"Tus routers son espías: UAT-7810 y el ataque que nadie vio venir"

IA y Ciberseguridad: El Nuevo Frente de Batalla | Globel México
Análisis de Inteligencia · Julio 2026

Cuando los Routers se Vuelven Espías: El Nuevo Manual de la Ciberguerra Global

En un mundo donde cada dispositivo conectado es una potencial puerta de entrada, las amenazas han dejado de ser simples virus para convertirse en orquestaciones quirúrgicas de estados-nación. Bienvenidos al tablero de ajedrez de la ciberseguridad con inteligencia artificial.

Hace una década, el mayor temor de un director de TI era que un empleado abriera un archivo sospechoso. Hoy, el peligro real es que el router de la sala de juntas, ese aparato que nadie actualiza, se convierta en el centro de comando de un ataque que dura meses sin ser detectado. La inteligencia artificial no solo ha llegado para defender; también ha llegado para atacar de formas más inteligentes, más sigilosas y más letales.

En Globel México hemos analizado los movimientos más recientes en el tablero global de la ciberseguridad. Lo que encontramos es una transformación profunda: los atacantes ya no buscan solo robar datos; buscan tomar el control de la infraestructura para usarla como trampolín hacia objetivos mayores. Y lo hacen con herramientas que parecen sacadas de una novela de espionaje de alto nivel.


El Malware que Toma el Control de tus Routers

Imagina esto: tu router, ese dispositivo que compraste hace dos años y que nunca actualizaste, está siendo utilizado por un grupo de espionaje chino como estación de relevo para atacar a una empresa en Israel. No es ciencia ficción. Es UAT-7810, un clúster de malware diseñado para convertir dispositivos de borde en infraestructura encubierta.

Este grupo, atribuido a actores con nexos chinos, ha desarrollado tres familias de malware que trabajan en perfecta sincronía. LONGLEASH actúa como un relé de comando y control intermedio, proporcionando shell reverso, redirección de paquetes y capacidades de proxy. Es como tener un hacker viviendo dentro del router de tu oficina, pero sin ocupar espacio físico.

DOGLEASH ejecuta tareas codificadas como comandos de shell y lectura de archivos, mientras que JARLEASH añade una capa de gestión de archivos con servicios estilo FTP y SFTP. Juntos forman lo que los analistas llaman una "red de cajas de relevo operacional" u ORB. Y no están atacando a cualquier persona: apuntan a organizaciones con equipos de red expuestos a Internet, específicamente routers Ruckus y ASUS AiCloud.

Dato clave: Cisco Talos ha identificado direcciones IP específicas que albergan esta infraestructura, incluyendo 194.233.92.26 y 217.15.160.247, y ha mapeado la cobertura de detección con cinco SIDs diferentes de SNORT. Las parches están disponibles, pero la pregunta es: ¿quién los ha aplicado?

La lección aquí es brutalmente simple: tu router ya no es solo un router. Es un punto de entrada, un escondite y un arma. Y si no lo estás protegiendo como tal, alguien más lo está haciendo por ti.


Ransomware que se Automatiza: La Evolución de Gentlemen

Si creías que el ransomware era cosa del pasado, permítenos presentarte a Gentlemen. No es un caballero, ni tiene modales. Es un ransomware diseñado para moverse solo, sin necesidad de que un operador humano esté presente en cada paso.

Lo que hace a Gentlemen particularmente peligroso es su capacidad de autopropagación. Enumera sistemas alcanzables, despliega su carga útil en toda la red y encripta archivos en entornos Windows, Linux y VMware ESXi. No discrimina: educación, transporte, salud, servicios financieros. Todos son víctimas potenciales.

Las técnicas que utiliza son un catálogo de pesadillas para cualquier administrador de sistemas: PsExec, WMIC, tareas programadas, servicios de Windows, PowerShell remoting y creación de procesos WMI. Si alguna vez pensaste que tener un antivirus era suficiente, Gentlemen llegó para recordarte que la seguridad moderna es un ecosistema, no un producto.

Lo más inquietante es que el ransomware ya no necesita que alguien haga clic en un enlace. Ahora, los atacantes utilizan inteligencia artificial para identificar vulnerabilidades en redes enteras y desplegar el ransomware como si fuera una actualización de software, pero con resultados catastróficos.


Cuando el Soporte Técnico es una Mentira

Las llamadas de soporte técnico falso son tan viejas como el internet, pero los atacantes han encontrado una nueva capa de credibilidad: Microsoft Teams. EtherRAT es un troyano de acceso remoto que se distribuye mediante campañas de ingeniería social que suplantan al departamento de TI.

El modus operandi es digno de un guion de película: el atacante envía un correo phishing, luego hace una llamada de voz haciéndose pasar por soporte técnico, y convence al empleado de instalar un MSI malicioso bajo la excusa de una "encuesta de empleados". El PDF inicial parece inofensivo, pero es la puerta de entrada a un control remoto completo del sistema.

EtherRAT ofrece ejecución de comandos, manipulación de archivos, robo de datos y persistencia. Y lo más alarmante: apunta a empleados individuales como punto de entrada para comprometer a toda la organización. No importa cuán robusto sea tu firewall si el eslabón más débil es una persona que quiere ser útil.

Microsoft ya ha respondido con nuevas protecciones en Teams, incluyendo políticas para bots de terceros sospechosos, pero la pregunta persiste: ¿cómo protegemos a los colaboradores sin volvernos paranoicos?


Vulnerabilidades Críticas: El Talón de Aquiles Digital

La semana pasada, el mundo de la ciberseguridad se estremeció con al menos media docena de vulnerabilidades críticas que exponen sistemas que damos por sentados. Analicemos las más relevantes.

Langflow y el Robo de Claves de IA

CVE-2025-3248 es una falla de autenticación en el framework Langflow que permite a atacantes ejecutar código Python en el servidor y extraer credenciales. No estamos hablando de contraseñas comunes: estamos hablando de claves API de LLM de OpenAI, Anthropic, DeepSeek y Gemini, además de billeteras de criptomonedas y credenciales de bases de datos PostgreSQL y MinIO.

El grupo JadePuffer ha sido observado utilizando un enfoque de prueba y error automatizado, retry con parámetros ajustados hasta lograr la extracción deseada. Y luego borran los archivos temporales para eliminar evidencia. Es la primera vez que vemos malware "agente" diseñado específicamente para robar activos de inteligencia artificial.

UniFi: Cuando tu Red se Vuelve Contra Ti

Los productos Ubiquiti UniFi han sido golpeados por una cascada de vulnerabilidades que van desde ejecución remota de comandos (CVSS 10.0) hasta inyección SQL y falsificación de peticiones del lado del servidor. La lista es larga: CVE-2026-50746, 50747, 50748, 54402, 55115 y 54403. Todas con puntuaciones superiores a 9.9.

Lo que hace esto especialmente preocupante es que los atacantes pueden tomar el control remoto de dispositivos de gestión de red, control de acceso y videovigilancia. La CISA ya ha confirmado ataques activos. Las actualizaciones están disponibles, pero en el mundo real, ¿cuántos administradores de redes tienen tiempo para actualizar cada UniFi en su organización?

ColdFusion: El Regreso de un Clásico

Adobe ColdFusion, ese software que muchos creían en desuso, sigue siendo un vector de ataque favorito. CVE-2026-48282 es una vulnerabilidad de path traversal en el manejador RDS FILEIO, con CVSS 10.0, que permite ejecución remota de código sin autenticación. Los atacantes envían una solicitud POST con formato RPC de prefijo de longitud para confirmar la capacidad de escritura y luego despliegan un webshell CFML.

La lección aquí es que nada muere realmente en internet. ColdFusion sigue vivo, y mientras haya servidores sin parchar, seguirá siendo un riesgo.


Actores de Amenaza: Los Nuevos Fantasmas

Si las vulnerabilidades son las armas, los actores de amenaza son los ejércitos que las utilizan. Y en el panorama actual, tres grupos merecen atención especial.

UAT-7810: La Red de Relés Invisible

Ya mencionamos su malware, pero vale la pena detenerse en su estrategia. Este grupo chino no solo busca robar datos; busca construir infraestructura persistente dentro de las redes objetivo. Cada router comprometido es un nodo en una red de comunicación que puede ser utilizada para atacar a otros sin dejar rastro. Es el equivalente digital de tener una red de casas seguras en diferentes ciudades.

Turla: El Silencio Ruso

El grupo Turla, asociado al FSB ruso, sigue perfeccionando su backdoor Kazuar, a menudo emparejado con STOCKSTAY. Su especialidad es el DLL side-loading, combinando ejecutables legítimos firmados con DLLs maliciosas que pasan desapercibidas. Utilizan PowerShell, procesos de Nvidia como señuelo y técnicas de encriptación ambiental para evitar la detección. Su objetivo: gobiernos y organizaciones militares, en busca de datos sensibles internos.

MuddyWater y el Framework Cavern

Irán no se queda atrás. MuddyWater ha desplegado Cavern, un framework modular de comando y control que parece diseñado por un arquitecto de software obsesionado con la modularidad. Cada DLL cumple una función específica: operaciones de archivos (mhm.dll), manipulación de bases de datos SQL (db.dll), reconocimiento de Active Directory (ode.dll), reconocimiento de red (n-ten.dll) y túneles SOCKS5/WebSocket (n-sws.dll).

Están explotando cinco vulnerabilidades diferentes (CVE-2025-52691, CVE-2025-68613, CVE-2025-9316, CVE-2025-34291 y CVE-2025-54068) para comprometer proveedores de TI israelíes y organizaciones gubernamentales. El agente Cavern (uxtheme.dll) combina código .NET gestionado con C++ nativo y utiliza técnicas antianálisis para dificultar la detección.

Lo que hace único a este ataque es su diseño modular: desde un proveedor comprometido, pueden moverse lateralmente hacia los entornos de sus clientes, convirtiendo una brecha en una cadena de suministro entera comprometida.


El Futuro de la Ciberseguridad: De la Defensa a la Anticipación

Lo que hemos visto en las últimas 24 horas no es una anomalía; es el nuevo estándar. Los ataques son más inteligentes, más automatizados y más difíciles de rastrear. La inteligencia artificial está siendo utilizada tanto por defensores como por atacantes, y la diferencia entre ganar y perder una batalla cibernética se mide en milisegundos.

Pero aquí está la buena noticia: la industria está respondiendo. Las firmas de detección están disponibles, los parches se están liberando, y la colaboración entre investigadores, gobiernos y empresas está generando inteligencia accionable. La clave está en la preparación, no en el miedo.

Recomendación de Globel México: Este no es momento para la complacencia. Actualiza tus routers, revisa tus configuraciones de Teams, parchea tu ColdFusion (si aún lo usas), y sobre todo, educa a tu personal. La ciberseguridad ya no es solo un problema de TI; es un problema de negocio, de estrategia y de supervivencia en la era digital.

La batalla por la seguridad digital se libra todos los días, en cada puerto de red, en cada correo electrónico, en cada llamada de Teams. Y en esta guerra, la única ventaja real es la información oportuna y la acción determinada. Desde Globel México, seguiremos monitoreando, analizando y reportando para que estés un paso adelante.

Porque en el mundo de la ciberseguridad, no se trata de si serás atacado. Se trata de si estarás listo cuando eso suceda.


Este análisis fue preparado por el equipo de inteligencia de amenazas de Globel México. Fecha del reporte: Julio 2026. Las actualizaciones de seguridad mencionadas deben aplicarse siguiendo las mejores prácticas de la industria.

TrojPix: el hackeo silencioso que roba datos de PCs sin internet a 8 Mbps