Boletín Semanal de Ciberseguridad, 4-8 agosto

Vulnerabilidades críticas afectan a más de 100 modelos de portátiles de Dell

Talos ha identificado cinco vulnerabilidades críticas en el firmware ControlVault3 de Dell y sus APIs para Windows, denominadas “ReVault”, que afectan a más de 100 modelos de portátiles. Entre ellas se encuentran dos fallos de out-of-bounds (CVE-2025-24311 CVSSv3 8.4, según Talos, CVE-2025-25050 CVSSv3 8.8, según Talos ), un arbitrary free (CVE-2025-25215 CVSSv3 8.8, según Talos), un stack overflow (CVE-2025-24922 CVSSv3 8.8, según Talos) y una unsafe deserialization (CVE-2025-24919 CVSSv3 8.1, según Talos).

Estas fallas permiten persistencia post-compromiso incluso tras reinstalar Windows y ataques físicos capaces de evadir el inicio de sesión o aceptar huellas falsas mediante manipulación de la placa USH. Para mitigar los riesgos, se recomienda actualizar el firmware, deshabilitar servicios no utilizados y reforzar la autenticación. Además, la detección puede apoyarse en funciones de intrusión del BIOS, monitoreo de servicios de Windows y soluciones de seguridad avanzadas.

Más info

Detectado un backdoor en Linux que ha pasado desapercibido durante un año

Investigadores de Nextron Systems han descubierto un backdoor para Linux denominado Plague, diseñado como un módulo malicioso PAM (Pluggable Authentication Module) que permite a los atacantes eludir la autenticación del sistema y obtener acceso persistente vía SSH. Debido a que los módulos PAM se integran en procesos de autenticación privilegiados, Plague puede operar de forma encubierta y sin ser detectado por herramientas de seguridad convencionales.

La investigación revela que hay muestras activas de este malware desde julio de 2024, sin que ningún motor antivirus lo haya identificado como malicioso. Entre sus capacidades, se encuentran el uso de credenciales estáticas, técnicas anti-debugging, ofuscación de cadenas y la manipulación del entorno para evitar registros forenses.

Por ejemplo, elimina variables de entorno como SSH_CONNECTION y redirige el historial de comandos (HISTFILE) a /dev/null. El implante sobrevive a actualizaciones del sistema y presenta un alto nivel de sigilo, lo que dificulta su detección y análisis.

Más info

Vulnerabilidad crítica en NestJS permite ejecución remota de código en entornos de desarrollo

Se identificó una vulnerabilidad crítica (CVE-2025-54782, CVSSv4 10.0, según GitHub) en el paquete @nestjs/devtools-integration de NestJS que permite la ejecución remota de código (RCE) en máquinas de desarrolladores. El fallo surge al habilitar el paquete en modo desarrollo, exponiendo un servidor HTTP local con el endpoint /inspector/graph/interact, que ejecuta código JavaScript en una sandbox insegura basada en vm.runInNewContext.

Esta implementación, similar a la abandonada safe-eval, permite escapar fácilmente de la sandbox. Además, la ausencia de validación adecuada de origen y tipo de contenido permite que sitios maliciosos envíen solicitudes POST con text/plain, eludiendo las comprobaciones CORS.

Con solo visitar una página maliciosa, un atacante puede ejecutar comandos arbitrarios en el sistema afectado. Investigada por JLLeitschuh (Socket), la vulnerabilidad ha sido corregida reemplazando la sandbox por @nyariv/sandboxjs, añadiendo validación de cabeceras y autenticación. Se recomienda actualizar de inmediato a la versión parcheada.

Más info

Storm-2603 despliega el ransomware Warlock y LockBit usando marco AK47 C2

El grupo Storm-2603, presuntamente vinculado a China, ha sido relacionado con ataques dirigidos a vulnerabilidades recientes de Microsoft SharePoint Server (CVE-2025-49706 y CVE-2025-49704, CVSSv3 6.5 y 8.8 según proveedor, respectivamente). El actor emplea un marco de comando y control personalizado llamado AK47 C2, que opera mediante canales HTTP (AK47HTTP) y DNS (AK47DNS). Según Check Point, ha estado activo al menos desde marzo de 2025 y ha atacado organizaciones en América Latina y Asia-Pacífico.

Entre sus herramientas destacan utilidades legítimas como PsExec, masscan o WinPcap, además de un backdoor personalizado que se comunica con dominios falsos. Utiliza técnicas de DLL sideloading y BYOVD (bring your own vulnerable driver) con un controlador de Antiy Labs para desactivar antivirus. También ha distribuido cargas útiles como Warlock y LockBit Black mediante instaladores MSI maliciosos. Aunque no está claro si sus motivaciones son financieras o de espionaje, Check Point advierte que el grupo combina métodos de APT y cibercrimen en sus operaciones.

Más info

Grupo vietnamita roba datos de miles de víctimas en 62 países

Investigadores de SentinelLABS y Beazley Security han descubierto una operación global liderada por un grupo de habla vietnamita, responsable de comprometer a más de 4000 víctimas en al menos 62 países, entre ellos Corea del Sur, EE. UU., Países Bajos, Hungría y Austria. Los atacantes utilizan un infostealer llamado PaxStealer, que roba contraseñas, cookies, datos de tarjetas de crédito y otra información sensible. El malware ha evolucionado este año para evadir productos antivirus y engañar a analistas de seguridad. Se estima que han robado más de 200.000 contraseñas y 4 millones de cookies, con fines principalmente financieros.

Los datos robados se comercializan a través de Telegram mediante un sistema de suscripción automatizado que permite a otros cibercriminales realizar fraudes con criptomonedas o infiltrarse en sistemas ajenos.

PaxStealer fue identificado inicialmente en 2023 por Cisco Talos, y aunque no se confirma su vínculo exacto con el grupo CoralRaider, hay coincidencias en el uso del idioma vietnamita en su código. El objetivo de los ataques parece ser amplio y oportunista, afectando tanto a usuarios corporativos como domésticos.

Más info

◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →