Cloud Híbrida
Ciberseguridad
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 11-17 abril
Microsoft corrige 165 vulnerabilidades, incluida una 0-day de SharePoint explotada activamente
Microsoft ha publicado su Patch Tuesday con la corrección de 165 vulnerabilidades, uno de los mayores lanzamientos mensuales por volumen de CVE. Ocho fallas están calificadas como críticas, dos como moderadas y el resto como importantes. Destaca la 0-day CVE-2026-32201 (CVSSv3 6.5 según proveedor), una vulnerabilidad de spoofing en Microsoft SharePoint Server, ya explotada activamente.
También se corrige CVE-2026-33825 (CVSSv3 7.8 según proveedor), una elevación de privilegios en Microsoft Defender divulgada públicamente de forma previa bajo el sobrenombre de BlueHammer. CVE-2026-33827 (CVSSv3 8.1 según proveedor) afecta al stack TCP/IP de Windows y permite ejecución remota de código sin autenticación, con potencial de propagación en entornos con IPv6 e IPsec habilitados. CVE-2026-33824 (CVSSv3 9.8 según proveedor) es una vulnerabilidad crítica de RCE en el servicio Windows IKE, explotable remotamente.
Microsoft considera que 19 de las vulnerabilidades publicadas tienen mayor probabilidad de ser explotadas en el futuro.
Campaña multietapa contra sectores críticos de Oriente Medio muestra tácticas alineadas con MuddyWater
Oasis Security analizó una campaña multietapa atribuida con cautela a un actor con tácticas consistentes con MuddyWater, que combinó reconocimiento masivo sobre más de 12.000 sistemas expuestos con la explotación de al menos cinco CVE recientes, ataques de fuerza bruta contra OWA y una infraestructura C2 modular con controladores en Python y Go capaces de comunicarse por TCP, UDP y HTTP con cifrado AES en modo CTR.
La operación evolucionó desde el escaneo automatizado hacia intrusiones selectivas contra sectores críticos de Oriente Medio, especialmente aviación, energía y organismos públicos, y culminó en exfiltración confirmada de datos sensibles como pasaportes, nóminas, tarjetas de crédito y documentación corporativa.
El rasgo técnico más relevante es la integración de varias fases en una misma cadena operativa, desde identificación de superficie vulnerable y abuso de credenciales hasta staging y robo de información, apoyada en nuevos controladores C2 con patrones de comunicación que los autores consideran alineados con otros previamente observados en campañas de MuddyWater.
Una botnet DDoS alcanza 13,5 millones de nodos y habilita ataques de más de 2 Tbps
Un informe de Qrator Labs indica que el mayor botnet DDoS conocido ha crecido hasta 13,5 millones de dispositivos, un crecimiento interanual de diez veces el valor previo, permitiendo ataques de hasta 2,065 Tbps y 1000 millones de paquetes por segundo.
Los dispositivos infectados se concentran principalmente en EE. UU. (16,0%), Brasil (13,6%) e India (6,5%), dificultando el bloqueo geográfico.
APT41 despliega una backdoor ELF indetectable para robar credenciales en entornos cloud Linux
Breakglass Intelligence ha identificado una campaña de APT41 contra cargas de trabajo cloud Linux mediante un backdoor ELF x86‑64 estáticamente enlazada, sin detecciones en VirusTotal, que utiliza SMTP (puerto 25) como canal C2 para evadir escaneos masivos. El implante extrae credenciales y metadatos de AWS, GCP, Azure y Alibaba Cloud, explotando servicios de metadatos.
La operación incorpora dominios typosquatted que imitan servicios de Alibaba Cloud y la marca Qianxin, registrados en bloque en enero de 2026, y C2 que solo responde a patrones precisos del malware.
Troyano bancario para Android afecta a 21 países, incluido España
Infoblox ha publicado un informe que establece por primera vez una relación confirmada entre un complejo de estafas basado en trabajo forzado en el Sudeste Asiático y un troyano bancario para Android utilizado en campañas activas en al menos 21 países. La investigación, realizada junto a la ONG vietnamita Chong Lua Dao, vincula la operación de malware con el complejo K99 Triumph City en Sihanoukville, Camboya, donde personas traficadas son obligadas a participar en la distribución y operación del fraude.
El malware se propaga mediante el registro continuo de dominios falsos que imitan servicios legítimos y entidades bancarias para inducir a la instalación de aplicaciones Android maliciosas fuera de tiendas oficiales. Una vez instalado, el troyano permite interceptar SMS, eludir controles biométricos, superponer pantallas falsas sobre apps bancarias y manipular sesiones en tiempo real, facilitando el robo de fondos. La infraestructura se describe como malware‑as‑a‑service, con desarrollo y control centralizados y afiliados encargados de la captación de víctimas.
Se han identificado víctimas en Asia, Europa, incluida España, y América Latina, lo que evidencia una capacidad de adaptación a bancos y lenguajes locales.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
