< Back
Abstract image with a hacker silhouette

Tags:

Threat intelligence
19 Junio 2025

Resumen Semanal de los Ciberataques 19-25 junio

Técnicas proactivas permiten desactivar redes de criptominería maliciosa 

Un equipo de investigadores ha desarrollado dos técnicas innovadoras para desmantelar redes de criptominería maliciosa, reduciendo sus operaciones a cero sin necesidad de depender de terceros. Aprovechando vulnerabilidades en las topologías de minería y las políticas de los pools, lograron sabotear la infraestructura de los atacantes. En una campaña activa desde hace seis años, consiguieron eliminar por completo una tasa de minería de 3,3 millones de hashes por segundo, lo que representaba unos 26.000 dólares anuales para los ciberdelincuentes. Las técnicas, que explotan la validación de "shares" inválidas, denominadas "bad shares", permiten forzar el baneo de proxies o direcciones de monedero. Estas acciones afectan a toda la red de bots implicada, liberando a las víctimas infectadas. Una de las herramientas empleadas, XMRogue, simula ser un minero y envía datos maliciosos que terminan bloqueando la operación entera. Aunque no son soluciones permanentes en todos los casos, estas tácticas han demostrado ser efectivas para interrumpir y, en algunos casos, desactivar por completo campañas de criptominería ilícita. 

Detectado un nuevo spyware en App Store y Google Play vinculado al robo de criptomonedas 

Una nueva campaña de ciberespionaje ha sido descubierta en aplicaciones disponibles tanto en Google Play como en la App Store. Se trata de SparkKitty, un malware que parece ser una evolución del spyware SparkCat, ya conocido por atacar carteras de criptomonedas. Este malware opera en dispositivos Android e iOS, robando imágenes de las galerías de los usuarios, especialmente aquellas que puedan contener frases semilla vinculadas a criptomonedas, mediante el uso de reconocimiento óptico de caracteres (OCR). La campaña lleva activa desde al menos febrero de 2024 y ha sido difundida a través de tiendas oficiales, apps modificadas y sitios web fraudulentos que simulan tiendas online. En iOS, se ha distribuido mediante perfiles empresariales, aprovechando librerías maliciosas disfrazadas de herramientas legítimas como AFNetworking o Alamofire. En Android, el malware se ha detectado incluso en apps con más de 10.000 descargas. La mayoría de las víctimas se concentran en el sudeste asiático y China. Los investigadores alertan de que esta amenaza podría extenderse a otras regiones, ya que no tiene restricciones técnicas para hacerlo. 

 Filtración masiva de credenciales ya robadas en el pasado 

Un archivo que contiene cerca de 16.000 millones de credenciales ha sido recientemente expuesto en línea, generando titulares que lo describen erróneamente como una nueva brecha de seguridad. Sin embargo, expertos aclaran que no se trata de un nuevo ataque, sino de una recopilación de datos robados previamente mediante malware del tipo infostealer, ataques de relleno de credenciales y antiguas filtraciones. El hallazgo fue realizado por Cybernews, que señala que la base de datos parece estar compuesta por archivos generados por este tipo de malware, el cual extrae contraseñas guardadas en navegadores y aplicaciones de equipos infectados. A pesar del volumen, no se ha detectado información inédita. Ante este panorama, se recomienda a los usuarios mantener buenas prácticas de ciberseguridad, usar contraseñas únicas y robustas, y activar la autenticación en dos pasos para proteger sus cuentas. 

Detectada una nueva variante del RAT norcoreano GolangGhost, llamada PylangGhost 

En mayo de 2025, se descubrió una nueva variante del troyano de acceso remoto (RAT) GolangGhost, reescrita en Python y bautizada como “PylangGhost”. Esta amenaza está siendo utilizada exclusivamente por el grupo cibernético norcoreano conocido como Famous Chollima. El RAT se distribuye mediante falsas entrevistas de trabajo dirigidas a profesionales con experiencia en criptomonedas y tecnología blockchain, especialmente en India. Los atacantes crean páginas web que imitan portales de empleo de empresas reconocidas como Coinbase, Robinhood o Uniswap, donde las víctimas deben realizar pruebas técnicas y seguir instrucciones para instalar supuestos drivers, que en realidad activan el malware. La versión en Python está destinada a sistemas Windows, la original en Golang sigue siendo usada en macOS, y los sistemas Linux no se ven afectados. PylangGhost permite el control remoto del equipo, el robo de credenciales y cookies de más de 80 extensiones, incluidas billeteras de criptomonedas como Metamask y 1Password. La estructura del código revela gran similitud entre ambas versiones, lo que sugiere que fueron desarrolladas por los mismos actores o grupos estrechamente vinculados. 

Detectan una campaña de ciberespionaje activa en España, Francia, Portugal, Italia, Bélgica y Países Bajos 

Una campaña de ciberespionaje activa en Europa ha revelado el uso del troyano de acceso remoto (RAT) Sorillus, también conocido como SambaSpy. El ataque, atribuido a actores de habla portuguesa, se distribuye mediante correos de phishing con facturas falsas que redirigen a servidores maliciosos a través de servicios como OneDrive, Ngrok y MediaFire. El malware, vendido desde 2019 como servicio, permite espiar webcams, grabar audio, robar datos y controlar sistemas operativos Windows, macOS y Linux. A pesar del cierre de su web comercial en enero de 2025, versiones pirateadas siguen circulando en foros y redes sociales. La campaña afecta a organizaciones en España, Francia, Portugal, Italia, Bélgica y Países Bajos, utilizando mensajes en varios idiomas y técnicas de evasión sofisticadas. Los investigadores recomiendan bloquear los dominios asociados y monitorizar o bloquear servicios de almacenamiento en la nube y de túneles de red si no están siendo utilizados con fines autorizados por la organización.