFA resistente a phishing, Conditional Access y protecciones de sesión; rotar credenciales y revocar tokens ante cualquier indicio.
4. Navegadores y secretos: forzar perfiles empresariales, desactivar almacenes de contraseñas locales cuando sea viable y vigilar intentos de desencriptado de vaults del navegador.
5. Concienciación y playbooks: capacitar a personal técnico sobre señuelos de “RR. HH.”, verificar ofertas por canales alternos y definir runbooks de respuesta ante entregables ZIP/instaladores con adjuntos “legítimos”.
6. Hunting: buscar artefactos de MINIBIKE/MINIBUS, claves de Registro de persistencia, cadenas de User-Agent o patrones de DNS asociados; incorporar IOCs/TTPs del advisory de Mandiant y de la cobertura reciente.

Conclusiones

UNC1549 vuelve a demostrar que la nube y la ingeniería social son un binomio eficaz para el espionaje silencioso. Enfrentar estas campañas exige ir más allá del IOC puntual y elevar la visibilidad de comportamiento (carga de DLL, patrones de ejecución y egress cloud), junto con políticas de ejecución que frenen el side-loading. Para las telecos—y cualquier organización con personal técnico muy expuesto en redes profesionales—la combinación de endurecimiento del endpoint, controles de identidad y detección basada en TTPs es hoy la diferencia entre un incidente contenido y meses de acceso persistente.

Más información

• UNC1549 Hacks 34 Devices in 11 Telecom Firms via LinkedIn Job Lures and MINIBIKE Malware — The Hacker News
• When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors — Google Cloud
• Iranian State APT Blitzes Telcos & Satellite Companies — Dark Reading

La entrada LinkedIn como anzuelo: 11 empresas de telecom afectadas, 34 dispositivos comprometidos se publicó primero en Una Al Día.

Investigadores han detectado MalTerminal, el ejemplo más antiguo conocido de malware que incorpora capacidades de modelos de lenguaje amplio (LLM), como GPT-4, para crear ransomware y reverse shells bajo demanda. Esta nueva tendencia supone un cambio en las tácticas de los atacantes y plantea retos inéditos para los defensores.

La integración de modelos de lenguaje, como GPT-4, en herramientas maliciosas representa un salto cualitativo en las capacidades de los atacantes. Investigadores de SentinelOne han identificado MalTerminal, el primer malware documentado que utiliza LLM para generar ransomware y reverse shell de forma dinámica. Junto al uso de inteligencia artificial para evadir defensas y potenciar el ciclo de ataque, este hallazgo expone una preocupante evolución en el arsenal de las amenazas digitales.

MalTerminal es un ejecutable para Windows que emplea la API de chat completions de OpenAI (ahora deprecada) para interactuar con GPT-4. El malware solicita al usuario elegir entre generar un payload de ransomware o un reverse shell. Paralelamente, incluye scripts Python que replican estas funciones y una herramienta defensiva (FalconShield) que pide al modelo IA analizar código y producir informes de análisis de malware. A nivel de técnicas evasivas, se describen nuevos métodos de phishing que usan injection prompt en correos HTML para burlar escáneres basados en IA, ocultando instrucciones en atributos de estilo CSS para engañar la evaluación de riesgo de la inteligencia artificial.

El uso de LLM embebidos en malware incrementa la capacidad de adaptación y personalización de los ataques, permitiendo a los adversarios generar código malicioso al vuelo y evadir controles tradicionales de detección. Phishing con prompt injection reduce la efectividad de filtros automáticos, mientras que el abuso de plataformas SaaS de IA potencia campañas de robo de credenciales y entrega de malware. El histórico CVE-2022-30190 (Follina) sigue siendo explotado como parte de estas cadenas, recordando la persistencia de riesgos conocidos.

Es clave actualizar los sistemas Windows con los últimos parches, restringir scripts no autorizados, monitorizar el acceso a APIs de IA y reforzar las protecciones anti-phishing en servidores de correo. La formación sobre la evolución del phishing y el refuerzo de la autenticación ayudan a disminuir la superficie de ataque. Se recomienda emplear análisis avanzados que contemplen la manipulación semántica que pueden ejercer los LLM sobre el contenido digital.

El auge de malware inteligente y phishing potenciado por IA requiere una evolución urgente de las estrategias defensivas. La innovación en amenazas debe ser contrarrestada con educación, actualización y herramientas adaptadas a la nueva era de ataques soportados por LLM. Consultar fuentes oficiales y estar alerta ante técnicas sofisticadas serán hábitos imprescindibles.

Más información

• Researchers Uncover GPT-4-Powered MalTerminal Malware Creating Ransomware, Reverse Shell: 
• CVE-2022-30190

La entrada MalTerminal: el primer malware que integra GPT-4 para crear ransomware y evadir defensas se publicó primero en Una Al Día.

Google ha lanzado una actualización de seguridad urgente para su navegador Chrome después de descubrir un zero-day activo, identificado como CVE-2025-10585, el cual está siendo explotado en ataques reales.

El problema reside en el motor V8 de JavaScript y WebAssembly, y se describe como una vulnerabilidad type confusion. Esto puede llegar a permitir que agentes maliciosos consigan provocar comportamientos inesperados en el software, incluyendo la ejecución de código arbitrario o bloqueos forzados del navegador.

El Trheat Analysis Group de Google reportó dicho hallazgo el 16 de septiembre de 2025, aunque no se han proporcionado detalles específicos sobre la explotación de la misma ni quien podría estar detrás de los ataques. Esta medida se toma con el fin de evitar que los atacantes aprovechen el fallo antes de que los usuarios puedan aplicar las correcciones.

Con este CVE ya son seis vulnerabilidades zero-day de Chrome que se ha identificado su explotación activa durante este año.

Para corregir esta vulnerabilidad, Google insta a los usuarios a actualizar lo antes posible a la versión que aplica las correcciones, la 140.0.7339.185/.186 para Windows y Apple macOS, y 140.0.7339.185 para Linux.

Además, se recomienda a usuarios que usen otro navegadores basados en Chromium (Edge, Brave, Opera y Vivaldi) apliquen parches similares una vez estén disponibles.

El descubrimiento de este CVE, sumado a la rápida respuesta de Google, refleja tanto la gravedad de la amenaza como la importancia de una respuesta ágil. Sin embargo, el resultado final dependerá en gran medida de la respuesta de los usuarios, sobre los que recae la responsabilidad de mantener sus navegadores actualizados.

Más información:
Google Patches Chrome Zero-Day CVE-2025-10585 as Active V8 Exploit Threatens Millions: https://thehackernews.com/2025/09/google-patches-chrome-zero-day-cve-2025.html

Chrome Releases: https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

La entrada Google corrige un zero-day crítico en Chrome: CVE-2025-10585 se publicó primero en Una Al Día.

Una campaña de cadena de suministro en npm comenzó el 15 de septiembre comprometiendo inicialmente más de 40 paquetes, entre ellos @ctrl/tinycolor, y se expandió en horas hasta afectar a cientos. El malware, apodado “Shai-Hulud”, se autopropaga entre paquetes de los mantenedores comprometidos para robar tokens y secretos de desarrolladores y CI/CD.

La comunidad de seguridad ha alertado de una nueva ola de intrusiones en el registro npm que combina robo de credenciales y autopropagación «tipo gusano» (worm). La investigación comenzó el 15 de septiembre, cuando analistas detectaron versiones comprometidas del popular paquete @ctrl/tinycolor, con más de dos millones de descargas semanales. En cuestión de horas, otros paquetes de distintos mantenedores resultaron afectados y la campaña escaló hasta alcanzar centenares de publicaciones maliciosas, incluyendo bibliotecas de terceros como las asociadas a la cuenta crowdstrike-publisher. La compañía ha indicado que sus paquetes públicos comprometidos no afectan a su producto Falcon y que rotó claves en los registros públicos.

El rasgo diferenciador de «Shai-Hulud» es su capacidad de replicarse: una vez que el entorno de un mantenedor queda infectado y el malware obtiene un token válido de npm, automatiza la creación de nuevas versiones de todos los paquetes que el mantenedor controla.

La cronología conocida apunta a publicaciones maliciosas el 14-15 de septiembre (UTC) y a una expansión rápida el día 16, con listados que ya superan el centenar largo de paquetes afectados y varios cientos de versiones comprometidas. Firmas de investigación independientes han documentado indicadores como el hash del bundle.js, los nombres de ficheros y ramas (shai-hulud) y búsquedas en GitHub que devuelven repositorios «Shai-Hulud» o «*-migration».

Aunque los paquetes iniciales más visibles pertenecen al ecosistema Angular/React y a la comunidad NativeScript, el impacto potencial trasciende tecnologías concretas: cualquier desarrollador o agente de CI que haya instalado las versiones maliciosas durante la ventana de exposición puede haber filtrado secretos. Como agravante, los workflows añadidos persisten en los repositorios y pueden reactivar la exfiltración en ejecuciones futuras, incluso si el host original ya no está comprometido.

Más información

• Self-Replicating Worm Hits 180+ npm Packages to Steal Credentials in Latest Supply Chain Attack: https://thehackernews.com/2025/09/40-npm-packages-compromised-in-supply.html
• Popular Tinycolor npm Package Compromised in Supply Chain Attack Affecting 40+ Packages: https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages
• Ongoing Supply Chain Attack Targets CrowdStrike npm Packages: https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages
• Self-replicating Shai-hulud worm spreads token-stealing malware on npm: https://www.reversinglabs.com/blog/shai-hulud-worm-npm

La entrada Gusano “Shai-Hulud” compromete cientos de paquetes npm y roba credenciales se publicó primero en Una Al Día.

Chaos Mesh sufre un conjunto de vulnerabilidades críticas que ponen en jaque la seguridad de miles de entornos Kubernetes, exponiendo clústeres a una posible toma de control total mediante exploits simples y accesibles.

Chaos Mesh es una herramienta crucial de pruebas de resiliencia para orquestadores Kubernetes. Investigaciones recientes revelan cuatro vulnerabilidades, denominadas «Chaotic Deputy», en versiones anteriores a 2.7.3 que, de ser explotadas, pueden conceder a un atacante acceso irrestricto al clúster.

El núcleo del problema reside en la exposición del servidor GraphQL no autenticado (en el puerto 10082) desplegado por el Controller Manager de Chaos Mesh. La vulnerabilidad CVE-2025-59358 permite el acceso sin autenticación al endpoint /query, mientras que CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361 facilitan inyección de comandos a través de las mutaciones cleanTcs, killProcesses y cleanIptables, respectivamente. Estos fallos surgen al concatenar entradas de usuario sin filtrado, ejecutándose directamente en pods objetivo gracias al uso privilegiado del Chaos Daemon en modo DaemonSet.

La explotación permite ejecución remota de comandos (RCE), movimiento lateral y escalada de privilegios. Un atacante podría mapear pods y acceder a tokens de servicio privilegiados (ubicados en /proc/<PID>/root/var/run/secrets/kubernetes.io/serviceaccount/token), logrando el control completo del clúster y potencial afectación a todo su entorno.

Se insta a actualizar urgentemente a Chaos Mesh 2.7.3. Como mitigación temporal, se puede deshabilitar el control server usando Helm (set enableCtrlServer=false). Aplique controles RBAC restrictivos, limite la exposición del puerto 10082 y monitorice posibles accesos y movimientos inusuales con kubectl y herramientas SIEM.

Más información

• CVE-2025-59358 : https://nvd.nist.gov/vuln/detail/CVE-2025-59358
• CVE-2025-59359 : https://nvd.nist.gov/vuln/detail/CVE-2025-59359
• CVE-2025-59360 : https://nvd.nist.gov/vuln/detail/CVE-2025-59360
• CVE-2025-59361 :https://nvd.nist.gov/vuln/detail/CVE-2025-59361
• JFrog: Chaotic Deputy – Critical Vulnerabilities in Chaos Mesh Lead to Kubernetes Cluster Takeover: https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover/
• Critical Chaos Mesh Vulnerabilities Let Attackers Takeover Kubernetes Cluster: https://cybersecuritynews.com/chaos-mesh-vulnerabilities/

La entrada Vulnerabilidades críticas en Chaos Mesh permiten la toma total de clústeres Kubernetes se publicó primero en Una Al Día.