Contenido

01. Noticias breves
  • La CISA añade cuatro vulnerabilidades explotadas activamente a la lista KEV

  • Hackers vinculados a China atacan a contribuyentes indios con una herramienta maliciosa para la declaración de impuestos que distribuye DcRAT

  • Según se informa, una organización del sector público estadounidense paga un millón de dólares en el chantaje por la filtración de datos de Kairos

  • Ubiquiti corrige múltiples vulnerabilidades críticas de UniFi que afectan a componentes clave de la plataforma

  • Los actores maliciosos abusan de npm y PyPI con paquetes de pago fraudulentos

02. Conclusión

Noticias breves

La CISA añade cuatro vulnerabilidades explotadas activamente al catálogo KEV

La CISA ha añadido cuatro vulnerabilidades que están siendo explotadas activamente a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que pone de relieve un panorama de amenazas elevado que afecta a Adobe ColdFusion, a las extensiones de Joomla y a la plataforma de flujo de trabajo de IA Langflow. El problema más crítico, CVE-2026-48282 (CVSS 10,0), es una vulnerabilidad de traversal de ruta en Adobe ColdFusion que puede dar lugar a la ejecución remota de código y que, según se ha informado, fue explotada pocas horas después de su divulgación pública. Además, dos vulnerabilidades de componentes de Joomla —la CVE-2026-56290 en Page Builder CK y la CVE-2026-48908 en SP Page Builder— están siendo aprovechadas por los actores maliciosos para cargar shells web y lograr la ejecución remota de código sin autenticación, lo que les proporciona acceso persistente a los servidores web comprometidos. La inclusión de la vulnerabilidad de Langflow (CVE-2026-55255) demuestra aún más el creciente interés de los atacantes por la infraestructura de IA; se ha observado que su explotación permite el acceso entre inquilinos, el robo de credenciales de la nube y de las API de modelos de lenguaje grande (LLM), y facilita ataques posteriores que implican la ejecución remota de código (RCE), el criptojacking y el despliegue de malware.

Las organizaciones que utilizan estas tecnologías deben dar prioridad a la aplicación de parches, llevar a cabo la búsqueda proactiva de amenazas para detectar shells web y cuentas de administrador no autorizadas, revisar las aplicaciones de IA expuestas y supervisar cualquier actividad sospechosa de acceso con credenciales, ya que la explotación activa indica que estas vulnerabilidades ya se están utilizando como arma en ataques reales.

Hackers vinculados a China atacan a contribuyentes indios con una herramienta maliciosa de presentación de declaraciones de impuestos que distribuye el troyano de acceso remoto DcRAT

Se ha observado a un presunto actor malicioso alineado con China llevando a cabo una campaña de phishing dirigida contra contribuyentes indios, profesionales fiscales y personal de finanzas corporativas, utilizando notificaciones falsas del Departamento de Impuestos sobre la Renta para distribuir el troyano de acceso remoto DcRAT. La operación, denominada DragonReturn, emplea señuelos relacionados con los impuestos altamente personalizados, archivos PDF maliciosos adjuntos y descargas fraudulentas de utilidades para la declaración de impuestos con el fin de iniciar una cadena de infección en varias etapas que incluye la carga lateral de DLL, la escalada de privilegios, la evasión de entornos de pruebas, mecanismos de persistencia y la ejecución de malware en memoria.

Los investigadores identificaron el despliegue de DcRAT junto con capacidades de robo de datos, lo que permite la recopilación de credenciales, la captura de capturas de pantalla y la posible recopilación de información. Los vínculos de la infraestructura con el espacio IP de ChinaNet, los paneles de gestión en chino y los solapamientos con las técnicas de Silver Fox observadas anteriormente sugieren un posible nexo con China, aunque la atribución sigue sin confirmarse. La campaña demuestra un alto grado de madurez operativa mediante el uso de ocultación de cargas útiles poliglotas basadas en imágenes, implementaciones redundantes de RAT y múltiples canales de comando y control diseñados para mejorar la persistencia y evadir la detección.

Según se informa, una organización del sector público estadounidense paga un millón de dólares en un caso de extorsión por la filtración de datos de Kairos

Un estudio de caso revelado recientemente ha puesto de relieve el creciente cambio del ransomware tradicional hacia la extorsión mediante el robo de datos, después de que, según se informa, una entidad del Gobierno de EE. UU. pagara aproximadamente 1 millón de dólares (9,44 BTC) al grupo de amenazas Kairos para evitar la divulgación pública de los datos robados. A diferencia de las operaciones de ransomware convencionales, los investigadores no encontraron pruebas de que Kairos hubiera desplegado malware de cifrado de archivos ni hubiera interrumpido el funcionamiento de los sistemas; en su lugar, el grupo se basó exclusivamente en el robo de información sensible como moneda de cambio durante una negociación de extorsión que duró un mes. El análisis de los chats de negociación filtrados y de las transacciones en la cadena de bloques sugiere que la víctima podría haber sido el condado de Union, en Ohio, y que los atacantes afirmaban haber sustraído más de 2 TB de datos, compuestos por 1,6 millones de archivos, entre los que se incluían registros gubernamentales altamente sensibles.

El incidente pone de relieve un panorama de amenazas en constante evolución en el que los ciberdelincuentes prefieren cada vez más la exfiltración de datos —discreta y de gran impacto— frente al cifrado, lo que reduce la complejidad operativa al tiempo que mantiene una presión significativa sobre las víctimas. El caso también refuerza la escasa garantía que ofrecen los pagos de rescates, ya que no existe ningún mecanismo fiable para verificar la eliminación de los datos robados una vez transferidos a los autores de la amenaza.

Ubiquiti corrige múltiples vulnerabilidades críticas de UniFi que afectan a componentes clave de la plataforma

Ubiquiti ha publicado actualizaciones de seguridad para solucionar siete vulnerabilidades críticas que afectan a múltiples productos UniFi, entre ellos UniFi Connect, Talk, Access, Protect y UniFi OS, con varios fallos que presentan puntuaciones CVSS de entre 9,0 y 10,0. Estas vulnerabilidades podrían permitir a los atacantes con acceso a la red llevar a cabo la ejecución remota de comandos, la escalada de privilegios, la inyección SQL, la explotación de SSRF y modificaciones no autorizadas de los dispositivos, lo que podría dar lugar a un compromiso total de los sistemas afectados. Son especialmente preocupantes las vulnerabilidades de inyección de comandos en UniFi Connect, UniFi Access y UniFi OS, que podrían permitir la ejecución de código arbitrario en los dispositivos anfitriones, así como los fallos de escalada de privilegios que afectan a las implementaciones de UniFi Talk, Access y Protect. Aunque actualmente no hay pruebas de que se estén explotando activamente, la gravedad de estas vulnerabilidades, junto con el hecho de que los actores maliciosos hayan atacado históricamente la infraestructura de Ubiquiti y la reciente explotación de otros fallos relacionados con UniFi, hace que sea esencial una corrección inmediata.

Las organizaciones que utilicen los productos UniFi afectados deben dar prioridad a la aplicación de las últimas actualizaciones de seguridad y vigilar cualquier actividad inusual que pueda indicar un intento de explotación

Los actores maliciosos abusan de npm y PyPI con paquetes de pago fraudulentos

Una campaña recientemente identificada en la cadena de suministro de software ha tenido como objetivo a los desarrolladores a través de 17 paquetes maliciosos publicados en npm y PyPI, que se hacían pasar por SDK legítimos de las plataformas de pago Paysafe, Skrill y Neteller. Los paquetes estaban diseñados para imitar bibliotecas de integración de pagos auténticas, al tiempo que recopilaban en secreto información confidencial —como claves API, credenciales de AWS, tokens de GitHub, tokens de npm, nombres de usuario y metadatos del sistema— y exfiltraban los datos a una infraestructura controlada por los atacantes y alojada en AWS. Los investigadores descubrieron que los paquetes maliciosos exponían las API esperadas y devolvían respuestas falsas de éxito, lo que dificultaba su detección por parte de los desarrolladores que integraban servicios de pago en sus aplicaciones.

La campaña pone de manifiesto una amenaza creciente para el ecosistema de desarrollo de software, en el que los actores maliciosos aprovechan cada vez más los repositorios de código abierto de confianza para comprometer los entornos de los desarrolladores y obtener acceso a credenciales valiosas que podrían permitir nuevos ataques a la nube, al código fuente y a los servicios financieros.

Se recomienda a las organizaciones que eliminen cualquier paquete afectado, renueven las credenciales expuestas y revisen los registros de CI/CD en busca de cualquier indicio de compromiso.

Resumen final

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más graves a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, si lo prefiere,póngase encontacto con nosotros para saber cómo puede proteger su organización.

Aviso legal

El «Resumen de información sobre amenazas» ha sido elaborado por Integrity360 y recoge las noticias sobre amenazas tal y como las observamos, con la información actualizada a la fecha de publicación. No debe considerarse como asesoramiento jurídico, de consultoría ni de ningún otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que comparte. Además, las opiniones expresadas no reflejan necesariamente los puntos de vista de Integrity360.