Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 19-25 abril
Parche de Microsoft para CVE-2025-21204 desencadena otra vulnerabilidad
El investigador Kevin Beaumont ha revelado que el parche de Microsoft para la vulnerabilidad CVE-2025-21204 (CVSSv3 7.8 según fabricante), relacionada con enlaces simbólicos (symlinks), introduce inadvertidamente una nueva falla de seguridad.
La corrección original consistía en crear la carpeta C:\inetpub para evitar que usuarios no autorizados la manipularan. Sin embargo, Beaumont descubrió que un usuario sin privilegios administrativos puede crear un enlace simbólico desde C:\inetpub hacia otro archivo, como notepad.exe, lo que provoca que futuras actualizaciones de seguridad de Windows no se apliquen correctamente, generando errores o alterando los cambios.
Esta situación permite a usuarios no administradores bloquear las actualizaciones del sistema, exponiéndolo a riesgos adicionales. Beaumont informó de esta vulnerabilidad a Microsoft hace dos semanas, pero hasta la fecha no ha recibido respuesta.
TAG-124: infraestructura maliciosa para propagar malware
Investigadores de Recorded Future han identificado que múltiples actores de amenazas, incluidos grupos de ransomware como Rhysida e Interlock, y entidades estatales como TA866 (Asylum Ambuscade), están utilizando la infraestructura maliciosa TAG-124 para distribuir malware de forma altamente dirigida.
Este sistema de distribución de tráfico (TDS) opera recopilando datos del navegador, geolocalización y comportamiento del usuario para redirigir a las víctimas hacia cargas útiles maliciosas, mientras evita su detección. TAG-124 ha sido clave en ataques a sectores críticos, como el sanitario y financiero, y se ha vinculado a campañas de envenenamiento SEO y compromiso de sitios web legítimos.
Su uso permite a los actores maliciosos especializarse en etapas posteriores del ataque, aumentando la eficacia de sus campañas de extorsión.
Nuevos ataques de phishing aprovechan la infraestructura de Google
Nick Johnson, de Ethereum Name Service (ENS), detectó un ataque de phishing de repetición DKIM. Los atacantes primero registraban un dominio y creaban una cuenta de Google para me@dominio. Después, creaban una aplicación Google OAuth utilizando como nombre todo el mensaje de phishing, con muchos espacios en blanco para separarlo de la notificación de Google sobre el acceso a la cuenta del atacante.
Tras el acceso, Google enviaba automáticamente una alerta de seguridad que los atacantes reenviaban a las víctimas, pasando todas las verificaciones. El mensaje instaba a los usuarios a acceder a un supuesto portal de asistencia, un duplicado exacto del real, en el cual se solicitaban las credenciales de su cuenta de Google.
El portal fraudulento estaba alojado en sites.google.com, la plataforma gratuita de creación de sitios web de Google, en lugar de en accounts.google.com, haciendo sospechar de que se trataba de un phishing.
Corregidos dos fallos 0-day activamente explotados en productos de Apple
Apple ha publicado actualizaciones de seguridad de emergencia que parchean dos fallos 0-day activamente explotados contra dispositivos iOS de objetivos específicos. Las vulnerabilidades se encuentran en CoreAudio (CVE-2025-31200, CVSSv3 de 7.5) y RPAC (CVE-2025-31201, CVSSv3 de 6.8), afectando ambas a iOS, macOS, tvOS, iPadOS y visionOS.
- El primero puede aprovecharse procesando un flujo de audio en un archivo multimedia malicioso para ejecutar código remoto en el dispositivo vulnerable.
- La segunda permite a atacantes con acceso de lectura o escritura eludir la autenticación por puntero (PAC).
Si bien la lista de dispositivos afectados es extensa, incluyendo modelos antiguos y más recientes, ambas fallas se han corregido en las versiones iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 y visionOS 2.4.1.
Apple recomienda a los usuarios que apliquen las actualizaciones correspondientes lo antes posible.
Expuesta la infraestructura operativa de RedGolf
Se ha descubierto un servidor expuesto brevemente que reveló una colección de herramientas y scripts vinculados al malware KeyPlug, utilizado por el grupo RedGolf (APT41). Esto permitió acceder a tácticas avanzadas, incluyendo scripts dirigidos a dispositivos Fortinet y objetivos específicos.
Entre las herramientas destacaban scripts en Python para reconocimiento de versiones mediante hashes JavaScript, identificación de sistemas orientados a Internet y explotación de fallos en WebSocket CLI de Fortinet. También se descubrió un webshell PHP cifrado para ejecución remota, un reverse shell en PowerShell y un binario ELF que funcionaba como oyente HTTP.
El servidor compartía un certificado TLS emitido por WolfSSL con otros cinco servidores alojados en Vultr, lo que evidencia una infraestructura más amplia. La exposición fue detectada por @Jane_0sint en X y analizada por el equipo de investigadores de Hunt.io.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
