13 de julio

  1. Principales Vulnerabilidades y Filtraciones de la semana

  2. Silver Fox despliega MODBEACON, un RAT en Rust que se esconde dentro de tráfico gRPC

  3. Armored Likho nuevo APT con BusySnake Stealer contra gobiernos y sector eléctrico

💥Explotan activamente CVE-2026-20896, un bypass de autenticación crítico en la imagen Docker oficial de Gitea que permite suplantar a cualquier usuario, incluidos administradores, aprovechando que la configuración por defecto confía ciegamente en la cabecera X-WEBAUTH-USER (Noticia)

💥Zimbra publica la versión 10.1.19 para corregir un XSS almacenado crítico (sin CVE aún) en el Classic Web Client, reportado por el Threat Analysis Group de Google; basta con abrir un email manipulado para robar sesión, ajustes de cuenta o datos del buzón (Noticia)

💥XRING: un único error de un bug en la librería XQUIC de Alibaba (usada por Tengine, tras Taobao y Alipay) permite tumbar cualquier servidor HTTP/3 con apenas 260 bytes de tráfico QPACK totalmente legítimo, sin autenticación ni paquetes malformados; sin parche ni CVE tras 5 intentos de aviso responsable desde abril (Noticia)

💥CISA añade CVE-2026-48282 (CVSS 10.0) de Adobe ColdFusion a su catálogo KEV tras confirmarse explotación activa, con fecha límite de parcheo para agencias federales el 10 de julio, junto a dos CVEs críticas más en extensiones de Joomla Page Builder (Noticia)

💥Nueva oleada de CVEs críticas en Ubiquiti UniFi: tres fallos más (Connect, Talk y Access) con CVSS de hasta 10.0/9.9, que se suman a la vulnerabilidad de UniFi OS ya explotada semanas atrás (Noticia)

💥runZero destapa 6 vulnerabilidades en el bootloader U-Boot, ampliamente usado en dispositivos embebidos, que permiten ejecutar código malicioso durante el arranque y habilitar ataques de firmware sigilosos y persistentes (Noticia)

Silver Fox despliega MODBEACON, un RAT en Rust que se esconde dentro de tráfico gRPC

QiAnXin ha documentado MODBEACON, un nuevo RAT modular escrito en Rust atribuido al ecosistema chino Silver Fox, detectado en una campaña de mediados de junio de 2026 contra empresas tecnológicas, educativas y estatales en Asia.

Estructura del actor: Silver Fox no es un grupo monolítico, sino una red de "distribuidores" que actúan como una mezcla de arma-dealer criminal y bróker de tráfico: una rama opera campañas SEO diarias para fraude masivo (instaladores falsos de software popular), y otra se dedica a distribuir troyanos avanzados o alquilar accesos de alto valor a "clientes" río abajo, incluyendo esquemas de "criminal contra criminal" dirigidos al sector del juego online en Camboya.

Cadena de infección:

  1. Señuelo: dominios falsos que anuncian instaladores pirateados de software doméstico popular, promocionados vía envenenamiento SEO, para que la víctima descargue un ZIP malicioso.

  2. El ZIP despliega el implante MODBEACON, que reside en memoria y actúa como framework C2 privado y "profesional":

    • Loader y beacon separados, con configuración inyectable.

    • Arquitectura de plugins nativos v3 (con entry/init/fini por RVA), permitiendo cargar módulos adicionales en caliente para robo de información, movimiento lateral o proxy, sin tener que recompilar el binario principal.

    • Comunicación C2 vía gRPC tunneling, reutilizando la capa de transporte de Xray/V2Ray, un framework open-source de anti-censura, para camuflar el tráfico C2 como si fuera tráfico de aplicación cifrado legítimo.

  3. Infraestructura C2 alojada en Amazon y en la CDN de Cloudflare, dificultando el bloqueo por IP/dominio.

  4. Capacidades base: fingerprinting del host, carga de plugins en memoria, heartbeat, reporte de resultados de comandos y persistencia vía tareas programadas.

Por qué importa: técnicamente es un salto de calidad frente al Gh0st RAT/WinOS (ValleyRAT) que Silver Fox venía usando. Usar gRPC sobre un transporte de anti-censura conocido eleva mucho el listón de detección: pasa de firmas de red simples a inspección "protocol-aware" y baselining de tráfico, algo que la mayoría de EDR/NDR aún no hacen bien con gRPC cifrado. Se suma a un arsenal que Silver Fox ha ido ampliando este año (Atlas RAT, ABCDoor, RomulusLoader, SilentRunLoader).

(Fuente)

Armored Likho nuevo APT con BusySnake Stealer contra gobiernos y sector eléctrico

Kaspersky (Securelist) ha nombrado a un actor previamente indocumentado, Armored Likho (con solapamientos con el clúster Eagle Werewolf), en una campaña activa de espionaje y robo financiero contra organismos gubernamentales y empresas del sector eléctrico en Rusia, Kazajistán y Brasil.

Cadena de infección, dos rutas paralelas:

  1. Spear-phishing con señuelos oficiales: notificaciones gubernamentales, solicitudes de ayuda humanitaria, tests psicológicos o certificados de condonación de deuda. Archivos observados con nombres como psihologicheskiy_test.zip o zayavka_gumanitarnayapomosch.rar.

  2. Ruta EXE: dropper construido con NSIS que inyecta el loader en un proceso legítimo mientras muestra un señuelo (p. ej. una encuesta psicológica falsa) para distraer a la víctima.

  3. Ruta LNK: acceso directo malicioso que abusa de ZDI-CAN-25373 (relacionado con CVE-2025-9491, parcheada por Microsoft en noviembre de 2025) para ocultar el comando PowerShell real dentro de los parámetros del .lnk cualquier sistema sin ese parche de noviembre 2025 sigue expuesto.

  4. Ambas rutas descargan el runtime de Python 3.12 y el payload final desde repositorios de GitHub (con builds de desarrollo y muestras de test, lo que sugiere iteración rápida de payloads), y se instalan en AppData\WindowsHelper.

  5. Persistencia: tarea programada llamada "WindowsHelper" que se ejecuta cada 5 minutos, registrada mediante un script VBScript.

BusySnake Stealer (payload final, module.pyw):

  • Protegido con PyArmor Pro 9.2.0: el bytecode se descifra dinámicamente solo en el momento de llamar a cada función y se vuelve a cifrar justo después, dificultando el análisis dinámico.

  • Se ejecuta como .pyw, sin ventana de consola visible.

  • Captura continua de portapapeles, inventario recursivo de archivos en una base SQLite local (buscando claves hex de 64 caracteres, indicio de caza de wallets/API keys), exfiltración selectiva de Escritorio/Documentos/Descargas por debajo de cierto tamaño.

  • Roba contraseñas de Chromium vía DPAPI y credenciales de Firefox, sesiones y tokens de Telegram, capturas de pantalla periódicas, keylogging bajo demanda.

  • Si detecta RustDesk instalado, lo lanza y pide al usuario sus credenciales, capturando la pantalla del prompt para robarlas.

  • Integra tunneling SSH inverso (antes una herramienta aparte llamada Go2Tunnel) directamente en el stealer, dando a los atacantes acceso remoto interactivo persistente.

  • Mecanismo de bloqueo de instancia única mediante un algoritmo de lock-file propio.

Indicio interesante: los loaders de primera etapa contienen comentarios verbosos y emojis en el código, un patrón que Kaspersky y otros analistas interpretan como fuerte indicio de generación asistida por IA, lo que además complica la atribución al alterar el "estilo" habitual del grupo.

Mitigación recomendada: parchear CVE-2025-9491 de inmediato, auditar tareas programadas en busca de "WindowsHelper", vigilar conexiones SSH salientes inusuales y monitorizar patrones de descarga desde GitHub poco habituales en endpoints corporativos. Kaspersky ha publicado IOCs completos (hashes, dominios C2 e IPs) en su informe de Securelist.

NuestiberSOC monitoriza la seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente crítico para su organión.

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.

Disponemos de una plataforma de formación y concienciación con material para que su organización sepa enfrentarse a las principales amenazas.