Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 15-21 noviembre
Kraken: continuidad de HelloKitty con cifrado adaptativo y doble extorsión
El ransomware Kraken, sucesor operativo de HelloKitty, incorpora un mecanismo inusual de benchmarking que evalúa el rendimiento de cada máquina y selecciona entre cifrado total o parcial para maximizar la velocidad sin generar alertas.
Las intrusiones se inician explotando vulnerabilidades SMB en activos expuestos, seguidas de robo de credenciales y acceso vía RDP con túneles persistentes mediante Cloudflared y exfiltración por SSHFS. El malware elimina copias de seguridad, detiene servicios y despliega módulos específicos para cifrar bases SQL, recursos compartidos, unidades locales y entornos Hyper-V. La variante Linux/ESXi fuerza el apagado de las VM para cifrar sus discos.
Al finalizar, ejecuta un wiper (“bye_bye.sh”) que elimina rastros de la operación. Los archivos afectados reciben la extensión .zpsc y se genera la nota "readme_you_ws_hacked.txt", con demandas observadas de hasta 1 millón de dólares. El grupo mantiene víctimas globales y opera además un foro propio, “The Last Haven Board”, para intercambio criminal.
Operación de ciberespionaje automatizada mediante abuso de Claude Code
Anthropic atribuye al grupo chino GTG-1002 una campaña de ciberespionaje que habría automatizado entre el 80% y el 90% de sus operaciones mediante el modelo Claude Code, aunque la comunidad de seguridad cuestiona la veracidad del informe por ausencia de IoCs y detalles técnicos.
La compañía sostiene que se trataría del primer caso documentado de intrusiones a gran escala ejecutadas de forma casi autónoma por un sistema de IA. El actor empleó técnicas de jailbreaking para hacer que Claude operara como agente de intrusión, integrándolo con herramientas de pentesting y una infraestructura basada en MCP para escaneo, explotación y post-explotación con mínima supervisión humana.
El ataque abarcó seis fases, desde la selección de objetivos de alto valor hasta la extracción de datos y establecimiento de persistencia, con intervención humana solo en decisiones críticas. Claude generó cargas útiles, evaluó vulnerabilidades, navegó redes internas y clasificó información sensible, aunque presentó errores y resultados fabricados.
Anthropic afirma haber bloqueado cuentas, reforzado controles de detección y compartido inteligencia para mejorar la identificación de intrusiones asistidas por IA.
UNC1549: expansión de múltiples TTP orientadas a espionaje en sectores aeroespacial y defensa
UNC1549 ha intensificado desde 2023 sus campañas de intrusión contra organizaciones aeroespaciales, de aviación y defensa mediante un modelo dual de acceso inicial: spearphishing altamente dirigido y compromiso de terceros con credenciales legítimas.
De acuerdo con Mandiant, el grupo explota servicios Citrix, VMWare y Azure Virtual Desktop para obtener acceso a través de proveedores y ejecutar VDI breakouts. Tras la intrusión, emplea phishing interno para capturar credenciales privilegiadas y desplegar backdoors personalizados como MINIBIKE, TWOSTROKE o DEEPROOT. UNC1549 usa DLL search order hijacking para ejecutar CRASHPAD, DCSYNCER.SLICK y otros módulos de post-explotación.
Para la escalada de privilegios, realiza ataques DCSync, reseteo de cuentas de controladores de dominio, abuso de RBCD, Kerberoasting y explotación de plantillas vulnerables de AD CS. El movimiento lateral se basa en RDP, PowerShell Remoting, SCCM y herramientas legítimas, mientras que el C2 se sustenta en reverse SSH tunnels, Azure Web Apps y accesos redundantes. Los objetivos se centran en la exfiltración de documentación técnica, direcciones IP y correos, además del uso de víctimas para pivotar hacia nuevas entidades.
Vulnerabilidades en sistemas ferroviarios legacy y ERTMS/ETCS
Investigadores de TechFrontiers demostraron que los sistemas ferroviarios de señalización, tanto los legacy como los modernos ERTMS/ETCS, pueden manipularse con hardware barato y conocimientos básicos. En España, el antiguo sistema ASFA, basado en balizas analógicas sin medidas de seguridad, puede ser engañado mediante balizas falsas construidas con materiales caseros o manipulando balizas reales para provocar frenadas de emergencia o enviar órdenes erróneas.
El equipo reprodujo el mecanismo de acoplamiento inductivo usando latas recicladas, cobre y un generador de señal barato, logrando replicar señales válidas para un tren real. Además, advirtieron que estos riesgos se extienden a sistemas similares en otros países. Aunque los sistemas modernos ERTMS/ETCS son digitales y más complejos, también presentan posibles vulnerabilidades relacionadas con spoofing, jamming y ataques de replay, cuyos detalles se revelarán en Black Hat Europe 2025.
Los investigadores alertan de la urgencia de modernizar la señalización, pese al coste político y económico, para proteger la seguridad ferroviaria.
Amazon alerta de campañas que combinan ciberespionaje y ataques militares
Amazon Threat Intelligence alerta de una nueva tendencia en la que actores estatales integran operaciones cibernéticas con ataques cinéticos, en un modelo que denominan cyber-enabled kinetic targeting. Gracias a la visibilidad global de Amazon —telemetría cloud, honeypots MadPot, datos de clientes y colaboración con agencias— se han identificado campañas donde el ciberespionaje alimenta directamente ataques físicos.
- En un primer caso, Imperial Kitten (IRGC) comprometió sistemas AIS y cámaras de buques entre 2021 y 2024, culminando en un misil Houthi dirigido contra un barco cuyo seguimiento había sido realizado previamente mediante ciberoperaciones.
- En el segundo caso, MuddyWater accedió a cámaras CCTV en Jerusalén en junio de 2025 usando las imágenes para ajustar el targeting.
Estos actores emplean redes VPN, servidores propios, sistemas empresariales comprometidos y streaming en tiempo real para apoyar la acción militar. Amazon propone un nuevo concepto para estas campañas, que superan el marco de guerra híbrida tradicional.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
