Resumen Semanal de los ciberataques 28 Ago-03 Sep
RapperBot: De la infección al DDoS en una fracción de segundo
Han salido a la luz nuevos detalles sobre la botnet RapperBot. Este malware, similar a Mirai, convierte dispositivos IoT vulnerables, como grabadoras de vídeo en red (NVR), en herramientas para escanear y lanzar ataques DDoS masivos. La campaña se detectó por primera vez cuando un NVR infectado mostró un mensaje sospechoso de "actualización" antes de inundar repentinamente la red con paquetes UDP dirigidos al puerto 80 y escanear Internet en busca de servicios Telnet abiertos en el puerto 23. Una investigación más profunda reveló que el malware se infiltra en los dispositivos a través de una cadena de explotación específica: una fuga de recorrido de ruta del servidor web para obtener las credenciales de administrador, seguida de una conexión al puerto de gestión del dispositivo (TCP 34567), donde se envía una actualización de firmware falsa. Esta actualización monta un recurso compartido NFS remoto para ejecutar binarios maliciosos, un método elegido porque el firmware del NVR carece de compatibilidad con utilidades de descarga comunes como curl y wget. El malware, tras su ejecución, se borra a sí mismo y se ejecuta en la memoria, basándose en la reinfección continua.
Una campaña avanzada de Lazarus utiliza PondRAT, ThemeForestRAT y RemotePE en ataques al sector financiero
Expertos en ciberseguridad de Fox-IT y NCC Group han documentado las actividades de un subgrupo del Lazarus Group que sigue atacando a organizaciones del sector financiero y de las criptomonedas utilizando una combinación de tres troyanos de acceso remoto (RAT): PondRAT, ThemeForestRAT y RemotePE. Este subgrupo, que se solapa con la actividad atribuida anteriormente a AppleJeus, Citrine Sleet, UNC4736 y Gleaming Pisces, ha sido observado en múltiples casos de respuesta a incidentes, incluido uno en 2024 en el que se desplegaron los tres RAT de forma secuencial. La cadena de ataque suele comenzar con sofisticadas campañas de ingeniería social llevadas a cabo a través de Telegram, en las que los atacantes se hacen pasar por empleados de empresas legítimas de comercio e inversión utilizando sitios web y plataformas de reunión falsos. En al menos un caso, los investigadores sospechan que se utilizó un exploit zero-day de Chrome para ejecutar código en el equipo de la víctima, seguido del despliegue de PondRAT como punto de apoyo inicial. La persistencia se logró utilizando el servicio SessionEnv de Windows a través de la carga de DLL fantasma con un cargador personalizado llamado PerfHLoader, que otorgaba privilegios elevados para eludir los controles de seguridad. PondRAT, una sencilla RAT multiplataforma que se cree que es la sucesora de POOLRAT (SimpleTea), se utilizó para leer y escribir archivos, ejecutar comandos y cargar código shell o payloads adicionales. A pesar de su simplicidad, sirvió como punto de entrada para malware más avanzado.
Amenazas cibernéticas avanzadas dirigidas a los aficionados y equipos de Fórmula 1 antes del Gran Premio de Holanda
Ciberdelincuentes están atacando cada vez más a los aficionados, equipos y organizaciones asociadas a la Fórmula 1 en vísperas del Gran Premio de Holanda en Zandvoort. Los investigadores informan de que el panorama de amenazas ha evolucionado significativamente más allá de las tradicionales estafas de entradas, y que los atacantes ahora emplean técnicas muy avanzadas, como deepfakes impulsados por IA, aplicaciones móviles maliciosas, paquetes de hospitalidad fraudulentos, estafas con NFT y criptomonedas, robo de datos de telemetría y compromisos de la cadena de suministro. Los ataques deepfake se encuentran entre los desarrollos más preocupantes, ya que los delincuentes se hacen pasar por ejecutivos del equipo para cometer fraudes o dañar la reputación. En un caso ocurrido en 2024, Ferrari evitó por poco pérdidas después de que un estafador que se hacía pasar por el director ejecutivo Benedetto Vigna fuera descubierto solo gracias a una respuesta personalizada a un desafío. Recientemente, Toto Wolff confirmó la existencia de pornografía deepfake utilizando su imagen, lo que pone de relieve cómo las personas de alto perfil de la F1 se están convirtiendo en objetivos de ingeniería social. A nivel de los aficionados, proliferan las aplicaciones móviles maliciosas relacionadas con la F1, desde aplicaciones fantasma que se ocultan en los dispositivos mientras realizan operaciones fraudulentas hasta juegos falsificados y aplicaciones de streaming no autorizadas que instalan malware persistente.
CVE-2025-6543 explotada como zero-day desde mayo de 2025
El investigador Kevin Beaumont de DoublePulsar reveló que Citrix no habría informado que la vulnerabilidad CVE-2025-6543 se encontraba en explotación activa como zero-day desde al menos mayo de 2025. Aunque Citrix solucionó el problema a finales de junio, describiéndolo como un fallo de desbordamiento de memoria que podía provocar desvíos involuntarios en el flujo de ejecución o Denegación de Servicio (DoS), Beaumont sostiene que la vulnerabilidad permitía en realidad ejecución remota de código, facilitando a los atacantes desplegar webshells, mantener acceso persistente a sistemas NetScaler y permanecer ocultos incluso tras aplicar el parche. Las observaciones de Beaumont cuentan con respaldo del informe del NCSC Países Bajos, que confirma la explotación desde principios de mayo y señala que los atacantes borraron activamente rastros forenses, dificultando la respuesta a incidentes. Las comunicaciones oficiales de Citrix no mencionaban la capacidad de ejecución remota ni de persistencia, minimizando la gravedad al enfocarse principalmente en DoS. Los avisos de seguridad se han actualizado para reflejar la explotación activa, y se insta a los clientes a aplicar los parches disponibles e investigar posibles compromisos. Hasta la fecha, no se conoce la identidad específica del actor detrás de estos ataques.
Vulnerabilidad crítica en Passwordstate permite omitir autenticación
El 29 de agosto de 2025, Click Studios lanzó un parche para una vulnerabilidad de alta severidad en su gestor de contraseñas empresarial Passwordstate, instando a todos los usuarios a actualizar inmediatamente a Build 9.9 Build 9972. El fallo permite que un atacante acceda a la sección de administración de la aplicación mediante la creación de una URL específica que explota la página de Emergency Access, eludiendo completamente la autenticación y obteniendo acceso no autorizado con privilegios de administrador. Como medida temporal, los usuarios pueden limitar el acceso mediante el campo “Emergency Access Allowed IP Address” en la configuración del sistema, aunque la compañía enfatiza que esto solo ofrece una mitigación parcial. Se recomienda encarecidamente aplicar la actualización completa lo antes posible para asegurar la protección total del sistema.