Resumen Semanal de los Ciberataques 17 a 23 de julio
Campaña de explotación en curso de SonicWall Secure Mobile Access (SMA) mediante el backdoor OVERSTEP
Según del 16 de julio de 2025, un grupo de amenazas con motivaciones financieras, rastreado como UNC6148, está atacando activamente dispositivos SonicWall Secure Mobile Access (SMA) serie 100 que han llegado al final de su vida útil pero que cuentan con todos los parches. Esta campaña aprovecha un sofisticado enfoque que utiliza credenciales robadas previamente y un backdoor/rootkit persistente recientemente identificado, denominado OVERSTEP. El Grupo de Inteligencia sobre Amenazas de Google (GTIG) y Mandiant han confirmado que estos ataques permiten el acceso persistente y el robo de credenciales incluso después de aplicar las actualizaciones de firmware. El malware, OVERSTEP, es un objeto compartido ELF de 32 bits compilado para la arquitectura x86, diseñado para enganchar funciones de la biblioteca estándar como open, readdir y write a través de ld.so.preload, lo que facilita tanto el sigilo como el control sobre el dispositivo comprometido. Es probable que el ataque inicial se debiera a la explotación de vulnerabilidades conocidas de los dispositivos SonicWall antes de que fueran parcheadas, como la CVE-2024-38475, que permite atravesar rutas sin autenticación y la filtración de bases de datos. Otras vulnerabilidades que pueden haber sido aprovechadas son CVE-2021-20038, CVE-2021-20035, CVE-2021-20039 y CVE-2025-32819. En particular, GTIG sospecha que UNC6148 podría haber utilizado un zero-day previamente desconocido para desplegar OVERSTEP. Tras el robo de credenciales, UNC6148 utilizó un VPS alojado en BitLaunch para acceder a los dispositivos a través de VPN SSL y estableció shells inversos, lo que le permitió modificar las políticas de acceso a la red e implantar OVERSTEP. El malware asegura su persistencia modificando el proceso de arranque, inyectándose en la imagen INITRD y alterando el script /etc/rc.d/rc.fwboot. El timestomping y la ocultación de componentes mediante técnicas de rootkit en modo usuario permiten al malware eludir la detección. OVERSTEP permite a los atacantes establecer shells inversos (mediante el comando dobackshell) y filtrar archivos confidenciales, como credenciales y semillas OTP (mediante el comando dopasswords). Los comandos se envían a través de consultas HTTP maliciosas y se analizan mediante funciones de escritura secuestradas. Después de la infección, UNC6148 realiza operaciones antiforenses, borrando registros y evitando el historial del shell para ocultar actividades. Aunque no se ha confirmado el despliegue inmediato del ransomware, GTIG ha encontrado vínculos entre la actividad de UNC6148 y anteriores despliegues de ransomware de la marca Abyss. Un objetivo de UNC6148 en mayo de 2025 apareció más tarde en el sitio de extorsión World Leaks en junio, lo que sugiere que esta campaña forma parte de un esfuerzo más amplio que puede culminar en extorsión de datos o ransomware. GTIG insta a todos los usuarios de SonicWall SMA a inspeccionar sus dispositivos en busca de indicadores de peligro, obtener imágenes de disco para su revisión forense y rotar todas las credenciales, semillas OTP y certificados, independientemente del estado del parche, debido a la capacidad del malware para persistir y evadir la detección.
Operación de MaaS con Emmenhtal y Amadey
Según información con fecha de 17 de julio de 2025, los investigadores identificaron una operación de malware como servicio que utilizaba el malware Amadey y cargadores Emmenhtal para entregar cargas útiles a través de repositorios públicos de GitHub. Varios de los TTP observados coinciden con una campaña de phishing SmokeLoader anterior dirigida a entidades ucranianas, identificada a principios de 2025. Al analizar la campaña SmokeLoader, que utilizaba cargadores Emmenhtal, los investigadores descubrieron muestras de Emmenhtal que no formaban parte del grupo de actividades original. Las muestras no se distribuyeron por correo electrónico, sino que se encontraron en varios repositorios de GitHub. Las muestras, alojadas en tres cuentas de GitHub, se utilizaban para distribuir Amadey, que a su vez descargaba varios payloads personalizadas de determinados repositorios públicos de GitHub. Estas cuentas servían como directorios abiertos para malware, incluyendo AsyncRAT, PuTTY y ladrones de información. Los operadores de MaaS utilizaron GitHub para eludir el filtrado web y distribuir archivos con facilidad. Muchas entidades con equipos de desarrollo de software requieren cierto nivel de acceso a GitHub. En estos entornos, una descarga maliciosa de GitHub puede ser difícil de diferenciar del tráfico web normal. El impacto de este suceso es significativo porque pone de relieve cómo se está abusando de las plataformas de confianza para alojar y distribuir programas maliciosos. Al utilizar estas plataformas, los atacantes dificultan su detección. El uso de Emmenhtal en diferentes campañas muestra la posible coordinación entre grupos de amenazas. El suceso también representa la sofisticación del malware como servicio.
La campaña de phishing PoisonSeed abusa del MFA entre dispositivos para eludir las protecciones de FIDO2
Según una información del 19 de julio de 2025, los investigadores descubrieron que una campaña de phishing PoisonSeed está eludiendo las protecciones de claves de seguridad FIDO2 aprovechando la función legítima de inicio de sesión entre dispositivos de WebAuthn. Los atacantes abusan de WebAuthn para engañar a las víctimas y conseguir que autoricen inicios de sesión fraudulentos desde falsos portales corporativos. Los actores de amenazas de PoisonSeed son conocidos por emplear ataques de phishing de gran volumen para cometer fraudes financieros. Esta campaña comienza atrayendo a los usuarios a sitios de phishing que suplantan páginas de inicio de sesión de empresas populares, como Okta y Microsoft 365. Cuando los usuarios envían sus credenciales, un backend adversario en el medio las retransmite a los portales de inicio de sesión reales. En lugar de solicitar la clave de seguridad física FIDO2 de la víctima, el backend de phishing inicia la autenticación entre dispositivos, haciendo que el sitio legítimo genere un código QR. Este código QR se muestra en la página de phishing y, al ser escaneado por el dispositivo móvil de la víctima, completa la sesión de inicio de sesión del atacante. El impacto de este suceso es significativo, ya que el método no explota fallos técnicos, sino que rebaja el proceso de autenticación, lo que pone de relieve el riesgo de la ingeniería social incluso en sistemas resistentes al phishing.
Polonia investiga un sabotaje tras la interrupción del control del tráfico aéreo
Según información del 21 de julio de 2025, la Agencia de Seguridad Interior de Polonia (ABW) inició una investigación sobre un posible sabotaje después de que un repentino fallo técnico interrumpiera el sistema de control del tráfico aéreo del país el 19 de julio de 2025. La interrupción provocó retrasos en las salidas de los principales aeropuertos, incluidos los de Varsovia, Cracovia y Gdańsk, pero no se canceló ningún vuelo. Las operaciones se restablecieron cuando la Autoridad Polaca de Navegación Aérea (PANSA) cambió a un sistema de reserva. Aunque la interrupción no se vinculó oficialmente a un ciberataque, se están analizando los datos en busca de indicios de interferencias deliberadas. Las autoridades están estudiando posibles vínculos con operaciones híbridas rusas. El impacto de este suceso es significativo, ya que pone de manifiesto la creciente preocupación en toda Europa por el sabotaje ruso y las amenazas híbridas.
Los cables submarinos, cada vez más amenazados por las tensiones geopolíticas
Según información fechada el 17 de julio de 2025, los investigadores han observado una escalada de las amenazas a la infraestructura de cables submarinos. La escalada observada en los últimos 18 meses se debe a las tensiones geopolíticas y al aumento de los daños en los cables. Cada vez se sospecha más de agentes vinculados a Estados, en particular de Rusia y China, que utilizan tácticas poco sofisticadas, como el arrastre de anclas, para dañar cables en regiones sensibles como el Mar Báltico y los alrededores de Taiwán. Los incidentes documentados en cables de datos ponen de manifiesto vulnerabilidades sistémicas en zonas con redundancia, diversidad de rutas y capacidad de reparación limitadas. En regiones sensibles como África Occidental y Central, los daños han causado cortes importantes y prolongados. Los cables submarinos transportan aproximadamente el 99% del tráfico mundial de datos, lo que los convierte en un componente esencial de las telecomunicaciones y los sistemas financieros. Un ataque de gran impacto contra varios cables podría interrumpir gravemente el acceso a Internet y la conectividad mundial durante largos periodos. El impacto de este suceso podría ser significativo. Los daños a la infraestructura de cables submarinos suponen un grave riesgo para la confidencialidad, integridad y disponibilidad de los flujos mundiales de datos. El creciente sabotaje patrocinado por el Estado introduce un nuevo vector de ataques ciberfísicos que pueden perturbar la infraestructura digital sin utilizar las herramientas cibernéticas tradicionales.