Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 20-26 septiembre
Malware potenciado por LLM: nueva amenaza capaz de generar código malicioso en tiempo real
SentinelLABS advierte que el malware potenciado por LLM representa un desafío creciente, ya que puede generar código malicioso en tiempo de ejecución, dificultando la detección con firmas estáticas. Para enfrentarlo, los investigadores se centraron en dos artefactos inevitables: claves API embebidas y prompts incrustados, lo que permitió descubrir muestras inéditas, incluido MalTerminal, posiblemente el primer malware de este tipo.
Casos como PromptLock y LameHug/PROMPTSTEAL ya demostraron el uso de LLMs para generar comandos, exfiltrar datos y aumentar la persistencia mediante múltiples claves. Aunque estas capacidades hacen al malware más adaptable, su dependencia de prompts y credenciales también lo vuelve frágil. La investigación identificó además herramientas ofensivas basadas en LLM, como generadores de vulnerabilidades o agents de intrusión.
La Agencia de Ciberseguridad de la UE confirmó que el incidente en los aeropuertos europeos se trató de un ataque de ransomware
Un ciberataque contra Collins Aerospace, filial de RTX y proveedora del software de facturación y embarque, ha provocado retrasos en aeropuertos europeos como Heathrow, Bruselas, Berlín y Dublín. La Agencia de Ciberseguridad de la UE confirmó que se trató de un ataque de ransomware que afectó al sistema Muse, obligando a procesar pasajeros de forma manual.
Aunque Heathrow señaló que la mayoría de vuelos operan con normalidad, Bruselas canceló decenas de operaciones y otras terminales mantienen demoras. Collins trabaja en actualizaciones para restablecer el servicio, pero aún no ha garantizado la plena seguridad del sistema. Autoridades no descartan que actores estatales estén detrás del ataque, aunque también se apunta a grupos privados sofisticados.
La Comisión Europea indicó que no hay indicios de un ataque generalizado. Mientras tanto, aerolíneas como IAG, EasyJet y Wizz Air registraron caídas en bolsa tras el incidente.
Publicado un tercer parche para fallo crítico en Web Help Desk de SolarWinds
SolarWinds ha publicado un tercer parche para corregir una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en su producto Web Help Desk (WHD), identificada como CVE-2025-26399 (CVSSv3 de 9.8 según fabricante). Este fallo afecta a la versión 12.8.7 y deriva de una deserialización insegura en el componente AjaxProxy.
Se trata de un bypass de parches anteriores (CVE-2024-28986 y CVE-2024-28988, ambos con puntuación CVSSv3 de 9.8 según SolarWinds), todos ellos relacionados con versiones previas de WHD (12.8.3 y anteriores). La vulnerabilidad fue reportada por Trend Micro Zero Day Initiative (ZDI) y, aunque no se han detectado exploits públicos, CISA ya había alertado sobre el uso activo del fallo original en ataques.
SolarWinds ha publicado un hotfix disponible en su portal de clientes, que requiere reemplazar varios archivos JAR específicos en el sistema afectado.
UNC5221 despliega BRICKSTORM en ataques persistentes contra sectores críticos en EE. UU
Google Threat Intelligence y Mandiant han detectado nuevas operaciones vinculadas al malware BRICKSTORM, una puerta trasera utilizada para mantener acceso persistente en organizaciones de los sectores legal, tecnológico, BPO y SaaS en EE. UU. Desde marzo de 2025, el actor atribuido a UNC5221, con posible nexo chino, ha explotado vulnerabilidades 0-day cero en dispositivos perimetrales para desplegar BRICKSTORM en entornos donde las herramientas EDR no tienen visibilidad.
Las investigaciones muestran que los intrusos han logrado permanecer en promedio 393 días sin ser detectados, empleando técnicas de movimiento lateral, robo de credenciales y exfiltración de correos y archivos críticos. En varios casos comprometieron VMware vCenter y clonaron máquinas virtuales sensibles como controladores de dominio o gestores de credenciales. Además, han desplegado variantes como BRICKSTEAL y SLAYSTYLE, que permiten interceptar credenciales y ejecutar comandos.
Mandiant destaca la sofisticación y capacidad de adaptación del actor, que incluso eliminó rastros durante investigaciones activas.
Análisis de Operation Rewrite, campaña de envenenamiento SEO
En marzo de 2025, Unit 42 de Palo Alto Networks descubrió la campaña de envenenamiento SEO “Operation Rewrite”, atribuida con alta confianza a actores de amenazas de habla china bajo el nombre CL-UNK-1037, vinculados moderadamente a Group 9, descrito por ESET, y débilmente a la campaña DragonRank. Operation Rewrite emplea el malware BadIIS, un módulo nativo malicioso de IIS que intercepta el tráfico web en servidores legítimos comprometidos para redirigir a los usuarios hacia sitios fraudulentos con fines lucrativos.
La campaña se centró en Asia Oriental y el Sudeste Asiático, manipulando resultados de búsqueda mediante inyección de palabras clave y redirecciones 302. Los atacantes también lograron comprometer múltiples servidores, exfiltrar código fuente, desplegar variantes adicionales de BadIIS y ampliar su infraestructura maliciosa. Las consecuencias incluyen pérdida de reputación de dominios legítimos, robo de datos sensibles y expansión del control sobre sistemas críticos.
Unit 42 recomienda a los equipos de seguridad reforzar sus capacidades de detección y hunting utilizando los indicadores de compromiso proporcionados.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
