< Back
an exclamation mark indicating a threat

Tags:

Threat intelligence
12 Junio 2025

Resumen de los ciberataques 12-18 junio

Detectan una campaña de ciberespionaje activa en España, Francia, Portugal, Italia, Bélgica y Países Bajos 

Una campaña de ciberespionaje activa en Europa ha revelado el uso del troyano de acceso remoto (RAT) Sorillus, también conocido como SambaSpy. El ataque, atribuido a actores de habla portuguesa, se distribuye mediante correos de phishing con facturas falsas que redirigen a servidores maliciosos a través de servicios como OneDrive, Ngrok y MediaFire. El malware, vendido desde 2019 como servicio, permite espiar webcams, grabar audio, robar datos y controlar sistemas operativos Windows, macOS y Linux. A pesar del cierre de su web comercial en enero de 2025, versiones pirateadas siguen circulando en foros y redes sociales. La campaña afecta a organizaciones en España, Francia, Portugal, Italia, Bélgica y Países Bajos, utilizando mensajes en varios idiomas y técnicas de evasión sofisticadas. Los investigadores recomiendan bloquear los dominios asociados y monitorizar o bloquear servicios de almacenamiento en la nube y de túneles de red si no están siendo utilizados con fines autorizados por la organización. 

Descubren nueva campaña de ciberespionaje del grupo XDSpy con malware actualizado XDigo 

Investigadores han revelado una operación de ciberespionaje llevada a cabo en 2025 por el grupo XDSpy, centrada en gobiernos y entidades estratégicas de Europa del Este, especialmente Bielorrusia. La campaña utiliza una nueva versión del implante malicioso XDigo, desplegado mediante archivos LNK manipulados que explotan fallos en el análisis de accesos directos de Windows. XDigo recopila información del sistema, captura pantallas y busca archivos sensibles, que cifra con AES-256-GCM antes de exfiltrarlos a un servidor C2 mediante peticiones HTTPS. Además, puede recibir comandos cifrados desde el C2, los cuales están firmados y validados criptográficamente. Se han identificado varias versiones de XDigo, algunas con capacidades adicionales de robo de credenciales. La infraestructura utilizada muestra técnicas avanzadas de evasión, incluyendo redirecciones a archivos de inteligencia artificial para despistar a los analistas. El uso reiterado de patrones únicos y herramientas comunes permite vincular esta campaña con las operaciones previas de XDSpy, en actividad desde al menos 2020. 

Ciberataque compromete más de 269.000 páginas web con código malicioso 

Investigadores de ciberseguridad han detectado una campaña a gran escala que ha afectado a más de 269.000 páginas web legítimas mediante la inyección de código JavaScript malicioso. El ataque, que tuvo su punto más alto el 12 de abril de 2025 con más de 50.000 sitios comprometidos en un solo día, utiliza una técnica de ofuscación conocida como JSFireTruck, basada en una codificación con caracteres limitados que dificulta su análisis. El código malicioso revisa si el visitante proviene de buscadores como Google o Bing y, de ser así, redirige al usuario a sitios peligrosos que pueden distribuir malware o mostrar publicidad maliciosa. 

Ataque con el ransomware Fog revela herramientas inusuales y posibles fines de espionaje 

Un ataque perpetrado en mayo de 2025 contra una institución financiera en Asia ha llamado la atención por el uso del ransomware Fog junto a un conjunto de herramientas poco comunes. Entre ellas se encuentra Syteca, un software legítimo de monitorización de empleados, y utilidades de pentesting de código abierto como GC2, Stowaway y Adaptix, nunca antes vistas en ataques de ransomware. Los atacantes permanecieron dos semanas en la red antes de desplegar el malware y, a diferencia de lo habitual, establecieron persistencia tras la infección. También emplearon herramientas como PsExec y SMBExec para moverse lateralmente, y programas como MegaSync y FreeFileSync para robar información. El uso de herramientas orientadas al espionaje y la permanencia prolongada en el sistema sugieren que el ransomware podría haber sido una distracción o un medio secundario de beneficio, en un ataque con objetivos posiblemente más complejos. 

Detectado un nuevo malware que suplanta a DeepSeek para espiar la navegación web 

Una nueva campaña de malware ha sido descubierta utilizando un sitio web falso que suplanta a la popular inteligencia artificial DeepSeek-R1, aprovechando su creciente demanda. Los atacantes han recurrido a malvertising en Google Ads para posicionar una página fraudulenta como si fuera la oficial, engañando a los usuarios para descargar un instalador malicioso. Al ejecutar el archivo, se inicia una cadena de infecciones que culmina con la instalación de un implante llamado BrowserVenom, diseñado para redirigir todo el tráfico web del usuario a través de un proxy controlado por los ciberdelincuentes. Esto les permite interceptar, manipular y espiar la actividad de navegación. El código de los sitios web maliciosos contiene anotaciones en ruso, lo que apunta a desarrolladores rusoparlantes. El ataque afecta especialmente a usuarios de sistemas Windows y requiere privilegios de administrador para ejecutar plenamente su carga maliciosa. Se han detectado infecciones en varios países, incluidos México, Brasil e India. Las autoridades recomiendan verificar cuidadosamente las direcciones web y certificados antes de descargar software relacionado con IA.