Boletín Semanal de Ciberseguridad, 5-11 julio
Microsoft corrige 132 vulnerabilidades en su actualización de julio
Microsoft ha publicado Patch Tuesday de julio de 2025, corrigiendo un total de 132 fallas, 14 de ellas catalogadas como críticas. Entre las más destacadas se encuentran varias vulnerabilidades de ejecución remota de código (RCE) en servicios ampliamente utilizados como Windows KDC Proxy (CVE-2025-49735, CVSSv3 8.1 según proveedor) y SharePoint Server (CVE-2025-49704, CVSSv3 8.8 según proveedor). También se han identificado fallos en Hyper-V (CVE-2025-48822, CVSSv3 8.6 según proveedor) y el mecanismo de seguridad NEGOEX (CVE-2025-47981), este último con un CVSSv3 de 9.8 según Microsoft.
Pese a que ninguno de estos fallos ha sido explotado activamente, Microsoft ha clasificado varias como de explotación “más probable”. Cisco Talos ha publicado un nuevo conjunto de reglas Snort para detectar intentos de explotación de estas vulnerabilidades, e insta a los usuarios de firewalls a actualizar sus sistemas de defensa cuanto antes.
Bert: nuevo ransomware multiplataforma detectado en ataques globales
Trend Micro ha identificado al nuevo grupo de ransomware Bert, activo desde abril y responsable de ataques contra organizaciones en Asia, Europa y EE. UU., incluyendo sectores como sanidad, tecnología y servicios de eventos.
El ransomware afecta a sistemas Windows y Linux, y su vector de acceso inicial aún es desconocido, si bien estaría en desarrollo activo. Dentro del sistema, un script en PowerShell desactiva herramientas de seguridad antes de ejecutar el malware. Aunque no se ha atribuido a un grupo específico, se ha detectado infraestructura rusa en su operación, lo que podría sugerir vínculos con actores de esa región.
Además, los investigadores señalan que Bert podría derivar de la variante Linux de REvil, grupo desmantelado en 2021, al encontrarse similitudes en su código.
Accesos ilegítimos a través de claves ASP.NET filtradas
El Initial Access Broker Gold Melody, también conocido como Prophet Spider o UNC961, ha sido vinculado a una campaña de ataques que aprovecha claves ASP.NET filtradas para comprometer servidores y vender el acceso a otros actores maliciosos.
Según Unit 42 de Palo Alto Networks, los atacantes emplean técnicas de deserialización ViewState para ejecutar código malicioso en memoria, evadiendo muchas soluciones EDR tradicionales. Microsoft ya había alertado en febrero de 2025 sobre más de 3.000 claves públicas susceptibles de ser explotadas para este fin. Las víctimas se concentran en sectores como finanzas, logística o tecnología, principalmente en EE. UU. y Europa. Entre enero y marzo de 2025 se detectó un pico de actividad, con uso de herramientas post-explotación como escáneres de puertos y programas en C# para escalada de privilegios.
El ataque destaca por su persistencia en memoria y bajo rastro forense, lo que dificulta su detección sin análisis de comportamiento en servidores IIS.
Publicada una PoC para la vulnerabilidad CitrixBleed2
Investigadores de watchTowr han publicado recientemente una PoC para CitrixBleed 2 (CVE-2025-5777, CVSSv3 de 9.3), incrementando el riesgo de explotación masiva ante el bajo índice de parcheo observado. El fallo consiste en una lectura fuera de límites de memoria en dispositivos Citrix NetScaler ADC y Gateway, permitiendo a atacantes no autenticados extraer datos sensibles como tokens de autenticación desde la memoria del sistema.
Esto facilita el secuestro de sesiones, eludir MFA y acceder sin autorización a sistemas críticos. El fallo afecta a dispositivos configurados como Gateway o servidores virtuales AAA. El ataque consiste en enviar una solicitud HTTP POST manipulada al endpoint de login, provocando la filtración de memoria en la respuesta XML bajo la etiqueta <InitialValue>. Esta técnica permite obtener tokens válidos tras múltiples intentos.
Nueva campaña de Anatsa en América del Norte
ThreatFabric ha detectado una nueva campaña del troyano bancario Anatsa dirigida a EE. UU. y Canadá. Distribuido desde Google Play, Anatsa se oculta en apps legítimas como lectores de PDF que, tras alcanzar miles de descargas, reciben una actualización con código malicioso.
El troyano permite robo de credenciales, keylogging y ejecución de transacciones desde el dispositivo infectado. En esta campaña, la app maliciosa figuró entre las tres más descargadas en su categoría y superó las 50.000 instalaciones. Su distribución, entre el 24 y 30 de junio, introdujo una falsa actualización que desplegó Anatsa y usó una superposición de pantalla que mostraba un mensaje de "mantenimiento programado" al abrir apps bancarias, ocultando actividades maliciosas y evitando el contacto con soporte.
Las instrucciones se envían desde su servidor C2, permitiendo adaptarse a objetivos bancarios.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →