Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 18-24 octubre
ColdRiver despliega nueva campaña de ciberespionaje tras exponerse LOSTKEYS
Google ha identificado una nueva campaña del grupo ruso ColdRiver (UNC4057/Star Blizzard/Callisto) dirigida contra gobiernos de la OTAN, exdiplomáticos y ONG. Tras la exposición del malware LOSTKEYS en mayo, el grupo reemplazó su infraestructura en menos de una semana y lanzó un nuevo conjunto de herramientas centradas en el downloader NOROBOT. Este emplea un señuelo de tipo CAPTCHA para ejecutar archivos maliciosos y establecer comunicación con servidores C2.
Las versiones recientes dividen la clave de cifrado en fragmentos, dificultando el análisis forense. NOROBOT descarga posteriormente un backdoor en PowerShell denominado MAYBEROBOT, diseñado para ofrecer control remoto persistente y ejecutar cargas adicionales.
GTIG señala que ColdRiver alterna entre simplificar y complejizar la cadena de infección para optimizar eficacia y evasión.
Falla crítica en AWS provoca interrupción masiva de servicios globales
Una interrupción en la infraestructura de Amazon Web Services (AWS) afectó a millones de usuarios y múltiples plataformas, incluyendo Amazon.com, Prime Video, Fortnite, Canva y Perplexity AI. El incidente se originó en la región US-EAST-1 y fue atribuido inicialmente a un fallo en la resolución DNS del endpoint de DynamoDB.
La falla generó aumentos de latencia y errores en servicios clave, afectando tanto a consumidores como a la creación de casos de soporte. Aunque AWS informó una recuperación parcial tras 45 minutos, nuevas incidencias relacionadas con sus balanceadores de carga de red prolongaron la inestabilidad. Entre los servicios impactados se incluyen aplicaciones críticas como Roblox, Hulu, Robinhood, Grammarly y el entorno educativo Canvas, que continuó presentando fallos de acceso.
AWS indicó haber implementado medidas de mitigación adicionales y continúa trabajando en la restauración completa y en la identificación de la causa raíz del incidente.
Actores de amenazas explotan ToolShell en campañas de ciberespionaje
Broadcom ha advertido de que actores de amenazas, incluyendo a UNC5221 y grupos asociados con Glowworm, han estado explotando activamente el fallo de ejecución remota de código ToolShell (CVE-2025-53770, CVSSv3 9.8 según Microsoft), que afecta a los servidores SharePoint on-premise, para obtener acceso inicial sin autenticación.
En campañas dirigidas a una empresa de telecomunicaciones en Oriente Medio y a agencias gubernamentales y universidades en África, Sudamérica y EE. UU., los atacantes desplegaron herramientas como el backdoor HTTP Zingdoor y el troyano de acceso remoto modular ShadowPad, a menudo mediante la técnica de DLL sideloading utilizando binarios legítimos para evadir la detección.
La cadena de ataque también incluye el loader KrustyLoader y el uso del exploit PetitPotam (CVE-2021-36942, CVSSv3 7.5 según Microsoft) para escalar privilegios y robar credenciales, con el objetivo principal de espionaje y establecer acceso persistente.
Se recomienda aplicar los parches disponibles para ToolShell y las demás fallas explotadas.
Oracle publica más de 300 nuevos parches de seguridad
Oracle ha lanzado su Actualización Crítica de Parches (CPU) de octubre de 2025, que incluye un total de 374 nuevos parches de seguridad que abordan aproximadamente 260 CVEs únicos. Además, más de 230 de estos parches corrigen vulnerabilidades que son explotables remotamente sin necesidad de autenticación, incluyendo una docena de fallos críticos como CVE-2025-6965 y CVE-2025-53037 (CVSSv3 9.8 según fabricante en ambos casos).
El producto más afectado fue Oracle Communications, con 73 parches, de los cuales 47 son vulnerabilidades explotables remotamente sin autenticación, seguido por Communications Applications (64 parches) y Financial Services Applications (33 parches). Otros productos afectados significativamente incluyen Fusion Middleware, Retail Applications y MySQL (con 18 parches cada uno). La CPU se lanzó después de que Oracle advirtiera de un 0-day en E-Business Suite que estaba siendo explotado activamente por un grupo de extorsión, aunque el aviso de octubre no menciona nuevas vulnerabilidades siendo explotadas activamente.
PassiveNeuron: campaña global de ciberespionaje dirigida a servidores SQL
Según Securelist, PassiveNeuron es una campaña de ciberespionaje que desde 2024-2025 ha atacado servidores de gobiernos, finanzas e industria en Asia, África y Latinoamérica. Suelen lograr ejecución remota aprovechando servidores Microsoft SQL (vía vulnerabilidades, SQLi o credenciales) e intentan desplegar web shells. Cuando son bloqueados, recurren a una cadena multilayer de loaders DLL para persistir y evitar detección. Se usó Dead Drop Resolver (recuperar configuración desde ficheros en GitHub) y otras técnicas típicas de familias de habla china; la atribución apunta a actores chinos con baja confianza, si bien se detectaron indicios deliberadamente engañosos.
Las defensas observadas incluyen detección de intentos ruidosos de despliegue y bloqueo por EDR; los atacantes adaptaron técnicas para evadirlas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
