< Back
Red padlock on grey background

Tags:

Threat intelligence
15 Mayo 2025

Resumen semanal de los ciberataques – 15 a 21 de mayo

Detectado un nuevo infostealer que roba datos usando Telegram: PupkinStealer 

Investigadores de ciberseguridad han identificado un nuevo malware llamado PupkinStealer, un infostealer desarrollado en .NET que roba contraseñas de navegadores, archivos del escritorio y sesiones de aplicaciones como Telegram y Discord. Este malware, que no deja rastros persistentes en el sistema y ejecuta su robo en pocos segundos, exfiltra los datos mediante la API de Telegram, ocultando su actividad bajo tráfico web cifrado. Aunque no presenta una complejidad técnica elevada, su impacto es significativo: permite a actores con poca experiencia robar credenciales almacenadas y acceder a cuentas activas sin necesidad de contraseñas. Su diseño se basa en código abierto de malware previo, y todo apunta a que proviene de entornos rusoparlantes, con señales claras de atribución al alias “Ardent”. Se distribuye a través de ingeniería social, como software pirata, y ya ha sido usado para recolectar miles de credenciales a nivel global. 

Ciberdelincuentes emplean el malware Skitnet para robar datos y mantener control remoto 

Grupos de ransomware han comenzado a utilizar el malware Skitnet en sus ataques para robar datos sensibles y mantener acceso remoto a sistemas comprometidos. Desde principios de 2025, actores como Black Basta lo han empleado en campañas de phishing dirigidas a entornos empresariales, aprovechando su arquitectura sigilosa y flexible. Conocido también como Bossnet, Skitnet es una amenaza multietapa desarrollada por el grupo LARVA-306. Utiliza lenguajes como Rust y Nim para ejecutar conexiones de shell inverso mediante DNS, evitando ser detectado por los sistemas de seguridad. El malware integra mecanismos de persistencia, herramientas de acceso remoto, comandos de exfiltración de datos y puede descargar más payloads. Su diseño avanzado y el uso de técnicas de cifrado lo convierten en una herramienta peligrosa dentro del ecosistema del ransomware. 

Ciberataque desvía nóminas tras suplantar portales de inicio de sesión para dispositivos móviles 

Una investigación ha revelado un sofisticado ciberataque de envenenamiento por SEO dirigido a dispositivos móviles, en el que ciberdelincuentes crearon falsos portales de inicio de sesión para robar credenciales de empleados y acceder a sistemas de nómina. A través de páginas fraudulentas que aparecían en los primeros resultados de búsqueda, los atacantes capturaron datos de acceso y modificaron la información de depósito directo para desviar sueldos a cuentas controladas por ellos. Para evadir la detección, emplearon redes móviles y routers domésticos comprometidos, junto con herramientas legítimas como Pusher, que les notificaban en tiempo real sobre nuevas credenciales robadas. Esta campaña, que afecta especialmente a dispositivos fuera del perímetro corporativo, representa una amenaza creciente debido a la dificultad de rastrear accesos desde direcciones IP residenciales. 

Phishing focalizado: el ataque se dirige a las víctimas con sitios de confianza y validación en vivo 

Los investigadores de Keep Aware observaron un sofisticado ataque de phishing que utilizaba dominios legítimos, validación de precisión del correo electrónico y tácticas evasivas para robar credenciales a través de interacciones basadas en el navegador. Un dominio comprometido de 9 años de antigüedad alojaba una página de inicio de sesión falsa disfrazada de portal de documentos, que rellenaba previamente las direcciones de correo electrónico de las víctimas mediante fragmentos de URL. Si los usuarios introducían sus direcciones de correo electrónico manualmente, se les redirigía a dominios maliciosos y sus datos se enviaban a una API para su validación en tiempo real. Dependiendo del tipo de correo electrónico -personal, corporativo genérico o dirigido-, el sitio mostraba páginas en blanco, páginas genéricas de inicio de sesión de Microsoft o portales falsos personalizados con la marca. Otras tácticas de evasión incluían JavaScript antianálisis y CAPTCHAs. Estos ataques ponen de relieve la creciente sofisticación del phishing y la necesidad de detección y protección en tiempo real a nivel del navegador, ya que los filtros de correo electrónico tradicionales y la inspección estática no consiguen detectar amenazas tan dinámicas. Keep Aware recomienda protecciones en tiempo real en los navegadores para detectar y bloquear las páginas de phishing antes de que las credenciales de los usuarios se vean comprometidas. 

Campaña de ciberespionaje global compromete correos gubernamentales mediante vulnerabilidades XSS 

Una campaña de ciberespionaje bautizada como RoundPress ha comprometido servidores de correo web de gobiernos y organizaciones críticas en todo el mundo. El ataque, atribuido con mediana confianza al grupo ruso APT28, comenzó en 2023 y continuó en 2024, explotando vulnerabilidades conocidas y desconocidas (zero-day y n-day) en plataformas como Roundcube, Horde, MDaemon y Zimbra. La técnica utilizada requiere únicamente que la víctima abra un correo malicioso, lo que activa un código JavaScript que roba credenciales, mensajes, contactos y configuraciones sin necesidad de clics ni descargas. El ataque se basa en vulnerabilidades XSS, permitiendo la ejecución del script directamente en la sesión del navegador. Aunque no se ha detectado actividad de RoundPress en 2025, los expertos alertan de que el método sigue vigente ante la aparición continua de vulnerabilidades similares.