Resumen Semanal de los ciberataques 07-13 Ago
Curly COMrades, vinculados a Rusia, despliegan malware MucorAgent en Europa
Bitdefender Labs ha detallado una campaña de espionaje llevada a cabo por un nuevo actor de amenazas denominado “Curly COMrades”, que opera en apoyo de intereses rusos y que se encuentra activo desde mediados de 2024. Sus objetivos principales son organizaciones críticas afectadas por cambios geopolíticos, incluyendo organismos judiciales y gubernamentales en Georgia, así como una empresa de distribución de energía en Moldavia. El grupo busca principalmente la persistencia a largo plazo y el robo de credenciales para facilitar movimientos laterales, recopilación y exfiltración de datos. Sus operaciones hacen un uso intensivo de proxy relays, principalmente Resocks construidos a partir de binarios de Go ofuscados, además de un servidor SOCKS5 personalizado, SSH con reenvío de puertos remotos y Stunnel/tstunnel para cifrar tráfico TCP, proporcionando múltiples canales de acceso y ejecución redundantes. La persistencia se refuerza mediante tareas y servicios programados, y especialmente con una nueva backdoor .NET llamada MucorAgent. MucorAgent opera en tres fases: primero carga una segunda etapa .NET que descifra y ejecuta un payload de PowerShell sin invocar powershell.exe; luego cifra el resultado con AES, lo comprime con GZIP y lo exfiltra mediante curl.exe, haciéndolo pasar por archivos PNG y guardando los resultados en error.jpg. El grupo también despliega Remote Utilities (RuRat) como punto de apoyo RMM y utiliza un transportador de datos personalizado vinculado a libcurl, apodado “CurlCat” (imitando a GoogleUpdate.exe), que transmite STDIN/STDOUT vía HTTPS a servidores web comprometidos.
Expuesta información confidencial del grupo hacker norcoreano Kimsuky
El grupo de hackers patrocinado por el Estado norcoreano Kimsuky ha sufrido una supuesta filtración de datos después de que dos individuos, que se identifican como “Saber” y “cyb0rg”, infiltraran sus sistemas y filtraran públicamente información interna. Los atacantes, que dicen oponerse a las operaciones políticas de Kimsuky, publicaron parte del backend del grupo en el último número de la revista hacker Phrack, distribuida en DEF CON 33. Los acusaron de actuar por beneficios financieros y políticos, en lugar de practicar el hacking como un oficio independiente. El conjunto de datos filtrado, de 8,9 GB y alojado en el portal Distributed Denial of Secrets, incluye registros de phishing contra correos del gobierno y ejército surcoreano, el código fuente completo de la plataforma de correo “Kebi” del Ministerio de Asuntos Exteriores de Corea del Sur, listas de profesores y certificados ciudadanos, kits de phishing y binarios maliciosos desconocidos. Otros datos revelan loaders de Cobalt Strike, reverse shells, módulos proxy Onnara, historial de Chrome vinculado a cuentas sospechosas en GitHub, registros de compra de VPN, historiales de Bash con conexiones SSH internas y navegación en sitios web gubernamentales y militares de Taiwán. Aunque algunos elementos ya eran parcialmente conocidos, la filtración conecta herramientas, infraestructura y campañas, lo que podría comprometer operaciones en curso de Kimsuky. Aunque los expertos creen que el efecto a largo plazo puede ser limitado, se espera que la brecha interrumpa campañas activas y queme activos operativos. La versión en línea de Phrack #72 estará disponible en los próximos días.
Detectadas múltiples vulnerabilidades en sistemas de radio TETRA, exponiendo comunicaciones de fuerzas de seguridad, ejército e infraestructuras críticas
Se han revelado nueve vulnerabilidades previamente desconocidas que afectan al estándar TETRA (Terrestrial Trunked Radio) y a equipos utilizados en todo el mundo por fuerzas policiales, unidades militares y operadores de infraestructuras críticas. La investigación revela tres vulnerabilidades en la capa de cifrado de extremo a extremo (E2EE), una protección adicional utilizada normalmente para comunicaciones altamente sensibles (agencias de inteligencia, fuerzas especiales, unidades encubiertas), y otras seis vulnerabilidades que afectan tanto al estándar TETRA como a dispositivos de fabricantes. Entre las vulnerabilidades E2EE, descubiertas mediante ingeniería inversa de dispositivos Sepura Gen 3 (serie SC20, por ejemplo), se incluyen: CVE-2025-52941, un algoritmo debilitado que reduce claves AES-128 a 56 bits, rompible con potencia de cálculo moderada; CVE-2025-52940, que permite inyección o repetición de tráfico de voz arbitrario; y CVE-2025-52942, que permite la repetición de mensajes de texto sin detección. Estas vulnerabilidades pueden comprometer gravemente la confidencialidad y autenticidad de las comunicaciones, degradando la seguridad a la ya comprometida capa AIE.
Nueva herramienta de tipo EDR killer usada por ocho grupos diferentes de ransomware
Investigadores de seguridad han descubierto una nueva y sofisticada herramienta para eliminar Endpoint Detection and Response (EDR), utilizada activamente por al menos ocho grupos distintos de ransomware, incluidos RansomHub, Blacksuit, Medusa, Qilin, DragonForce, Crytox, Lynx e INC. Diseñada para neutralizar la protección de endpoints antes de cifrar archivos, esta herramienta supone un avance importante en las capacidades ofensivas coordinadas entre operaciones de ransomware. Desde 2022, el uso de malware para deshabilitar EDR ha crecido, con muchas variantes compradas en mercados clandestinos y ofuscadas con plataformas comerciales de empaquetado como HeartCrypt. Aunque cada banda usa su propia versión, la adopción del mismo método propietario para eliminar EDR y el uso del servicio HeartCrypt indican cierto nivel de coordinación o proveedor común dentro del ecosistema ransomware. Los investigadores advierten que esta colaboración dificulta las estrategias defensivas, ya que las capacidades y métodos de entrega continúan diversificándose. Se han publicado Indicadores de Compromiso (IoCs) en el repositorio GitHub de los investigadores.
Las bandas de ransomware Royal y BlackSuit afectan a más de 450 empresas en EE. UU.
El 7 de agosto de 2025, agencias de seguridad de EE. UU., en coordinación con socios internacionales, confirmaron la desarticulación exitosa de la infraestructura crítica de la banda de ransomware BlackSuit, responsable de acumular más de 370 millones de dólares en pagos de rescate. La operación, liderada por Homeland Security Investigations (HSI) de ICE en Washington D.C., atacó servidores, dominios y activos digitales usados por el grupo para desplegar ransomware, extorsionar víctimas y blanquear fondos ilícitos. BlackSuit es reconocido como el sucesor directo del grupo Royal, activo desde 2022 y vinculado a más de 450 víctimas conocidas en EE. UU. de los sectores de salud, educación, seguridad pública, energía y administración pública. Ambos grupos operaban con tácticas de doble extorsión, cifrando sistemas de víctimas y amenazando con filtrar datos robados para aumentar la presión por el pago. La operación, llamada “Operation Checkmate”, fue coordinada por el Joint Cyber Action Task Force de Europol e involucró cooperación del FBI, la unidad de ciberdelitos del IRS, Europol, la National Crime Agency del Reino Unido, Landeskriminalamt Niedersachsen de Alemania, An Garda Síochána de Irlanda, el Departamento de Policía Cibernética Nacional de Ucrania, la Oficina Anticiberdelincuencia de Francia, la Policía Montada Real Canadiense y el Departamento de Policía Delta, entre otros. El caso está siendo procesado por la Fiscalía del Distrito Este de Virginia (EE. UU.), con colaboración internacional continua para perseguir la responsabilidad legal de los operadores detrás de Royal y BlackSuit. Las autoridades enfatizaron que la desarticulación no solo eliminó infraestructura maliciosa, sino que también golpeó la base financiera y operativa de un grupo que apunta persistentemente a infraestructuras críticas en EE. UU., con el fin de prevenir futuras víctimas entre negocios y servicios esenciales a nivel mundial.