Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 22-28 de marzo
Nueva vulnerabilidad 0-day en Windows expone credenciales NTLM
Una nueva vulnerabilidad 0-day en Windows, descubierta por 0patch y detallada en su blog, permite a los atacantes robar credenciales NTLM engañando a los usuarios para que visualicen archivos .scf maliciosos en el Explorador de Windows. Esta falla afecta desde Windows 7 y Server 2008 R2 hasta las versiones más recientes, como Windows 11 v24H2 y Server 2025, y aún no cuenta con un identificador CVE.
Aunque Microsoft no ha emitido un parche oficial, 0patch ha desarrollado microparches gratuitos que se aplican automáticamente sin necesidad de reiniciar, incluso en sistemas obsoletos. Esta vulnerabilidad se suma a otras recientes relacionadas con NTLM que Microsoft ha clasificado como wont fix; es decir, vulnerabilidades que no corregirá por decisión propia, ya sea por su bajo impacto, complejidad o porque afectan a versiones sin soporte.
Por lo tanto, se recomienda a los usuarios considerar soluciones de terceros como 0patch para proteger sus sistemas, especialmente si utilizan versiones sin soporte, o deshabilitar funciones vulnerables si es posible.
IOCONTROL: Nuevo malware dirigido a infraestructuras críticas
Investigadores de Flashpoint han identificado un nuevo malware atribuido al grupo hacktivista proiraní Cyber Av3ngers. IOCONTROL, diseñado para atacar sistemas IoT y OT, ha sido detectado en ataques contra infraestructuras de gestión de combustible en EE. UU. e Israel. En concreto, este malware utiliza técnicas avanzadas para evadir análisis, incluyendo empaquetado con UPX modificado y cifrado AES-256 para ocultar su dominio C2.
Una vez desplegado, establece persistencia en el sistema, recolecta información y mantiene comunicación con su servidor de control a través del protocolo MQTT. Asimismo, los investigadores de Flashpoint habrían identificado a un presunto desarrollador ofreciendo IOCONTROL en foros clandestinos, lo que podría favorecer su proliferación en futuros ataques.
Dada su sofisticación, se recomienda a las organizaciones fortalecer sus medidas de seguridad en entornos industriales.
Presunta brecha de datos: CloudSEK responde con nuevas evidencias tras las declaraciones de Oracle
Actualmente, CloudSEK y Oracle están envueltos en una controversia respecto a una supuesta brecha de datos en la infraestructura en la nube de Oracle. Inicialmente, CloudSEK identificó que un actor malicioso, conocido como "rose87168", afirmó haber comprometido un endpoint de inicio de sesión único (SSO) de Oracle, obteniendo acceso a 6 millones de registros que incluían credenciales SSO y LDAP, claves OAuth2 e información de clientes.
Oracle respondió negando categóricamente cualquier brecha de seguridad, asegurando que las credenciales divulgadas no estaban asociadas con Oracle Cloud y que ningún cliente se vio afectado. Sin embargo, CloudSEK presentó evidencia adicional que, según ellos, confirma la intrusión y destaca la necesidad de transparencia y colaboración en materia de ciberseguridad. Sus investigadores rastrearon la actividad del atacante hasta un endpoint de producción comprometido (login.us2.oraclecloud.com), utilizado para autenticar solicitudes API mediante tokens OAuth2.
Además, CloudSEK verificó que varios dominios proporcionados por el atacante correspondían a clientes reales de Oracle Cloud.
Corregido un fallo 0-day en Chrome activamente explotado
Google ha corregido un fallo 0-day de alta gravedad en Chrome, el cual ha sido explotado activamente por actores maliciosos en ataques de espionaje. Google solucionó el fallo para los usuarios del canal Stable Desktop, y las versiones parcheadas se distribuyeron en todo el mundo a los usuarios de Windows (134.0.6998.178).
Por otro lado, investigadores de Kaspersky describieron la vulnerabilidad como un manejo incorrecto proporcionado en circunstancias no especificadas en Mojo en Windows. La falla se está empleando en ataques de phishing como parte de una campaña de ciberespionaje dirigida a organizaciones rusas y bautizada como Operation ForumTroll.
La campaña se dirige específicamente a medios de comunicación, instituciones educativas y organizaciones gubernamentales del país. Los atacantes utilizan los exploits CVE-2025-2783 para eludir las protecciones sandbox de Chrome e infectar objetivos con malware sofisticado. Asimismo, se utilizaba un segundo exploit que permitía la ejecución remota de código en los sistemas comprometidos.
No obstante, parchear Chrome desactivaría toda la cadena de exploits, bloqueando posibles ataques.
EncryptHub aprovecha CVE-2025-26633 en sus ataques
Un informe de Trend Micro revela que el actor de amenazas EncryptHub, también conocido como Larva-208 o Water Gamayun, ha explotado en sus ataques la vulnerabilidad CVE-2025-26633 (CVSSv3 de 7.0 de acuerdo con Microsoft), un problema 0-day de elusión de funciones de seguridad de la consola de gestión de Microsoft.
EncryptHub ha desarrollado una técnica para aprovecharse de la falla, la cual Trend Micro ha nombrado como MSC EvilTwin, que consiste en manipular archivos .msc y la ruta de la Interfaz de Usuario Multilingüe (MUIPath) para descargar y ejecutar cargas útiles maliciosas, dado que el usuario no recibe una advertencia antes de cargar archivos MSC inesperados en dispositivos sin parches.
En los ataques, EncryptHub ha implementado múltiples familias de malware como la puerta trasera SilentPrism, o los infostealers Stealc y Rhadamanthys.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
