Boletín Semanal de Ciberseguridad, 4-10 julio

10 de julio de 2026

Fancy Bear combina esteganografía LSB y carga reflectiva para desplegar un troyano de control remoto

El instituto chino 360 Advanced Threat Research ha destapado una campaña atribuida a Fancy Bear (APT28) que combina un dropper de macro en un documento Word dirigido a un ministerio de defensa, secuestro de COM sobre explorer.exe para persistencia sigilosa, y ocultación del shellcode mediante esteganografía LSB dentro de una imagen PNG aparentemente inocua. Una vez extraído y descifrado con AES-256 derivado por PBKDF2, el shellcode carga en memoria, mediante reflective loading, un troyano de control remoto en C# muy ofuscado que se comunica con su infraestructura de mando y control a través del servicio legítimo de almacenamiento en la nube Filen.io, camuflando el tráfico entre llamadas API normales.

El implante construye baliza cifradas en JSON con identificadores derivados del sistema, aplica capas adicionales de XOR y Base64, y soporta negociación de claves y ejecución de nuevas cargas también en memoria, minimizando así el rastro en disco. La cadena evidencia la continua sofisticación de Fancy Bear en técnicas fileless y de evasión de análisis estático, con comprobaciones anti-sandbox basadas en temporización y reenvío de exportaciones legítimas para mantener la estabilidad del proceso.

Se recomienda deshabilitar macros por defecto y auditar los registros de CLSID de COM bajo perfiles de usuario.

Más info

Januscape: una vulnerabilidad de 16 años en KVM de Linux permite escapar de máquinas virtuales en la nube

El investigador Hyunwoo Kim ha publicado los detalles de una vulnerabilidad use-after-free en el hipervisor KVM de Linux, presente en el kernel desde agosto de 2010 y registrada como CVE-2026-53359 (sin puntuación CVSS asignada todavía por NVD). El fallo, bautizado Januscape, afecta tanto a procesadores Intel como AMD, lo que lo convierte en el primer exploit documentado públicamente capaz de escapar de una VM invitada al host en ambas arquitecturas.

El problema reside en cómo KVM reutiliza páginas de seguimiento de memoria sin verificar su tipo, lo que puede corromper la memoria del kernel del host. Con virtualización anidada activa, habitual incluso en grandes nubes públicas como GCP o AWS que usan pilas de virtualización propias sin QEMU, un atacante con root dentro de una VM invitada puede provocar el pánico del host o, en el escenario más grave, escribir en memoria ajena para lograr ejecución de código. Kim usó el fallo como 0-day en el programa kvmCTF de Google y advierte que un exploit completo con ejecución de código ya existe, aunque no lo ha publicado.

Los parches ya están disponibles en las versiones estables 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 y 5.10.260. Se recomienda verificar la presencia del commit 81ccda30b4e8 en el kernel en ejecución (no basta con comprobar uname -r por los backports de las distribuciones) y, si no es posible parchear de inmediato, deshabilitar la virtualización anidada para invitados no confiables.

Más info

UNK_MassTraction explota fallos n-day de Roundcube contra universidades de EE. UU. y Canadá

Proofpoint ha publicado un artículo sobre el actor UNK_MassTraction, presuntamente vinculado a China, que explota vulnerabilidades conocidas de Roundcube contra servidores de correo de departamentos de física e ingeniería en universidades estadounidenses y canadienses, con especial interés en profesores y administradores vinculados a seguridad nacional o a la física de partículas y astrofísica.

La cadena de infección arranca con un correo que explota CVE-2024-42009 (CVSSv3 9.3), una XSS que se dispara con solo abrir el mensaje en el cliente web y que carga un stealer en JavaScript denominado IceCube para robar credenciales, cookies y códigos de doble factor. IceCube usa después el token CSRF de la sesión para explotar CVE-2025-49113 (CVSSv3 9.9 según MITRE), una deserialización que permite instalar en el servidor un webshell llamado SquareShell o, como mecanismo de respaldo introducido en junio de 2026, desplegar en memoria el backdoor VShell, ampliamente usado por adversarios alineados con China.

El malware incorpora comentarios extensos en el código y marcadores de fases de ejecución que sugieren haber sido desarrollado con ayuda de un modelo de lenguaje, además de mecanismos de deferred triggers que reintentan la explotación si la víctima cierra la sesión y borran rastros forenses del servidor al finalizar.

Se recomienda tratar los servidores de correo con la misma prioridad defensiva que las VPN y otros nodos de acceso remoto expuestos.

Más info

Campaña de phishing distribuye el troyano bancario Ousaban contra usuarios en España y Portugal

FortiGuard Labs ha identificado una campaña activa que distribuye el troyano bancario Ousaban específicamente contra usuarios en España y Portugal, mediante un PDF de phishing que simula un documento corrupto y utiliza JavaScript ofuscado para redirigir a la víctima hacia una página que suplanta portales de impuestos o instaladores legítimos. La página realiza comprobaciones de geolocalización, idioma, huella de navegador y direcciones IP asociadas a VPN íntegramente en el servidor, denegando el acceso mediante un PDF en español a cualquier visitante que no parezca originarse en España o Portugal.

A quienes superan la verificación se les entrega un downloader en VBS que descarga una imagen esteganográfica y un ZIP, instala el payload final en una ruta del sistema y borra los rastros forenses. Ousaban, activo previamente en Brasil con un instalador MSI, cifra su lista de bancos objetivo con un algoritmo XOR de byte-offset variable similar al usado por la familia Casbaneiro, y resuelve un dominio de C2 que cambia diariamente calculando un hash MD5 sobre la fecha, obtenida de forma independiente del reloj local. Una vez activo, el malware captura pantalla, controla ratón y teclado, inyecta contenido en el portapapeles y registra pulsaciones para facilitar el fraude en tiempo real.

Se recomienda priorizar reglas de detección para los downloaders VBS y monitorizar los artefactos de persistencia asociados.

Más info

Explotación activa de una vulnerabilidad crítica de path traversal en Adobe ColdFusion

Investigadores de KEVIntel han confirmado que la vulnerabilidad CVE-2026-48282 (CVSSv3 10.0 según proveedor) en Adobe está siendo explotada activamente apenas horas después de su divulgación pública. Se trata de un fallo de path traversal sin necesidad de autenticación que permite ejecución remota de código en ColdFusion 2025.9, 2023.20 y versiones anteriores. Según KEVIntel, los primeros intentos de explotación se detectaron menos de dos horas después de conocerse los detalles técnicos, con tráfico originado desde una dirección IP localizada en India.

El historial de ColdFusion refuerza la urgencia: CISA añadió en 2025 otra vulnerabilidad de deserialización de la plataforma a su catálogo de vulnerabilidades explotadas conocidas, y a finales del año pasado GreyNoise documentó una campaña coordinada que abusó de una docena de fallos distintos en el producto durante las fiestas navideñas.

Las organizaciones que operen ColdFusion deben aplicar de inmediato las actualizaciones de seguridad disponibles y monitorizar accesos anómalos a rutas de archivos fuera del directorio raíz de la aplicación.

Más info