Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 6 junio
Análisis de Scattered Spider
Scattered Spider se ha dirigido a los sectores de hostelería, telecomunicaciones, finanzas y al comercio minorista con una elevada sofisticación. El grupo, activo desde al menos 2022, se diferencia por su combinación de ingeniería social avanzada y conocimientos técnicos.
Su modus operandi se basa en la manipulación de empleados de soporte de TI y eludir la autenticación MFA a través del vishing o tácticas similares, haciéndose pasar por personal legítimo y mostrando dominio del inglés. En adición, Scattered Spider sería socio del RaaS DragonForce, centrándose en la obtención de acceso inicial mientras externaliza el cifrado y la negociación de rescates a DragonForce.
Tras acceder, recopilan credenciales mediante herramientas como Mimikatz y Cobalt Strike, escalan privilegios a través de infraestructuras como Active Directory u Okta, y exfiltran datos confidenciales antes de desplegar el ransomware. Scattered Spider, además, se centraría en servicios SSO y herramientas de acceso remoto como VPN y pasarelas RDP para el movimiento lateral.
Su uso de técnicas living-off-the-land, junto con la desactivación de controles de seguridad y la eliminación de registros, dificulta aún más el análisis y la respuesta a incidentes.
UNC6040 compromete instancias de Salesforce para extorsión de datos
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado una campaña de ciberataques llevada a cabo por el grupo UNC6040, que utiliza técnicas de vishing (phishing por voz) para comprometer instancias de Salesforce en organizaciones multinacionales.
Los atacantes se hacen pasar por personal de soporte técnico y, mediante llamadas telefónicas, persuaden a los empleados para que autoricen una aplicación conectada maliciosa en el portal de Salesforce de la empresa.
Esta aplicación, una versión modificada del Data Loader de Salesforce, no está autorizada por la plataforma y permite a los atacantes acceder, consultar y exfiltrar información sensible directamente desde el entorno comprometido de Salesforce. En algunos casos, las actividades de extorsión no se han manifestado hasta varios meses después de la intrusión inicial, lo que sugiere que UNC6040 podría estar colaborando con otros actores de amenazas para monetizar el acceso a los datos robados.
Durante estos intentos de extorsión, los atacantes han afirmado estar afiliados al grupo de hackers ShinyHunters.
Crocodilus emplea nuevas técnicas de ingeniería social
Investigadores de Threat Fabric han detectado una nueva versión del malware para Android Crocodilus, que ahora incluye una función para añadir contactos falsos al dispositivo infectado. Esta técnica permite que las llamadas de los atacantes muestren nombres confiables como “Soporte del Banco”, suplantando así a entidades legítimas.
Esta característica se activa mediante un comando remoto y se ejecuta mediante la API de ContentProvider. Además, el malware ha evolucionado con mejoras centradas en la evasión, como el empaquetado del código del dropper, cifrado XOR adicional y técnicas de ofuscación que dificultan el análisis. También se ha añadido procesamiento local de datos robados para optimizar la calidad de la información exfiltrada.
Los investigadores han recomendado descargar aplicaciones solo de fuentes confiables y mantener activo Google Play Protect.
Aumenta la presencia de DCRat en América Latina mediante campañas de phishing dirigidas
En mayo de 2025, IBM X-Force detectó una serie de campañas de phishing en Colombia, atribuidas al grupo cibercriminal Hive0131, que suplantaban a la Rama Judicial de Colombia para distribuir el troyano de acceso remoto DCRat.
Estas campañas empleaban correos electrónicos con enlaces a archivos ZIP que, al ser abiertos, ejecutaban scripts maliciosos diseñados para instalar DCRat en la memoria del sistema, evitando así su detección por soluciones antivirus tradicionales. DCRat, operado como Malware-as-a-Service (MaaS) desde al menos 2018, es conocido por su bajo costo y amplia disponibilidad en foros cibercriminales rusos.
Sus capacidades incluyen grabación de audio y video, captura de pulsaciones de teclado, manipulación del sistema de archivos y persistencia mediante tareas programadas o claves de registro.
Publicados detalles técnicos de explotación del fallo CVE-2025-20188
Investigadores de Horizon3 han publicado detalles técnicos de un fallo de carga arbitraria de archivos de Cisco IOS XE WLC, rastreado como CVE-2025-20188 (CVSSv3 10.0 según Cisco). La vulnerabilidad es causada por un código JSON Web Token (JWT) que permite a un atacante remoto no autenticado cargar archivos, realizar path traversal y ejecutar comandos arbitrarios con privilegios de root cuando la función Out-of-Band AP Image Download está activada.
El análisis de Horizon3 muestra que el fallo existe debido a un secreto JWT fallback codificado como notfound y utilizado por los scripts OpenResty (Lua + Nginx) del backend para los puntos finales de carga, combinado con una validación de ruta insuficiente.
En concreto, el backend utiliza los scripts para validar los tokens JWT y gestionar las subidas de archivos, pero si falta el archivo '/tmp/nginx_jwt_key', el script recurre a la cadena notfound para verificar los JWT. Esto permite a los atacantes generar tokens válidos. Se recomienda a los usuarios actualizar a la versión parcheada 17.12.04, o posterior, lo antes posible.
Como solución temporal, es posible desactivar la función Out-of-Band AP Image Download para cerrar el servicio vulnerable.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
