Resumen Semanal de los Ciberataques | 10 - 16 julio
El nuevo exploit «Opossum» vulnera el protocolo seguro TLS
Los investigadores han descubierto un exploit de tipo «man-in-the-middle» denominado «Opossum». Esta vulnerabilidad afecta a la seguridad de la capa de transporte (TLS) cuando los protocolos admiten modos implícitos y oportunistas, lo que provoca la desincronización entre el cliente y el servidor y, en última instancia, socava las garantías de integridad de TLS y manipula los datos que ve el cliente. Afecta a una amplia gama de protocolos de aplicación muy utilizados, como HTTP, FTP, POP3, SMTP, LMTP y NNTP. Los análisis realizados en Internet han detectado más de 2,9 millones de servidores vulnerables, incluidos 1,4 millones de instancias IMAP y 1,1 millones de POP3. Aunque el número total de sistemas susceptibles de ser explotados sigue siendo limitado, el hecho de que la vulnerabilidad tenga su origen en el diseño del protocolo la hace especialmente significativa, sobre todo para los sistemas integrados y heredados. En respuesta, Apache2 ha dejado de utilizar el HTTP oportunista y está realizando un seguimiento de la vulnerabilidad con el número CVE-2025-49812, y Cyrus IMAPd ha desactivado el TLS oportunista de forma predeterminada.
Empresas falsas de videojuegos e inteligencia artificial difunden malware en criptomonedas
Una sofisticada campaña de ingeniería social está atacando a los usuarios de criptomonedas haciéndose pasar por falsas empresas emergentes de inteligencia artificial, videojuegos y Web3. Los atacantes crean perfiles de empresa convincentes utilizando cuentas falsas de X (antes Twitter), sitios web de aspecto profesional y documentación en plataformas como GitHub y Notion. Se contacta con las víctimas a través de X, Telegram o Discord y se les ofrece pagos en criptomonedas para probar software falso. Una vez que aceptan, se les indica que descarguen malware camuflado como aplicaciones legítimas: en Windows, una pantalla de Cloudflare oculta la instalación de un infostealer, mientras que los usuarios de macOS se infectan con AMOS, un malware que extrae datos del navegador y del monedero. La persistencia se garantiza mediante agentes de inicio y scripts de comandos remotos. La campaña, activa al menos desde marzo de 2024 y bautizada como «Meeten», imita las tácticas conocidas del grupo Crazy Evil. Empresas como Eternal Decay, BeeSync y NexLoop se encuentran entre las muchas empresas falsas utilizadas para atraer a las víctimas. Los investigadores advierten de que la campaña sigue en marcha y es cada vez más sofisticada.
Descubren una combinación de ataques que vulnera el modelo Grok-4
Investigadores han logrado vulnerar el modelo de lenguaje Grok-4 mediante la combinación de dos técnicas conocidas: Echo Chamber y Crescendo. Esta estrategia permite evadir los sistemas de seguridad del modelo sin necesidad de utilizar indicaciones explícitamente maliciosas. El ataque comienza con Echo Chamber, que introduce un contexto envenenado y guía la conversación hacia un objetivo dañino mediante un ciclo de persuasión. Si el progreso se estanca, Crescendo interviene para reactivar el avance. Aplicando este método, lograron que Grok-4 proporcionara instrucciones para fabricar un cóctel Molotov. La combinación mostró una efectividad del 67% para este objetivo, 50% en el caso de metanfetamina y 30% para toxinas. El experimento demuestra que es posible explotar modelos avanzados sin activar sus filtros de contenido, destacando la necesidad de reforzar las defensas frente a manipulaciones sutiles y de múltiples turnos.
Surge GLOBAL GROUP: un nuevo Ransomware-as-a-Service con alcance global
El 2 de junio de 2025, se detectó la aparición de GLOBAL GROUP, un nuevo grupo de ransomware operando bajo el modelo Ransomware-as-a-Service (RaaS), promovido en foros clandestinos por el actor "$$$", también vinculado a las operaciones de Black Lock y Mamona. GLOBAL GROUP ofrece a sus afiliados hasta el 85% del rescate obtenido y emplea herramientas avanzadas, incluyendo un panel de negociación con chatbots impulsados por IA. En sus primeros cinco días, atacó a nueve víctimas en sectores clave de Estados Unidos, Reino Unido, Australia y Brasil, sumando 17 casos confirmados hasta el 14 de julio. Sus ataques aprovechan accesos comprados a través de brokers, vulnerabilidades en dispositivos perimetrales, y herramientas de fuerza bruta contra servicios como Outlook y VPN. Se descubrió que su infraestructura se aloja en un servidor ruso, con vínculos técnicos y operativos que lo relacionan directamente con operaciones previas de ransomware. GLOBAL GROUP apunta a empresas de alto valor, exigiendo rescates millonarios y desplegando el ransomware de forma automatizada y veloz.
Detectada nueva variante de Interlock RAT que utiliza PHP en campañas masivas
Investigadores de ciberseguridad han identificado una nueva y sofisticada variante del troyano de acceso remoto (RAT) del grupo Interlock, esta vez programada en PHP en lugar del habitual Node.js. Desde mayo de 2025, esta variante se ha observado en campañas asociadas con el clúster KongTuke, donde se comprometen sitios web para inyectar scripts que engañan a los usuarios para ejecutar comandos maliciosos. El malware realiza un reconocimiento automático del sistema infectado y mantiene comunicación con servidores de comando y control a través de la plataforma legítima TryCloudflare. La variante en PHP ha sido usada como paso previo a la instalación de la versión en Node.js en algunos casos. Este RAT permite la ejecución remota de comandos, instalación de archivos maliciosos y persistencia en el sistema, además de realizar movimientos laterales mediante RDP. La campaña es de carácter oportunista y afecta a múltiples sectores.