1. Principales Vulnerabilidades y Filtraciones de la semana

2. OP-512: El nuevo grupo chino que convierte tus servidores IIS en puertas traseras invisibles

3. El ransomware Payouts King elude los sistemas EDR mediante ofuscación y llamadas directas al sistema

💥Vulnerabilidad Cisco SD-WAN CVE-2026-20245 permite a los atacantes netadmin autenticados ejecutar comandos como root mediante subidas de archivos elaboradas. (Noticia)

💥Un error de SolarWinds Serv-U catalogado como CVE-2026-28318, puede permitir que las solicitudes no autenticadas bloqueen el servidor de archivos. (Noticia)

💥Múltiples vulnerabilidades en productos de Microsoft HorizonDB y Exchange (Noticia)

💥Exploit DoS remoto afecta a nginx, Apache, IIS, Envoy y Cloudflare Pingora (Noticia)

💥CVE-2026-0257, un fallo de bypass de autenticación de PAN-OS y Prisma Access, está bajo explotación activa. (Noticia)

💥Centenas de sistemas de medición de combustible de gasolineras (ATG), expuestos a ataques (Noticia)

OP-512: El nuevo grupo chino que convierte tus servidores IIS en puertas traseras invisibles

Investigadores de ReliaQuest han identificado un nuevo clúster de amenaza, bautizado como OP-512, especializado en comprometer servidores Microsoft IIS mediante un framework personalizado de tres web shells diseñado específicamente para evadir detecciones y dificultar el análisis forense.

Su framework combina capacidades raramente vistas juntas: cada despliegue se genera de forma única, el acceso está restringido mediante controles criptográficos, y los servidores comprometidos reportan automáticamente su estado a una infraestructura centralizada de mando y control (C2).

Además, el grupo emplea una técnica de evasión especialmente sofisticada conocida como timestomping: escanea cada archivo y subcarpeta alrededor de donde deposita sus web shells, calcula la marca de tiempo media de última modificación y sobreescribe sus propios metadatos para que parezca que llevan ahí mucho tiempo. El resultado es que los artefactos maliciosos se camuflan entre el ruido del sistema legítimo.

El ataque, paso a paso

En el incidente analizado, el actor apuntó a un servidor IIS legacy con Windows Server 2016 y .NET Framework 4.0 (ya sin soporte) y utilizó el proceso worker del servidor web (w3wp.exe) para desplegar el primer web shell en el directorio de subida de la aplicación. A partir de ahí, las tres piezas del framework proporcionaron gestión de archivos, ejecución autenticada de comandos y reporte automatizado del compromiso, todo ello antes de que nadie pudiera reaccionar.

Para elevar privilegios, OP-512 recurrió al conocido Potato Suite, seguido de comandos como whoami /priv para confirmar el nivel de acceso obtenido.

¿Qué deberías hacer ahora?

• Auditar servidores IIS expuestos a internet, especialmente los que corran versiones de Windows o .NET sin soporte.

• Revisar logs de w3wp.exe en busca de comportamientos anómalos de escritura de archivos.

• Implementar monitorización de integridad de archivos en directorios web accesibles.

• No asumir que las reglas de detección actuales cubren tooling completamente nuevo y a medida.

Informe ReliaQuest | Noticia THN

El ransomware Payouts King elude los sistemas EDR mediante ofuscación y llamadas directas al sistema

Los grupos de ransomware no mueren, se transforman. Cuando BlackBasta colapsó en febrero de 2025 tras la filtración de sus chats internos, muchos pensaron que era el fin de esa línea de amenaza. Error. Sus ex-afiliados simplemente continuaron operando bajo otras banderas, desplegando familias como Cactus y, más recientemente, alineándose con un nuevo grupo llamado Payouts King.

El grupo apareció en abril de 2025 y pasó buena parte del año sin demasiado ruido, pero a principios de 2026 registró un incremento notable de actividad. Los investigadores de Zscaler han podido atribuir con alta confianza parte de esa actividad a este grupo, cuyos patrones de ataque coinciden estrechamente con los de anteriores campañas de BlackBasta, incluyendo el mismo manual de ingeniería social.

El método de acceso inicial es elegante en su simplicidad. Primero bombardean la bandeja de entrada de la víctima con correo basura masivo. Después, alguien se hace pasar por un técnico de IT y contacta a la víctima por Microsoft Teams, convenciéndola de iniciar una sesión de Quick Assist. Una vez dentro, el atacante tiene el control.

Payouts King construye y descifra sus cadenas de texto en tiempo de ejecución en lugar de almacenarlas como texto legible, dificultando enormemente el análisis estático. Además, resuelve funciones de Windows usando valores hash en lugar de nombres, con un algoritmo de checksum propio y una semilla única por valor, neutralizando las herramientas que dependen de tablas hash preconstruidas para identificar malware.

El golpe más directo contra los EDR llega en el momento del cifrado: cuando no puede abrir un archivo porque una herramienta de seguridad lo tiene bloqueado, el ransomware escanea los procesos en ejecución buscando entre 131 productos antivirus y de detección conocidos. Para terminarlos, no usa las llamadas estándar de la API de Windows sino llamadas directas al sistema que evitan los hooks en los que se basan la mayoría de los EDR para detectar actividad sospechosa.

Noticia CyberSecurityNews | Artículo técnico de ZScaler

Ver historial de Publicaciones