Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 21-27 junio
Citrix corrige vulnerabilidad crítica similar a CitrixBleed
Citrix ha solucionado una vulnerabilidad crítica, identificada como CVE-2025-5777, que afecta a NetScaler ADC y NetScaler Gateway. Con un CVSSv4 de 9.3 según Citrix, el fallo es un out-of-bounds read provocado por validación insuficiente de entradas. Al igual que la conocida CitrixBleed (CVE-2023-4966, CVSSv3 9.4 según proveedor), podría permitir a atacantes robar tokens de sesión válidos de dispositivos NetScaler expuestos a Internet mediante peticiones mal formadas.
También se ha corregido CVE-2025-5349, una vulnerabilidad de control de acceso con CVSSv4 8.7 según proveedor. Las versiones afectadas incluyen ramas 14.1, 13.1, 13.1-FIPS, 13.1-NDcPP y 12.1-FIPS anteriores a las últimas actualizaciones. Las versiones 12.1 y 13.0 ya están fuera de soporte y siguen siendo vulnerables.
Citrix recomienda actualizar a versiones corregidas y ejecutar los comandos kill icaconnection -all y kill pcoipConnection -all tras la actualización para cerrar sesiones activas y evitar posibles compromisos.
Prometei vuelve a operar con nuevas versiones centradas en sistemas Linux
Desde marzo de 2025, Unit 42 detectó nueva actividad del botnet Prometei, enfocado en sistemas Linux. Su distribución se realiza mediante solicitudes HTTP desde servidores en Indonesia. Utiliza el empaquetador UPX y una cola JSON embebida, lo que complica el análisis estático. El botnet mantiene un diseño modular que permite minería de Monero, explotación de vulnerabilidades, fuerza bruta de credenciales y robo de datos.
Las versiones 3 y 4 incluyen un backdoor para asegurar persistencia y capacidad de actualización. Se basa en DGA para su infraestructura C2 y puede incorporar nuevos módulos sin intervención manual. Las estadísticas muestran un incremento de muestras entre marzo y abril de 2025. Además de minar, despliega herramientas para monetización mediante robo de datos y propagación.
Unit 42 recomienda usar reglas YARA que identifiquen la combinación de UPX y JSON, y monitorear tráfico DNS anómalo para detectar actividad DGA.
Fallo crítico en Performave Convoy podría permitir ataques RCE
Desde GitHub se ha detectado una vulnerabilidad en el panel de gestión de servidores KVM Performave Convoy, ampliamente utilizado por los proveedores de hosting. El fallo, identificado como CVE-2025-52562 (CVSSv3 de 10.0), reside en el componente LocaleController de Convoy, donde una validación de entrada incorrecta permite realizar ataques a través de directorios.
Los atacantes pueden elaborar peticiones HTTP maliciosas con parámetros de configuración regional y espacio de nombres manipulados para atravesar directorios e incluir archivos PHP arbitrarios. Esto puede conducir a la ejecución remota de código (RCE), robar de datos sensibles y realizar una explotación no autenticada de las instancias vulnerables. En concreto, los atacantes se aprovechan de la insuficiente desinfección de las entradas proporcionadas por el usuario en los parámetros HTTP locale y namespace.
Como medidas de mitigación, se recomienda actualizar a la versión 4.4.1 o superiores de Convoy, aplicar una validación de entrada estricta, restringir la configuración regional o limitar el espacio de nombres a determinados caracteres.
Falsificación de NetExtender roba credenciales VPN a usuarios
Desde junio de 2025, SonicWall y Microsoft Threat Intelligence identificaron una campaña que distribuye una versión modificada del cliente SonicWall SSL VPN NetExtender, imitando la oficial y firmada digitalmente por "CITYLIGHT MEDIA PRIVATE LIMITED" en lugar de la firma legítima.
El instalador malicioso parchea NeService.exe para evitar la verificación de firmas y modifica NetExtender.exe para capturar configuraciones VPN –usuario, contraseña, dominio– y transmitirlas al servidor de control (132.196.198.163:8080). SonicWall y Microsoft bloquearon los dominios maliciosos, revocaron el certificado y lo detectan como "Fake‑NetExtender" (SonicWall) y "TrojanSpy:Win32/SilentRoute.A" (Microsoft).
Se recomienda descargar siempre clientes VPN desde fuentes oficiales y contar con soluciones como SonicWall Capture ATP o Microsoft Defender para detectar versiones manipuladas.
SparkKitty roba claves de recuperación de criptomonedas desde la galería del móvil
Investigadores de Kaspersky han identificado un nuevo malware denominado SparkKitty, presente tanto en Google Play como en la App Store. Se trata de una evolución de SparkCat, un malware detectado en enero que utilizaba OCR para robar frases de recuperación de billeteras de criptomonedas (conocidas como seed phrases) desde imágenes.
SparkKitty roba todas las fotos del dispositivo infectado, buscando principalmente seed phrases, pero también puede usarlas para chantaje si contienen información sensible. Las apps maliciosas, como 币coin (iOS) y SOEX (Android), ya han sido retiradas. Además, se han detectado clones de TikTok y apps de apuestas distribuidas fuera de los canales oficiales.
En Android, SparkKitty se oculta en apps Java/Kotlin y usa módulos Xposed; en iOS, se camufla como frameworks falsos. Una vez instalado, solicita permisos para acceder a la galería y sube las imágenes al servidor de los atacantes. En Android, algunas versiones filtran imágenes que contienen texto mediante Google ML Kit.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
