Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 2-8 mayo
Apache corrige la vulnerabilidad CVE-2026-23918 que permite ejecución remota de código
La Apache Software Foundation ha publicado un parche para la vulnerabilidad CVE-2026-23918 (CVSSv3 8.8). Es una vulnerabilidad grave de corrupción de memoria que puede provocar desde denegación de servicio (DoS) hasta permitir la ejecución remota de código (RCE).
El fallo es un double free provocado por un reset temprano en HTTP/2 que puede causar DoS o derivar en ejecución remota de código, permitiendo control total del sistema, robo de datos o despliegue de ransomware. No se mencionan PoCs públicos, pero el parche ya está disponible en la versión 2.4.67, recomendándose actualizar de inmediato, monitorizar logs, desactivar HTTP/2 temporalmente y reforzar las medidas de seguridad en red.
UAT-8302, nueva APT vinculada a China, reutiliza malware de varios grupos para atacar entidades gubernamentales
Cisco Talos atribuye con alta confianza a UAT-8302, un grupo APT vinculado a China, campañas contra entidades gubernamentales de Sudamérica desde al menos finales de 2024 y agencias del sureste de Europa en 2025. Tras el compromiso inicial, el actor realiza reconocimiento extensivo, extracción de credenciales, recopilación de información de Active Directory y movimiento lateral mediante herramientas como Impacket, WMI, Stowaway, SoftEther VPN, QScan y PortQry.
UAT-8302 despliega varias familias de malware previamente asociadas a actores chinos, incluidas NetDraft (NosyDoor), una backdoor en .NET derivada de FinalDraft/SquidDoor, CloudSorcerer v3, previamente observado en ataques contra entidades gubernamentales rusas, que obtiene infraestructura C2 desde servicios legítimos como GitHub o GameSpot.
UAT-8302 opera con el framework VSHELL, utilizando los stagers SNOWLIGHT y su variante en Rust SNOWRUST para descargar cargas codificadas.
El objetivo principal es mantener acceso persistente a largo plazo, exfiltrar credenciales e información de Active Directory y establecer múltiples canales de backdoor mediante proxies (Stowaway, SoftEther VPN).
Ataque a la cadena de suministro de DAEMON Tools activo durante un mes compromete cientos de países
Investigadores de Kaspersky han descubierto que los instaladores oficiales de DAEMON Tools para Windows, distribuidos con firma digital legítima de AVB Disc Soft, estaban troyanizados desde el 8 de abril de 2026, con versiones entre 12.5.0.2421 y 12.5.0.2434 comprometidas.
Los binarios manipulados (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe) activan un implant en cada arranque del sistema que contacta con un dominio registrado el 27 de marzo (env-check.daemontools[.]cc) para recibir comandos de shell y descargar payloads encadenados: un recolector de información del sistema, un loader de shellcode y un backdoor minimalista con soporte para protocolos C2 múltiples (HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3).
El backdoor incluye inyección de código en procesos legítimos como notepad.exe y conhost.exe, y en víctimas seleccionadas (una docena de organizaciones en Rusia, Bielorrusia y Tailandia en sectores de retail, administración pública y manufactura) se desplegó además QUIC RAT. Kaspersky registró varios miles de intentos de infección en más de 100 países, entre ellos España, Alemania, Francia e Italia, aunque el backdoor secundario se entregó de forma selectiva. La evidencia forense apunta a un actor de habla china.
Se recomienda aislar inmediatamente los equipos con DAEMON Tools instalado y realizar sweeps de seguridad exhaustivos.
KidsProtect: stalkerware para Android vendido como control parental
Investigadores de Certo han descubierto una nueva herramienta de spyware llamada KidsProtect. Se trata de un troyano de acceso remoto (RAT) para Android que opera en segundo plano y solo puede eliminarse desde el panel de control del operador.
A través de una interfaz web, el atacante puede realizar múltiples acciones de vigilancia, como grabar llamadas en secreto, transmitir audio en vivo desde el micrófono del dispositivo, rastrear la ubicación GPS en tiempo real, leer mensajes SMS y notificaciones de aplicaciones como WhatsApp y Viber, registrar pulsaciones de teclas, acceder a contactos y fotos, y activar de forma remota las cámaras frontal y trasera. Otra función destacada es que permite a compradores crear sus propias variantes.
El hecho de denominar este tipo de spyware como herramienta de protección infantil contribuye a dotarlo de una falsa legitimidad y a dificultar su detección. La herramienta se comercializa mediante un modelo de suscripción que parte de los 60 dólares.
El FBI alertó al sector de transporte por un fuerte aumento del robo de carga a través de ciberataques
El FBI advierte a los sectores logísticos y de transporte sobre un aumento de robos de carga, con pérdidas estimadas en los Estados Unidos y Canadá que alcanzan casi 725 millones de dólares en 2025.
Desde al menos 2024, los atacantes han comprometido sistemas de corredores de carga y transportistas mediante phishing con correos falsificados de intermediarios que incluyen enlaces maliciosos disfrazados de acuerdos de transporte, redirigiendo a sitios que descargan ejecutables maliciosos y software de administración remota.
Una vez dentro, utilizan cuentas robadas para publicar ofertas de carga fraudulentas en plataformas del sector, suplantar a empresas legítimas, propagarse a otros sistemas y redirigir envíos reales para su robo y posterior reventa ilegal.
Se recomienda reforzar la verificación de identidades, aplicar autenticación multifactor, mejorar la seguridad del correo electrónico y extremar la cautela con enlaces y archivos adjuntos para reducir el riesgo de intrusión y robo de carga.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
