Microsoft identifica al ransomware Medusa como afiliado a los ataques de día cero

Microsoft ha identificado aStorm-1175, un grupo de ciberdelincuentesconbaseen Chinay motivación económica, como el actor que está detrás de una serie deataques rápidos que despliegan el ransomware Medusa. El grupo es conocido por explotara gran velocidad vulnerabilidades de díaceroy de día reciente (n-day) para obtener acceso inicial a las redes de las víctimas.

Storm-1175pasa rápidamente del compromiso inicial a la filtración de datos y el despliegue del ransomware, completando a veces toda la cadena de ataque en menos de 24 horas. Su ritmo operativo se describe como "de alta velocidad", ya que el grupo a menudo explota vulnerabilidades un día después de su divulgación y, en algunos casos, hasta una semana antes de que los parches estén disponibles.

El grupo ha atacado organizaciones de los sectores de la sanidad, la educación, los servicios profesionales y las finanzas en Australia, el Reino Unido y Estados Unidos. Sus campañas han consistido en explotar más de 16 vulnerabilidades en productos empresariales de uso generalizado, como Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail y BeyondTrust. Entre losdíascero explotadosdestacanCVE-2025-10035(GoAnywhere MFT),CVE-2026-23760(SmarterMail) y CVE-2026-1731 (BeyondTrust).

Esto pone de manifiesto que las organizaciones, incluso las que cuentan con programas de parcheo maduros, son vulnerables, lo que amplía el conjunto de riesgos y complica las estrategias defensivas. Las amenazas aprovechan las vulnerabilidades de día cero antes de que existan los parches.

El pirateo de la nube de la Comisión Europea afecta a 30 entidades de la UE

El Servicio de Ciberseguridad de la Unión Europea (CERT-EU) ha confirmado queel entorno en la nube AWS de la Comisión Europea fue violado por el grupo de amenazas TeamPCP, exponiendo datos sensibles pertenecientes tanto a la Comisión como a al menos otras 29 entidades de la UE.

La intrusión comenzó el 10 de marzo, cuando los atacantes utilizaron una clave API de AWS comprometida conpermisos denivelde gestión, robada durante elcompromiso delacadenade suministro de Trivy, para acceder alos sistemas en la nube de la Comisión. Una vez dentro, los atacantes utilizaron TruffleHog para buscar secretos adicionales, crearon una nueva clave de acceso para evadir la detección y continuaron con el reconocimiento interno y el robo de datos.

El 28 de marzo, el grupo de extorsión ShinyHunters publicó un archivo comprimido de 90 GB (aproximadamente 340 GB sin comprimir) en la dark web, que contenía: Nombres, Direcciones de correo electrónico, Contenido de correo electrónico, Decenas de miles de archivos con datos personales y organizativos. Los datos filtrados afectan a 71 clientes del servicio de alojamiento web Europa de la UE: 42 clientes internos de la Comisión Europea y al menos otras 29 entidades de la Unión.

TeamPCP está vinculado aataquesmás amplios a lacadenade suministroque afectan a los ecosistemas de GitHub, PyPI, NPM y Docker. Anteriormente comprometieron el paquete LiteLLM PyPI y desplegaron su malware TeamPCP Cloud Stealer en decenas de miles de sistemas afectados.

Este incidente se produce tras una serie de acontecimientos, como se ha mencionado anteriormente, que enlazan con un ataque más amplio a la cadena de suministro, exponiendo cómo las herramientas de^terceros o de código abierto comprometidas pueden conducir directamente a brechas a nivel institucional. Además, la publicación de este conjunto de datos crea riesgos de exposición a largo plazo, como la suplantación de identidad, el uso indebido de credenciales y la recopilación de información por parte de agentes hostiles.

Hackers norcoreanos distribuyen más de 1.700 paquetes maliciosos de código abierto

Una campaña cibernética vinculada a Corea del Norte conocida como "Contagious Interview" ha ampliado significativamente susoperacionesen lacadenade suministro de softwaremediante la distribución de más de 1.700 paquetes maliciosos en variosecosistemas de código abierto, como npm, PyPI, Go, Rust y Packagist. Estos paquetes estaban diseñados para hacerse pasar por herramientas legítimas para desarrolladores, lo que permitía a los atacantes infiltrarse en entornos de desarrollo a través de canales de confianza. Los investigadores observaron que los adversarios incrustaban cargadores de malware dentro de estos paquetes, lo que les permitía entregarcargas útilesdesegundaetapaespecíficasde la plataforma, diseñadas para el espionaje y el beneficio económico.

Las cargas útiles maliciosas desplegadas a través de estos paquetes poseen una serie de capacidades peligrosas. Muchos actúan como ladrones de información, recopilando datos del navegador, contraseñas e información de la cartera de criptomonedas. Algunas variantes, en particular las que se distribuyen a través del paquetelicense-utils-kitde PyPI, funcionan comoimplantescompletosposterioresa la infección, permitiendo la ejecución remota de comandos, el registro de pulsaciones de teclas, la extracción de datos, la manipulación de navegadores, la carga de archivos y la instalación deherramientasdeaccesoremotocomo AnyDesk.

Lo que hace que esta campaña sea especialmente sigilosa es la técnica de los atacantes de incrustar código dañino dentro defuncionesdeapariencianormalque los desarrolladores podrían utilizar habitualmente. A diferencia de los paquetes maliciosos convencionales, que ejecutan el código dañino inmediatamente después de la instalación, estos paquetes ocultan la lógica dentro de funciones legítimas.

La lista completa de paquetes identificados es la siguiente

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust: logtrace
• Packagist: golangorg/logkit

El descubrimiento de más de 1.700 paquetes maliciosos desde principios de 2025 demuestra la existencia de unaamenazaen lacadenade suministroaltamente coordinada ybien dotada de recursos, diseñada para comprometer a los desarrolladores a gran escala. Al atacar ecosistemas de desarrollo ampliamente utilizados, los operadores norcoreanos pretenden infiltrarse en las organizaciones durante las primeras etapas del ciclo de vida del software, facilitando tanto el espionaje como el robo financiero.

La BKA identifica a los responsables de 130 ataques de ransomware en Alemania

La Oficina Federal de Policía Criminal de Alemania (BKA) ha identificado y desenmascarado a dos miembros clave deldesaparecidogrupo deransomware-as-a-serviceREvil (Sodinokibi), vinculándolos a 130 ataques de ransomware en toda Alemania entre 2019 y 2021. El primero, previamente conocido bajo el alias UNKN, ha sido revelado como Daniil Maksimovich Shchukin, unciudadano rusode31añosque también utilizó múltiples apodos en línea como Oneiilk2, Oneillk2, Oneillk22 y GandCrab. Shchukin actuaba como representante de la operación, anunciando REvil en foros de ciberdelincuencia y ayudando a reclutar afiliados. Se cree que el segundo individuo, Anatoly Sergeevitsch Kravchuk, fue uno de los desarrolladores de REvil durante ese periodo.

Según la BKA, las actividades de los dos sospechosos se tradujeron en el pago de 1,9 millones de euros en rescates en 25 casos confirmados, mientras que los daños totales infligidos por los 130 ataques superaron los 35,4 millones de euros, teniendo en cuenta la interrupción del negocio, la pérdida de datos y los costes de recuperación. REvil, una evolución del ransomware GandCrab, fue una de las operaciones de ransomware más prolíficas, responsable de importantes incidentes mundiales antes de desaparecer abruptamente en julio de 2021. El grupo resurgió brevemente, pero finalmente se desmoronó tras lasacciones delasfuerzasde seguridad internacionales.

Rumanía había detenido anteriormente a dos afiliados, y el FSB ruso informó en enero de 2022 de que había detenido a varios miembros de REvil y desmantelado partes del grupo. En octubre de 2024, cuatro miembros de REvil fueron condenados a prisión, según los medios rusos.

Operaciones del ransomware Qilin y Warlock: Cadena asesina EDR basada en BYOVD

Los responsables de las operaciones de ransomware Qilin y Warlock han adoptado una técnica de evasión muy avanzada conocida como BYOVD (Bring Your Own Vulnerable Driver) para desactivar las herramientas de seguridad de los sistemas infectados. Según las investigaciones de Cisco Talos y Trend Micro, ambos grupos están utilizandocontroladoresenmodokernel firmados pero vulnerablespara eludir las modernas protecciones de detección y respuesta para puntos finales (EDR), lo que anula más de 300 controladores EDR diferentes de los principales proveedores. Esta técnica permite a los operadores de ransomware obteneraccesodebajonivelal sistema y desmantelar las capas defensivas antes de desplegar sus cargas útiles, lo que dificulta considerablemente la detección y prevención.

En el caso de Qilin, el ataque comienza con una DLL maliciosa llamada msimg32.dll, distribuida mediante cargalateralde DLL, que activaun cargadormultietapadiseñado para ejecutarse sigilosamente en memoria. Este cargador neutralizalos ganchosdelmodode usuario, suprime el registro de eventos de Windows y oculta las llamadas a la API para evitar su detección. Una vez ejecutado, el malware carga dos controladores vulnerables: rwdrv.sys, una versión renombrada de ThrottleStop.sys que concede acceso bruto a la memoria física, y hlpdrv.sys, que termina los procesos EDR. Estos controladores también vistos anteriormente en los incidentes de ransomware Akira y Makop se utilizan para despejar el camino para el despliegue final del ransomware desactivando los componentes de seguridad a nivel del kernel.

Warlock (también conocido como Water Manaul) utiliza un enfoque similar, pero con su propio controladoranivel de kernel, NSecKrnl.sys, aprovechando las vulnerabilidades para desactivar las herramientas de seguridad antes de distribuir el ransomware a través de una red. Warlock suele penetrar en las organizaciones aprovechando los servidores Microsoft SharePoint sin parchear, pasando hasta 15 días en los entornos de las víctimas para llevar a cabo el reconocimiento, filtrar datos y posicionarse para causar el máximo daño.

En general, la adopción generalizada de BYOVD por parte de múltiples grupos de ransomware, en particular Qilin y Warlock, señala un cambio crítico en el panorama de las amenazas.Las técnicas de evasión de EDRanivelde kernel, antes consideradas avanzadas, son ahora la corriente principal en el ecosistema del ransomware, lo que hace que las organizaciones que dependen de herramientas EDR sean cada vez más vulnerables, a menos que implementenlistasestrictas de controladores permitidos,proteccionesbasadasen hardwarecomo HVCI y parches rápidos paralos controladoresvulnerables deterceros.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.