Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 13-19 diciembre
Google vincula a más grupos estado-nación con los ataques React2Shell
Google ha confirmado la explotación activa y global del fallo React2Shell (CVE-2025-55182) por múltiples actores de amenazas, incluyendo a Earth Lamia, Jackpot Panda, y a cinco nuevos grupos de ciberespionaje vinculados a China: UNC6600 (desplegando MINOCAT), UNC6586 (SNOWLIGHT), UNC6588 (backdoor COMPOOD), UNC6603 (HISONIC actualizado) y UNC6595 (ANGRYREBEL.LINUX RAT), junto a atacantes iraníes y con motivación financiera, desplegando el minero XMRig.
Esta actividad maliciosa busca ejecutar comandos, robar archivos de configuración y credenciales de AWS e instalar malware, afectando a decenas de organizaciones y a más de 116.000 direcciones IP vulnerables a nivel mundial (principalmente en EE. UU.). React2Shell es una falla RCE sin autenticación (CVSSv3 de 10.0 según Facebook) que permite ejecutar código arbitrario con una única solicitud HTTP, afectando a una gran cantidad de sistemas.
Se ha observado la difusión de PoCs y scanning tools en foros clandestinos, siendo la principal recomendación de seguridad parchear inmediatamente los React Server Components vulnerables (versiones 19.0.1, 19.1.2, o 19.2.1 o superiores).
Ink Dragon se esconde en redes gubernamentales europeas
Check Point Research ha identificado una avanzada red de infraestructura de ataque vinculada al grupo de espionaje chino Ink Dragon (Earth Alux, Jewelbug o REF7707), la cual utiliza una técnica denominada "red de relevo basada en víctimas". Este método consiste en desplegar un módulo malicioso personalizado (ShadowPad IIS Listener Module) en servidores comprometidos, el cual registra nuevos listeners de URL mediante la API HttpAddUrl para interceptar silenciosamente el tráfico legítimo de IIS y transformar los servidores de las víctimas en nodos activos de una malla distribuida para reenviar comandos y tráfico C2.
La técnica, aplicada recientemente contra entidades gubernamentales en Europa, Sudeste Asiático y Sudamérica, permite que una víctima sirva de puente de comunicación para atacar a otras organizaciones, dificultando la atribución al mezclar el tráfico malicioso con el flujo legítimo. Además de explotar desconfiguraciones persistentes en ASP.NET ViewState y fallos en SharePoint (ToolShell), el grupo emplea herramientas como el troyano FinalDraft para exfiltración a través de la API de Microsoft Graph.
Se recomienda revisar las claves de máquina (machineKey) en servidores IIS, aplicar parches contra ToolShell (CVE-2025-49706, entre otros) y monitorizar la creación de servicios o tareas programadas inusuales (como "SYSCHECK").
BlindEagle intensifica el espionaje contra organismos del Gobierno colombiano con phishing avanzado y malware en memoria
Zscaler ThreatLabz detectó en septiembre de 2025 una campaña de spearphishing atribuida a BlindEagle contra una agencia gubernamental colombiana vinculada al Ministerio de Comercio. El ataque partió de un correo enviado desde una cuenta interna comprometida para evadir controles de seguridad.
El mensaje usaba un señuelo legal y un archivo SVG que redirigía a un portal judicial falso. Desde ahí se desplegó una cadena sin archivos basada en JavaScript y PowerShell, con esteganografía para ocultar la carga. El malware Caminho actuó como downloader, descargando en memoria el payload final desde Discord. La carga final fue DCRAT, un RAT basado en .NET con capacidades de espionaje y evasión. La atribución se sustenta en infraestructura, victimología, señuelos legales y herramientas coherentes con campañas previas de BlindEagle.
Evolución técnica del cifrado de RansomHouse
RansomHouse, una operación de Ransomware-as-a-Service (RaaS) vinculada al grupo identificado como Jolly Scorpius, ha incrementado la complejidad de su módulo de cifrado (“Mario”). Tradicionalmente empleaba un esquema de cifrado lineal de una sola fase, mientras que las muestras recientes implementan un proceso de cifrado por capas con doble clave (primaria de 32 bytes y secundaria de 8 bytes) y procesamiento de segmentos de fichero de tamaño dinámico, complicando el análisis estático y la ingeniería inversa.
El RaaS mantiene una arquitectura modular consistente en una herramienta de gestión persistente (MrAgent) para entornos ESXi y el cifrador Mario, operando con una cadena de ataque que abarca desarrollo, infiltración, exfiltración/despliegue y extorsión. El actor ejecuta doble extorsión mediante robo y cifrado de datos, seguido de amenazas de divulgación, afectando múltiples sectores críticos y enumerando al menos 123 víctimas en su sitio de fugas desde 2021.
La actualización subraya una tendencia de sofisticación técnica en ransomware y la necesidad de controles adaptativos de defensa.
Amazon interrumpe campaña del GRU contra infraestructuras críticas en la nube
El equipo de Threat Intelligence de Amazon ha interrumpido una campaña activa atribuida con alta confianza a actores vinculados al GRU ruso, orientada a comprometer infraestructuras críticas occidentales, especialmente del sector energético. La actividad, observada desde 2021, afectó a infraestructuras cloud de clientes mediante acceso inicial a dispositivos perimetrales.
Hasta 2024, los atacantes explotaron vulnerabilidades en productos como WatchGuard, Confluence y Veeam, además de dispositivos mal configurados. En 2025, el grupo redujo el uso de 0-days y N-days, priorizando el abuso de interfaces de gestión expuestas en routers, VPN, appliances de red y plataformas colaborativas. El objetivo operativo se mantuvo constante: persistencia, robo de credenciales y movimiento lateral con mínima exposición. Amazon asocia la actividad a Sandworm y Curly COMrades, este último presuntamente encargado de acciones post-compromiso. No se detectaron fallos en servicios AWS, sino en dispositivos gestionados por clientes sobre EC2.
Amazon notificó a los afectados, compartió inteligencia con terceros y recomendó auditorías de dispositivos, detección de reutilización de credenciales y refuerzo de controles de seguridad en AWS.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
