Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 2 enero
Análisis del grupo de ciberespionaje HoneyMyte
Investigadores de Securelist han analizado un sofisticado rootkit en modo kernel vinculado al grupo de ciberespionaje HoneyMyte (asociado a Mustang Panda), el cual es utilizado para lograr persistencia y evasión avanzada en entornos Windows.
Esta técnica se basa en el despliegue de un controlador malicioso que intercepta funciones del núcleo del sistema operativo para ocultar la presencia de archivos, procesos y comunicaciones de red, neutralizando la efectividad de herramientas de seguridad convencionales. El método ha sido aplicado en campañas dirigidas contra sectores gubernamentales, diplomáticos y de investigación en el Sudeste Asiático, Asia Central y África, permitiendo a los atacantes mantener un acceso indetectable durante periodos prolongados.
El impacto potencial es la pérdida total de integridad del sistema y la exfiltración de inteligencia crítica bajo un control absoluto del kernel.
Actores de amenazas lanzan millones de solicitudes maliciosas dirigidas a servidores Adobe ColdFusion
Investigadores de GreyNoise Labs han identificado una campaña de explotación masiva denominada "ColdFusion++ Christmas Campaign", atribuida a un posible agente de acceso inicial (IAB) que opera desde la infraestructura de CTG Server Limited en Japón.
La actividad maliciosa, que alcanzó su punto máximo el 25 de diciembre de 2025 para aprovechar la reducción de vigilancia, consistió en el escaneo y explotación coordinada de más de 767 CVEs distintos, incluyendo fallos críticos en Adobe ColdFusion como CVE-2023-26359 (CVSSv3 9.8 según Adobe), CVE-2023-38205 (CVSSv3 7.5 según Adobe) y CVE-2024-20767 (CVSSv3 7.4 según Adobe) mediante el uso de herramientas como Interactsh para la verificación de ataques fuera de banda (OAST).
Con un impacto que abarca más de 2,5 millones de solicitudes contra 47 tecnologías diferentes (Tomcat, WordPress, SAP, etc.) en 20 países, siendo EE. UU. y España los más afectados, la campaña busca establecer puntos de apoyo persistentes para futuras intrusiones.
Detectada una campaña de spear-phishing dirigida a objetivos israelíes
El Directorio Nacional de Ciberseguridad de Israel ha emitido una alerta urgente sobre una sofisticada campaña de spear-phishing dirigida a profesionales de los sectores de seguridad y defensa en Israel, atribuida al grupo de amenazas APT42 (también conocido como Charming Kitten).
El método de ataque utiliza WhatsApp como vector principal, donde los atacantes suplantan a organizaciones legítimas mediante pretextos de conferencias y eventos de la industria para enviar mensajes con enlaces acortados a través del servicio msnl[.]ink. Al acceder, las víctimas son redirigidas a sitios web fraudulentos diseñados para el robo de credenciales o la descarga de archivos maliciosos, aprovechando una infraestructura de servidores estandarizada en países como Alemania, Países Bajos e Italia.
El impacto de esta actividad, vinculada a objetivos de inteligencia iraníes, es el compromiso de personal de alto valor y la infiltración en redes críticas de defensa.
DarkSpectre: extensiones maliciosas a gran escala para espionaje, fraude y robo de inteligencia corporativa
Investigadores identificaron a DarkSpectre, un actor de amenazas chino responsable de al menos tres grandes campañas maliciosas mediante extensiones de navegador, que han infectado a más de 8,8 millones de usuarios durante más de siete años.
El grupo opera campañas paralelas como ShadyPanda (vigilancia y fraude de afiliados), GhostPoster (carga sigilosa de malware oculto en imágenes) y The Zoom Stealer, orientada al robo de inteligencia corporativa de plataformas de videoconferencia.
DarkSpectre mantiene extensiones legítimas durante años para ganar confianza y luego las arma mediante actualizaciones o cargas remotas. Sus extensiones exfiltran datos en tiempo real, permiten ejecución remota de código y recopilan información sensible de reuniones empresariales.
Korean Air confirma una brecha de datos tras el ataque a un proveedor externo
Korean Air confirmó que, tras un ciberataque a su proveedor externo de servicios de catering y ventas a bordo, KC&D, quedaron expuestos datos personales de alrededor de 30.000 empleados, incluidos nombres y números de teléfono o cuentas bancarias, aunque hasta el momento no se han reportado fraudes asociados.
La aerolínea indicó que ya implementó medidas de seguridad de emergencia, notificó el incidente a las autoridades competentes y recomendó a su personal extremar la precaución ante comunicaciones sospechosas, además de revisar y reforzar los controles de seguridad con sus socios.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
