Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 19-25 julio
Microsoft parchea dos nuevas 0-day explotadas en ataques ToolShell contra SharePoint
Microsoft ha lanzado actualizaciones de emergencia para corregir dos vulnerabilidades 0-day (CVE-2025-53770, CVSSv3 9.8 según proveedor, y CVE-2025-53771, CVSSv3 6.3 según Microsoft) en SharePoint Server. Estas fallas fueron explotadas en ataques activos bajo el nombre ToolShell, descubiertos inicialmente durante el concurso Pwn2Own Berlín 2024, y afectan a SharePoint 2019 y Subscription Edition.
Los atacantes lograron sortear parches previos y comprometer más de 50 organizaciones a nivel mundial. Microsoft recomienda instalar de inmediato las actualizaciones KB5002754 (SharePoint 2019) y KB5002768 (Subscription Edition), y realizar una rotación de claves de máquina mediante PowerShell o Central Admin. También se aconseja revisar el sistema y los logs IIS para detectar actividad sospechosa, como la creación del archivo malicioso spinstall0.aspx o peticiones POST al archivo ToolPane.aspx.
En caso de encontrar evidencias, se recomienda iniciar una investigación forense completa del servidor y la red.
APT35 lanza campañas de phishing con IA contra investigadores occidentales
Analistas de CyberProof han detectado una nueva campaña del grupo iraní APT35 (también conocido como Charming Kitten) que emplea inteligencia artificial para lanzar sofisticados ataques de phishing dirigidos a investigadores en ciberseguridad y académicos en países occidentales.
A diferencia de campañas anteriores centradas en el espionaje, estas operaciones buscan comprometer directamente a quienes investigan y defienden contra las ciberamenazas. Aprovechando modelos de lenguaje avanzados, los atacantes generan correos electrónicos que imitan con precisión a figuras del sector, incluyendo referencias a investigaciones, conferencias y amenazas emergentes. El objetivo es construir relaciones a largo plazo con las víctimas para extraer información sensible o acceder a redes de investigación.
Esta evolución en las tácticas de APT35 representa un cambio estratégico dentro del conflicto geopolítico, enmarcado en las crecientes tensiones tras los bombardeos israelíes y estadounidenses sobre Irán en junio de 2025.
CISA incorpora a su catálogo KEV dos vulnerabilidades de SharePoint
CISA ha alertado de dos fallos de Microsoft SharePoint, CVE-2025-49704 y CVE-2025-49706 (CVSSv3 de 8.8 y 6.5 según fabricante, respectivamente) que han sido añadidos a su catálogo de vulnerabilidades explotadas conocidas (KEV), en base a pruebas de explotación activa. Por ende, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben corregir las vulnerabilidades antes del 23 de julio de 2025.
La inclusión de ambas fallas, una de suplantación de identidad y otra de ejecución remota de código (RCE), rastreadas colectivamente como ToolShell, en el catálogo KEV tuvo lugar después de que Microsoft revelara que grupos chinos como Linen Typhoon y Violet Typhoon aprovecharon los fallos para dirigirse a servidores SharePoint locales desde el 7 de julio de 2025. Microsoft, además, alude a los fallos CVE-2025-53770 y CVE-2025-53771 (CVSSv3 de 9.8 y 6.5 según fabricante, respectivamente), considerados omisiones de parche para CVE-2025-49704 y CVE-2025-49706, respectivamente.
En adición, watchTowr Labs informó de haber ideado internamente un método para explotar CVE-2025-53770 eludiendo la interfaz de análisis antimalware (AMSI), una medida de mitigación descrita por Microsoft.
Nueva variante del malware Konfety evade análisis y simula apps legítimas
Investigadores de Zimperium han detectado una nueva variante del malware Konfety para Android, que emplea avanzadas técnicas de evasión como estructuras ZIP malformadas, DEX cifrados y compresión BZIP no soportada por herramientas de análisis. Este malware se disfraza de apps legítimas mediante una táctica conocida como evil twin, distribuyéndose en tiendas de aplicaciones de terceros.
Aunque no es un spyware ni un RAT, incluye una DEX secundaria que se descifra y ejecuta en tiempo de ejecución, permitiendo cargar módulos adicionales de forma dinámica. Entre sus capacidades destacan la exfiltración de información del dispositivo, redirección a sitios maliciosos, instalación forzada de apps y uso del SDK CaramelAds para mostrar anuncios ocultos. También utiliza geofencing y oculta su icono tras la instalación.
Este enfoque recuerda a otros casos como SoumniBot, donde se manipulan compresiones y metadatos para dificultar el análisis. Se recomienda evitar APKs de fuentes no oficiales.
UNG0002: Campañas de ciberespionaje avanzadas en Asia
El grupo de amenazas UNG0002 ha sido identificado por Seqrite Labs como responsable de campañas de espionaje dirigidas contra organizaciones en China, Hong Kong y Pakistán desde mayo de 2024. Bajo las operaciones Cobalt Whisper y AmberMist, el grupo ha evolucionado desde el uso de herramientas conocidas como Cobalt Strike y Metasploit, hasta el desarrollo de implantes personalizados como Shadow RAT e INET RAT.
En la campaña más reciente, sus objetivos se han ampliado a empresas de videojuegos, desarrollo de software e instituciones académicas. UNG0002 emplea técnicas de ingeniería social avanzadas, incluyendo el método ClickFix, que usa CAPTCHAs falsos para ejecutar scripts maliciosos. También destaca su uso de archivos LNK y técnicas de DLL sideloading con aplicaciones legítimas para evadir la detección.
La infraestructura, nombres de usuario y tácticas empleadas apuntan a un actor con respaldo organizacional, posiblemente alineado con intereses estatales del sudeste asiático.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
