19 de mayo

Ramón Salado
May 19th, 2025

Principales Vulnerabilidades y Filtraciones de la semana
Un sofisticado ataque NPM aprovecha el C2 de Google Calendar para la comunicación
Una empresa de impresoras ofrecía controladores maliciosos infectados con el malware XRed
Defensa contra deepfakes en la era de la IA
Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥Vulnerabilidades en Ivanti Endpoint Manager Mobile (EPMM) (Noticia)

La ejecución remota de código en el componente API de Ivanti Endpoint Manager Mobile 12.5.0.0 y anteriores en plataformas no especificadas, permite a atacantes autenticados ejecutar código arbitrario a través de solicitudes de API manipuladas.

💥Vulnerabilidad crítica en Fortinet explotada activamente (CVE-2025-32756) (Noticia)

Con una puntuación CVSS de 9,6, esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios mediante solicitudes HTTP especialmente diseñadas. Fortinet ha confirmado su explotación activa, especialmente en sistemas FortiVoice.

💥Grupos vinculados a China aprovechan la vulnerabilidad en SAP CVE-2025-31324 (Noticia)

Una vulnerabilidad de carga de archivos no autenticada que permite la ejecución remota de código (RCE). Esta evaluación se basa en un directorio expuesto públicamente (opendir) encontrado en la infraestructura controlada por el atacante, que contenía registros de eventos detallados que capturaban operaciones a través de múltiples sistemas comprometidos.

💥Samsung parchea la vulnerabilidad CVE-2025-4632 utilizada para desplegar la botnet Mirai (Noticia)

La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido en la versión Samsung MagicINFO 9 Server anterior a la 21.1052 permite a los atacantes escribir archivos arbitrarios como autoridad del sistema, según un aviso sobre el fallo.

💥Actualizaciones de seguridad de Microsoft (Noticia)

Microsoft incluyó actualizaciones de seguridad para 72 vulnerabilidades, incluyendo cinco explotadas activamente y dos vulnerabilidades de día cero divulgadas públicamente. También se corrigen seis vulnerabilidades "críticas": cinco de ellas son vulnerabilidades de ejecución remota de código y una de divulgación de información.

Un sofisticado ataque NPM aprovecha el C2 de Google Calendar para la comunicación

Ha surgido un nuevo ataque avanzado a la cadena de suministro dirigido al ecosistema Node Package Manager (NPM), que aprovecha Google Calendar como canal encubierto de mando y control (C2).

Los expertos en ciberseguridad descubrieron el malware incrustado en bibliotecas JavaScript aparentemente legítimas que, una vez instaladas, establecen una vía de comunicación sigilosa con los atacantes a través de servicios comunes de Google.

A diferencia de las infraestructuras C2 convencionales que se basan en dominios sospechosos, este método de ataque abusa de los servicios de confianza de Google, por lo que su detección resulta especialmente complicada para las herramientas de seguridad configuradas para detectar destinos de red inusuales.

Los investigadores de Veracode identificaron la amenaza tras observar llamadas anómalas a la API de Google Calendar durante la supervisión rutinaria de la seguridad de los entornos de desarrollo.

El mecanismo C2 de Google Calendar del malware representa un enfoque innovador para mantener un control persistente. Tras establecer el acceso inicial, el malware crea un proceso oculto en segundo plano que consulta periódicamente el Google Calendar del usuario utilizando credenciales OAuth robadas.

Noticia | Informe VeraCode

Una empresa de impresoras ofrecía controladores maliciosos infectados con el malware XRed

Se ha descubierto que Procolored, una empresa fabricante de impresoras, distribuye controladores de software infectados con código malicioso, incluido el conocido malware de puerta trasera XRed.

Las alertas señalaban un gusano propagador de USB y una infección Floxif, un grave infector de archivos conocido por adjuntarse a archivos ejecutables portátiles y propagarse a través de recursos compartidos de red y unidades extraíbles.

Este incidente dio lugar a una investigación en profundidad de las descargas de software de Procolored disponibles públicamente, alojadas en mega.nz para seis modelos de impresoras, revelando una amplia distribución de malware que afectaba a 39 archivos, 20 de los cuales tenían hashes únicos. Descubrimiento de una grave brecha de seguridad.

Un análisis detallado de los archivos infectados identificó dos amenazas principales: Win32.Backdoor.XRedRAT.A, un backdoor basado en Delphi documentado previamente por eSentire en febrero de 2024, y MSIL.Trojan-Stealer.CoinStealer.H, un clipbanker basado en .NET apodado SnipVex.

Noticia | Noticia

Defensa contra deepfakes en la era de la IA

El panorama de la ciberseguridad ha cambiado drásticamente con la llegada de la IA generativa. Los atacantes ahora utilizan grandes modelos de lenguaje (LLM) para suplantar la identidad de personas de confianza y automatizar estas tácticas de ingeniería social a gran escala.

La persona con más poder en la llamada podría no ser real

Informes recientes de inteligencia de amenazas destacan la creciente sofisticación y prevalencia de los ataques impulsados por IA:

Aumento del phishing de voz: Según el Informe Global de Amenazas 2025 de CrowdStrike, se registró un aumento del 442 % en los ataques de phishing de voz (vishing) entre el primer y el segundo semestre de 2024, impulsado por tácticas de phishing y suplantación de identidad generadas por IA.
Prevalencia de la ingeniería social: El Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 indica que la ingeniería social sigue siendo un patrón predominante en las filtraciones, y el phishing y el uso de pretextos representan una parte significativa de los incidentes.
Operaciones de deepfake norcoreanas: Se ha observado que actores de amenazas norcoreanos utilizan tecnología de deepfake para crear identidades sintéticas para entrevistas de trabajo en línea, con el objetivo de conseguir puestos de trabajo remotos e infiltrarse en organizaciones.

Por qué crece el problema

Tres tendencias convergen para convertir la suplantación de identidad mediante IA en el próximo gran vector de amenaza:

La IA abarata y escala el engaño: Con herramientas de voz y video de código abierto, los actores de amenazas pueden suplantar la identidad de cualquier persona con solo unos minutos de material de referencia.
La colaboración virtual expone las brechas de confianza: Herramientas como Zoom, Teams y Slack asumen que la persona detrás de una pantalla es quien dice ser. Los atacantes explotan esta suposición.
Las defensas generalmente se basan en la probabilidad, no en la prueba: Las herramientas de detección de deepfakes utilizan marcadores faciales y análisis para adivinar si alguien es real. Esto no es suficiente en un entorno de alto riesgo.

Blog Segu-info | Noticia THN

Balance de ciberataques de la semana

⚠️ 265 ciberataques en 32 países ⚠️

➡️El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 70 ciberataque

➡️India es el país más afectado con 59 ciberataques.

➡️El sector gubernamental, militar y de defensa es el más afectado, con un 32% de los incidentes y 118 ciberataques.

➡️Ciberataques críticos estimados en 14 (10% del total).

➡️Los datos comprometidos ascienden aproximadamente a 3.7 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones

CYBERSOC 24/7

Nuestro ciberSOC monitoriza la seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente crítico para su organización.

Pentesting

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.

Hackademy

Disponemos de una plataforma de formación y concienciación con material para que su organización sepa enfrentarse a las principales amenazas.