Además, esta semana destacamos la explotación de una falla crítica en SAP NetWeaver para desplegar el malware Auto-Color, que permite ejecución remota y cuenta con sofisticadas técnicas de evasión; mientras; CISA alerta sobre ataques activos que explotan una vulnerabilidad en PaperCut, poniendo en riesgo a miles de organizaciones; el grupo Scattered Spider utiliza ingeniería social para controlar hipervisores VMware y desplegar ransomware; y un ataque a la cadena de suministro comprometió el popular paquete NPM “is” con malware de control remoto, afectando a millones de desarrolladores y sistemas.
Nuevo ataque aprovecha falla crítica en SAP NetWeaver para implementar el malware Auto-Color de Linux
Hackers están explotando la vulnerabilidad crítica CVE-2025-31324 en SAP NetWeaver para desplegar el malware Auto-Color en ataques dirigidos, como el registrado en abril de 2025 contra una empresa química estadounidense. Según Darktrace, la infección permitió la ejecución remota de código tras cargar archivos maliciosos al sistema afectado. Auto-Color, documentado por primera vez por Palo Alto Networks, ha evolucionado con técnicas avanzadas de evasión como inyección de objetos compartidos, shell reverso, modificación de archivos y un módulo rootkit que oculta su actividad.
El malware ajusta su comportamiento dependiendo del nivel de privilegio y permanece inactivo si no puede conectarse a su servidor de comando y control, lo que le permite evitar análisis en entornos controlados. Aunque SAP solucionó la falla en abril, se han detectado múltiples intentos de explotación, incluso por grupos de ransomware y actores estatales chinos. Investigaciones de Mandiant revelan que la falla ya era explotada desde marzo como zero-day. Se recomienda aplicar los parches emitidos por SAP de forma urgente.
Malware se ocultó en herramienta oficial de configuración de mouse de Endgame Gear
La empresa alemana fabricante de periféricos para juegos Endgame Gear, alertó que la herramienta de configuración para su mouse OP1w 4k v2, disponible en su sitio web oficial entre el 26 de junio y el 9 de julio de 2025, fue comprometida con malware. Usuarios que descargaron el archivo desde la página específica del producto podrían haber instalado una versión troyanizada, mientras que las versiones obtenidas desde los canales oficiales de descargas, GitHub o Discord, permanecieron limpias. El archivo infectado mostraba anomalías como un tamaño mayor y una firma asociada a «Synaptics Pointing Device Driver».
Aunque la compañía aún no confirma el tipo exacto de malware, análisis de usuarios y firmas de ciberseguridad lo vinculan con XRed, un backdoor con capacidades de keylogging, shell remoto y exfiltración de datos. Endgame Gear aconseja eliminar cualquier archivo en C:\ProgramData\Synaptics, escanear el sistema con antivirus actualizado y cambiar contraseñas de cuentas sensibles. La firma también anunció nuevas medidas de seguridad como firmas digitales y verificación de integridad para futuras descargas.
CISA alerta sobre explotación activa de vulnerabilidad crítica en servidores PaperCut
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió que actores maliciosos están explotando la vulnerabilidad CVE-2023-2533 en el software de gestión de impresión PaperCut NG/MF, utilizado por más de 100 millones de usuarios en 70 mil organizaciones. Esta falla de alta severidad permite la ejecución remota de código mediante ataques de tipo cross-site request forgery (CSRF), si el administrador objetivo tiene una sesión activa y es engañado para hacer clic en un enlace malicioso. CISA ha agregado esta vulnerabilidad a su catálogo de fallas explotadas.
Aunque aún no se ha vinculado esta vulnerabilidad en particular con ataques de ransomware, PaperCut ya ha sido explotado en el pasado por grupos como LockBit, Clop y actores estatales iraníes que aprovecharon otras fallas (CVE-2023-27350 y CVE-2023-27351) para acceder a redes y robar datos. Dado el historial de ataques y la exposición actual de más de 1.100 servidores en línea, CISA insta a las organizaciones aplicar las actualizaciones de seguridad sin demora para mitigar posibles compromisos.
Scattered Spider toma control total de entornos VMware con ingeniería social y despliegue de ransomware
El grupo de cibercrimen Scattered Spider ha intensificado sus ataques contra entornos virtualizados, apuntando a hipervisores VMware ESXi en sectores críticos como transporte, seguros, aerolíneas y retail. A diferencia de otros atacantes, no aprovechan vulnerabilidades técnicas, sino que se valen de ingeniería social altamente eficaz para engañar a los equipos de soporte, obtener acceso inicial y escalar privilegios. Su objetivo final es tomar control del servidor vCenter y desplegar ransomware en máquinas virtuales, tras borrar respaldos y extraer bases de datos críticas como NTDS.dit.
El ataque ocurre en cinco fases que pueden ejecutarse en pocas horas, permitiendo al grupo controlar completamente la infraestructura virtual. Google advierte que cada vez más grupos de ransomware adoptan esta táctica, aprovechando la falta de defensa y conocimiento que muchas organizaciones tienen sobre VMware. A modo de defensa, recomienda medidas técnicas como cifrado de máquinas virtuales, autenticación multifactor robusta, aislamiento de activos críticos y monitoreo continuo con SIEM, junto a respaldos inmutables y fuera de línea.
Nuevo malware koske para Linux usa imágenes de pandas y posible IA para minar criptomonedas
Investigadores de AquaSec han identificado Koske, un sofisticado malware para sistemas Linux que emplea archivos .JPEG de osos panda como vehículo para ejecutar código malicioso directamente en la memoria. Aunque las imágenes parecen inocuas, contienen archivos polyglot que son válidos tanto como imagen como script. Uno de los archivos ejecuta un rootkit en C compilado en memoria, mientras que el otro lanza un script que establece persistencia, evade proxies, y asegura el control del sistema sin dejar rastros visibles.
El objetivo de Koske es desplegar mineros de criptomonedas optimizados para CPU y GPU, capaces de extraer más de 18 tipos de monedas, incluyendo Monero y Zano. Su comportamiento adaptable, uso de herramientas nativas de Linux y técnicas para ocultar su presencia han llevado a los expertos a sospechar que fue creado usando modelos de lenguaje o plataformas de automatización. AquaSec advierte que esta amenaza marca un precedente preocupante en la evolución del malware con ayuda de inteligencia artificial.
Atacantes comprometen juego en Steam para distribuir malware que roba información personal
Un grupo identificado como EncryptHub ha comprometido el juego Chemia en Steam para distribuir malware tipo info-stealer a los usuarios. El ataque comenzó el 22 de julio cuando los actores maliciosos insertaron el HijackLoader en los archivos del juego, el cual luego descarga el Vidar infostealer. Poco después, se añadió otro malware, Fickle Stealer, mediante una DLL que utiliza PowerShell para cargar un payload desde un dominio externo. Estos programas maliciosos permiten robar credenciales, cookies, información de autocompletado y datos de billeteras de criptomonedas sin afectar el rendimiento del juego, por lo que los jugadores no notan el compromiso.
Este es el tercer caso en el año de juegos en acceso anticipado infectados con malware en Steam, lo que revela posibles deficiencias en los procesos de revisión de títulos no finalizados. Aún no hay declaraciones oficiales por parte del desarrollador Aether Forge Studios ni de Valve, y el juego sigue disponible, lo que implica un riesgo para los usuarios. Dado el uso de plataformas legítimas y técnicas de ingeniería social, los expertos recomiendan evitar la descarga de Chemia hasta nuevo aviso.
Comprometen paquete NPM “is” en ataque a la cadena de suministro con malware que otorga control remoto
El paquete NPM “is”, con más de 2,8 millones de descargas semanales, fue comprometido en un ataque a la cadena de suministro tras el robo de credenciales mediante phishing. Los atacantes publicaron versiones maliciosas (3.3.1 a 5.0.0) que contenían un backdoor capaz de ejecutar comandos de forma remota a través de WebSocket. Este incidente es parte de un ataque más amplio que también afectó a otros paquetes populares como eslint-config-prettier, synckit y @pkgr/core, utilizando el dominio falso npnjs[.]com para engañar a los mantenedores y tomar control de sus cuentas.
El malware inserta un cargador que recopila datos del sistema y variables de entorno, y permite a los atacantes ejecutar JavaScript de forma interactiva desde una shell remota. Algunos paquetes también incluían un infostealer para Windows, llamado Scavanger, con capacidad para robar credenciales del navegador. Se insta a los desarrolladores a desactivar las actualizaciones automáticas, usar versiones previas al 18 de julio de 2025, y que los mantenedores roten credenciales y tokens inmediatamente para evitar compromisos adicionales.
CISA alerta sobre explotación activa de fallas críticas en SysAid que permiten secuestro de cuentas administrativas
La Agencia de Ciberseguridad de los Estados Unidos (CISA) ha emitido una advertencia sobre la explotación activa de dos vulnerabilidades no autenticadas en el software de gestión de servicios IT SysAid (CVE-2025-2775 y CVE-2025-2776). Estos fallos de tipo XXE permiten a los atacantes acceder a archivos locales sensibles y secuestrar cuentas administrativas sin interacción del usuario. A pesar de haber sido corregidos en marzo de 2025, CISA instó a las agencias federales a aplicar los parches antes del 12 de agosto, y recomendó lo mismo al sector privado, dada la facilidad con la que pueden ser explotados.
Aunque no se ha vinculado esta explotación a campañas de ransomware recientes, existen antecedentes preocupantes: en 2023, el grupo FIN11 utilizó una vulnerabilidad de SysAid para desplegar el ransomware Clop en ataques de día cero. Con más de 5 mil clientes en 140 países, incluyendo empresas como Coca-Cola, IKEA y Honda, el riesgo de no aplicar las actualizaciones de seguridad podría exponer a miles de organizaciones a intrusiones graves y pérdidas de información crítica.
Lumma Stealer se reactiva tras operativo policial y vuelve a robar información
Luego de una gran operación policial en mayo que desmanteló parte de su infraestructura y confiscó más de 2.300 dominios, la operación de malware Lumma Stealer está retomando fuerza. Aunque los operadores admitieron que su servidor central fue borrado remotamente, comenzaron rápidamente su reconstrucción, y según Trend Micro, han recuperado casi por completo su actividad previa al desmantelamiento. Este resurgimiento reafirma su posición dentro de las operaciones de malware como servicio (MaaS), manteniendo su enfoque en el robo de información.
Actualmente, Lumma distribuye su malware mediante cuatro canales: cracks y keygens falsos, sitios comprometidos que ejecutan comandos PowerShell engañosos, repositorios en GitHub con contenido generado por IA, y enlaces distribuidos a través de YouTube y Facebook. Para ocultar su tráfico malicioso, han migrado de Cloudflare a proveedores rusos como Selectel. El caso evidencia que, sin arrestos o cargos concretos, los operativos de cibercrimen organizados logran recuperarse y adaptarse rápidamente.
Microsoft levanta bloqueo de actualización de Windows 11 tras corregir fallos con Easy Anti-Cheat
Microsoft ha eliminado una restricción de compatibilidad que impedía a usuarios con el software Easy Anti-Cheat actualizar a Windows 11 versión 24H2, debido a errores que provocaban pantallas azules (BSOD). El fallo afectaba a juegos populares como Fortnite, Apex Legends y ELDEN RING, donde procesos críticos como ntoskrnl.exe y EasyAntiCheat_EOS.exe causaban reinicios inesperados. La empresa lanzó un parche de emergencia (KB5063060) en junio y, tras verificar su efectividad, eliminó el bloqueo el 24 de julio.
Microsoft también ha abordado problemas similares en versiones anteriores relacionados con equipos Intel y otras aplicaciones como AutoCAD y Safe Exam Browser. Aunque aún se pueden mostrar advertencias si se detecta una versión desactualizada de Easy Anti-Cheat, la compañía asegura que no se generarán BSOD a menos que se ejecute el juego afectado. Se recomienda a los usuarios actualizar sus juegos y reiniciar el sistema para facilitar una instalación fluida del nuevo Windows 11.
Explotan vulnerabilidad crítica de ejecución remota sin autenticación de Cisco ISE
El investigador Bobby Gould publicó un análisis técnico sobre la explotación de la vulnerabilidad crítica CVE-2025-20281 en Cisco Identity Services Engine (ISE), que permite la ejecución remota de código sin autenticación con privilegios de root. Esta falla, junto con CVE-2025-20337, surge por una combinación de deserialización insegura y ejecución de comandos en el método enableStrongSwanTunnel(). Cisco confirmó el 22 de julio (actualizado el 24 de julio) que ambas vulnerabilidades están siendo explotadas activamente, y recomienda actualizar a las versiones 3.3 Patch 7 y 3.4 Patch 2, ya que no existen soluciones temporales.
El informe de Gould muestra cómo explotar la falla utilizando cadenas serializadas de Java para ejecutar comandos arbitrarios dentro de un contenedor Docker con privilegios elevados, y posteriormente escapar del contenedor hacia el sistema anfitrión usando técnicas conocidas basadas en cgroups y release_agent. Aunque el artículo no incluye un exploit listo para usar, ofrece detalles técnicos suficientes para que actores maliciosos experimentados reproduzcan el ataque, lo que probablemente incrementará los intentos de explotación en sistemas vulnerables.
Microsoft corrige errores falsos del Firewall en Windows 11 tras actualización de junio
Microsoft solucionó un problema conocido que generaba advertencias inválidas del Firewall de Windows en sistemas Windows 11 versión 24H2 tras instalar la actualización preliminar de junio de 2025. El error, registrado como evento 2042 en el Visor de Eventos, mostraba mensajes como “Config Read Failed” sin que hubiera un fallo real en el firewall. El problema se debía a una nueva función aún en desarrollo y fue resuelto en la actualización acumulativa KB5062660, con disponibilidad general prevista para agosto mediante el Patch Tuesday.
Este caso se suma a una serie de incidentes recientes donde otras funciones de Windows también arrojaron errores sin impacto real, como fallos falsos de instalación (0x80070643) y advertencias incorrectas de cifrado con BitLocker. Microsoft reiteró que estos errores eran de diagnóstico o visualización, y no comprometían la seguridad del sistema, aunque generaban confusión en entornos gestionados y para administradores de TI.
Vulnerabilidad en macOS permite eludir controles TCC y acceder a datos privados de Apple Intelligence
Investigadores de seguridad de Microsoft descubrieron una vulnerabilidad en macOS, ahora corregida, que permitía a atacantes eludir las protecciones del sistema Transparency, Consent, and Control (TCC). La falla, identificada como CVE-2025-31199 y bautizada como Sploitlight, permitía abusar de los plugins privilegiados de Spotlight para acceder a archivos sensibles y datos confidenciales, incluyendo información de Apple Intelligence almacenada en caché, como metadatos de fotos y videos, ubicaciones geográficas precisas, reconocimiento facial y más.
Aunque Apple solucionó el problema en macOS Sequoia 15.4 mediante mejoras en la redacción de datos, Microsoft advirtió que la falla tenía un impacto particularmente grave por su capacidad de extraer datos vinculados a cuentas de iCloud en otros dispositivos. Este descubrimiento se suma a una serie de vulnerabilidades TCC anteriores identificadas por Microsoft en los últimos años, que evidencian riesgos persistentes en la seguridad del ecosistema de macOS frente a técnicas avanzadas de evasión.
Detectan grave vulnerabilidad en Gemini CLI de Google que permite ejecución encubierta de comandos maliciosos
Investigadores de la firma Tracebit descubrieron una vulnerabilidad crítica en Gemini CLI, la herramienta de línea de comandos de Google que permite interactuar con su IA desde la terminal. La falla, reportada el 27 de junio y corregida el 25 de julio en la versión 0.1.14, permitía a atacantes ejecutar comandos maliciosos sin alertar al usuario, manipulando archivos de contexto como README.md. A través de comandos disfrazados como permitidos (por ejemplo, grep), era posible realizar exfiltración de datos y otras acciones perjudiciales, incluso sin la intervención del usuario.
El ataque funciona aprovechando deficiencias en el manejo de la lista blanca de comandos y en la visualización de la salida de la herramienta, lo que puede ocultar actividades maliciosas con simples espacios en blanco. Si bien el exploit requiere ciertos permisos previos, demuestra cómo asistentes de IA pueden ser engañados para realizar acciones no autorizadas. Tracebit señala que herramientas similares como Codex y Claude no fueron vulnerables en sus pruebas. Se recomienda actualizar Gemini CLI a su última versión y evitar su uso en entornos no confiables.
Más de 200 mil sitios WordPress en riesgo por grave fallo en plugin Post SMTP
Una vulnerabilidad crítica en el plugin Post SMTP de WordPress, identificado como CVE-2025-24000, permite a usuarios con bajos privilegios tomar control de cuentas de administrador. La falla radica en un control de acceso roto en los endpoints de la API REST del plugin, que no valida adecuadamente los permisos de los usuarios. Esto permite que un simple suscriptor acceda a los registros de correos electrónicos, intercepte un enlace de restablecimiento de contraseña y asuma el control total del sitio web.
Aunque el error fue corregido en la versión 3.3.0 publicada en junio, más del 50% de los sitios que usan el plugin (más de 200 mil) aún no han aplicado la actualización. Además, cerca de 97.000 sitios siguen utilizando versiones antiguas 2.x, que contienen otras vulnerabilidades no corregidas. Expertos instan a los administradores de WordPress a actualizar urgentemente para evitar ataques que exploten este fallo.
Mitel corrige grave vulnerabilidad que permite acceso sin autenticación en su plataforma de comunicaciones empresariales
La empresa canadiense de comunicaciones empresariales Mitel, ha lanzado parches de seguridad para corregir una vulnerabilidad crítica de omisión de autenticación en su plataforma MiVoice MX-ONE, que podría permitir a atacantes no autenticados obtener acceso administrativo. El fallo, causado por un control de acceso inadecuado en el componente Provisioning Manager, afecta desde la versión 7.3 hasta la 7.8 SP1, y no requiere interacción del usuario para ser explotado. Mitel recomienda no exponer los servicios a Internet y limitar el acceso desde redes de confianza, además de solicitar el parche a través de un socio autorizado.
Además, la empresa reveló una vulnerabilidad de inyección SQL de alta gravedad (CVE-2025-52914) en su plataforma MiCollab, que permite la ejecución de comandos SQL en dispositivos vulnerables. Aunque no hay evidencia de explotación activa de estas fallas, la Agencia de Ciberseguridad de los Estados Unidos, CISA, ya había advertido sobre vulnerabilidades anteriores de MiCollab utilizadas en ataques. Con una base instalada de más de 75 millones de usuarios en sectores críticos, estas fallas representan un riesgo significativo si no se corrigen oportunamente.
SonicWall alerta sobre vulnerabilidad crítica en dispositivos SMA 100 que permite ejecución remota de código
SonicWall ha instado a sus clientes a actualizar urgentemente sus dispositivos SMA 100 (modelos 210, 410 y 500v) debido a una vulnerabilidad crítica (CVE-2025-40599) que permite la carga arbitraria de archivos a través de la interfaz web de administración. Esta falla puede ser explotada por atacantes con privilegios de administrador para ejecutar código remotamente. Aunque la empresa no ha detectado explotación activa de esta vulnerabilidad en particular, advirtió que los dispositivos SMA 100 ya han sido blanco de ataques utilizando credenciales comprometidas.
Investigadores de Google Threat Intelligence Group (GTIG) identificaron que un grupo de amenaza conocido como UNC6148 ha estado desplegando malware tipo rootkit llamado OVERSTEP en estos dispositivos, además de realizar robo de datos y posibles ataques de ransomware. SonicWall recomendó revisar los dispositivos en busca de indicadores de compromiso, restringir el acceso remoto, resetear contraseñas, reforzar el uso de MFA, y activar el firewall de aplicaciones web (WAF). La compañía también ha advertido este año sobre otras vulnerabilidades similares explotadas en la misma línea de productos.
Debe estar conectado para enviar un comentario.