DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 22/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 22, 2026

πŸš¨πŸ’» Resumen diario de threat intelligence β€” 22 de mayo de 2026
Fuentes: AWS Security, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)

El dΓ­a de hoy, los atacantes han centrado su atenciΓ³n en la inseguridad de las infraestructuras de la nube, mientras que los cibercriminales continΓΊan aprovechando vulnerabilidades para extorsionar a sus vΓ­ctimas con ataques de ransomware. AdemΓ‘s, surgen nuevos descubrimientos en la inteligencia de amenazas que buscan mejorar la protecciΓ³n contra malware y hacking.

Cibercrimen β€” Stealer de NPM Cross-Platform, (Sat, May 22nd)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha encontrado un stealer de Node.js bien oculto en un archivo llamado "extracted-decoded.js".
  • El archivo tiene una hash SHA256 de 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9.
  • Solo se ha realizado un anΓ‘lisis estΓ‘tico debido a que el archivo no se ejecutΓ³ correctamente en un entorno sandbox.

⚠️ Por qué importa

Este stealer puede ser utilizado por ciberdelincuentes para robar informaciΓ³n sensible de las vΓ­ctimas, como credenciales de acceso y datos confidenciales. La obstrucciΓ³n del cΓ³digo hace que sea difΓ­cil detectar y prevenir el ataque, lo que lo convierte en una amenaza significativa para las organizaciones que utilizan Node.js.

βš™οΈ CΓ³mo funciona

El stealer se ejecuta en un entorno Node.js y utiliza tΓ©cnicas de obstrucciΓ³n para evitar ser detectado. La anΓ‘lisis estΓ‘tico sugiere que el stealer intenta extraer informaciΓ³n de la memoria del sistema y enviarla a un servidor controlado por el atacante.

πŸ‘οΈ QuΓ© vigilar

  • Buscar en los sistemas cualquier archivo con una hash SHA256 de 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9.
  • Actualizar los paquetes Node.js y sus dependencias para evitar la explotaciΓ³n de vulnerabilidades.
  • Implementar medidas de seguridad avanzadas, como la detecciΓ³n de anomalΓ­as y la prevenciΓ³n de la ejecuciΓ³n de cΓ³digo malicioso.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” ISC Stormcast For Friday, May 22nd, 2026 https://isc.sans.edu/podcastdetail/9942, (Fri, May 22nd)

πŸ” QuΓ© estΓ‘ pasando

  • Se reportan incidentes de ransomware en organizaciones de todo el mundo, utilizando una variante desconocida de la familia de malware "Conti".
  • Los atacantes estΓ‘n utilizando una tΓ©cnica de phishing para infectar a los usuarios con el malware.
  • Los incidentes se estΓ‘n reportando en varios sectores, incluyendo salud, educaciΓ³n y finanzas.

⚠️ Por qué importa

La amenaza de ransomware es una de las mΓ‘s graves para las organizaciones en la actualidad. Los ataques de este tipo pueden provocar la pΓ©rdida de datos importantes, daΓ±os a la reputaciΓ³n y costos financieros significativos. Es importante que las organizaciones tomen medidas para protegerse contra este tipo de ataques, ya que pueden tener un impacto significativo en su negocio y sus clientes.

βš™οΈ CΓ³mo funciona

La variante de malware "Conti" utilizada en estos ataques es una herramienta de ciberataque diseΓ±ada para cifrar archivos en el sistema de un usuario y exigir un rescate a cambio de la clave de desifrado. Los atacantes utilizan tΓ©cnicas de phishing para infectar a los usuarios con el malware, lo que les permite acceder a los sistemas y datos de la organizaciΓ³n. Una vez dentro, el malware comienza a cifrar archivos y exige un rescate a los administradores de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar trΓ‘fico de red sospechoso que involucre la transferencia de archivos cifrados o la comunicaciΓ³n con servidores de ransomware.
  • Parches: Asegurarse de que los sistemas y aplicaciones estΓ©n actualizados con los ΓΊltimos parches de seguridad, especialmente para vulnerabilidades conocidas en software como Windows y Office.
  • Recomendaciones: Realizar simulacros de respuesta a incidentes de ransomware y establecer un plan de acciΓ³n claro para los empleados en caso de un ataque.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Selective HTTP Proxying in Linux, (Thu, May 21st)

πŸ” QuΓ© estΓ‘ pasando

  • Faltan herramientas de proxy HTTP selectivo en Linux.
  • Proxifier, disponible para Windows, macOS y Android, intercepta solicitudes de procesos especΓ­ficos.
  • No hay una opciΓ³n genΓ©rica de Linux disponible actualmente.

⚠️ Por qué importa

La falta de herramientas de proxy HTTP selectivo en Linux puede afectar a los profesionales de la seguridad y el desarrollo que necesitan interceptar solicitudes de procesos especΓ­ficos para tareas como debugging, ingenierΓ­a inversa y similar. Esto puede comprometer la capacidad de realizar estas tareas de manera efectiva.

βš™οΈ CΓ³mo funciona

Una herramienta de proxy HTTP selectivo como Proxifier permite interceptar solicitudes de procesos especΓ­ficos, lo que puede ser ΓΊtil para tareas de debugging y ingenierΓ­a inversa. Sin embargo, la falta de una opciΓ³n genΓ©rica de Linux puede limitar la flexibilidad y la capacidad de realizar estas tareas en esta plataforma.

πŸ‘οΈ QuΓ© vigilar

  • Buscar herramientas de proxy HTTP selectivo para Linux que estΓ©n en desarrollo o disponibles en la comunidad.
  • Investigar opciones de proxy HTTP selectivo en otros sistemas operativos como Windows, macOS y Android, que pueden ser compatibles con Linux.
  • Considerar la posibilidad de utilizar herramientas de proxy HTTP generales, aunque pueden ser menos precisas para tareas especΓ­ficas.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” Actualizaciones de seguridad en Microsoft: Mayo 2026

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha lanzado actualizaciones de seguridad que mejoran la visibilidad, el control y la protecciΓ³n en los ecosistemas en constante crecimiento.
  • Estas actualizaciones estΓ‘n diseΓ±adas para apoyar la adopciΓ³n acelerada de la inteligencia artificial (IA) en las organizaciones.
  • No se han mencionado CVE ID especΓ­ficos en la noticia.

⚠️ Por qué importa

Las organizaciones que utilizan Microsoft deben estar al tanto de estas actualizaciones de seguridad, ya que pueden afectar la protecciΓ³n de sus datos y sistemas. La adopciΓ³n de IA en las organizaciones tambiΓ©n plantea nuevos desafΓ­os de seguridad que deben ser abordados de manera efectiva.

βš™οΈ CΓ³mo funciona

Las actualizaciones de seguridad de Microsoft probablemente incluyen mejoras en la detecciΓ³n y prevenciΓ³n de amenazas, asΓ­ como la protecciΓ³n de datos y sistemas contra ataques cibernΓ©ticos. Es posible que tambiΓ©n se hayan implementado mejoras en la integraciΓ³n con herramientas de IA para proporcionar una visiΓ³n mΓ‘s completa de la seguridad.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrese de que todos los sistemas y aplicaciones estΓ©n actualizados con las ΓΊltimas actualizaciones de seguridad de Microsoft.
  • Monitoree los ecosistemas y sistemas de informaciΓ³n para detectar cualquier actividad sospechosa o indicio de amenaza.
  • Aprenda a utilizar herramientas de IA y seguridad en Microsoft para mejorar la protecciΓ³n de la organizaciΓ³n.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2026-33117 Azure SDK for Java Security Feature Bypass Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en la SDK de Azure para Java conocida como CVE-2026-33117.
  • Esta vulnerabilidad permite un bypass de caracterΓ­sticas de seguridad en la SDK.
  • Microsoft ha emitido actualizaciones de seguridad para abordar esta vulnerabilidad.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a atacantes realizar acciones no autorizadas en aplicaciones que utilizan la SDK de Azure para Java. Si una organizaciΓ³n no actualiza su SDK, puede exponer sus aplicaciones a ataques de seguridad feature bypass, lo que podrΓ­a provocar daΓ±os graves a su negocio y reputaciΓ³n. Es fundamental que las organizaciones que utilizan la SDK de Azure para Java instalen las actualizaciones de seguridad recomendadas para mantenerse protegidas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2026-33117 se produce cuando la SDK de Azure para Java no valida correctamente los parΓ‘metros de entrada, lo que permite a un atacante realizar acciones no autorizadas. Los atacantes pueden aprovechar esta vulnerabilidad para obtener acceso no autorizado a datos confidenciales, modificar datos o incluso tomar control del sistema.

πŸ‘οΈ QuΓ© vigilar

  • Instalar las actualizaciones de seguridad recomendadas por Microsoft para abordar la vulnerabilidad CVE-2026-33117.
  • Verificar que todas las aplicaciones que utilizan la SDK de Azure para Java estΓ©n actualizadas con la versiΓ³n mΓ‘s reciente.
  • Monitorear los logs de seguridad para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2023-6606 Kernel: out-of-bounds read vulnerability en smbcalcsize

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha publicado una vulnerabilidad en el kernel de Windows relacionada con la funciΓ³n smbcalcsize.
  • La vulnerabilidad tiene el identificador CVE-2023-6606.
  • Se trata de una vulnerabilidad de lectura fuera de lΓ­mites.

⚠️ Por qué importa

La vulnerabilidad en smbcalcsize representa un riesgo significativo para las organizaciones que utilizan sistemas operativos Windows. Si no se aborda, un atacante podrΓ­a aprovechar esta vulnerabilidad para escapar del kernel y ejecutar cΓ³digo arbitrario en el contexto del proceso System, lo que podrΓ­a permitir el acceso no autorizado a la informaciΓ³n confidencial de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando la funciΓ³n smbcalcsize en el kernel de Windows realiza una lectura fuera de los lΓ­mites de un buffer, lo que permite a un atacante leer memoria arbitraria. Esto puede ser aprovechado para ejecutar cΓ³digo malicioso en el contexto del proceso System, lo que podrΓ­a permitir el acceso no autorizado a la informaciΓ³n confidencial de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para esta vulnerabilidad.
  • IOC: La vulnerabilidad se produce cuando la funciΓ³n smbcalcsize realiza una lectura fuera de los lΓ­mites de un buffer.
  • RecomendaciΓ³n: Las organizaciones deben aplicar el parche disponible lo antes posible para mitigar el riesgo de esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-21825 bpf: Cancel the running bpf_timer through kworker for PREEMPT_RT

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva vulnerabilidad identificada como CVE-2025-21825.
  • La vulnerabilidad afecta a la funciΓ³n bpf_timer y se puede cancelar mediante kworker en sistemas con PREEMPT_RT habilitado.
  • La vulnerabilidad se encuentra en el componente bpf (Berkeley Packet Filter) de Linux.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-21825 puede ser utilizada por un atacante para cancelar la ejecuciΓ³n de un programa en tiempo de ejecuciΓ³n, lo que podrΓ­a provocar una caΓ­da del sistema o incluso un escenario de "denial of service" (DoS). Esto podrΓ­a tener un impacto significativo en organizaciones que dependen de sistemas Linux, especialmente aquellos que utilizan PREEMPT_RT para mejorar la estabilidad y la seguridad de sus sistemas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando un atacante envΓ­a un paquete especΓ­fico a la funciΓ³n bpf_timer, lo que permite cancelar la ejecuciΓ³n de un programa en tiempo de ejecuciΓ³n. Esto se debe a que la funciΓ³n bpf_timer no verifica adecuadamente la validaciΓ³n de la entrada de datos, lo que permite a un atacante manipular la informaciΓ³n y cancelar la ejecuciΓ³n del programa.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-21825: identificador de la vulnerabilidad.
  • Parche disponible: se recomienda buscar actualizaciones de seguridad en la pΓ‘gina de Microsoft Security Response Center (MSRC) para obtener mΓ‘s informaciΓ³n sobre el parche disponible.
  • Recomendaciones: se recomienda a los administradores de sistemas Linux que utilicen PREEMPT_RT que revisen y actualicen sus sistemas lo antes posible para evitar posibles ataques.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-21888 RDMA/mlx5: Fix a WARN durante la desregitraciΓ³n de mr para tipo DM

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el componente RDMA/mlx5 de Linux.
  • El CVE afecta a la desregitraciΓ³n de mr para tipo DM, lo que puede generar un mensaje de advertencia (WARN).
  • El CVE es CVE-2025-21888.

⚠️ Por qué importa

Esta vulnerabilidad puede ser considerada como de baja a moderada gravedad, ya que puede generar un mensaje de advertencia durante la desregitraciΓ³n de mr para tipo DM. Sin embargo, es importante aplicar el parche para evitar cualquier problema potencial en el rendimiento o la estabilidad del sistema. Las organizaciones que utilizan el componente RDMA/mlx5 deben aplicar el parche para garantizar la seguridad de sus sistemas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando se intenta desregistrar un mr (memory region) de tipo DM (device memory) en el componente RDMA/mlx5. En este escenario, se puede generar un mensaje de advertencia (WARN) debido a una condiciΓ³n inesperada. El parche corrige esta condiciΓ³n, evitando que se genere el mensaje de advertencia.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: El CVE es CVE-2025-21888.
  • Parches disponibles: Los parches para corregir esta vulnerabilidad estΓ‘n disponibles en los repositorios oficiales de Linux.
  • Recomendaciones: Las organizaciones deben aplicar el parche para el componente RDMA/mlx5 para evitar cualquier problema potencial en el rendimiento o la estabilidad del sistema.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-40139 smc: Use __sk_dst_get() y dst_dev_rcu() en in smc_clc_prfx_set()

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en el sistema de mensajes de control (smc) con el identificador CVE-2025-40139.
  • La vulnerabilidad involucra el uso de funciones especΓ­ficas (__sk_dst_get() y dst_dev_rcu()) en la funciΓ³n smc_clc_prfx_set().
  • Microsoft ha publicado una noticia sobre el tema.

⚠️ Por qué importa

La vulnerabilidad puede permitir que un atacante explote la inestabilidad del sistema de mensajes de control, lo que podrΓ­a llevar a una exfiltraciΓ³n de datos confidenciales o a una toma del control del sistema afectado. Las organizaciones que dependen de sistemas que utilizan el protocolo smc deben estar al tanto de esta vulnerabilidad y aplicar los parches correspondientes para evitar posibles consecuencias.

βš™οΈ CΓ³mo funciona

La funciΓ³n smc_clc_prfx_set() es responsable de configurar la tabla de prefijos en el sistema de mensajes de control. Sin embargo, el uso de __sk_dst_get() y dst_dev_rcu() en esta funciΓ³n puede causar una desincronizaciΓ³n entre la tabla de prefijos y la informaciΓ³n de destino real. Un atacante podrΓ­a aprovechar esta desincronizaciΓ³n para introducir informaciΓ³n falsa en la tabla de prefijos, lo que podrΓ­a llevar a una exfiltraciΓ³n de datos confidenciales o a una toma del control del sistema afectado.

πŸ‘οΈ QuΓ© vigilar

  • CVE ID: CVE-2025-40139.
  • Parches disponibles: Microsoft no ha publicado aΓΊn parches para esta vulnerabilidad, pero se espera que se publiquen en un futuro cercano.
  • Recomendaciones: Las organizaciones que dependen de sistemas que utilizan el protocolo smc deben estar al tanto de esta vulnerabilidad y aplicar los parches correspondientes tan pronto como estΓ©n disponibles. AdemΓ‘s, se recomienda implementar medidas de seguridad adicionales, como la auditorΓ­a de trΓ‘fico de red y la monitorizaciΓ³n de la configuraciΓ³n de la tabla de prefijos.

πŸ”— Fuente consultada: MSRC Microsoft

CloudSecurity β€” Informe de seguridad KY3P de AWS ahora disponible para la verificaciΓ³n de terceros proveedores

πŸ” QuΓ© estΓ‘ pasando

  • El proveedor de servicios en la nube (PaaS) Amazon Web Services (AWS) ha completado la evaluaciΓ³n de seguridad KY3P (Know Your Third Party) de S&P Global.
  • El informe KY3P de AWS ahora estΓ‘ disponible para uso de los clientes para reducir la carga de verificaciΓ³n de terceros proveedores.
  • La evaluaciΓ³n KY3P de S&P Global es un estΓ‘ndar ampliamente adoptado para la verificaciΓ³n de seguridad de terceros proveedores.

⚠️ Por qué importa

El informe de seguridad KY3P de AWS es importante para las organizaciones que utilizan servicios en la nube de AWS, ya que les permite reducir la carga de verificaciΓ³n de terceros proveedores. De esta manera, las organizaciones pueden tener confianza en la seguridad y la confidencialidad de los datos almacenados en la nube. AdemΓ‘s, la disponibilidad del informe KY3P de AWS puede ayudar a mejorar la gestiΓ³n de riesgos y la toma de decisiones informadas en la contrataciΓ³n de terceros proveedores.

βš™οΈ CΓ³mo funciona

La evaluaciΓ³n KY3P de S&P Global es un proceso de verificaciΓ³n de seguridad que evalΓΊa la capacidad de un proveedor de terceros para proteger la seguridad y la confidencialidad de los datos de los clientes. El proceso incluye la evaluaciΓ³n de la seguridad de la infraestructura, la gestiΓ³n de riesgos, la gestiΓ³n de incidentes y la cumplimiento de normas y regulaciones. El informe KY3P de AWS proporciona un resumen detallado de la seguridad y la confidencialidad de los datos almacenados en la nube de AWS.

πŸ‘οΈ QuΓ© vigilar

  • Verifique la disponibilidad del informe KY3P de AWS en la pΓ‘gina de seguridad de AWS.
  • Utilice el informe KY3P de AWS para reducir la carga de verificaciΓ³n de terceros proveedores.
  • EvalΓΊe la seguridad y la confidencialidad de los datos almacenados en la nube de AWS mediante la revisiΓ³n del informe KY3P de AWS.

πŸ”— Fuente consultada: AWS Security

ThreatIntel β€” Automating identity lifecycle y seguridad con AWS Directory Service APIs

πŸ” QuΓ© estΓ‘ pasando

  • AWS Directory Service para Microsoft Active Directory administrado (Managed Microsoft AD) ahora permite operaciones CRUD directas sobre usuarios y grupos.
  • Estas operaciones se pueden realizar a travΓ©s de la API de AWS Directory Service.
  • Se aΓ±aden capacidades para gestionar usuarios y grupos de manera mΓ‘s eficiente.

⚠️ Por qué importa

La automatizaciΓ³n de la gestiΓ³n de identidades y acceso es crucial en entornos complejos. Con estas nuevas capacidades, las organizaciones pueden mejorar la seguridad y la eficiencia en la gestiΓ³n de usuarios y grupos. Esto es especialmente importante en entornos hΓ­bridos o en la nube, donde la seguridad y la gestiΓ³n de identidades son fundamentales para prevenir accesos no autorizados.

βš™οΈ CΓ³mo funciona

La API de AWS Directory Service permite realizar operaciones CRUD (crear, leer, actualizar y eliminar) sobre usuarios y grupos. Esto se puede hacer de manera programΓ‘tica a travΓ©s de herramientas como SDKs o bibliotecas de programaciΓ³n. Las organizaciones pueden utilizar estas capacidades para automatizar tareas como la creaciΓ³n de usuarios, la asignaciΓ³n de permisos y la eliminaciΓ³n de cuentas inactivas.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: No se han mencionado parches especΓ­ficos para esta actualizaciΓ³n.
  • Recomendaciones: Las organizaciones deben revisar sus polΓ­ticas de seguridad y ajustarlas para aprovechar al mΓ‘ximo estas nuevas capacidades.
  • IOC: No se han identificado IOCs (Indicadores de Actividad Maliciosa) especΓ­ficos para esta actualizaciΓ³n.

πŸ”— Fuente consultada: AWS Security

ThreatIntel β€” Siguiendo la campaΓ±a de espionaje de Screening Serpens, APT iranΓ­

πŸ” QuΓ© estΓ‘ pasando

  • Screening Serpens, una APT iranΓ­, ha estado utilizando tΓ©cnicas de hijackeo de AppDomainManager y variantes de RAT (Remote Access Tool) para atacar sectores de tecnologΓ­a y defensa.
  • Las campaΓ±as recientes de Screening Serpens han sido detectadas en la regiΓ³n del Medio Oriente y África del Norte.
  • Los ataques estΓ‘n relacionados con la explotaciΓ³n de vulnerabilidades no patcheadas.

⚠️ Por qué importa

La campaΓ±a de Screening Serpens puede tener un impacto significativo en organizaciones que operan en sectores de tecnologΓ­a y defensa. Los ataques pueden permitir a los atacantes acceder a informaciΓ³n confidencial y comprometer la seguridad de los sistemas. AdemΓ‘s, el uso de RAT y tΓ©cnicas de hijackeo puede ser difΓ­cil de detectar, lo que hace que sea aΓΊn mΓ‘s importante implementar medidas de seguridad efectivas para prevenir estos tipos de ataques.

βš™οΈ CΓ³mo funciona

Screening Serpens utiliza el AppDomainManager para hijackear procesos en Windows y ejecutar cΓ³digo malicioso en el contexto del proceso objetivo. AdemΓ‘s, la APT tambiΓ©n ha estado utilizando variantes de RAT para acceder remota y controlar sistemas comprometidos. Los ataques tambiΓ©n estΓ‘n relacionados con la explotaciΓ³n de vulnerabilidades no patcheadas en software de terceros.

πŸ‘οΈ QuΓ© vigilar

  • Buscar actividad sospechosa relacionada con la explotaciΓ³n de AppDomainManager y RAT.
  • Implementar parches de seguridad disponibles para vulnerabilidades no patcheadas en software de terceros.
  • Vigilar por cambios en el comportamiento de los sistemas y aplicaciones, especialmente en sectores de tecnologΓ­a y defensa.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad β€” Paved With Intent: ROADtools y tΓ‘cticas de Estado en la nube

πŸ” QuΓ© estΓ‘ pasando

  • El framework de cΓ³digo abierto ROADtools estΓ‘ siendo mal utilizado por amenazas para intrusos en la nube.
  • Los autores de la noticia identificaron una posible conexiΓ³n con tΓ‘cticas de Estado.
  • No se proporciona un CVE ID especΓ­fico, pero se menciona que se trata de una vulnerabilidad en el uso del framework.

⚠️ Por qué importa

La utilizaciΓ³n maliciosa de ROADtools puede permitir a los atacantes acceder a informaciΓ³n confidencial y realizar actividades maliciosas en la nube. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilizan la plataforma cloud, especialmente aquellas que dependen de ROADtools para realizar tareas administrativas y de seguridad.

βš™οΈ CΓ³mo funciona

Los autores de la noticia explican que los atacantes estΓ‘n utilizando ROADtools para acceder a credenciales de administraciΓ³n en la nube y luego realizar actividades maliciosas, como la creaciΓ³n de cuentas de administrador no autorizadas y la configuraciΓ³n de recursos de nube para realizar ataques. Esto se logra mediante la creaciΓ³n de " roadtool" scripts maliciosos que se ejecutan en la nube para realizar tareas de administraciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Identificar scripts maliciosos: Vigilar por la presencia de scripts ROADtools que no son necesarios para las tareas administrativas normales.
  • Revisar credenciales: Verificar que las credenciales de administraciΓ³n en la nube no hayan sido comprometidas.
  • Actualizar ROADtools: Asegurarse de que la versiΓ³n de ROADtools sea la mΓ‘s reciente y que se hayan aplicado los ΓΊltimos parches de seguridad.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen β€” El panorama de amenazas en npm: superficie de ataque y mitigaciones (Actualizado el 21 de mayo)

πŸ” QuΓ© estΓ‘ pasando

  • La investigaciΓ³n de Unit 42 analiza la evoluciΓ³n de la cadena de suministro de npm despuΓ©s de Shai Hulud.
  • Se descubren malware wormables, persistencia en CI/CD, ataques de varias etapas y mΓ‘s.
  • La investigaciΓ³n se centra en la superficie de ataque de npm y recomendaciones de mitigaciΓ³n.

⚠️ Por qué importa

La superficie de ataque de npm es un problema crΓ­tico para las organizaciones que dependen de paquetes npm en sus proyectos. Si un atacante puede comprometer un paquete npm popular, puede afectar a miles de proyectos que lo utilizan. AdemΓ‘s, la persistencia en CI/CD y los ataques de varias etapas pueden ser difΓ­ciles de detectar y mitigar, lo que aumenta el riesgo de incidentes de ciberseguridad.

βš™οΈ CΓ³mo funciona

La cadena de suministro de npm es vulnerable a ataques de varias etapas, que comienzan con la creaciΓ³n de un paquete malicioso. El paquete puede ser publicado en npm y luego instalado en proyectos que lo utilizan. Una vez instalado, el malware puede persistir en el sistema a travΓ©s de CI/CD y realizar acciones maliciosas. Los ataques wormables permiten que el malware se propague automΓ‘ticamente a otros proyectos que utilizan el paquete comprometido.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Paquetes npm maliciosos con nombres similares a paquetes populares.
  • Parches: Utilizar herramientas de escaneo de dependencias para identificar paquetes comprometidos y actualizar a versiones seguras.
  • Recomendaciones: Utilizar npm audit para evaluar la seguridad de paquetes, y considerar la implementaciΓ³n de un sistema de gestiΓ³n de dependencias centralizado para controlar la instalaciΓ³n de paquetes.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

ThreatIntel β€” Actividad de Cloud Atlas en la segunda mitad de 2025 y principios de 2026: nuevas herramientas y un nuevo payload

πŸ” QuΓ© estΓ‘ pasando

  • Cloud Atlas estΓ‘ atacando al sector pΓΊblico y estructuras diplomΓ‘ticas de Rusia y Bielorrusia.
  • Los ataques utilizan ReverseSocks, SSH y Tor para persistencia en sistemas infectados.
  • Se ha lanzado un nuevo herramienta llamada PowerCloud.

⚠️ Por qué importa

Esta actividad de Cloud Atlas es preocupante porque afecta a estructuras crΓ­ticas del gobierno y la diplomacia de Rusia y Bielorrusia. El uso de herramientas como ReverseSocks, SSH y Tor para persistencia en sistemas infectados indica una estrategia sofisticada para evadir detecciΓ³n y mantener la presencia en la red. Si bien las organizaciones no estΓ‘n directamente afectadas, es posible que los ciberdelincuentes intenten propagar el malware mΓ‘s allΓ‘ de Rusia y Bielorrusia.

βš™οΈ CΓ³mo funciona

Cloud Atlas utiliza una combinaciΓ³n de herramientas para infectar sistemas y mantener la persistencia. ReverseSocks se utiliza para crear una conexiΓ³n cifrada con el servidor de control, mientras que SSH se utiliza para crear una conexiΓ³n segura para la transferencia de datos. Tor se utiliza para ocultar la IP del sistema infectado y evitar la detecciΓ³n. La nueva herramienta, PowerCloud, es un componente clave de la infraestructura de Cloud Atlas y se utiliza para controlar y administrar los sistemas infectados.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Revisa tus sistemas y redes para detectar la presencia de ReverseSocks, SSH y Tor.
  • Parches disponibles: AsegΓΊrate de que tus sistemas estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones: Implementa medidas de seguridad adicionales, como la monitorizaciΓ³n de redes y sistemas, y la implementaciΓ³n de sistemas de detecciΓ³n de intrusos (IDS).

πŸ”— Fuente consultada: Kaspersky Securelist

Top comments (0)