Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 24-30 mayo
Vulnerabilidad crítica en WSO2 permite secuestro de cuentas a través de servicios SOAP
Una vulnerabilidad crítica identificada como CVE-2024-6914 (CVSSv3 9.8) afecta a múltiples productos de WSO2, permitiendo a actores maliciosos tomar el control de cuentas de usuario, incluidas aquellas con privilegios elevados. El fallo se origina en un error de autorización en el servicio de administración SOAP relacionado con la recuperación de cuentas, accesible mediante la ruta "/services".
Explotando esta vulnerabilidad, un atacante puede restablecer contraseñas de cualquier cuenta sin necesidad de autenticación previa, lo que representa un riesgo significativo para la seguridad de las organizaciones que utilizan estos productos.
Se recomienda a las organizaciones que implementen las correcciones proporcionadas por WSO2 y restrinjan el acceso a los servicios SOAP administrativos desde redes no confiables, siguiendo las directrices de seguridad para despliegues en producción.
Análisis del malware DOUBLELOADER
Elastic Security Labs ha identificado una nueva familia de malware denominada DOUBLELOADER, empleada junto al infostealer Rhadamantys y protegida mediante ALCATRAZ, un ofuscador open-source que está siendo empleado ampliamente por actores maliciosos. Originalmente desarrollado en la comunidad de game hacking, ALCATRAZ aplica técnicas avanzadas como control flow flattening, mutación de instrucciones y anti-disassembly, dificultando el análisis del malware.
Asimismo, DOUBLELOADER destaca por inyectar código malicioso en explorer.exe mediante llamadas al sistema y mantener comunicación con un servidor C2. Además, su sección “.0Dev” lo vincula directamente con ALCATRAZ. Los investigadores han desarrollado scripts en IDA Python, reglas YARA y plugins especializados para ayudar a los analistas a identificar estas amenazas.
DragonForce compromete MSPs mediante fallos en SimpleHelp
El grupo de ransomware DragonForce ha explotado vulnerabilidades en SimpleHelp, una herramienta de gestión remota utilizada por proveedores de servicios gestionados (MSPs), para comprometer múltiples redes de clientes. De acuerdo con un informe publicado por Sophos, el grupo empleó los fallos de seguridad CVE-2024-57726 (CVSSv3 9.8), CVE-2024-57727 (CVSSv3 7.5) y CVE-2024-57728 (CVSSv3 7.2) para acceder a sistemas, realizar tareas de reconocimiento, robar datos y desplegar ransomware.
DragonForce ha ganado notoriedad recientemente por ataques a minoristas del Reino Unido como Marks & Spencer y Co-op. Asimismo, los investigadores destacan que la estrategia de DragonForce se caracterizaría por buscar ampliar su influencia mediante un modelo de Ransomware-as-a-Service con cifradores de marca blanca, que pueden ser personalizados por los afiliados.
Corregido un fallo crítico de puerta trasera en routers DGND3700v2 de NETGEAR
Se ha observado una vulnerabilidad de elusión de autenticación en los routers inalámbricos DGND3700v2 de NETGEAR, para el que también se ha publicado una PoC del exploit. El fallo (CVE-2025-4978, CVSSv4 9.3 según VulnDB) se origina en un mecanismo de puerta trasera oculto en el firmware del router y afecta a las versiones V1.1.00.15_1.00.15NA. Un atacante no autenticado podría obtener un control administrativo total sobre los dispositivos afectados, incluyendo el robo de credenciales, el despliegue de malware y la interceptación del tráfico. La falla reside en el servidor mini_http del router, un daemon HTTP ligero responsable de gestionar las peticiones de la interfaz administrativa.
El fallo puede desencadenarse accediendo al endpoint vulnerable /BRS_top.html, que establece un indicador interno “start_in_blankstate = 1”. Este desactiva las comprobaciones de autenticación básica HTTP en la función sub_404930, eludiendo las credenciales de inicio de sesión. NETGEAR ha parcheado el firmware en la versión V1.1.00.26, recomendando su actualización inmediata.
Void Blizzard: nuevo grupo ruso apunta a sectores críticos en Europa y América del Norte
Microsoft ha identificado un nuevo actor de ciberespionaje llamado Void Blizzard (también conocido como LAUNDRY BEAR), vinculado al gobierno ruso. Activo desde al menos abril de 2024, ha dirigido ataques a entidades gubernamentales, defensa, transporte, medios, ONG y sanidad en Europa y América del Norte. Inicialmente centrado en el uso de credenciales comprometidas obtenidas en mercados clandestinos, el grupo ha evolucionado hacia técnicas de spear phishing personalizadas para comprometer cuentas corporativas.
Una vez logrado el acceso, Void Blizzard exfiltra correos electrónicos y documentos confidenciales a través de herramientas como rclone y utiliza servidores de comando y control alojados en servicios legítimos para evadir detección. La campaña destaca por su adaptación a cada víctima y por el uso de infraestructura personalizada y correos específicos redactados con información verosímil para aumentar su tasa de éxito.
Microsoft trabaja en colaboración con servicios de inteligencia de Países Bajos y el FBI para desarticular estas operaciones y proteger a las organizaciones afectadas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
