< Back
A Trojan Horse 2.0

Tags:

Threat intelligence
24 Julio 2025

Resumen semanal de los ciberataques 24-30 julio

El grupo de ransomware Gunra presenta una eficaz variante para Linux 

Según información fechada el 29 de julio de 2025, una variante para Linux del ransomware Gunra recientemente descubierta amplía significativamente las capacidades multiplataforma del grupo de amenazas, marcando una expansión estratégica más allá de su objetivo original de sistemas Windows. Observado por primera vez en abril de 2025, el ransomware Gunra ya ha afectado a organizaciones de varios países, como Brasil, Japón, Canadá, Turquía, Corea del Sur, Taiwán y Estados Unidos, afectando a sectores como la sanidad, la fabricación, las TI, la agricultura, el sector legal y la consultoría. La variante para Linux presenta funciones avanzadas que hacen hincapié en la velocidad, la configurabilidad y la ocultación. Admite hasta 100 subprocesos de cifrado simultáneos, lo que supera con creces la capacidad de otros ransomware como BERT, que se limita a 50. Esto permite a Gunra realizar cifrados de alta velocidad con un número de hilos ajustable en función de los parámetros proporcionados por el atacante. A diferencia de su homólogo de Windows, esta variante de Linux no deja caer una nota de rescate, centrándose puramente en el cifrado sigiloso y configurable. Los archivos cifrados se renombran con la extensión .ENCRT, y no se realizan comunicaciones ni peticiones directas en el sistema infectado. Esto sugiere una estrategia en la que la negociación del rescate y la extorsión pueden producirse a través de otros canales, como sitios de filtraciones. La inteligencia sobre amenazas de Trend relaciona las actividades de Gunra con las técnicas de ransomware Conti observadas anteriormente. El grupo supuestamente filtró 40 terabytes de datos de un hospital de Dubai en mayo de 2025 y se ha cobrado hasta ahora 14 víctimas en su sitio de filtraciones. Entre ellas figuran organizaciones gubernamentales y empresas de sectores de infraestructuras críticas como la sanidad y el transporte.

ToxicPanda: el troyano bancario para Android que apunta a Europa 

Según información fechada el 28 de julio de 2025, un malware bancario para Android en rápida evolución llamado ToxicPanda ha sido identificado como una amenaza creciente en toda Europa, especialmente en Portugal y España, después de haber atacado inicialmente el sudeste asiático e Italia. ToxicPanda es un sofisticado troyano bancario diseñado para robar credenciales, eludir la autenticación de doble factor y realizar transacciones no autorizadas mediante el abuso de las funciones de accesibilidad de Android. El malware utiliza superposiciones de phishing que imitan aplicaciones bancarias reales y captura datos confidenciales a través de WebViews de diseño personalizado, lo que permite el control total de los dispositivos infectados a través de permisos de accesibilidad. En 2025, las infecciones alcanzaron los 4500 dispositivos en su punto álgido, con 3000 en Portugal y 1000 en España, que en conjunto representan más del 85 % de las infecciones mundiales observadas. Los dispositivos de Samsung, Xiaomi y Oppo (especialmente las series de gama media como Galaxy A y Redmi) constituyen la mayoría de los casos, aunque también se han visto comprometidos modelos más recientes como el S23 de Samsung. Los autores de la amenaza han ampliado las capacidades del malware integrando un Algoritmo de Generación de Dominios (DGA), desarrollando medidas antiemulación y antianálisis, y utilizando un sofisticado Sistema de Distribución de Tráfico (TDS) conocido como TAG-124, una infraestructura compartida vinculada a múltiples familias de malware. El TDS redirige el tráfico a través de dominios maliciosos y comprometidos, engañando a los usuarios con falsas páginas de actualización de Chrome y señuelos basados en ReCaptcha para entregar APK infectados. Una vez instalado, ToxicPanda secuestra la interfaz de usuario de Android a través de servicios de accesibilidad, muestra superposiciones falsas para más de 39 aplicaciones bancarias y superpone bloqueos de PIN/patrón para capturar la entrada del usuario. Hay indicios en el código fuente del malware que apuntan a su origen chino, incluidas cadenas residuales en mandarín. La evolución del conjunto de herramientas y la infraestructura, junto con la plataforma de distribución de malware compartida de TAG-124, sugieren claramente que ToxicPanda no es una campaña aislada.

Hackers utilizan archivos .HTA para infectar a sus víctimas con el ransomware Red 

El equipo TRIAD de CloudSEK ha descubierto una campaña global en curso que aprovecha el ransomware Epsilon Red. Los actores de amenazas están explotando falsas páginas de verificación ClickFix para atraer a los usuarios a ejecutar archivos .HTA a través de controles ActiveX, lo que resulta en la descarga silenciosa y ejecución de payloads de ransomware. Esta campaña, que lleva activa al menos desde julio de 2025, emplea tácticas de ingeniería social que imitan plataformas conocidas, como Discord, Twitch, Kick, OnlyFans y servicios de citas románticas, para aumentar la credibilidad y engañar a las víctimas. Esta campaña redirige a los usuarios a una página secundaria donde se ejecutan comandos shell de forma silenciosa a través de objetos ActiveX, como WScript.Shell. Una vez activado, el script descarga y ejecuta un binario malicioso desde la infraestructura del atacante. Este payload está asociado al ransomware Epsilon Red, que cifra los archivos de la víctima. Además, la infraestructura del atacante incluye dominios que se hacen pasar por marcas de confianza para reducir las sospechas. El método de entrega del malware aprovecha las tecnologías de secuencias de comandos heredadas de Windows (ActiveX y WSH), lo que permite la ejecución de comandos directamente desde el navegador y eludir las protecciones estándar. Se utilizan mensajes de verificación falsos y errores tipográficos de aficionados para que el ataque parezca menos amenazador, aumentando así la probabilidad de que el usuario acceda. Los actores de la amenaza parecen mantener una infraestructura temática persistente, lo que indica una planificación operativa a largo plazo.

Sitios web del ransomware BlackSuit incautados en la operación Checkmate

Los sitios web de extorsión de la dark web de la operación del ransomware BlackSuit, que ha atacado y violado las redes de cientos de organizaciones en todo el mundo durante los últimos años, han sido incautados por las fuerzas del orden. Los sitios incautados incluyen los blogs de filtración de datos de la dark web y los sitios de negociación utilizados para extorsionar a las  víctimas y obligarlas a pagar un rescate. El cierre fue confirmado por el Departamento de Justicia de los Estados Unidos y formó parte de una investigación internacional conjunta denominada Operación Checkmate. La Operación Checkmate contó con la participación de otras autoridades policiales, como el Servicio Secreto de los Estados Unidos, la Policía Nacional de los Países Bajos, la Oficina Estatal de Policía Criminal de Alemania, la Agencia Nacional contra el Crimen del Reino Unido, la Fiscalía General de Fráncfort, el Departamento de Justicia, la Policía Cibernética de Ucrania, Europol y otras. Según se informa, otros investigadores han encontrado pruebas que sugieren que la banda de ransomware BlackSuit probablemente volverá a cambiar de nombre y pasará a llamarse Chaos ransomware.

Paquete NPM comprometido en un ataque a la cadena de suministro 

El paquete NPM "is" ha sido comprometido en un ataque a la cadena de suministro que inyectó malware de puerta trasera, dando a los atacantes acceso completo a los dispositivos comprometidos. El paquete “is” es una biblioteca de utilidades de JavaScript que proporciona una amplia variedad de funciones de comprobación de tipos y validación de valores. El paquete ha sido objeto de más de 2,8 millones de descargas semanales y se vio comprometido en un ataque a la cadena de suministro después de que las cuentas de los mantenedores fueran secuestradas mediante phishing utilizando un dominio falso (npnjs[.]com). La campaña de phishing dio lugar a cambios de propietario no autorizados que pasaron desapercibidos durante varias horas, comprometiendo potencialmente a muchos desarrolladores que descargaron las nuevas versiones. El 19 de julio de 2025, se anunció que las versiones 3.3.1 a 5.0.0 contenían malware y fueron eliminadas aproximadamente 6 horas después de que los actores de amenazas las enviaran a npm. Las versiones maliciosas incluían un cargador de malware JavaScript multiplataforma que abre una puerta trasera basada en WebSocket, recopilando información del sistema y variables de entorno, y permitiendo a los atacantes ejecutar JavaScript arbitrario de forma remota. También se confirmó que otros paquetes comprometidos en el mismo ataque distribuían malware. Estos también contenían un infostealer de Windows llamado Scavanger, diseñado para robar credenciales almacenadas en el navegador y datos confidenciales, con técnicas de evasión como C2 cifrado y syscalls indirectas. Los investigadores advierten de que los autores de la amenaza pueden haber comprometido otras credenciales de mantenimiento y podrían estar preparándose para experimentar con payloads más sigilosas en nuevos paquetes de software.