Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 25 - 31 enero
Apple corrige múltiples vulnerabilidades, incluido un 0-day activamente explotado
Apple ha lanzado actualizaciones de seguridad para solucionar diversas vulnerabilidades en visionOS, iOS, iPadOS, macOS (Sequoia, Sonoma, Ventura), watchOS, tvOS y Safari. Entre los fallos corregidos destaca un 0-day, identificado como CVE-2025-24085, activamente explotado en ataques dirigidos.
Este fallo, ubicado en el marco Core Media, permite la escalada de privilegios a través de aplicaciones maliciosas. Según Apple, las versiones anteriores a iOS 17.2 son las más afectadas.
La vulnerabilidad ha sido mitigada mediante mejoras en la gestión de memoria en iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 y tvOS 18.3. Los dispositivos impactados incluyen iPhone XS y posteriores, varias generaciones de iPad, Apple Watch Series 6 y modelos más recientes, así como Apple TV.
Apple recomienda instalar las actualizaciones cuanto antes para reducir posibles riesgos.
Elusión de WAF y fallos en API conducen a acceso administrativo total
Se han detectado fallos críticos en una organización, logrando acceso a 3 000 empresas subsidiarias. La explotación de fallos en API permitió la exposición de datos sensibles de empleados y clientes. Los investigadores intentaron utilizar el método traversal pero, un Web Application Firewall (WAF) les bloqueó inicialmente el acceso. Sin embargo, un dominio de producción les permitió eludirlo.
Además, a través de fuzzing, identificaron un endpoint crítico vinculado a microservicios de pagos, extrayendo PII y datos financieros. También obtuvieron acceso a un panel administrativo mediante enumeración de usuarios y fuerza bruta, eludiendo verificaciones KYC y facilitando el robo de identidad.
Asimismo, un fallo en la normalización de solicitudes les permitió eludir autenticaciones backend.
Identificada una campaña maliciosa de distribución de TorNet
Cisco Talos ha identificado una campaña activa desde mediados de 2024 con motivaciones financieras y destinada al despliegue del backdoor TorNet. Los ataques se dirigen principalmente a usuarios de Polonia y Alemania a través de correos electrónicos de phishing con archivos adjuntos maliciosos que simulan ser comunicaciones logísticas o financieras, empleando el malware PureCrypter como mecanismo de entrega.
Una vez ejecutado, PureCrypter descifra y carga TorNet directamente en la memoria, eludiendo los sistemas tradicionales de detección e incluyendo payloads adicionales, como Agent Tesla y Snake Keylogger. En adición, los atacantes desconectan la máquina de la víctima de la red durante el despliegue de la carga útil.
TorNet establece conexiones con servidores C2 a través de la red TOR, mientras que PureCrypter modifica la configuración del sistema, crea tareas programadas y tiene en cuenta las limitaciones de energía del dispositivo.
Rockwell Automation corrige fallos en algunos de sus productos
Rockwell Automation publicó avisos de seguridad sobre seis fallas críticas y altas en sus productos FactoryTalk y DataMosaix. En FactoryTalk, corrigió fallos en View Machine Edition y View Site Edition, algunos explotables remotamente para ejecución de comandos.
Entre estos destaca el CVE-2025-24480, CVSSv3 9.8 según fabricante, producido debido a la falta de saneamiento de entrada y que podría permitir a un atacante remoto ejecutar comandos o código con privilegios altos.
DataMosaix Private Cloud tenía un fallo crítico en SQLite (CVE-2020-11656, CVSSv3 9.8) y un path traversal que exponía información sensible (CVE-2025-0659). También se corrigió una vulnerabilidad DoS en KEPServer, descubierta en Pwn2Own 2023.
El fabricante afirma que no hay evidencia de explotación, pero insta a aplicar parches debido al riesgo en sistemas industriales. Asimismo, CISA ha emitido recomendaciones para algunas de estas vulnerabilidades.
Lazarus Group utiliza un panel de administración para controlar ciberataques globales
Investigadores de SecurityScorecard han observado que Lazarus Group estaría utilizando una plataforma administrativa basada en web para supervisar su infraestructura de mando y control (C2) y todos los aspectos de sus campañas de forma centralizada. Cada servidor C2 alojaba una plataforma construida con una aplicación React y una API Node.js.
Se trataría, pues, de un sistema integral que permite al grupo organizar y gestionar los datos exfiltrados, mantener la supervisión de hosts comprometidos y manejar la entrega de la carga útil. El hallazgo se ha producido en relación con una campaña de ataque a la cadena de suministro denominada Operation Phantom Circuit dirigida al sector de criptomonedas y desarrolladores de todo el mundo con versiones troyanizadas de paquetes de software legítimos que albergan backdoors.
La campaña, activa entre septiembre de 2024 y enero de 2025, tuvo 1 639 víctimas en total, la mayoría en Brasil, Francia e India. Se sospecha que la plataforma se ha usado en todas las campañas de la amenaza “IT Worker”.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
