Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 23-29 agosto
Citrix corrige un fallo crítico RCE de NetScaler explotado en ataques 0-day
Citrix ha corregido tres vulnerabilidades en NetScaler ADC y NetScaler Gateway, destacando la crítica CVE-2025-7775 (CVSSv4 de 9.2 según fabricante), una falla de desbordamiento de memoria que permite la ejecución remota de código sin autenticación y que fue activamente explotada como 0-day.
Los otros dos fallos se corresponden con CVE-2025-7776 (CVSSv4 de 8.8 según Citrix), un desbordamiento de memoria que genera una condición DoS y CVE-2025-8424 (CVSSv4 de 8.7 según Citrix), causado por un control de acceso indebido en la interfaz de gestión.
Las fallas afectan a versiones anteriores a 14.1-47.48, 13.1-59.22, 13.1-37.241-FIPS/NDcPP y 12.1-55.330-FIPS/NDcPP, por lo que Citrix recomienda actualizar lo antes posible el firmware. Si bien el fallo CVE-2025-7775 ha sido observado en ataques reales, no se han detectado exploits públicos.
Mustang Panda: sofisticadas tácticas de ciberespionaje en 2025
Picus Security ha expuesto las tácticas, técnicas y procedimientos del grupo APT Mustang Panda, activo desde 2014 y vinculado a ciberespionaje estatal chino. El grupo ataca entidades gubernamentales, ONGs y organizaciones religiosas en EE.UU., Europa y Asia mediante campañas de spear-phishing con señuelos geopolíticos y malware modular como PlugX, Poison Ivy y nuevas familias como FDMTP.
En 2025, las autoridades desmantelaron más de 4.200 infecciones de PlugX distribuidas por USB, demostrando la persistencia del actor. Mustang Panda emplea tácticas como spear-phishing con archivos LNK, abuso de "msiexec.exe" para ejecución sin archivos y carga lateral de DLL. Para persistencia, utiliza claves de registro, tareas programadas y servicios maliciosos.
En evasión, destacan inyecciones de procesos, robo de credenciales con volcado de LSASS y técnicas de descubrimiento con WMI y comandos del sistema. La recolección incluye capturas de pantalla, keylogging y compresión con WinRAR.
TAG-144 intensifica ataques contra entidades gubernamentales en Sudamérica
TAG-144, también conocido como Blind Eagle o APT-C-36, ha desarrollado cinco campañas entre mayo de 2024 y julio de 2025, enfocadas en entidades gubernamentales de Colombia y, en menor medida, Ecuador, Chile y Panamá. Activo desde 2018, combina ciberespionaje y fraude financiero mediante troyanos de acceso remoto como AsyncRAT, REMCOS RAT, DcRAT, LimeRAT y XWorm.
De acuerdo con Recorded Future, las campañas usan cadenas de infección multi-etapa y abusan de servicios legítimos como Discord, GitHub y Archive.org, además de técnicas de esteganografía. La infraestructura incluye VPS, IPs de ISPs colombianos, dominios dinámicos en duckdns.org y noip.com, y las VPN para ocultar operaciones.
Algunas campañas aprovechan hosting gratuito, Telegram y páginas de phishing que suplantan bancos como Bancolombia. También se detectaron vínculos con Red Akodon mediante repositorios compartidos y cuentas comprometidas.
Parcheados nuevos fallos en Tableau Server y Desktop
Salesforce ha corregido varias vulnerabilidades críticas en Tableau Server y Desktop. La más grave es CVE-2025-26496 (CVSSv3 de 9.6 según CISA), un fallo type confusión que permite la inclusión de código local y ejecución arbitraria en los módulos de carga de archivos.
Otras fallas incluyen CVE-2025-26497 y CVE-2025-26498 (CVSSv3 de 7.7 según fabricante), que permiten la carga de archivos maliciosos en los módulos Flow Editor y establish-connection-no-undo, así como CVE-2025-52450 y CVE-2025-52451 (CVSSv3 de 8.5 según fabricante), que afectan a la API tabdoc mediante fallos de validación y traversal de rutas. Afectan a Tableau Server en versiones anteriores a 2025.1.4, 2024.2.13 y 2023.3.20, y las correspondientes de Tableau Desktop en Windows y Linux.
Actores comprometen Salesloft para robar tokens OAuth y acceder a Salesforce
Salesloft confirmó una brecha en su integración SalesDrift con Salesforce, donde atacantes sustrajeron tokens OAuth y refresh entre el 8 y 18 de agosto de 2025. Con estas credenciales, los actores accedieron a instancias de Salesforce y ejecutaron consultas SOQL para extraer datos sensibles, incluyendo claves de AWS, contraseñas y tokens relacionados con Snowflake.
Según Google Threat Intelligence, el grupo UNC6395 está detrás de la campaña, empleando infraestructura oculta en Tor, AWS y DigitalOcean, y herramientas personalizadas como Salesforce-Multi-Org-Fetcher. Aunque ShinyHunters se atribuyó inicialmente el ataque, no hay evidencia que lo vincule. Salesloft y Salesforce revocaron todos los tokens activos, solicitando a los clientes reconectar la integración.
Se recomienda rotar credenciales, revisar logs y buscar posibles secretos expuestos, como claves AKIA, credenciales de Snowflake y las URL de acceso a VPN o SSO.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
