Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 15-21 marzo
Descubierta una vulnerabilidad en Windows explotada desde 2017
Investigadores de Trend Micro han publicado un análisis sobre el fallo ZDI-CAN-25373 en Windows, que habría sido explotado por al menos 11 grupos de actores de amenazas patrocinados por estados como China, Rusia, Irán y Corea del Norte desde 2017. El fallo, basado en una debilidad de la interfaz de usuario, permite ocultar argumentos maliciosos de línea de comandos en archivos de acceso directo (.lnk), facilitando la ejecución de código sin ser detectado.
Asimismo, los investigadores han destacado que los ataques habrían sido principalmente dirigidos contra entidades en Norteamérica, Europa, Asia Oriental y Australia, con un 70% de los casos vinculados a ciberespionaje. Entre los grupos que habrían explotado el fallo en sus ataques se incluyen Water Asena (Evil Corp), Earth Kumiho (Kimsuky) y Earth Imp (Konni).
Microsoft habría rechazado lanzar un parche inmediato, argumentando que el fallo no cumpliría con el umbral de servicio, si bien podría abordarlo en futuras actualizaciones.
MirrorFace amplía su alcance más allá de Japón con Operation Akairyu
El grupo de ciberespionaje MirrorFace, vinculado a China, ha expandido sus operaciones más allá de Japón, apuntando ahora a entidades en Europa y otras regiones en el contexto de la Expo 2025. Según ESET, la campaña denominada "Operation Akairyu" ha reintroducido la backdoor ANEL, una herramienta previamente utilizada por MirrorFace para mantener acceso persistente en los sistemas comprometidos.
El grupo ha empleado técnicas avanzadas de spear phishing para distribuir malware, con señuelos relacionados con la exposición internacional. Una vez dentro de los sistemas, los atacantes utilizan ANEL para el control remoto, exfiltración de datos y despliegue de cargas adicionales. Esta expansión indica un interés estratégico en sectores gubernamentales, tecnológicos y diplomáticos fuera de Asia.
Detectado un nuevo malware IIS basado en C++ y que imita a cmd.exe
Investigadores de Unit42 han detectado un nuevo malware dirigido a servidores de Internet Information Services (IIS). El malware, desarrollado en C++/CLI y que actualmente cuenta con dos versiones, funciona como una puerta trasera pasiva, integrándose en el servidor IIS mediante el registro de eventos de respuesta HTTP. Este filtra las peticiones HTTP entrantes en busca de cabeceras específicas que se utilizan para ejecutar comandos. Los comandos y los datos se cifran mediante AES y se codifican posteriormente en Base64.
La versión más reciente, compilada en mayo de 2023, emplea una herramienta de envoltura cmd.exe personalizada para ejecutar comandos e incrustada dentro del malware, el cual también sería capaz de parchear rutinas AMSI y ETW para eludir la detección. Su sofisticación y naturaleza selectiva sugieren que puede haber sido empleado en ataques específicos, si bien la atribución a un actor de amenazas conocido no se ha producido por el momento.
Vulnerabilidades críticas en SCADA myPRO permiten ejecución remota de código
Investigadores de Catalyst han descubierto dos fallos críticos en mySCADA myPRO, un sistema SCADA utilizado en entornos de tecnología operativa (OT). Ambos, identificados como CVE-2025-20014 y CVE-2025-20061, tienen una puntuación CVSSv4 de 9.3 según ICS-CERT y permiten la inyección de comandos en el sistema a través de peticiones POST manipuladas debido a una inadecuada sanitización de entradas de usuario.
Si son explotadas, los atacantes podrían ejecutar código arbitrario y tomar control de redes industriales, causando interrupciones operativas y pérdidas económicas. Las vulnerabilidades han sido corregidas en las versiones mySCADA PRO Manager 1.3 y mySCADA PRO Runtime 9.2.1. Se recomienda aplicar los parches de seguridad, segmentar redes SCADA, reforzar autenticación y monitorizar actividad sospechosa.
Nuevo ataque BitM permite el robo de sesiones protegidas con MFA
Investigadores de Mandiant han identificado un nuevo ataque denominado Browser in the Middle (BitM), que permite a los atacantes robar sesiones autenticadas sin necesidad de conocer credenciales o superar desafíos de autenticación multifactor (MFA). A diferencia de métodos tradicionales como Evilginx2, un proxy transparente en el que el servidor de un operador de red team actúa como intermediario entre la víctima y el servicio objetivo, BitM usa un navegador controlado por el atacante para capturar directamente la sesión de la víctima.
Esta técnica permite comprometer cuentas en cuestión de segundos, facilitando ataques a gran escala. Para mitigar estos riesgos, los investigadores recomiendan la implementación de certificados de cliente y MFA basado en hardware con FIDO2, ya que estos mecanismos dificultan la suplantación de sesiones incluso si el atacante logra acceder a las credenciales del usuario.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
