Contenido
01. News Bites
  • El fallo “CitrixBleed 2” amenaza las pasarelas NetScaler: los expertos instan a aplicar parches ya

  •  Grupo hacktivista Noname057(16) ataca a la OTAN y aliados con nueva campaña DDoS 
  •  BlueNoroff suplanta contactos por Zoom para atacar a empresas cripto 
  •  Hackers norcoreanos apuntan a desarrolladores con paquetes npm maliciosos 
  •  Nucor confirma robo de datos tras ciberataque al sector del acero 

02.  Conclusiones 

Quick News Bites

El fallo “CitrixBleed 2” amenaza las pasarelas NetScaler: los expertos instan a aplicar parches ya

 

Una nueva vulnerabilidad crítica en Citrix NetScaler ADC y Gateway — ahora conocida como “CitrixBleed 2” — está generando alarma entre la comunidad de ciberseguridad por su similitud con la falla CitrixBleed explotada masivamente en 2023. Identificada como CVE-2025-5777, permite a atacantes no autenticados acceder a memoria fuera de límites en dispositivos expuestos públicamente, lo que podría filtrar tokens de sesión, credenciales y otros datos sensibles.

El investigador de seguridad Kevin Beaumont comparó esta vulnerabilidad con la anterior, advirtiendo que los atacantes podrían secuestrar sesiones activas y eludir la autenticación multifactor. Una segunda falla, CVE-2025-5349, también afecta a la interfaz de gestión de NetScaler.

Citrix ya ha publicado actualizaciones y recomienda a todos los usuarios parchear inmediatamente. Se aconseja a los administradores cerrar todas las sesiones ICA y PCoIP después del parche para evitar que los atacantes reutilicen tokens robados — un consejo que fue ignorado por algunas organizaciones en 2023, lo que derivó en ataques de ransomware y espionaje.

Más de 56.500 endpoints NetScaler están expuestos actualmente en Internet. Las versiones antiguas sin soporte no recibirán correcciones.

Grupo hacktivista Noname057(16) ataca a la OTAN y aliados con nueva campaña DDoS


El grupo hacktivista prorruso Noname057(16) ha publicado el 24 de junio de 2025 una nueva lista de objetivos de ataques DDoS en su canal de Telegram. La lista incluye más de 20 sitios web vinculados a sectores gubernamentales, de defensa, ONG y comerciales en Estados Unidos, Bélgica, Israel, Países Bajos, Ucrania, Noruega e Italia.
Entre los objetivos destacan varios dominios relacionados con la OTAN como nato-pa.int, cmre.nato.int y sto.nato.int, así como sitios web de gobiernos locales en Israel y plataformas ONG en Países Bajos y Ucrania.
El grupo suele utilizar Check Host para demostrar la efectividad de sus ataques mostrando la inactividad de los sitios objetivo. Aunque el impacto parece limitado a interrupciones temporales, esta campaña pone de manifiesto la creciente actividad hacktivista dirigida contra la OTAN y sus aliados.
Estos ataques DDoS con motivaciones políticas forman parte de operaciones de influencia ligadas a tensiones geopolíticas en curso.

BlueNoroff suplanta contactos por Zoom para atacar a empresas cripto


Investigadores han descubierto una sofisticada campaña de ingeniería social del grupo norcoreano BlueNoroff (APT38), que apunta a empresas de criptomonedas y financieras a través de Zoom. Activo desde marzo, el grupo se hace pasar por contactos conocidos en videollamadas para manipular a las víctimas y hacerles instalar malware disfrazado de herramientas de reparación de audio.
En un caso destacado del 28 de mayo, atacaron a una empresa canadiense de juegos en línea utilizando una falsa actualización del SDK de Zoom con comandos ocultos para desplegar malware infostealer. El script establecía persistencia mediante LaunchDaemon y cargas útiles disfrazadas como “icloud_helper”, exfiltrando datos de wallets y credenciales del navegador.
La campaña se extiende por América del Norte, Europa y Asia-Pacífico, con foco en los sectores de criptomonedas, fintech y videojuegos. Aunque sofisticada, requiere habilidades técnicas moderadas y representa una amenaza de nivel medio.
Se recomienda verificar identidades en Zoom, formar al personal en técnicas de suplantación y bloquear scripts no autorizados.

Hackers norcoreanos apuntan a desarrolladores con paquetes npm maliciosos


Una nueva ola de la campaña “Contagious Interview” de Corea del Norte apunta a buscadores de empleo con paquetes npm maliciosos diseñados para infectar los sistemas de los desarrolladores con infostealers y backdoors.
Investigadores descubrieron 35 paquetes npm distribuidos por 24 cuentas y descargados más de 4.000 veces. Disfrazados como librerías legítimas (por ejemplo, react-plaid-sdk, vite-plugin-next-refresh), despliegan el infostealer BeaverTail y el backdoor InvisibleFerret, ambos vinculados a actores norcoreanos.
La campaña comienza con falsos reclutadores en LinkedIn que envían pruebas de codificación alojadas en Bitbucket. Las víctimas son animadas a ejecutar código malicioso, muchas veces compartiendo pantalla. La cadena de infección incluye HexEval Loader (para reconocimiento y entrega de payloads), BeaverTail (robo de datos de navegador y wallets), InvisibleFerret (backdoor persistente) y, en algunos casos, un keylogger multiplataforma.
Esta es la última de una serie de ofensivas del grupo Lazarus que utiliza npm como vector. Los desarrolladores deben desconfiar de ofertas laborales no solicitadas y probar código desconocido en entornos aislados.

Nucor confirma robo de datos tras ciberataque al sector del acero


Nucor, el mayor productor y reciclador de acero de América del Norte, ha confirmado que los atacantes responsables del reciente ciberataque también robaron datos de sus sistemas informáticos. La compañía, que emplea a más de 32.000 personas y reportó ingresos de 30.730 millones de dólares el año pasado, reveló la brecha en mayo tras detener la producción en algunas instalaciones para contener el incidente.
En una nueva declaración ante la SEC, Nucor indicó que los atacantes exfiltraron datos limitados. Aunque no se ha revelado la naturaleza exacta de los datos ni si se usó ransomware, la empresa evalúa el impacto y notificará a las partes afectadas según lo exige la ley.
Nucor afirma que las operaciones afectadas ya se han reanudado y que los atacantes han sido expulsados de la red. Ningún grupo de ransomware se ha atribuido el ataque hasta ahora, pero los expertos señalan que el robo de datos suele formar parte de tácticas de doble extorsión. Las investigaciones con expertos externos y autoridades continúan.

Closing Summary

 Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué pasos debe seguir para proteger su organización frente a los riesgos más relevantes, póngase en contacto con su Account Manager o, si lo prefiere, contáctenos directamente para conocer cómo podemos ayudarle a proteger su organización. 

Disclaimer

 Este Threat Intel Roundup ha sido elaborado por Integrity360 como un resumen de la información sobre amenazas observadas en la fecha de publicación. No debe interpretarse como asesoramiento legal, técnico ni profesional. Las recomendaciones ofrecidas deben valorarse dentro del contexto específico de su organización.
Integrity360 no adopta posturas políticas en la información que difunde. Las opiniones expresadas pueden no coincidir necesariamente con la visión oficial de Integrity360.