Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 24-30 enero
KONNI usa malware PowerShell generado por IA para atacar desarrolladores de blockchain
Check Point Research ha revelado una nueva campaña de phishing dirigida por el grupo norcoreano KONNI que apunta específicamente a desarrolladores y equipos de ingeniería, especialmente en entornos asociados a blockchain y criptomonedas. Los atacantes envían enlaces maliciosos a través de Discord que descargan un ZIP con un acceso directo (LNK) malicioso y un PDF señuelo.
Al ejecutarse, el acceso directo lanza un backdoor de PowerShell altamente ofuscado, junto con scripts y un ejecutable para sortear el control de cuentas de usuario, estableciendo persistencia mediante tareas programadas y comunicación continua con un servidor de comando y control.
La pieza central del malware presenta indicadores de haber sido generado con ayuda de inteligencia artificial, con documentación integrada y estructura modular poco comunes en malware tradicional. KONNI expande su enfoque tradicional más allá de objetivos geopolíticos hacia activos técnicos y financieros digitales.
La superalianza SLSH explota Okta SSO y ejecuta ataques contra más de 100 grandes empresas
Silent Push alerta sobre una campaña en curso liderada por el grupo criminal denominado SLSH, una alianza entre Scattered Spider, LAPSUS$ y ShinyHunters. Esta amenaza está atacando cuentas Okta SSO de más de 100 grandes organizaciones internacionales, entre las que cita a empresas tecnológicas como Atlassian o Zoominfo, del sector sanitario como Moderna, del financiero como Blackstone, de las telecomunicaciones como Telstra, del retail como Carvana o del energético como Halliburton.
Los atacantes utilizan paneles de phishing en vivo y tácticas de vishing (phishing por voz) para interceptar credenciales y tokens de autenticación multifactor en tiempo real, lo que les permite bypassear incluso protecciones avanzadas de MFA y tomar control total de entornos empresariales. Las consecuencias incluyen la exfiltración de datos, movimiento lateral en redes internas y posible cifrado de datos con extorsión.
Se recomienda auditar logs de SSO, alertar a empleados y utilizar MFA resistente al phishing, como FIDO2.
Mustang Panda actualiza el backdoor CoolClient con módulos de robo de credenciales de navegador
Un informe de Kaspersky advierte de que el grupo de amenaza Mustang Panda ha actualizado su backdoor CoolClient con capacidades ampliadas para robo de credenciales de navegador, monitoreo del portapapeles, sniffing de credenciales de proxy HTTP y operaciones de gestión de archivos y servicios mediante plugins especializados. CoolClient mantiene persistencia a través de modificaciones en el Registro, servicios de Windows y tareas programadas y utiliza DLL sideloading con binarios legítimos para evadir detección.
Kaspersky identificó tres variantes: una apuntada a Chrome, otra a Edge y una variante general para navegadores basados en Chromium, capaces de extraer y descifrar datos de inicio de sesión almacenados. Además, se observaron scripts de recopilación y exfiltración que recolectan información del sistema, documentos recientes y credenciales antes de subirlos a servicios públicos como Pixeldrain y Google Drive.
Estas herramientas se han desplegado contra entidades gubernamentales en Asia y Rusia, indicando una campaña de espionaje con foco en exfiltración de datos sensibles y vigilancia persistente.
Actores estatales y ciberdelincuentes explotan la vulnerabilidad CVE-2025-8088 en WinRAR seis meses después del parche
Google Threat Intelligence ha detallado la explotación activa de la vulnerabilidad en WinRAR CVE-2025-8088 (CVSSv4 8.4 según ESET), un fallo de path traversal que permite a un atacante colocar y ejecutar archivos fuera del directorio de extracción previsto, aprovechando flujos de datos alternativos en archivos RAR especialmente manipulados.
Google confirma explotación activa desde al menos 18 de julio de 2025 (la vulnerabilidad fue parcheada el 30 de julio), empleada tanto por actores estatales vinculados a Rusia y China como por ciberdelincuentes para establecer acceso inicial y entregar diversos payloads.
Según el informe, los grupos rusos UNC4895 (también conocido como RomCom o Cigar), APT44 (Frozenbarents), TEMP.Armageddon (Carpathian) y Turla (Summit) han explotado la falla para distribuir malware como Stockstay, entre otros; un grupo estatal chino no identificado logró infectar a una víctima con PoisonIvy y diversos ciberdelincuentes con motivaciones económicas instalaron malware RAT (Xworm o AsyncRAT) en organizaciones empresariales.
Se recomienda la actualización a la última versión disponible de WinRAR.
Operación Bizarre Bazaar: primera campaña de LLMjacking atribuida con monetización
Pillar Security ha identificado una campaña masiva denominada Operation Bizarre Bazaar, que representa la primera operación sistemática de "LLMjacking" con fines de monetización comercial.
Esta consiste en el secuestro de infraestructura de Inteligencia Artificial mediante el escaneo distribuido de la red en busca de entornos de desarrollo expuestos y endpoints de modelos de lenguaje de gran tamaño (LLM) que carecen de autenticación o utilizan configuraciones por defecto.
Los actores de amenazas, que operan a través de una cadena de suministro coordinada que incluye el mercado criminal "silver.inc", utilizan estos recursos para realizar inferencias gratuitas, exfiltrar datos de los historiales de conversación o realizar movimientos laterales hacia sistemas internos a través del Protocolo de Contexto de Modelo (MCP). El impacto de la campaña ha sido global, afectando a múltiples sectores con más de 35.000 sesiones de ataque detectadas que buscan revender el acceso a la capacidad de cómputo robada.
Se insta a habilitar la autenticación en todos los endpoints de IA, realizar auditorías de exposición de servidores MCP, bloquear subredes de infraestructura maliciosa conocida e implementar límites de tasa y monitoreo de comportamiento para detectar patrones de enumeración de múltiples proveedores.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
