Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 8 - 14 marzo
Microsoft corrige 57 fallos, 7 de ellos zero-day, en su Patch Tuesday
Microsoft ha publicado su Patch Tuesday de marzo de 2025 corrigiendo 57 fallos de seguridad, incluyendo 6 vulnerabilidades 0-day activamente explotadas y un fallo 0-day adicional públicamente expuesto. Entre estos, 23 se corresponderían con vulnerabilidades de ejecución remota de código (RCE), 6 de ellas críticas.
Con respecto a los 0-day, se corresponden con CVE-2025-24983, el cual permite a los atacantes locales obtener privilegios SYSTEM en el dispositivo; CVE-2025-24984 y CVE-2025-24991, ambos fallos de divulgación de información NTFS de Windows; CVE-2025-24985, falla RCE del controlador del sistema de archivos Windows Fast FAT; CVE-2025-24993, también un fallo RCE, si bien de Windows NTFS; y CVE-2025-26633, una vulnerabilidad de elusión de funciones de seguridad de la consola de gestión de Microsoft.
Por su parte, el fallo 0-day públicamente divulgada se corresponde con la vulnerabilidad de ejecución remota de código en Microsoft Access CVE-2025-26630.
SideWinder intensifica sus ataques a infraestructuras marítimas y nucleares
El grupo APT SideWinder ha ampliado sus ataques a sectores estratégicos como infraestructuras marítimas y energéticas, con un creciente interés en la industria nuclear del sur de Asia.
De acuerdo con un informe publicado por Secure List, a lo largo de 2024 sus operaciones se han extendido a nuevas regiones, incluyendo Egipto y varios países africanos. La campaña detectada se basa en correos de phishing con documentos maliciosos que explotan la vulnerabilidad CVE-2017-11882 (CVSSv3 de 7.8) para desplegar el malware Backdoor Loader y el implante de espionaje StealerBot.
SideWinder destaca por actualizar constantemente su arsenal para evadir detección, modificando su código en cuestión de horas. Las entidades más afectadas incluyen gobiernos, ministerios, empresas de logística y telecomunicaciones.
Strela Stealer se dirige a clientes de correo en Europa
Trustwave ha identificado una nueva campaña de Strela Stealer, un infostealer activo desde 2022 que roba credenciales de correo electrónico en sistemas con Mozilla Thunderbird y Microsoft Outlook.
Este malware ha sido distribuido mediante campañas de phishing en países europeos como España, Alemania, Italia y Ucrania. Recientemente, los atacantes han comenzado a reenviar correos legítimos con facturas falsas que incluyen un archivo ZIP con el loader del malware.
De acuerdo con los investigadores, Strela Stealer es operado por el grupo Hive0145 y utiliza infraestructura de alojamiento ruso para evadir la detección. Su código está altamente ofuscado y emplea técnicas avanzadas como la manipulación de fibras y el análisis del entorno del sistema para dificultar su análisis.
Vulnerabilidad crítica en PHP-CGI con explotación global
La vulnerabilidad CVE-2024-4577 (CVSSv3 9.8, según PHP Group), que afecta a servidores web que ejecutan PHP y que inicialmente fue explotada en ataques contra organizaciones japonesas, ahora representa una amenaza global, advirtieron investigadores.
Cisco Talos y GreyNoise han observado intentos de ataque en varias regiones, incluidas EE. UU., Singapur, Japón, Reino Unido y España, destacando la necesidad de una acción inmediata. La falla afecta la configuración PHP-CGI en servidores web y ha sido utilizada para robar credenciales y establecer persistencia en los sistemas.
Aunque se lanzó un parche a mediados de 2024, GreyNoise identificó 79 formas de explotación para aprovechar la vulnerabilidad y ejecutar código de forma remota en un sistema infectado, lo que sugiere un patrón de ataque en expansión.
Symantec también informó sobre su uso en agosto de 2024 contra una universidad taiwanesa.
Campaña de Blind Eagle contra el gobierno colombiano
Blind Eagle, un grupo APT activo desde 2018, ha dirigido ciberataques contra instituciones gubernamentales, del sector judicial, infraestructuras críticas y otras organizaciones privadas en Colombia.
Según una investigación de Check Point Research, este grupo ha utilizado una variante de la vulnerabilidad CVE-2024-43451 para comprometer a más de 1.600 víctimas en una sola campaña a finales de 2024. Blind Eagle, que se ha observado en ataques a otros países de Latinoamérica, emplea sofisticadas tácticas de ingeniería social para obtener acceso a los sistemas objetivo.
Sus ataques recientes se han basado en archivos .url que, al interactuar con ellos, activan la descarga y ejecución de malware, incluidos troyanos de acceso remoto como NjRAT, AsyncRAT y Remcos.
La explotación de plataformas legítimas de intercambio de archivos como Google Drive y Dropbox les ha permitido evadir las medidas de seguridad tradicionales. Aunque Microsoft publicó un parche para CVE-2024-43451, Blind Eagle se adaptó rápidamente, introduciendo una variante del exploit en solo seis días.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
