Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 26 julio 1 agosto
SonicWall parchea un nuevo fallo crítico en dispositivos SMA 100
SonicWall ha advertido de una vulnerabilidad crítica de carga de archivos arbitrarios autenticados, la cual podría permitir a los atacantes la ejecución remota de código. El fallo, rastreado como CVE-2025-40599 (CVSSv3 de 9.1 según CISA) está causado por un problema de carga de archivos sin restricciones en las interfaces de gestión web de los dispositivos. Esto puede permitir a los actores de amenazas remotos con privilegios administrativos cargar archivos arbitrarios en el sistema.
A pesar de esta condición y de que SonicWall aún no ha encontrado evidencia de explotación activa de la falla, los dispositivos SMA 100 ya estarían siendo objetivo de ataques utilizando credenciales comprometidas, de acuerdo con informes proporcionados por Google Threat Intelligence Group. La vulnerabilidad no afecta a los productos SonicWall SSL VPN de la serie SMA1000 ni a SSL-VPN que se ejecutan en los cortafuegos SonicWall.
Por su parte, SonicWall recomienda encarecidamente que los usuarios de los productos de la serie SMA 100 (SMA 210, 410 y 500v) actualicen a la versión corregida.
UNC3944 compromete entornos VMware ESXi mediante técnicas avanzadas
A mediados de 2025, Google Threat Intelligence detectó una campaña sofisticada del grupo UNC3944 (relacionado con Scattered Spider), dirigida a sectores como el retail, aviación y seguros en EE. UU. El grupo emplea ingeniería social agresiva para vulnerar help desks, obtener credenciales privilegiadas y acceder a entornos VMware vSphere.
Mediante tácticas "living-off-the-land", manipulan Active Directory para escalar privilegios y comprometer vCenter, instalando el backdoor Teleport. Luego acceden al hipervisor ESXi, copian discos virtuales de controladores de dominio y exfiltran datos sin ser detectados por soluciones EDR. Posteriormente sabotean sistemas de respaldo y ejecutan ransomware desde el propio hipervisor.
La defensa recomendada se basa en tres pilares: endurecimiento preventivo (bloqueo de SSH, MFA, cifrado de VMs), integridad arquitectónica (segmentación de identidades críticas, eliminación de bucles de autenticación) y detección avanzada mediante correlación de logs y alertas de alta fidelidad.
APT rusa Laundry Bear apunta a infraestructuras de la OTAN con dominios falsos
Los servicios de inteligencia neerlandeses (AIVD y MIVD), junto con Microsoft Threat Intelligence, han identificado a Laundry Bear (también conocido como Void Blizzard) como un grupo APT respaldado por el Estado ruso, activo desde abril de 2024. Este actor ha lanzado campañas de espionaje contra países de la OTAN, Ucrania y diversas entidades europeas y estadounidenses, incluyendo ONG y fuerzas policiales.
Laundry Bear emplea credenciales robadas, cookies de sesión y dominios falsos en ataques de phishing sofisticados. Investigaciones más avanzadas revelaron una infraestructura extensa basada en dominios typosquatting, redirecciones maliciosas, y el uso de servicios como Mailgun, Cloudflare y SMTP2GO. Las técnicas empleadas incluyen cadenas CNAME, certificados autofirmados y subdominios temáticos como login y okta. Asimismo, se detectaron múltiples dominios falsificados vinculados a entidades gubernamentales y corporativas que imitaban servicios legítimos para el robo de credenciales.
Las autoridades alertan sobre la posible reactivación del grupo y recomiendan una vigilancia activa de estos indicadores.
ToxicPanda: troyano bancario ataca móviles Android en Portugal y España
El malware bancario ToxicPanda ha comprometido más de 4.500 dispositivos Android, principalmente en Portugal (3.000 casos) y España (1.000), consolidándose como una amenaza relevante en Europa a inicios de 2025. Inicialmente detectado en Asia en 2022, el malware ha evolucionado con capacidades avanzadas para robar credenciales bancarias mediante superposición de pantallas falsas, interceptación de SMS y control total del dispositivo a través de servicios de accesibilidad.
El troyano se distribuye mediante APKs maliciosas alojadas en dominios comprometidos o falsos sitios de actualización, haciéndose pasar por Google Chrome. Solicita hasta 58 permisos y usa técnicas antiemulación para evitar análisis en entornos virtuales. Afecta especialmente a móviles económicos de marcas como Samsung, Xiaomi y Oppo. Asimismo, la infraestructura emplea DGA, cifrado DES y AES, y dominios vinculados a Cloudflare, mientras que su persistencia se asegura con la reactivación tras desinstalación y cierre forzado de ventanas del sistema.
Su eliminación requiere herramientas como ADB. Se recomienda evitar APKs fuera de tiendas oficiales y revisar permisos concedidos a las apps.
GOLD BLADE perfecciona su cadena de infección con RedLoader
El grupo cibercriminal GOLD BLADE (también conocido como RedCurl o Red Wolf) ha desplegado una nueva cadena de infección en sus campañas recientes, dirigidas a personal de recursos humanos mediante correos de phishing con documentos falsos de candidatos. Esta técnica, observada en julio de 2025, combina LNK maliciosos y binarios legítimos de Adobe para cargar remotamente su malware RedLoader.
El ataque inicia con un PDF que enlaza a un archivo ZIP con un LNK que ejecuta conhost.exe, conectándose a un dominio controlado por los atacantes vía WebDAV. Desde ahí, se descarga un ejecutable firmado por Adobe que carga una DLL maliciosa (RedLoader etapa 1) sin escribir archivos maliciosos en disco. Posteriormente, una tarea programada descarga la etapa 2 de RedLoader, que establece comunicaciones con el C2, realiza reconocimiento en Active Directory y facilita la exfiltración de datos.
Sophos recomienda activar políticas de restricción para bloquear LNK y ofrece firmas específicas para detectar estas variantes.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
