< Back
Weekly Summary Cyberattacks may 22-28
22 Mayo 2025

Resumen Semanal de los ciberataques 22-28 mayo

Ataque con ransomware DragonForce compromete a proveedor de servicios gestionados

Un grupo cibercriminal utilizó el ransomware DragonForce para atacar a un proveedor de servicios gestionados (MSP) explotando vulnerabilidades en la herramienta de gestión remota SimpleHelp. Los atacantes accedieron a múltiples organizaciones a través del sistema RMM del MSP, desplegando el ransomware y sustrayendo datos sensibles como parte de una estrategia de doble extorsión. Según los investigadores, es probable que se hayan aprovechado vulnerabilidades identificadas en enero de 2025 (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728). DragonForce, que opera bajo un modelo de Ransomware-as-a-Service, ha ganado notoriedad por sus vínculos con afiliados conocidos como Scattered Spider. El ataque fue detectado cuando se instaló de forma sospechosa un archivo del software SimpleHelp a través de una instancia legítima operada por el MSP.

Aumentan los ciberataques con MSHTA y técnicas de ofuscación para robar credenciales

Un reciente análisis ha revelado un aumento en el uso malicioso de mshta.exe, una herramienta legítima de Windows que ha sido aprovechada para ejecutar scripts remotos ocultos tras capas de ofuscación. Aunque el ataque fue mitigado antes de que el código malicioso se ejecutara completamente, permitió rastrear una cadena de infección compleja que incluía VBScript, PowerShell y múltiples transformaciones como codificación en Base64, XOR y hexadecimal. El archivo descargado simulaba ser un archivo multimedia inofensivo, pero contenía un infostealer diseñado para robar credenciales de navegadores, clientes FTP y monederos de criptomonedas. La investigación evidenció técnicas avanzadas de evasión, como el uso de nombres de variables aleatorios y cargas en memoria. Este caso resalta la importancia de analizar completamente las alertas, incluso cuando el intento de ataque no se completa, para detectar infraestructura maliciosa y mejorar la respuesta ante futuras amenazas.

Detectado un nuevo malware que utiliza el ofuscador ALCATRAZ para evitar su análisis

Investigadores de ciberseguridad han analizado una nueva familia de malware denominada DOUBLELOADER, observada junto al infostealer RHADAMANTHYS. Este malware emplea el ofuscador de código abierto ALCATRAZ, originalmente desarrollado en la comunidad de hacks para videojuegos y ahora usado también en el cibercrimen. DOUBLELOADER aprovecha funciones del sistema Windows para ejecutar código malicioso dentro del proceso explorer.exe, recolectando información del sistema y comunicándose con una IP codificada. ALCATRAZ complica el análisis mediante técnicas como ofuscación del punto de entrada, mutación de instrucciones, ocultamiento de constantes, y aplanamiento del flujo de control. Estas técnicas dificultan el trabajo de analistas, ya que interrumpen la descompilación y requieren intervenciones manuales. Los investigadores han publicado herramientas para ayudar a desofuscar binarios protegidos por ALCATRAZ, facilitando su estudio y mitigación en entornos de seguridad.

Cibercriminales roban criptomonedas a usuarios de Mac con apps falsas de Ledger

Una serie de campañas maliciosas están afectando a usuarios de macOS mediante aplicaciones falsas que simulan ser el software oficial de Ledger, una reconocida cartera de criptomonedas en frío. Estas apps fraudulentas están diseñadas para engañar a los usuarios y hacer que ingresen su frase semilla, una combinación de 12 o 24 palabras que permite recuperar el acceso a los activos digitales. Los ataques comenzaron en agosto de 2024 y han evolucionado hasta incluir un malware llamado “Odyssey”, que sustituye la app legítima de Ledger Live e incluye una página de phishing con mensajes de error falsos. Los expertos recuerdan que la frase semilla solo debe ingresarse en el dispositivo físico de Ledger, nunca en apps o páginas web.

DragonForce intensifica su ofensiva y desata guerra entre grupos de ransomware

El grupo cibercriminal DragonForce ha escalado su actividad en 2025, no solo atacando infraestructuras informáticas y entornos virtualizados, sino también enfrentándose abiertamente a otros grupos de ransomware. Tras relanzarse en marzo como un “cartel”, DragonForce ha adoptado un modelo de afiliados más flexible para atraer colaboradores y consolidar su presencia en el ecosistema del cibercrimen. Además de suplantar marcas rivales como BlackLock y Mamona, ha protagonizado conflictos con el grupo RansomHub, al que intentó absorber por la fuerza. DragonForce ha sido vinculado con el grupo GOLD HARVEST (también conocido como Scattered Spider), responsable de sofisticadas campañas de ingeniería social y del reciente ciberataque a la cadena británica Marks and Spencer. Estos ataques han puesto en evidencia la creciente amenaza que representan las alianzas entre grupos criminales descentralizados y la necesidad urgente de que las empresas refuercen sus defensas técnicas y humanas ante métodos cada vez más engañosos y coordinados.