Análisis de Amenazas Cibernéticas - 25 de Julio de 2025
En un mundo cada vez más digitalizado, la seguridad cibernética se ha convertido en una prioridad ineludible. Hoy, en Globel México, nos adentramos en los más recientes hallazgos del panorama de amenazas, revelando las tácticas más ingeniosas y los ataques más devastadores que han surgido en las últimas 24 horas. Prepárense para un viaje a través del intrincado mundo de los ciberataques, donde la astucia de los criminales se enfrenta a la tenacidad de los defensores.
El Botín de la Era Digital: Troyanos, Spyware y Agentes Sigilosos
El Ingenio del Scavenger
Un simple ajuste en el navegador, una modificación aparentemente inofensiva, y ¡boom! Las contraseñas y las llaves de tus criptomonedas, expuestas. El troyano Scavenger ha encontrado una nueva vía, explotando el DLL Search Order Hijacking. Este sofisticado método permite a los atacantes infiltrarse en aplicaciones como MetaMask, Bitwarden, y Exodus. Se distribuye a través de modificaciones de juegos y sitios web maliciosos, usando una cadena de cargadores de varias etapas para no ser detectado. Es una prueba de que los criminales están en una búsqueda incansable de información.
SarangTrap: El Amor Falso en la Palma de tu Mano
No siempre se necesita ser un genio de la informática para orquestar un ataque. A veces, todo lo que se requiere es un corazón solitario y una foto de perfil convincente. La campaña de spyware móvil SarangTrap está cautivando a sus víctimas en Android y iOS a través de falsas aplicaciones de citas. Con más de 250 APKs maliciosas y cerca de 90 dominios de phishing, la campaña emplea la manipulación emocional y el posicionamiento en buscadores para ser más convincente. Los criminales entienden que el corazón es más vulnerable que un firewall.
Fire Ant: El Espía Silencioso
Fire Ant no irrumpe, sino que se desliza sigilosamente, estableciéndose y reconectando todo a su paso. Este grupo, vinculado a China, tiene en la mira a los servidores VMware ESXi y vCenter, utilizando viejas vulnerabilidades para establecer puntos de apoyo de espionaje. La extracción de credenciales, el despliegue de puertas traseras sigilosas y la manipulación de registros son parte de su repertorio para permanecer ocultos. Su sigilo es su arma más poderosa.
Las Amenazas Más Recientes: Un Resumen
El Troyano Scavenger ataca a las carteras criptográficas
El Scavenger trojan, mediante DLL Search Order Hijacking, introduce archivos maliciosos que imitan componentes legítimos, permitiendo el robo de información sensible de aplicaciones como MetaMask, Exodus y Bitwarden. La distribución se realiza a través de modificaciones de juegos falsas y vulnerabilidades de navegador, empleando una cadena de carga de múltiples etapas, llegando a manipular funciones de seguridad del navegador. El impacto del ataque es mayor, ya que se encarga de desactivar el sandboxing y modificar extensiones de navegador para robar datos como frases mnemotécnicas y contraseñas almacenadas.
El Nuevo Malware Coyote
El malware Coyote ha surgido como una amenaza importante al explotar el marco de automatización de la interfaz de usuario (UIA) de Microsoft para robar credenciales de usuarios brasileños vinculados a 75 instituciones bancarias y plataformas de criptomonedas. Esto marca el primer caso confirmado de abuso de UIA en la naturaleza, lo que permite a Coyote analizar elementos de la interfaz de usuario de aplicaciones para identificar información sensible. Durante su proceso de infección, Coyote recopila información detallada de la víctima, incluidos los servicios financieros utilizados, mediante la comparación de títulos de ventanas activas y la utilización de UIA para acceder a subelementos cuando no se encuentra una coincidencia directa.
Koske Malware se esconde en imágenes de pandas
Un nuevo malware de Linux llamado Koske usa IA y archivos políglotas para desplegar mineros de criptomonedas a través de imágenes JPEG aparentemente benignas de osos panda. Koske explota instancias de JupyterLab mal configuradas para el acceso inicial y utiliza imágenes que contienen tanto encabezados JPEG válidos como scripts maliciosos. El malware ejecuta dos cargas útiles: un rootkit basado en C compilado en la memoria y un script de shell para persistencia y sigilo. Se adapta a los recursos del host, evaluando la CPU/GPU para optimizar la minería para 18 criptomonedas diferentes, cambiando a copias de seguridad si es necesario. Los investigadores sospechan que Koske se desarrolló utilizando LLMs o marcos de automatización debido a su adaptabilidad avanzada.
SarangTrap: Una campaña de malware a gran escala
La campaña de malware a gran escala, llamada SarangTrap, utiliza aplicaciones falsas de citas y redes sociales para robar datos personales confidenciales en plataformas Android e iOS. Las aplicaciones imitan servicios legítimos, empleando tácticas de manipulación emocional como perfiles falsos y códigos de invitación para atraer a las víctimas. Una vez instaladas, las aplicaciones exfiltran datos como contactos, imágenes, contenido de SMS e identificadores de dispositivos a servidores controlados por los atacantes. Más de 250 aplicaciones maliciosas para Android y 88 dominios de phishing se han relacionado con la campaña, y algunos han sido indexados por los motores de búsqueda para que parezcan creíbles.
Vulnerabilidades en la Mira
Mitel advierte sobre un fallo crítico de derivación de autenticación
Mitel ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad crítica de derivación de autenticación en su plataforma de comunicaciones MiVoice MX-ONE, que podría permitir el acceso no autorizado a las cuentas de administrador. El fallo afecta a las versiones 7.3 a 7.8 SP1 y ha sido parcheado en las versiones 7.8 y 7.8 SP1. Mitel aconseja desplegar MX-ONE dentro de redes de confianza y restringir el acceso al servicio Provisioning Manager. Mitel también reveló una vulnerabilidad de inyección SQL de alta gravedad (CVE-2025-52914) en su plataforma MiCollab, que podría permitir la ejecución de comandos SQL arbitrarios en dispositivos sin parches. La CISA advirtió previamente sobre otras vulnerabilidades de MiCollab, incluido un fallo de recorrido de ruta (CVE-2024-55550) y un error de lectura de archivos de día cero (CVE-2024-41713), que fueron explotados en ataques.
Fire Ant abusa de las vulnerabilidades de VMware
Un actor de amenazas conocido como Fire Ant ha estado apuntando a entornos de VMware ESXi y vCenter en una sofisticada campaña de ciberespionaje, aprovechando vulnerabilidades como CVE-2023-34048 y CVE-2023-20867. Este grupo, vinculado al UNC3886 con sede en China, demuestra capacidades avanzadas al establecer un control persistente sobre los sistemas comprometidos, extraer credenciales e implementar puertas traseras. Las tácticas de Fire Ant incluyen eludir la segmentación de la red, implementar máquinas virtuales no registradas y manipular los procesos de registro para evadir la detección.
Sophos y SonicWall parchean fallos críticos
Sophos y SonicWall han anunciado parches críticos para las vulnerabilidades en sus dispositivos Firewall y SMA 100 Series que podrían provocar la ejecución remota de código. Sophos identificó dos fallos importantes: CVE-2025-6704, una vulnerabilidad de escritura de archivos arbitrarios en la función Secure PDF eXchange, y CVE-2025-7624, una vulnerabilidad de inyección SQL en el proxy SMTP. Ambas vulnerabilidades tienen una puntuación CVSS de 9.8 y afectan a un pequeño porcentaje de dispositivos. Además, abordaron CVE-2025-7382, una vulnerabilidad de inyección de comandos, junto con otros problemas. Mientras tanto, SonicWall informó de un fallo crítico en la interfaz de gestión web de la serie SMA 100 (CVE-2025-40599), que también tiene una alta puntuación CVSS y permite a los atacantes remotos subir archivos arbitrarios.