Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 13-19 junio
Microsoft prepara un parche para RoguePlanet, una 0-day de Defender con PoC público
Microsoft ha reconocido CVE-2026-50656 (CVSSv3 7.8, según proveedor), conocida como RoguePlanet, una vulnerabilidad de elevación de privilegios que afecta a Microsoft Malware Protection Engine, componente utilizado por Microsoft Defender. El fallo se basa en una condición de carrera y permite que un atacante con capacidad previa para ejecutar código local obtenga privilegios SYSTEM y abra una consola con el máximo nivel de permisos del sistema.
Según el investigador Nightmare Eclipse, el exploit afecta a dispositivos Windows 10 y Windows 11 completamente actualizados y puede funcionar incluso cuando la protección en tiempo real de Defender se encuentra habilitada. El investigador ha publicado un PoC, aunque su tasa de éxito varía dependiendo del sistema y las condiciones de ejecución. Microsoft ha confirmado que está investigando la vulnerabilidad y desarrollando una actualización de seguridad, pero todavía no ha publicado el parche ni una fecha prevista para su disponibilidad.
No se ha confirmado explotación activa, aunque la existencia de código público incrementa el riesgo de abuso.
Dropping Elephant actualiza su RAT con ejecución en memoria y evasión de AMSI, WLDP y ETW
Rapid7 ha atribuido a Dropping Elephant una nueva cadena de infección que utiliza un acceso directo LNK disfrazado de documento PDF y un contrato relacionado con un proyecto energético chino como señuelo. Al abrir el archivo, el acceso directo ejecuta PowerShell mediante conhost.exe, descarga el documento legítimo y deposita varios componentes maliciosos en C:\Users\Public\.
Entre ellos se encuentran Fondue.exe, un binario legítimo de Microsoft, y una biblioteca APPWIZ.cpl empleada para DLL side-loading. El cargador descifra un archivo denominado editor.dat, que contiene código Donut encargado de mapear el RAT final directamente en memoria. Antes de ejecutarlo, Donut modifica AMSI, WLDP y ETW dentro del proceso para reducir la inspección y la telemetría defensiva.
La persistencia se establece mediante una tarea programada llamada GoogleErrorReport, ejecutada cada minuto. El RAT permite ejecutar comandos, capturar pantallas, enumerar archivos, descargar cargas adicionales y exfiltrar información mediante un canal HTTPS.
Backdoor.Turn: primer malware que oculta tráfico C2 en la infraestructura TURN de Teams
Investigadores de Symantec han documentado una campaña de DragonForce en la que se utilizó una backdoor personalizada en Go denominada Backdoor.Turn contra una gran empresa de servicios de EE. UU. La técnica central es inédita en entornos reales: el malware obtiene un token anónimo de visitante de Teams y establece la comunicación con su servidor C2 a través de los repetidores TURN de Microsoft, de modo que los defensores observan únicamente tráfico atribuible a la infraestructura legítima de Teams.
El ataque, detectado en diciembre de 2025, incluyó además técnicas BYOVD con al menos cuatro controladores vulnerables (Huawei, Topaz, Tower of Fantasy y K7 Security) para obtener privilegios de kernel y desactivar herramientas de seguridad, así como el uso del controlador malicioso ABYSSWORKER camuflado como driver de Palo Alto. Tras el reconocimiento, la exfiltración de datos y el despliegue del ransomware, Backdoor.Turn fue inyectado en DbgView64.exe aparentemente como mecanismo de persistencia para accesos futuros.
Sus capacidades incluyen ejecución de comandos, escaneo de red, captura de certificados TLS, búsquedas LDAP/Active Directory y robo de credenciales de navegador.
El actor chino UNC6508 compromete instituciones médicas y de defensa con el malware INFINITERED
Google Threat Intelligence Group (GTIG) ha publicado un informe en el que atribuye con alta confianza una campaña de espionaje prolongada al actor UNC6508, vinculado a la República Popular China. El grupo explotó servidores REDCap (plataforma de captura de datos de investigación médica ampliamente desplegada en Norteamérica) para implantar el malware personalizado INFINITERED, que opera como un troyano modular con tres componentes: interceptador de actualizaciones, harvester de credenciales y backdoor con C2.
La pieza más llamativa es la capacidad de INFINITERED de inyectarse en los propios paquetes de actualización de REDCap, garantizando persistencia incluso tras parches legítimos del software. Tras permanecer sin detectarse durante más de un año, UNC6508 pivotó a cuentas de administrador de dominio y abusó de reglas de conformidad de contenido en plataformas de productividad empresarial en la nube para exfiltrar correos electrónicos de forma encubierta mediante reenvío BCC silencioso a una cuenta Gmail controlada por el atacante, técnica no observada previamente en actores de nexo chino. Las organizaciones objetivo incluyen centros clínicos de primer nivel, instituciones de salud militar, universidades de investigación y organismos regulatorios con presupuestos combinados de miles de millones de dólares.
GTIG recomienda actualizar REDCap a su versión más reciente y eliminar versiones heredadas, habilitar verificación en dos pasos resistente a phishing para administradores y auditar las reglas de conformidad de contenido en busca de modificaciones no autorizadas.
Cisco parchea el 0-day CVE-2026-20262 en Catalyst SD-WAN Manager, explotado activamente
Cisco ha publicado actualizaciones de seguridad para CVE-2026-20262 (CVSSv3 6.5 según proveedor), una vulnerabilidad en Catalyst SD-WAN Manager (anteriormente denominado SD-WAN vManage) que ha sido explotada activamente antes de la disponibilidad del parche. El fallo deriva de una validación insuficiente de la entrada de usuario durante la subida de archivos: un atacante remoto autenticado con privilegios bajos puede enviar peticiones HTTP manipuladas a un endpoint de la API para escribir o sobrescribir archivos arbitrarios en el sistema de ficheros y posteriormente elevar sus privilegios hasta root.
La vulnerabilidad afecta a todas las modalidades de despliegue, incluyendo instalaciones on-premises, SD-WAN Cloud-Pro, SD-WAN Cloud gestionado por Cisco y SD-WAN for Government (FedRAMP). El equipo PSIRT de Cisco confirmó haber tenido conocimiento de la explotación a principios de este mes. La publicación se produce en un contexto de explotación sistemática de la plataforma: con esta, desde febrero de 2026 CISA ha incorporado al catálogo KEV al menos cuatro vulnerabilidades distintas en Catalyst SD-WAN Manager, y en el último mes Cisco ya había advertido de otro 0-day sin parche en el mismo producto (CVE-2026-20245, CVSSv3 7.8 según Cisco).
Las organizaciones deben aplicar las versiones corregidas de inmediato y revisar los registros de vmanage-server, vmanage-appserver y serviceproxy-access en busca de intentos de subida de archivos index.jsp y .war.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
