Sospechoso detenido tras el ciberataque al Ministerio del Interior francés

Las autoridades francesas han detenido a un hombre de 22 años en relación con un ciberataque contra el Ministerio del Interior de Francia, tras una investigación dirigida por la unidad de ciberdelincuencia de la fiscalía de París. La detención tuvo lugar el 17 de diciembre de 2025 y está relacionada con el acceso no autorizado a los sistemas internos de correo electrónico y a los servidores de documentos del ministerio.
Según el Ministerio del Interior, el sospechoso, nacido en 2003, ya era conocido por la justicia y fue condenado a principios de 2025 por delitos informáticos similares. Está siendo investigado por acceso no autorizado a un sistema automatizado de tratamiento de datos del Estado, un delito castigado con hasta 10 años de prisión.
La brecha fue detectada durante la noche entre el 11 y el 12 de diciembre y dio lugar al acceso no autorizado a archivos internos, incluidos antecedentes penales. El ministro del Interior, Laurent Nuñez, calificó el incidente de grave y señaló que, aunque no se ha confirmado una extracción masiva de datos, el alcance total de la intrusión sigue sin estar claro.
La Oficina francesa de lucha contra el ciberdelito lidera la investigación y se esperan más actualizaciones una vez concluya el periodo de custodia policial.

Cisco advierte de un zero-day de AsyncOS explotado activamente

Cisco ha advertido a sus clientes sobre una vulnerabilidad zero-day de máxima gravedad en Cisco AsyncOS que está siendo explotada activamente. El fallo, identificado como CVE-2025-20393, afecta a los dispositivos Secure Email Gateway (SEG) y Secure Email and Web Manager (SEWM) con configuraciones no estándar, cuando la función Spam Quarantine está habilitada y expuesta a Internet. En el momento de escribir este texto, no hay ningún parche disponible.
Cisco Talos atribuye los ataques, con una confianza moderada, a un actor de amenazas vinculado a China identificado como UAT-9686. El grupo explota la vulnerabilidad para ejecutar comandos arbitrarios con privilegios de root, desplegar puertas traseras persistentes AquaShell, establecer túneles SSH inversos mediante AquaTunnel y Chisel, y eliminar evidencias forenses con una herramienta de borrado de registros llamada AquaPurge. La campaña está activa al menos desde finales de noviembre de 2025.
Cisco insta a los administradores a limitar la exposición a Internet, reforzar los controles de acceso, supervisar de cerca los registros y contactar con el TAC para evaluar posibles compromisos. En algunos casos, puede ser necesario reconstruir los dispositivos afectados para eliminar por completo la persistencia.

Un grupo ransomware explota la vulnerabilidad React2Shell en segundos

Se ha observado a un grupo ransomware explotando la vulnerabilidad crítica React2Shell (CVE-2025-55182) para obtener acceso inicial a redes corporativas y desplegar malware de cifrado de archivos en menos de un minuto. React2Shell es un fallo de deserialización insegura en el protocolo Flight de React Server Components, utilizado por React y Next.js, que permite la ejecución remota de código sin autenticación en servidores vulnerables.
Investigadores de S-RM confirmaron que la vulnerabilidad se utilizó el 5 de diciembre para distribuir la variante de ransomware Weaxor. Poco después de la explotación, los atacantes ejecutaron un comando PowerShell ofuscado para desplegar un beacon de Cobalt Strike, desactivaron la protección en tiempo real de Windows Defender y lanzaron la carga útil del ransomware. Toda la secuencia se completó en menos de 60 segundos.
Weaxor, que se cree es un rebranding de la operación Mallox, se centra en ataques oportunistas contra sistemas expuestos públicamente y exige rescates relativamente bajos. S-RM advierte de que aplicar parches no es suficiente y recomienda a las organizaciones revisar los registros y la telemetría EDR en busca de indicios de explotación.

SoundCloud confirma una importante brecha de datos que afecta a 28 millones de usuarios

SoundCloud ha confirmado un ciberataque que expuso datos de alrededor de 28 millones de cuentas de usuario, aproximadamente el 20% de su base global. La brecha se detectó tras identificarse actividad no autorizada en un panel de servicio interno. Aunque no se vieron comprometidas contraseñas ni datos financieros, los atacantes accedieron a direcciones de correo electrónico combinadas con información de perfil visible públicamente, lo que incrementa el riesgo de campañas de phishing dirigidas.
El ataque se ha vinculado a ShinyHunters, un conocido grupo de extorsión de datos asociado previamente a otras brechas de alto perfil. SoundCloud indicó que la intrusión afectó a un sistema interno secundario y no a su plataforma principal, lo que permitió a los atacantes eludir protecciones más robustas.
Como respuesta, SoundCloud implementó medidas de seguridad de emergencia que provocaron interrupciones temporales del servicio y problemas de acceso mediante VPN en varios países. La compañía ha reforzado la supervisión y los controles de acceso, y ha recomendado a los usuarios cambiar sus contraseñas y habilitar la autenticación de dos factores.
El incidente pone de relieve el creciente enfoque en el robo masivo de datos como paso previo a ataques de ingeniería social.

El botnet Kimwolf aprovecha 1,8 millones de dispositivos Android

Investigadores de QiAnXin XLab han descubierto un nuevo y enorme botnet DDoS denominado Kimwolf, que ha comprometido aproximadamente 1,8 millones de televisores Android, set-top boxes y tablets en todo el mundo. Activo al menos desde octubre de 2025, el botnet es capaz de lanzar ataques DDoS a gran escala, además de ofrecer funciones de proxy forwarding, acceso mediante reverse shell y gestión de archivos.
Entre el 19 y el 22 de noviembre, Kimwolf emitió unos 1.700 millones de comandos de ataque, llevando temporalmente uno de sus dominios de comando y control a lo más alto de la lista de dominios más consultados de Cloudflare. Las infecciones se concentran en países como Brasil, India, Estados Unidos, Sudáfrica y Filipinas, siendo los TV boxes inteligentes los principales objetivos.
XLab cree que Kimwolf está vinculado al conocido botnet AISURU, con infraestructuras y código compartidos que sugieren que ambos pertenecen al mismo grupo de amenazas. Las variantes más recientes han adoptado técnicas basadas en Ethereum Name Service para evadir los intentos de desmantelamiento, lo que pone de manifiesto la creciente resiliencia y escala de los botnets modernos centrados en el IoT.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.