< Back
world map background

Tags:

Threat intelligence
27 August 2025

Resumen Semanal de los ciberataques 21-27 agosto

Campaña de phishing distribuye UpCrypter para comprometer empresas 

Investigadores de FortiGuard Labs identificaron una campaña de phishing activa que entrega el malware UpCrypter a través de falsos mensajes de voz y órdenes de compra fraudulentas. El ataque se dirige a entornos de Microsoft Windows y utiliza correos de phishing altamente personalizados con archivos HTML maliciosos adjuntos. Estos redirigen a sitios falsos que imitan el dominio y logotipo de la víctima para ganar credibilidad. La meta es que el usuario descargue un archivo ZIP con JavaScript droppers fuertemente ofuscados. Los droppers decodifican y ejecutan comandos PowerShell de forma encubierta, lanzando un loader MSIL en memoria con múltiples técnicas de evasión (detección de entornos de análisis, máquinas virtuales y herramientas forenses). Si detecta condiciones sospechosas, el malware fuerza un reinicio del sistema para interrumpir el análisis. El loader obtiene cargas adicionales desde dominios controlados por los atacantes, usando incluso esteganografía para ocultar código en texto plano o imágenes. Mediante PowerShell ofuscado y reflexión en .NET, inyecta malware en memoria y establece persistencia modificando claves del registro de Windows. Finalmente, despliega varios RATs (Remote Access Tools), incluidos PureHVNC, DCRat y Babylon RAT, otorgando control remoto completo, robo de datos, persistencia y movimiento lateral en redes corporativas. La telemetría muestra que la campaña tiene alcance global y crece rápidamente, con detecciones que se duplicaron en dos semanas, afectando sectores como manufactura, tecnología, salud, construcción y hotelería. La continua evolución de UpCrypter como marco de carga lo convierte en una herramienta clave dentro del ecosistema de amenazas. 

Nueva variante del troyano bancario Hook para Android 

Se ha identificado una nueva variante del troyano bancario Hook para Android, llamada Versión 3, con algunas de las funciones más avanzadas. Las novedades incluyen superposiciones estilo ransomware para extorsión, pantallas falsas de escaneo NFC para robar datos, bloqueos de pantalla engañosos para capturar PIN y patrones, capturas de gestos transparentes y transmisión en tiempo real de la pantalla. La nueva versión amplía el conjunto de comandos a 107 (38 nuevos), permitiendo a los atacantes secuestrar sesiones, robar datos y evadir controles de seguridad. Además, no solo se distribuye por phishing, sino también a través de repositorios en GitHub donde se disfrazan APKs maliciosos como aplicaciones legítimas. Hook v3 continúa explotando los Servicios de Accesibilidad de Android, pero ahora puede usar superposiciones de ransomware, pantallas falsas de Google Pay, robo de cookies y tokens, y eludir bloqueos de pantalla simulando la introducción de PIN o patrones. También roba fotos, contactos, SMS, registros de llamadas, portapapeles y permite control remoto completo mediante HVNC y VNC.

Campaña de criptojacking de TA-NATALSTATUS se intensifica a nivel mundial en 2025 

Se ha descubierto una campaña de criptojacking a gran escala y muy sofisticada atribuida al grupo de actores maliciosos TA-NATALSTATUS, activo desde 2020 y que ahora se está expandiendo a nivel mundial. El grupo aprovecha los servidores Redis expuestos para obtener acceso de nivel raíz, instalar mineros de criptomonedas, desactivar las defensas, eliminar el malware de la competencia y establecer un control persistente sobre la infraestructura comprometida. A diferencia de las típicas campañas de minería «smash-and-grab», TA-NATALSTATUS ha desarrollado una estrategia disciplinada y a largo plazo, convirtiendo los servidores vulnerables en activos duraderos para la minería de Monero. La operación aprovecha las configuraciones erróneas generalizadas de los servidores. Los datos muestran que un porcentaje sorprendente de servidores Redis siguen expuestos en todo el mundo: el 41 % en Finlandia, el 39 % en Rusia, el 33 % en Alemania, el 29 % en la India, el 27 % en el Reino Unido y el 17 % en los Estados Unidos. Decenas de miles de servidores en todo el mundo están en peligro, y la explotación se basa en comandos Redis legítimos en lugar de vulnerabilidades de día cero. TA-NATALSTATUS ha evolucionado considerablemente desde sus primeras campañas en 2020.

UAC-0057 sigue ejerciendo presión sobre Ucrania y Polonia

Investigadores de ciberseguridad han identificado nuevas campañas maliciosas atribuidas al actor malicioso UAC-0057, también conocido como UNC1151, Ghostwriter o FrostyNeighbor, que han estado atacando Ucrania y Polonia desde abril de 2025. La actividad se caracteriza por el uso de archivos comprimidos enviados mediante spearphishing que contienen hojas de cálculo Excel con macros VBA diseñadas para colocar implantes DLL ofuscados. Estos implantes recopilan información del sistema, mantienen la persistencia y recuperan más cargas maliciosas de una red de servidores de comando y control. En Ucrania, se observaron campañas entre mayo y julio de 2025, que aprovechaban archivos XLS con cadenas de ejecución en evolución. Algunas muestras descargaban DLL directamente, mientras que otras utilizaban archivos cabinet y accesos directos LNK para ejecutar el malware. En Polonia, las campañas observadas en abril y mayo de 2025 utilizaron archivos XLS maliciosos similares, también con ofuscación MacroPack. Las DLL de primera fase escritas en C# o C++ recopilaban datos de perfil del sistema similares, con variantes que enviaban la información exfiltrada a servidores C2 a través de webhooks de Slack o mediante archivos de imagen camuflados alojados en dominios suplantados. Algunos implantes utilizaban tareas programadas para la persistencia, mientras que otros eran descargadores de ejecución única.

Salty 2FA: PhaaS no detectado de Storm-1575 que afecta a industrias de EE. UU. y la UE 

Se ha descubierto un marco de Phishing-as-a-Service (PhaaS) no documentado anteriormente, denominado Salty 2FA, que tiene como objetivo organizaciones de Estados Unidos y Europa. A diferencia de las plataformas PhaaS establecidas, como Tycoon2FA, EvilProxy y Sneaky2FA, este marco emplea una cadena de ejecución distintiva de varias etapas, patrones de dominio novedosos y técnicas de evasión diseñadas para eludir la detección mientras roba credenciales de Microsoft 365 e intercepta métodos de autenticación multifactor (MFA). Salty 2FA se propaga principalmente a través de correos electrónicos de phishing con temas como mensajes de voz falsos, modificaciones de nóminas, extractos de facturación e invitaciones a licitaciones. Las campañas se caracterizan por su infraestructura inusual: dominios compuestos en zonas .com (como .com.de .it.com) emparejados con dominios *.ru, combinados con payloads JavaScript ofuscados e intercambios de datos cifrados. Las credenciales de las víctimas y los códigos de un solo uso se extraen a través de puntos finales PHP en dominios rusos, con la comunicación ofuscada mediante una rutina Base64 + XOR vinculada a identificadores de sesión. El kit de phishing se ejecuta en varias etapas.