1. Principales Vulnerabilidades y Filtraciones de la semana

2. De ladrón de navegadores a plataforma de filtración de datos durante las críticas negociaciones en Ucrania

3. Microsoft amplía un año las actualizaciones de seguridad de Windows 10 con nuevas opciones de inscripción

4. APT norcoreana lanza un ataque masivo a la cadena de suministro de NPM y ofertas de trabajos falsos

5. Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥CISA advierte de un fallo en las credenciales codificadas en FortiOS explotado en ataques (Noticia)

CISA ha emitido una advertencia crítica con respecto a una vulnerabilidad de Fortinet FortiOS que plantea riesgos significativos para la infraestructura de seguridad de la red. El 25 de junio de 2025, CISA añadió CVE-2019-6693 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), indicando que esta falla de credenciales codificadas está siendo explotada activamente en ataques del mundo real.

💥Cisco advierte de vulnerabilidades RCE críticas en Identity Services Engine (ISE) (Noticia)

Cisco ha emitido un aviso de seguridad relativo a dos vulnerabilidades críticas de ejecución remota de código (RCE) no autenticada que afectan a su Identity Services Engine (ISE) y al Passive Identity Connector (ISE-PIC).

Los fallos, clasificados como críticos con una calificación máxima de gravedad CVSS de 10,0, podrían permitir a atacantes remotos no autenticados ejecutar comandos en los sistemas afectados con privilegios de root.

💥Vulnerabilidad grave en WinRAR permite ejecución remota de código (Noticia)

Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado. "Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB"

💥Nueva vulnerabilidad CitrixBleed2 de NetScaler ADC y Gateway explotada activamente en la naturaleza (Noticia)

Una vulnerabilidad crítica de desbordamiento de memoria en los productos NetScaler ADC y Gateway podría permitir ataques de denegación de servicio. Ya se han observado exploits de esta vulnerabilidad.

La vulnerabilidad, rastreada como CVE-2025-6543, tiene una puntuación base CVSS v4.0 de 9,2, lo que la clasifica como de gravedad crítica. Este fallo de desbordamiento de memoria se debe a una restricción inadecuada de las operaciones dentro de los límites del búfer de memoria.

De ladrón de navegadores a plataforma de filtración de datos durante las críticas negociaciones en Ucrania

El equipo de Arctic Wolf Labs ha descubierto que el grupo de ciberespionaje UAC-0226, conocido por utilizar el infostealer GIFTEDCROOK, ha actualizado recientemente el malware de un ladrón de datos de navegador básico a una robusta herramienta de recopilación de inteligencia.

El análisis de los primeros archivos de febrero de 2025 sugiere que el proyecto GIFTEDCROOK comenzó como una demo durante ese periodo. Posteriormente maduró y se puso en producción en marzo de 2025, con nuevas capacidades en continuo desarrollo y añadidas desde entonces.

Las recientes campañas de junio de 2025 demuestran la capacidad mejorada de GIFTEDCROOK para filtrar una amplia gama de documentos confidenciales de los dispositivos de las personas objetivo, incluidos archivos potencialmente confidenciales y secretos de navegación. Este cambio en la funcionalidad, combinado con el contenido de sus señuelos de phishing, junto con la coincidencia temporal de los ataques con acontecimientos geopolíticos críticos, como las negociaciones de paz sobre Ucrania celebradas en Estambul en junio, sugiere un enfoque estratégico en la recopilación de inteligencia de entidades gubernamentales y militares ucranianas.

El señuelo PDF malicioso anuncia la implementación de nuevos procedimientos para el registro militar y la conscripción de personal militar y reservistas, que según el documento, fueron «desarrollados de acuerdo con las directivas del Estado Mayor y la legislación ucraniana».

En particular, el documento contiene un enlace a un archivo alojado en Mega[.] es un servicio legítimo de alojamiento de archivos que se ofrece a través de aplicaciones basadas en la web, donde los usuarios pueden almacenar archivos a través del almacenamiento cifrado en la nube de la empresa. El documento señuelo dirige al lector a hacer clic en este enlace para obtener acceso a la información prometida.

Si el usuario sigue adelante, descarga el fichero y activa manualmente las macros, se extrae un archivo PE ejecutable del documento utilizando sharedStrings.xml como fuente base64, y se ejecuta desde %ProgramData%.

Informe Técnico ArticWolfLABs

Microsoft amplía un año las actualizaciones de seguridad de Windows 10 con nuevas opciones de inscripción

Microsoft ha anunciado este martes que va a ampliar las actualizaciones de seguridad ampliadas (ESU) de Windows 10 durante un año más, permitiendo a los usuarios pagar una pequeña cuota de 30 dólares o sincronizar la configuración de su PC con la nube.

La medida se adelanta a la fecha límite del 14 de octubre de 2025, cuando el gigante tecnológico planea finalizar oficialmente el soporte y dejar de proporcionar actualizaciones de seguridad para los dispositivos con Windows 10.

El fabricante de Windows describe ESU como una "opción de último recurso" para los clientes que necesitan ejecutar software heredado de Microsoft que ha llegado al final de su vida útil (EoL). Se pretende que sea una solución temporal mientras se migra a una plataforma compatible más reciente.

Según datos de StatCounter de mayo de 2025, la cuota de mercado de Windows 10 se sitúa en el 53,19% a nivel mundial, lo que la convierte en la versión más utilizada de Windows. Le sigue Windows 11 con un 43%.

Como parte de las nuevas opciones de inscripción anunciadas por Microsoft, las personas pueden inscribirse en el programa desde su PC personal con Windows 10 a través de un "asistente de inscripción" disponible en la aplicación Configuración. Los usuarios pueden elegir una de las tres opciones

• Utilizar Windows Backup para sincronizar la configuración con la nube (sin coste adicional)

• Canjear 1.000 puntos de Microsoft Rewards (sin coste adicional)

• Pagar 30 dólares (los precios locales pueden cambiar)

Una vez seleccionada la opción adecuada, los PC de los usuarios se inscribirán automáticamente en el programa. La cobertura de la ESU para dispositivos Windows 10 se extiende desde el 15 de octubre de 2025 hasta el 13 de octubre de 2026.

El asistente de inscripción está disponible actualmente en el Programa Windows Insider, y se espera que se extienda a los clientes de Windows 10 en julio, con una disponibilidad ampliada prevista para mediados de agosto.

Noticia 

APT norcoreana lanza un ataque masivo a la cadena de suministro de NPM y ofertas de trabajos falsos

Un equipo de investigación (Socket Threat Research) ha descubierto que un grupo vinculado a Corea del Norte está llevando a cabo una importante campaña de ataque a la cadena de suministro a través de npm, bautizada “Contagious Interview”. Utilizan técnicas de typosquatting y posan como reclutadores de LinkedIn para atraer desarrolladores, especialmente aquellos en busca de trabajo, y dirigirlos a ejecutar código malicioso durante presuntas entrevistas técnicas.

Mecanismo del ataque

• Han subido 35 paquetes maliciosos falsos en npm mediante 24 cuentas; al menos 6 siguen activos, como react-plaid-sdk y vite-loader-svg, con más de 4 000 descargas.

• Cada paquete contiene un cargador codificado como HexEval, el cual filtra el entorno de la víctima (metadatos, sistema operativo, ruta de archivos, MAC, variables de entorno…) y decide si descarga la siguiente capa de malware

• La segunda etapa utiliza el BeaverTail, un infostealer JavaScript que busca cookies del navegador, monederos cripto (Solana, Exodus…), datos de IndexedDB y archivos del llavero de macOS

• En algunos casos se añade una tercera capa, InvisibleFerret, un backdoor en Python que permite acceso remoto persistente

• También se han detectado paquetes con keyloggers multiplataforma (jsonsecs), que capturan en tiempo real las pulsaciones

Técnica de engaño social
Operan con un perfil muy refinado de ingeniería social:

1. Contactan por LinkedIn haciéndose pasar por reclutadores con sueldos atractivos (16 000–25 000 US$/mes).

2. Envían repositorios engañosos (GitHub o Bitbucket) e instan a ejecutar el código fuera de contenedores, a menudo durante entrevistas por pantalla compartida

4. Dificultad de detección

• La estructura modular (HexEval → BeaverTail → InvisibleFerret) y el cifrado hexadec están diseñados para evadir escaneos estáticos, ya que el código malicioso se descarga en tiempo de ejecución

• Los cargadores están diseñados para activarse solo si detectan ciertos elementos en el entorno, dificultando su detección directa

Noticia

Balance de ciberataques de la semana

⚠️ 295 ciberataques en 40 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 63 ciberataque

➡️​Israel es el país más afectado con 80 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 33% de los incidentes y 64 ciberataques.

➡️​Ciberataques críticos estimados en 24 (8% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 13 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones