Boletín Semanal de Ciberseguridad, 3 octubre
Explotación activa de fallo crítico en GoAnywhere MFT de Fortra
Investigadores de WatchTowr Labs han confirmado la explotación activa de la vulnerabilidad crítica CVE-2025-10035 (CVSSv3 de 10.0 según fabricante) en el software GoAnywhere MFT de Fortra, antes de que la empresa publicara su aviso el 18 de septiembre de 2025.
El fallo, una vulnerabilidad de deserialización en el License Servlet, permite la ejecución remota de comandos sin autenticación mediante una respuesta de licencia falsificada. Los atacantes han creado cuentas de administrador ocultas, desplegado payloads como zato_be.exe y jwunst.exe (este último, un binario legítimo de SimpleHelp usado para acceso persistente), y exfiltrado datos como privilegios de usuario.
Se recomienda actualizar a las versiones parcheadas 7.8.4 o 7.6.3 y eliminar la exposición pública del Admin Console. Fortra también sugiere revisar los logs en busca de errores con la cadena SignedObject.getObject.
El ransomware Akira vulnera cuentas VPN de SonicWall protegidas con MFA
Arctic Wolf Labs ha detectado desde julio de 2025 una agresiva campaña de ransomware Akira que explota accesos maliciosos a VPN SSL en firewalls SonicWall, incluso con autenticación multifactor OTP habilitada.
El ataque, vinculado a la vulnerabilidad CVE-2024-40766 (CVSSv3 de 9.3 según CISA), permite a los actores de amenazas obtener credenciales válidas y desplegar ransomware en menos de una hora. Utilizan herramientas como Impacket para movimiento lateral, escaneo interno, extracción de credenciales de Veeam mediante scripts PowerShell y técnicas de evasión como BYOVD para desactivar defensas. Los sectores afectados son múltiples y globales, con indicios de explotación masiva oportunista.
Se recomienda restablecer credenciales en dispositivos que hayan ejecutado firmware vulnerable, monitorizar accesos desde VPS y detectar actividad SMB sospechosa para interrumpir el ataque en fases tempranas.
Campaña de vishing contra entornos Salesforce permite robo masivo de datos
El grupo de amenazas UNC6040, de motivación financiera, está llevando a cabo campañas de vishing para comprometer instancias de Salesforce y exfiltrar grandes volúmenes de información corporativa. De acuerdo con Google, los atacantes se hacen pasar por personal de soporte técnico en llamadas telefónicas, logrando que empleados aprueben aplicaciones conectadas maliciosas, a menudo versiones falsas del Data Loader de Salesforce.
Con este acceso, los actores obtienen credenciales y privilegios que les permiten extraer datos sensibles, además de moverse lateralmente hacia otras plataformas en la nube como Okta y Microsoft 365. En algunos casos, la extorsión se produce meses después, lo que sugiere colaboración con otros grupos.
Investigadores de Google recomiendan medidas de protección específicas, como la verificación robusta de identidad en solicitudes de soporte, el uso obligatorio de MFA resistente a phishing, el acceso restringido desde dispositivos y redes confiables, y la monitorización detallada de logs de Salesforce para detectar accesos y exfiltraciones anómalas.
Klopatra, nuevo troyano bancario dirigido a España e Italia
Investigadores de Cleafy Labs han descubierto un nuevo troyano bancario para Android denominado Klopatra y vinculado a actores de amenazas con raíces en Turquía. Este malware, aún en desarrollo activo, se especializa en el robo de credenciales bancarias mediante superposición de pantallas falsas, interceptación de SMS y manipulación de notificaciones push.
Se han identificado al menos tres variantes, lo que sugiere una operación en evolución. Klopatra ha sido utilizado en campañas dirigidas principalmente a entidades financieras de España e Italia. En adición, el malware compartiría similitudes con otros troyanos como Hook e Hydra, si bien mantiene una infraestructura propia.
Se recomienda evitar la instalación de apps fuera de tiendas oficiales, revisar permisos de accesibilidad, mantener el sistema operativo actualizado y utilizar soluciones de seguridad móvil.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →