< Back
Weekly Summary Cyberattacks 26 jun-02 jul
26 Junio 2025

Resumen Semanal de los ciberataques 26 jun-02 jul

La agencia francesa de ciberseguridad identifica a "Houken", grupo cibernético vinculado a China que explota vulnerabilidades críticas 

La agencia francesa de ciberseguridad ANSSI ha revelado la actividad de un grupo de amenaza avanzada denominado Houken, activo desde septiembre de 2024. Este actor de amenazas ha explotado vulnerabilidades de día cero en dispositivos Ivanti Cloud Service Appliance, accediendo a redes de sectores estratégicos en Francia, como gobierno, telecomunicaciones, medios, finanzas y transporte. Houken combina herramientas públicas de origen chino con capacidades técnicas avanzadas, incluyendo rootkits personalizados para Linux que permiten el control remoto y la persistencia en los sistemas comprometidos. También utiliza webshells y túneles proxy en servidores Microsoft Exchange. Tras obtener acceso inicial, los atacantes se mueven lateralmente, roban credenciales e instalan backdoors. ANSSI vincula a Houken con UNC5174, un conjunto de intrusiones atribuido al Ministerio de Seguridad del Estado chino, basándose en técnicas, herramientas e infraestructuras comunes. Además del espionaje, el grupo ha desplegado criptomineros de Monero, lo que sugiere fines financieros adicionales. La operación sigue activa en 2025, y ANSSI advierte que representa una amenaza persistente a escala global. 

TransferLoader: nueva amenaza en campañas de phishing con posibles vínculos entre grupos TA829 y UNK_GreenSec 

En febrero de 2025 se detectó TransferLoader, un nuevo downloader vinculado a campañas de suplantación de identidad similares a las del grupo TA829, pero atribuidas a UNK_GreenSec. La campaña se inicia con correos de supuestos candidatos laborales que redirigen a una descarga de un archivo ejecutable disfrazado de currículum, con mecanismos avanzados de evasión y cifrado. El malware comprueba que el nombre del archivo no haya sido alterado y resuelve dinámicamente funciones de Windows mediante hashes para dificultar la detección. TransferLoader descifra datos de su siguiente etapa almacenados en secciones específicas del archivo usando algoritmos personalizados. Ha sido observado descargando Metasploit y, en algunos casos, derivando en infecciones con el ransomware Morpheus. Desde junio, se han observado nuevas versiones con infraestructura más sofisticada, incluyendo enlaces a AWS y uso de proxys y dominios comprometidos. Si bien no hay pruebas concluyentes de una relación directa entre TA829 y UNK_GreenSec, las similitudes en técnicas, infraestructura y malware apuntan a una posible conexión operativa entre ambos actores. 

Aumentan los ciberataques globales que roban datos NFC para pagos contactless 

Un nuevo método de ataque que explota datos NFC, detectado por primera vez en 2023 en la República Checa, se ha extendido rápidamente a nivel mundial. Investigadores han informado que en el primer semestre de 2025 los ataques relacionados con NFC se multiplicaron por 35 en comparación con el semestre anterior. El fraude comienza con técnicas clásicas como el phishing y malware en apps móviles disfrazadas de servicios bancarios. Usando herramientas como NFCGate y el malware NGate, los atacantes engañan a las víctimas para que introduzcan datos sensibles y luego clonen sus tarjetas para realizar pagos o retiros sin dejar rastro. Aunque se han hecho arrestos, los ataques persisten y han evolucionado bajo el nombre de “Ghost Tap”, permitiendo transacciones fraudulentas desde carteras digitales clonadas. Los expertos recomiendan medidas preventivas como limitar pagos contactless, detectar intentos de phishing y usar soluciones de ciberseguridad confiables. 

Detectada campaña de phishing que suplanta a CapCut y Apple para robar credenciales y tarjetas 

Se ha identificado una nueva campaña de phishing que aprovecha la popularidad de la aplicación de edición de video CapCut para engañar a usuarios. Los atacantes envían falsas facturas que redirigen a páginas fraudulentas con apariencia de Apple, donde se solicita iniciar sesión con el Apple ID. Tras capturar las credenciales, se solicita información de tarjeta de crédito con el pretexto de emitir un reembolso. Los datos son enviados a servidores controlados por los ciberdelincuentes. La campaña incluye un paso final con una falsa verificación de código para retrasar la sospecha y prolongar el ataque. Se alerta a los usuarios a verificar siempre las URLs y desconfiar de solicitudes inesperadas de datos sensibles. 

Detenido en Francia el hacker británico “IntelBroker” por causar daños millonarios a víctimas globales 

Kai West, ciudadano británico de 25 años, ha sido acusado por la justicia estadounidense de liderar una red de ciberataques bajo el alias “IntelBroker”. Según la Fiscalía del Distrito Sur de Nueva York, West y un grupo conocido como “CyberN[------]” infiltraron redes informáticas de más de 40 víctimas, incluidas empresas de telecomunicaciones, proveedores de salud y servicios de internet. A través de su cuenta en un foro de piratería, ofreció datos robados en al menos 158 ocasiones, con un valor estimado superior a 2 millones de dólares, provocando daños que superan los 25 millones en todo el mundo. Fue arrestado en Francia en febrero de 2025 y EE. UU. ha solicitado su extradición. Se enfrenta a cuatro cargos, incluyendo fraude informático y electrónico, con penas de hasta 20 años de prisión. El FBI destacó que West llegó a ser identificado como el "propietario" del foro desde donde operaba y utilizaba criptomonedas como Monero para ocultar sus transacciones.