Boletín Semanal de Ciberseguridad, 4-10 octubre
Extorsión masiva tras brechas en instancias de Salesforce
Un grupo de extorsión que se autodenomina "Scattered Lapsus$ Hunters", asociando a ShinyHunters, Scattered Spider y Lapsus$, ha lanzado un nuevo sitio de filtraciones para presionar a decenas de empresas afectadas por una ola de brechas en instancias de Salesforce, publicando muestras de datos sustraídos y exigiendo pagos antes del 10 de octubre.
En la lista figuran grandes marcas y organizaciones que, según los atacantes, ya fueron contactadas y vieron cómo se descargaban las muestras, aunque muchas optaron por no responder. Las intrusiones habrían comenzado con campañas de vishing que engañaron a empleados para instalar aplicaciones OAuth maliciosas en entornos de Salesforce, lo que permitió a los atacantes extraer bases de datos, tokens y credenciales.
Los operadores afirman además haber usado tokens robados para acceder a integraciones de terceros y amplificar el impacto, y piden a Salesforce un rescate para evitar la publicación masiva de alrededor de mil millones de registros.
Salesforce declara que no hay indicios de compromiso de la plataforma ni de vulnerabilidades en su tecnología y que investiga los incidentes junto a clientes y autoridades.
Ciberdelincuentes y actores estatales intensifican ataques a Microsoft Teams mediante ingeniería social y malware
Microsoft Threat Intelligence alertó que Microsoft Teams se ha convertido en un objetivo prioritario para ciberdelincuentes y actores estatales, que abusan de sus funciones de mensajería, llamadas y videoconferencias a lo largo de la cadena de ataque.
Entre las técnicas observadas destacan la suplantación de soporte técnico, el uso de deepfakes y la distribución de malware como DarkGate o ReedBed mediante chats o videollamadas. Grupos como Storm-1811, Octo Tempest y Midnight Blizzard utilizan Teams para el robo de credenciales, eludir la autenticación multifactor y ejecutar campañas de ransomware o exfiltración de datos. También se detectó la explotación de APIs y herramientas como AADInternals o TeamFiltration para reconocimiento, persistencia y movimiento lateral.
Microsoft recomienda medidas de endurecimiento de identidades, protección de endpoints, cifrado E2E, control de accesos externos y detección avanzada con Defender XDR y Cloud Apps, reforzando políticas de seguridad en el marco de la Secure Future Initiative (SFI).
Abuso de CSS en correos electrónicos: la técnica de “hidden text salting” desafía los filtros de detección
Cisco Talos ha detectado un aumento en el uso malicioso de hojas de estilo en cascada (CSS) para ocultar texto irrelevante, técnica conocida como hidden text salting, empleada para evadir sistemas de detección en correos electrónicos.
Los atacantes insertan contenido oculto en el preencabezado, encabezado, cuerpo o adjuntos de los correos mediante propiedades CSS como font-size, opacity, display o visibility, que hacen invisible el texto añadido. Talos identifica tres tipos de “sal”: caracteres (incluyendo ZWSP y ZWNJ), párrafos irrelevantes y comentarios, utilizados para confundir filtros antispam o análisis estático.
Estas técnicas son mucho más comunes en spam que en correos legítimos, e incluso pueden afectar sistemas avanzados basados en IA o LLMs al alterar la detección de intención o sentimiento del mensaje. Para mitigarlo, Talos propone mecanismos de detección de contenido oculto y sanitización HTML previa, además del uso de filtros inteligentes y soluciones de defensa basadas en aprendizaje automático.
Clop llevaba explotando el 0-day de Oracle E-Business Suite desde agosto
Clop y otros actores han estado explotando activamente la vulnerabilidad crítica CVE-2025-61882 (CVSSv3 9.8 según proveedor) en Oracle E-Business Suite, localizada en el componente de integración de BI Publisher, para lograr ejecución remota de código sin autenticación mediante peticiones HTTP de baja complejidad.
CrowdStrike situó la primera explotación conocida a principios de agosto y describió campañas de robo masivo de documentos sensibles. Oracle lanzó un parche el 4 de octubre y urgió a los clientes a actualizar de inmediato. Los investigadores que revisaron un PoC filtrado en octubre concluyeron que la falla es en realidad una cadena de vulnerabilidades que permite RCE con una sola solicitud, y alertan de que la publicación del PoC probablemente animará a más grupos a crear exploits contra instancias EBS expuestas.
Además de las intrusiones técnicas, Clop ha enviado correos de extorsión a ejecutivos reclamando pagos a cambio de no publicar los datos sustraídos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →