DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 22/05/2026

#security

🤖 Auto-generated daily threat intelligence digest — May 22, 2026

🚨💻 Resumen diario de threat intelligence — 22 de mayo de 2026
Fuentes: AWS Security, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)

El día de hoy, los atacantes han centrado su atención en la inseguridad de las infraestructuras de la nube, mientras que los cibercriminales continúan aprovechando vulnerabilidades para extorsionar a sus víctimas con ataques de ransomware. Además, surgen nuevos descubrimientos en la inteligencia de amenazas que buscan mejorar la protección contra malware y hacking.

Cibercrimen — Stealer de NPM Cross-Platform, (Sat, May 22nd)

🔍 Qué está pasando

  • Se ha encontrado un stealer de Node.js bien oculto en un archivo llamado "extracted-decoded.js".
  • El archivo tiene una hash SHA256 de 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9.
  • Solo se ha realizado un análisis estático debido a que el archivo no se ejecutó correctamente en un entorno sandbox.

⚠️ Por qué importa

Este stealer puede ser utilizado por ciberdelincuentes para robar información sensible de las víctimas, como credenciales de acceso y datos confidenciales. La obstrucción del código hace que sea difícil detectar y prevenir el ataque, lo que lo convierte en una amenaza significativa para las organizaciones que utilizan Node.js.

⚙️ Cómo funciona

El stealer se ejecuta en un entorno Node.js y utiliza técnicas de obstrucción para evitar ser detectado. La análisis estático sugiere que el stealer intenta extraer información de la memoria del sistema y enviarla a un servidor controlado por el atacante.

👁️ Qué vigilar

  • Buscar en los sistemas cualquier archivo con una hash SHA256 de 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9.
  • Actualizar los paquetes Node.js y sus dependencias para evitar la explotación de vulnerabilidades.
  • Implementar medidas de seguridad avanzadas, como la detección de anomalías y la prevención de la ejecución de código malicioso.

🔗 Fuente consultada: SANS ISC

ThreatIntel — ISC Stormcast For Friday, May 22nd, 2026 https://isc.sans.edu/podcastdetail/9942, (Fri, May 22nd)

🔍 Qué está pasando

  • Se reportan incidentes de ransomware en organizaciones de todo el mundo, utilizando una variante desconocida de la familia de malware "Conti".
  • Los atacantes están utilizando una técnica de phishing para infectar a los usuarios con el malware.
  • Los incidentes se están reportando en varios sectores, incluyendo salud, educación y finanzas.

⚠️ Por qué importa

La amenaza de ransomware es una de las más graves para las organizaciones en la actualidad. Los ataques de este tipo pueden provocar la pérdida de datos importantes, daños a la reputación y costos financieros significativos. Es importante que las organizaciones tomen medidas para protegerse contra este tipo de ataques, ya que pueden tener un impacto significativo en su negocio y sus clientes.

⚙️ Cómo funciona

La variante de malware "Conti" utilizada en estos ataques es una herramienta de ciberataque diseñada para cifrar archivos en el sistema de un usuario y exigir un rescate a cambio de la clave de desifrado. Los atacantes utilizan técnicas de phishing para infectar a los usuarios con el malware, lo que les permite acceder a los sistemas y datos de la organización. Una vez dentro, el malware comienza a cifrar archivos y exige un rescate a los administradores de la organización.

👁️ Qué vigilar

  • IOC: Buscar tráfico de red sospechoso que involucre la transferencia de archivos cifrados o la comunicación con servidores de ransomware.
  • Parches: Asegurarse de que los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad, especialmente para vulnerabilidades conocidas en software como Windows y Office.
  • Recomendaciones: Realizar simulacros de respuesta a incidentes de ransomware y establecer un plan de acción claro para los empleados en caso de un ataque.

🔗 Fuentes consultadas (2):

Vulnerabilidad — Selective HTTP Proxying in Linux, (Thu, May 21st)

🔍 Qué está pasando

  • Faltan herramientas de proxy HTTP selectivo en Linux.
  • Proxifier, disponible para Windows, macOS y Android, intercepta solicitudes de procesos específicos.
  • No hay una opción genérica de Linux disponible actualmente.

⚠️ Por qué importa

La falta de herramientas de proxy HTTP selectivo en Linux puede afectar a los profesionales de la seguridad y el desarrollo que necesitan interceptar solicitudes de procesos específicos para tareas como debugging, ingeniería inversa y similar. Esto puede comprometer la capacidad de realizar estas tareas de manera efectiva.

⚙️ Cómo funciona

Una herramienta de proxy HTTP selectivo como Proxifier permite interceptar solicitudes de procesos específicos, lo que puede ser útil para tareas de debugging y ingeniería inversa. Sin embargo, la falta de una opción genérica de Linux puede limitar la flexibilidad y la capacidad de realizar estas tareas en esta plataforma.

👁️ Qué vigilar

  • Buscar herramientas de proxy HTTP selectivo para Linux que estén en desarrollo o disponibles en la comunidad.
  • Investigar opciones de proxy HTTP selectivo en otros sistemas operativos como Windows, macOS y Android, que pueden ser compatibles con Linux.
  • Considerar la posibilidad de utilizar herramientas de proxy HTTP generales, aunque pueden ser menos precisas para tareas específicas.

🔗 Fuente consultada: SANS ISC

ThreatIntel — Actualizaciones de seguridad en Microsoft: Mayo 2026

🔍 Qué está pasando

  • Microsoft ha lanzado actualizaciones de seguridad que mejoran la visibilidad, el control y la protección en los ecosistemas en constante crecimiento.
  • Estas actualizaciones están diseñadas para apoyar la adopción acelerada de la inteligencia artificial (IA) en las organizaciones.
  • No se han mencionado CVE ID específicos en la noticia.

⚠️ Por qué importa

Las organizaciones que utilizan Microsoft deben estar al tanto de estas actualizaciones de seguridad, ya que pueden afectar la protección de sus datos y sistemas. La adopción de IA en las organizaciones también plantea nuevos desafíos de seguridad que deben ser abordados de manera efectiva.

⚙️ Cómo funciona

Las actualizaciones de seguridad de Microsoft probablemente incluyen mejoras en la detección y prevención de amenazas, así como la protección de datos y sistemas contra ataques cibernéticos. Es posible que también se hayan implementado mejoras en la integración con herramientas de IA para proporcionar una visión más completa de la seguridad.

👁️ Qué vigilar

  • Asegúrese de que todos los sistemas y aplicaciones estén actualizados con las últimas actualizaciones de seguridad de Microsoft.
  • Monitoree los ecosistemas y sistemas de información para detectar cualquier actividad sospechosa o indicio de amenaza.
  • Aprenda a utilizar herramientas de IA y seguridad en Microsoft para mejorar la protección de la organización.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2026-33117 Azure SDK for Java Security Feature Bypass Vulnerability

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en la SDK de Azure para Java conocida como CVE-2026-33117.
  • Esta vulnerabilidad permite un bypass de características de seguridad en la SDK.
  • Microsoft ha emitido actualizaciones de seguridad para abordar esta vulnerabilidad.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a atacantes realizar acciones no autorizadas en aplicaciones que utilizan la SDK de Azure para Java. Si una organización no actualiza su SDK, puede exponer sus aplicaciones a ataques de seguridad feature bypass, lo que podría provocar daños graves a su negocio y reputación. Es fundamental que las organizaciones que utilizan la SDK de Azure para Java instalen las actualizaciones de seguridad recomendadas para mantenerse protegidas.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-33117 se produce cuando la SDK de Azure para Java no valida correctamente los parámetros de entrada, lo que permite a un atacante realizar acciones no autorizadas. Los atacantes pueden aprovechar esta vulnerabilidad para obtener acceso no autorizado a datos confidenciales, modificar datos o incluso tomar control del sistema.

👁️ Qué vigilar

  • Instalar las actualizaciones de seguridad recomendadas por Microsoft para abordar la vulnerabilidad CVE-2026-33117.
  • Verificar que todas las aplicaciones que utilizan la SDK de Azure para Java estén actualizadas con la versión más reciente.
  • Monitorear los logs de seguridad para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2023-6606 Kernel: out-of-bounds read vulnerability en smbcalcsize

🔍 Qué está pasando

  • Microsoft ha publicado una vulnerabilidad en el kernel de Windows relacionada con la función smbcalcsize.
  • La vulnerabilidad tiene el identificador CVE-2023-6606.
  • Se trata de una vulnerabilidad de lectura fuera de límites.

⚠️ Por qué importa

La vulnerabilidad en smbcalcsize representa un riesgo significativo para las organizaciones que utilizan sistemas operativos Windows. Si no se aborda, un atacante podría aprovechar esta vulnerabilidad para escapar del kernel y ejecutar código arbitrario en el contexto del proceso System, lo que podría permitir el acceso no autorizado a la información confidencial de la organización.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la función smbcalcsize en el kernel de Windows realiza una lectura fuera de los límites de un buffer, lo que permite a un atacante leer memoria arbitraria. Esto puede ser aprovechado para ejecutar código malicioso en el contexto del proceso System, lo que podría permitir el acceso no autorizado a la información confidencial de la organización.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para esta vulnerabilidad.
  • IOC: La vulnerabilidad se produce cuando la función smbcalcsize realiza una lectura fuera de los límites de un buffer.
  • Recomendación: Las organizaciones deben aplicar el parche disponible lo antes posible para mitigar el riesgo de esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-21825 bpf: Cancel the running bpf_timer through kworker for PREEMPT_RT

🔍 Qué está pasando

  • Se ha publicado una nueva vulnerabilidad identificada como CVE-2025-21825.
  • La vulnerabilidad afecta a la función bpf_timer y se puede cancelar mediante kworker en sistemas con PREEMPT_RT habilitado.
  • La vulnerabilidad se encuentra en el componente bpf (Berkeley Packet Filter) de Linux.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-21825 puede ser utilizada por un atacante para cancelar la ejecución de un programa en tiempo de ejecución, lo que podría provocar una caída del sistema o incluso un escenario de "denial of service" (DoS). Esto podría tener un impacto significativo en organizaciones que dependen de sistemas Linux, especialmente aquellos que utilizan PREEMPT_RT para mejorar la estabilidad y la seguridad de sus sistemas.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando un atacante envía un paquete específico a la función bpf_timer, lo que permite cancelar la ejecución de un programa en tiempo de ejecución. Esto se debe a que la función bpf_timer no verifica adecuadamente la validación de la entrada de datos, lo que permite a un atacante manipular la información y cancelar la ejecución del programa.

👁️ Qué vigilar

  • CVE-2025-21825: identificador de la vulnerabilidad.
  • Parche disponible: se recomienda buscar actualizaciones de seguridad en la página de Microsoft Security Response Center (MSRC) para obtener más información sobre el parche disponible.
  • Recomendaciones: se recomienda a los administradores de sistemas Linux que utilicen PREEMPT_RT que revisen y actualicen sus sistemas lo antes posible para evitar posibles ataques.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-21888 RDMA/mlx5: Fix a WARN durante la desregitración de mr para tipo DM

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el componente RDMA/mlx5 de Linux.
  • El CVE afecta a la desregitración de mr para tipo DM, lo que puede generar un mensaje de advertencia (WARN).
  • El CVE es CVE-2025-21888.

⚠️ Por qué importa

Esta vulnerabilidad puede ser considerada como de baja a moderada gravedad, ya que puede generar un mensaje de advertencia durante la desregitración de mr para tipo DM. Sin embargo, es importante aplicar el parche para evitar cualquier problema potencial en el rendimiento o la estabilidad del sistema. Las organizaciones que utilizan el componente RDMA/mlx5 deben aplicar el parche para garantizar la seguridad de sus sistemas.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando se intenta desregistrar un mr (memory region) de tipo DM (device memory) en el componente RDMA/mlx5. En este escenario, se puede generar un mensaje de advertencia (WARN) debido a una condición inesperada. El parche corrige esta condición, evitando que se genere el mensaje de advertencia.

👁️ Qué vigilar

  • IOCs: El CVE es CVE-2025-21888.
  • Parches disponibles: Los parches para corregir esta vulnerabilidad están disponibles en los repositorios oficiales de Linux.
  • Recomendaciones: Las organizaciones deben aplicar el parche para el componente RDMA/mlx5 para evitar cualquier problema potencial en el rendimiento o la estabilidad del sistema.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-40139 smc: Use __sk_dst_get() y dst_dev_rcu() en in smc_clc_prfx_set()

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en el sistema de mensajes de control (smc) con el identificador CVE-2025-40139.
  • La vulnerabilidad involucra el uso de funciones específicas (__sk_dst_get() y dst_dev_rcu()) en la función smc_clc_prfx_set().
  • Microsoft ha publicado una noticia sobre el tema.

⚠️ Por qué importa

La vulnerabilidad puede permitir que un atacante explote la inestabilidad del sistema de mensajes de control, lo que podría llevar a una exfiltración de datos confidenciales o a una toma del control del sistema afectado. Las organizaciones que dependen de sistemas que utilizan el protocolo smc deben estar al tanto de esta vulnerabilidad y aplicar los parches correspondientes para evitar posibles consecuencias.

⚙️ Cómo funciona

La función smc_clc_prfx_set() es responsable de configurar la tabla de prefijos en el sistema de mensajes de control. Sin embargo, el uso de __sk_dst_get() y dst_dev_rcu() en esta función puede causar una desincronización entre la tabla de prefijos y la información de destino real. Un atacante podría aprovechar esta desincronización para introducir información falsa en la tabla de prefijos, lo que podría llevar a una exfiltración de datos confidenciales o a una toma del control del sistema afectado.

👁️ Qué vigilar

  • CVE ID: CVE-2025-40139.
  • Parches disponibles: Microsoft no ha publicado aún parches para esta vulnerabilidad, pero se espera que se publiquen en un futuro cercano.
  • Recomendaciones: Las organizaciones que dependen de sistemas que utilizan el protocolo smc deben estar al tanto de esta vulnerabilidad y aplicar los parches correspondientes tan pronto como estén disponibles. Además, se recomienda implementar medidas de seguridad adicionales, como la auditoría de tráfico de red y la monitorización de la configuración de la tabla de prefijos.

🔗 Fuente consultada: MSRC Microsoft

CloudSecurity — Informe de seguridad KY3P de AWS ahora disponible para la verificación de terceros proveedores

🔍 Qué está pasando

  • El proveedor de servicios en la nube (PaaS) Amazon Web Services (AWS) ha completado la evaluación de seguridad KY3P (Know Your Third Party) de S&P Global.
  • El informe KY3P de AWS ahora está disponible para uso de los clientes para reducir la carga de verificación de terceros proveedores.
  • La evaluación KY3P de S&P Global es un estándar ampliamente adoptado para la verificación de seguridad de terceros proveedores.

⚠️ Por qué importa

El informe de seguridad KY3P de AWS es importante para las organizaciones que utilizan servicios en la nube de AWS, ya que les permite reducir la carga de verificación de terceros proveedores. De esta manera, las organizaciones pueden tener confianza en la seguridad y la confidencialidad de los datos almacenados en la nube. Además, la disponibilidad del informe KY3P de AWS puede ayudar a mejorar la gestión de riesgos y la toma de decisiones informadas en la contratación de terceros proveedores.

⚙️ Cómo funciona

La evaluación KY3P de S&P Global es un proceso de verificación de seguridad que evalúa la capacidad de un proveedor de terceros para proteger la seguridad y la confidencialidad de los datos de los clientes. El proceso incluye la evaluación de la seguridad de la infraestructura, la gestión de riesgos, la gestión de incidentes y la cumplimiento de normas y regulaciones. El informe KY3P de AWS proporciona un resumen detallado de la seguridad y la confidencialidad de los datos almacenados en la nube de AWS.

👁️ Qué vigilar

  • Verifique la disponibilidad del informe KY3P de AWS en la página de seguridad de AWS.
  • Utilice el informe KY3P de AWS para reducir la carga de verificación de terceros proveedores.
  • Evalúe la seguridad y la confidencialidad de los datos almacenados en la nube de AWS mediante la revisión del informe KY3P de AWS.

🔗 Fuente consultada: AWS Security

ThreatIntel — Automating identity lifecycle y seguridad con AWS Directory Service APIs

🔍 Qué está pasando

  • AWS Directory Service para Microsoft Active Directory administrado (Managed Microsoft AD) ahora permite operaciones CRUD directas sobre usuarios y grupos.
  • Estas operaciones se pueden realizar a través de la API de AWS Directory Service.
  • Se añaden capacidades para gestionar usuarios y grupos de manera más eficiente.

⚠️ Por qué importa

La automatización de la gestión de identidades y acceso es crucial en entornos complejos. Con estas nuevas capacidades, las organizaciones pueden mejorar la seguridad y la eficiencia en la gestión de usuarios y grupos. Esto es especialmente importante en entornos híbridos o en la nube, donde la seguridad y la gestión de identidades son fundamentales para prevenir accesos no autorizados.

⚙️ Cómo funciona

La API de AWS Directory Service permite realizar operaciones CRUD (crear, leer, actualizar y eliminar) sobre usuarios y grupos. Esto se puede hacer de manera programática a través de herramientas como SDKs o bibliotecas de programación. Las organizaciones pueden utilizar estas capacidades para automatizar tareas como la creación de usuarios, la asignación de permisos y la eliminación de cuentas inactivas.

👁️ Qué vigilar

  • Parches disponibles: No se han mencionado parches específicos para esta actualización.
  • Recomendaciones: Las organizaciones deben revisar sus políticas de seguridad y ajustarlas para aprovechar al máximo estas nuevas capacidades.
  • IOC: No se han identificado IOCs (Indicadores de Actividad Maliciosa) específicos para esta actualización.

🔗 Fuente consultada: AWS Security

ThreatIntel — Siguiendo la campaña de espionaje de Screening Serpens, APT iraní

🔍 Qué está pasando

  • Screening Serpens, una APT iraní, ha estado utilizando técnicas de hijackeo de AppDomainManager y variantes de RAT (Remote Access Tool) para atacar sectores de tecnología y defensa.
  • Las campañas recientes de Screening Serpens han sido detectadas en la región del Medio Oriente y África del Norte.
  • Los ataques están relacionados con la explotación de vulnerabilidades no patcheadas.

⚠️ Por qué importa

La campaña de Screening Serpens puede tener un impacto significativo en organizaciones que operan en sectores de tecnología y defensa. Los ataques pueden permitir a los atacantes acceder a información confidencial y comprometer la seguridad de los sistemas. Además, el uso de RAT y técnicas de hijackeo puede ser difícil de detectar, lo que hace que sea aún más importante implementar medidas de seguridad efectivas para prevenir estos tipos de ataques.

⚙️ Cómo funciona

Screening Serpens utiliza el AppDomainManager para hijackear procesos en Windows y ejecutar código malicioso en el contexto del proceso objetivo. Además, la APT también ha estado utilizando variantes de RAT para acceder remota y controlar sistemas comprometidos. Los ataques también están relacionados con la explotación de vulnerabilidades no patcheadas en software de terceros.

👁️ Qué vigilar

  • Buscar actividad sospechosa relacionada con la explotación de AppDomainManager y RAT.
  • Implementar parches de seguridad disponibles para vulnerabilidades no patcheadas en software de terceros.
  • Vigilar por cambios en el comportamiento de los sistemas y aplicaciones, especialmente en sectores de tecnología y defensa.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad — Paved With Intent: ROADtools y tácticas de Estado en la nube

🔍 Qué está pasando

  • El framework de código abierto ROADtools está siendo mal utilizado por amenazas para intrusos en la nube.
  • Los autores de la noticia identificaron una posible conexión con tácticas de Estado.
  • No se proporciona un CVE ID específico, pero se menciona que se trata de una vulnerabilidad en el uso del framework.

⚠️ Por qué importa

La utilización maliciosa de ROADtools puede permitir a los atacantes acceder a información confidencial y realizar actividades maliciosas en la nube. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilizan la plataforma cloud, especialmente aquellas que dependen de ROADtools para realizar tareas administrativas y de seguridad.

⚙️ Cómo funciona

Los autores de la noticia explican que los atacantes están utilizando ROADtools para acceder a credenciales de administración en la nube y luego realizar actividades maliciosas, como la creación de cuentas de administrador no autorizadas y la configuración de recursos de nube para realizar ataques. Esto se logra mediante la creación de " roadtool" scripts maliciosos que se ejecutan en la nube para realizar tareas de administración.

👁️ Qué vigilar

  • Identificar scripts maliciosos: Vigilar por la presencia de scripts ROADtools que no son necesarios para las tareas administrativas normales.
  • Revisar credenciales: Verificar que las credenciales de administración en la nube no hayan sido comprometidas.
  • Actualizar ROADtools: Asegurarse de que la versión de ROADtools sea la más reciente y que se hayan aplicado los últimos parches de seguridad.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen — El panorama de amenazas en npm: superficie de ataque y mitigaciones (Actualizado el 21 de mayo)

🔍 Qué está pasando

  • La investigación de Unit 42 analiza la evolución de la cadena de suministro de npm después de Shai Hulud.
  • Se descubren malware wormables, persistencia en CI/CD, ataques de varias etapas y más.
  • La investigación se centra en la superficie de ataque de npm y recomendaciones de mitigación.

⚠️ Por qué importa

La superficie de ataque de npm es un problema crítico para las organizaciones que dependen de paquetes npm en sus proyectos. Si un atacante puede comprometer un paquete npm popular, puede afectar a miles de proyectos que lo utilizan. Además, la persistencia en CI/CD y los ataques de varias etapas pueden ser difíciles de detectar y mitigar, lo que aumenta el riesgo de incidentes de ciberseguridad.

⚙️ Cómo funciona

La cadena de suministro de npm es vulnerable a ataques de varias etapas, que comienzan con la creación de un paquete malicioso. El paquete puede ser publicado en npm y luego instalado en proyectos que lo utilizan. Una vez instalado, el malware puede persistir en el sistema a través de CI/CD y realizar acciones maliciosas. Los ataques wormables permiten que el malware se propague automáticamente a otros proyectos que utilizan el paquete comprometido.

👁️ Qué vigilar

  • IOC: Paquetes npm maliciosos con nombres similares a paquetes populares.
  • Parches: Utilizar herramientas de escaneo de dependencias para identificar paquetes comprometidos y actualizar a versiones seguras.
  • Recomendaciones: Utilizar npm audit para evaluar la seguridad de paquetes, y considerar la implementación de un sistema de gestión de dependencias centralizado para controlar la instalación de paquetes.

🔗 Fuente consultada: Unit 42 (Palo Alto)

ThreatIntel — Actividad de Cloud Atlas en la segunda mitad de 2025 y principios de 2026: nuevas herramientas y un nuevo payload

🔍 Qué está pasando

  • Cloud Atlas está atacando al sector público y estructuras diplomáticas de Rusia y Bielorrusia.
  • Los ataques utilizan ReverseSocks, SSH y Tor para persistencia en sistemas infectados.
  • Se ha lanzado un nuevo herramienta llamada PowerCloud.

⚠️ Por qué importa

Esta actividad de Cloud Atlas es preocupante porque afecta a estructuras críticas del gobierno y la diplomacia de Rusia y Bielorrusia. El uso de herramientas como ReverseSocks, SSH y Tor para persistencia en sistemas infectados indica una estrategia sofisticada para evadir detección y mantener la presencia en la red. Si bien las organizaciones no están directamente afectadas, es posible que los ciberdelincuentes intenten propagar el malware más allá de Rusia y Bielorrusia.

⚙️ Cómo funciona

Cloud Atlas utiliza una combinación de herramientas para infectar sistemas y mantener la persistencia. ReverseSocks se utiliza para crear una conexión cifrada con el servidor de control, mientras que SSH se utiliza para crear una conexión segura para la transferencia de datos. Tor se utiliza para ocultar la IP del sistema infectado y evitar la detección. La nueva herramienta, PowerCloud, es un componente clave de la infraestructura de Cloud Atlas y se utiliza para controlar y administrar los sistemas infectados.

👁️ Qué vigilar

  • IOCs: Revisa tus sistemas y redes para detectar la presencia de ReverseSocks, SSH y Tor.
  • Parches disponibles: Asegúrate de que tus sistemas estén actualizados con los últimos parches de seguridad.
  • Recomendaciones: Implementa medidas de seguridad adicionales, como la monitorización de redes y sistemas, y la implementación de sistemas de detección de intrusos (IDS).

🔗 Fuente consultada: Kaspersky Securelist

Top comments (0)