< Back
view of an integrated circuit (chipset)

Tags:

Threat intelligence
01 Octubre 2025

Resumen semanal de los ciberataques 25 set-01 oct

Klopatra: nuevo RAT bancario para Android con vínculos turcos que ataca España e Italia 

Se descubrió y analizó Klopatra, un troyano bancario y de acceso remoto para Android altamente sofisticado y hasta ahora desconocido que está comprometiendo activamente dispositivos en campañas específicas. Se han identificado dos botnets principales vinculadas a Klopatra (que en conjunto superan los 3000 dispositivos infectados), con una campaña centrada en objetivos financieros en España e Italia. La operación parece estar dirigida por un grupo criminal de habla turca. La cadena de infección de Klopatra comienza con un dropper que se hace pasar por una aplicación de IPTV (por ejemplo, "Mobdro Pro IP TV + VPN"). El dropper utiliza un "JSON Packer" para ocultar el payload real y obliga al usuario a conceder el permiso REQUEST_INSTALL_PACKAGES. Una vez instalado el payload principal, Klopatra solicita servicios de accesibilidad y un amplio conjunto de permisos. A través de la accesibilidad, logra un control casi total del dispositivo, incluyendo la supervisión de la pantalla, la captura de pulsaciones/entradas, la simulación de toques/gestos y la navegación autónoma.

Lunar Spider permite una intrusión de casi dos meses con un solo clic 

El informe DFIR documentó una sofisticada campaña de intrusión atribuida al grupo de amenazas Lunar Spider, que se prolongó durante casi dos meses y demostró cómo un solo clic en un enlace de phishing provocó un compromiso generalizado. La intrusión comenzó con un archivo JavaScript camuflado como un formulario fiscal que, al ejecutarse, lanzaba un instalador MSI que desplegaba un cargador Brute Ratel. El cargador inyectó el malware Latrodectus en explorer.exe, estableciendo una conexión de mando y control a través de la infraestructura BackConnect y dominios proxy a través de Cloudflare. Los datos fueron robados, pero no recuperados, y aunque no se desplegó ningún ransomware, el posicionamiento del grupo sugería su capacidad para cifrar completamente la red. La campaña pone de relieve el enfoque por capas de Lunar Spider, que implica el acceso inicial mediante phishing, la persistencia sigilosa a través de cargadores y puertas traseras, la explotación de vulnerabilidades críticas, el robo de credenciales de múltiples fuentes y el robo sostenido de datos durante un tiempo de permanencia prolongado. 

DeceptiveDevelopment: del robo primitivo de criptomonedas al fraude sofisticado basado en IA 

Investigadores han revelado nuevos detalles sobre DeceptiveDevelopment, un grupo de amenazas alineado con Corea del Norte activo desde al menos 2023 y vinculado estrechamente con las actividades de trabajadores informáticos encubiertos norcoreanos. El grupo se especializa en campañas de ingeniería social a gran escala dirigidas a desarrolladores de software, especialmente los que trabajan en proyectos de criptomonedas y Web3, con el objetivo de robo financiero e infiltración más amplia. Sus operadores se hacen pasar por reclutadores en plataformas como LinkedIn, Upwork, Freelancer y Crypto Jobs List, atrayendo víctimas con ofertas de empleo falsas. Luego las dirigen a descargar retos de codificación troyanizados o a interactuar con webs de entrevistas fraudulentas. Una de sus técnicas más notables, llamada ClickFix, manipula a los candidatos para que copien comandos de terminal que descargan y ejecutan malware en secreto.

RedNovember apunta a organizaciones gubernamentales, de defensa y tecnológicas 

Se ha revelado que el grupo de amenazas patrocinado por el Estado chino conocido como RedNovember, anteriormente conocido como TAG-100 y que se solapa con Storm-2077, ha llevado a cabo una serie de operaciones de ciberespionaje a gran escala entre junio de 2024 y julio de 2025 contra organizaciones gubernamentales, de defensa, tecnológicas y del sector privado de alto perfil en todo el mundo. El grupo ha dependido en gran medida de la backdoor Pantegana basada en Go, Cobalt Strike y SparkRAT, además de la explotación oportunista de vulnerabilidades en dispositivos periféricos. RedNovember demuestra una estrategia de convertir en armas los exploits de prueba de concepto (PoC) disponibles públicamente en combinación con herramientas de seguridad ofensivas ampliamente utilizadas, lo que permite escalar rápidamente las operaciones al tiempo que se reducen los costes de desarrollo y se complica la atribución.

Otro BRICKSTORM: backdoor sigilosa que permite el espionaje en los sectores tecnológico y jurídico 

El Grupo de Threat Intelligence de Google (GTIG) y Mandiant Consulting están rastreando una sofisticada campaña de espionaje que aprovecha la backdoor BRICKSTORM. La actividad se ha atribuido al grupo de amenazas UNC5221, vinculado a China, que lleva realizando intrusiones a largo plazo en Estados Unidos desde al menos marzo de 2025. Las principales víctimas son organizaciones de los sectores jurídico, tecnológico, SaaS y de externalización de procesos empresariales. A diferencia de las operaciones de espionaje típicas, esta campaña está diseñada no solo para extraer datos confidenciales, sino también para ganar terreno con el fin de desarrollar exploits zero-day y expandirse a víctimas posteriores. BRICKSTORM, escrito en Go, admite la implementación multiplataforma e incluye la funcionalidad de proxy SOCKS, lo que permite una persistencia sigilosa en entornos en los que la detección y respuesta de endpoints (EDR) no es viable. Las variantes demuestran un desarrollo continuo, que incluye ofuscación, activación retardada y enmascaramiento como procesos legítimos.