Crates maliciosos en Rust roban claves de Solana y Ethereum — Se confirman 8,424 descargas

Investigadores descubrieron dos crates maliciosos en Rust — faster_log y async_println — que se hacían pasar por la librería legítima fast_log para robar claves de billeteras Solana y Ethereum. Fueron publicados el 25 de mayo de 2025 por los alias rustguruman y dumbnbased, y se descargaron más de 8,400 veces antes de ser eliminados de crates.io. Los paquetes incluían código de registro funcional como fachada, pero también rutinas que escaneaban archivos fuente en Rust buscando claves privadas, y las enviaban por HTTP POST a un dominio de Cloudflare Workers que imitaba el endpoint RPC de Solana.

UNC5221 usa el backdoor BRICKSTORM para infiltrarse en sectores legales y tecnológicos de EE.UU.

Un grupo de amenazas vinculado a China, conocido como UNC5221, ha estado usando el backdoor BRICKSTORM contra organizaciones estadounidenses en los sectores legal, SaaS, BPO y tecnológico. La campaña, activa desde al menos 2022, busca acceso sigiloso a largo plazo — con un promedio de 393 días sin ser detectado — aprovechando dispositivos periféricos sin protección de endpoint.

El malware, basado en Go, permite manipular archivos, ejecutar comandos de shell, usar proxy SOCKS y funcionar como servidor web, comunicándose con servidores de comando y control vía WebSockets. Sus objetivos incluyen acceder a correos sensibles, robar credenciales y recolectar inteligencia sobre seguridad nacional, comercio y propiedad intelectual, además de usar proveedores SaaS para llegar a clientes secundarios. Los atacantes suelen entrar por vulnerabilidades zero-day en Ivanti Connect Secure, y luego mantienen acceso modificando scripts de inicio, desplegando web shells JSP o usando credenciales válidas para moverse dentro de infraestructuras VMware. También se ha visto el uso de BRICKSTEAL, un filtro malicioso de Apache Tomcat, para robar credenciales de vCenter y clonar servidores críticos. El malware sigue en desarrollo activo, con variantes que retrasan su ejecución para evitar ser detectadas. Mandiant y Google advierten que BRICKSTORM representa una amenaza de ciberespionaje muy sofisticada, y recomiendan buscar proactivamente backdoors ocultos en Linux, BSD y otros dispositivos fuera del alcance de soluciones EDR tradicionales.

Nuevo malware YiBackdoor comparte código con IcedID y Latrodectus

Investigadores de Zscaler descubrieron una nueva familia de malware llamada YiBackdoor, que comparte mucho código con IcedID y Latrodectus. Detectado en junio de 2025, puede ejecutar comandos, recolectar información del sistema, tomar capturas de pantalla y cargar plugins para funciones extra, todo mientras evita ser detectado usando técnicas anti-análisis y persistencia mediante la clave Run del registro de Windows.

Su uso limitado hasta ahora sugiere que aún está en fase de pruebas o desarrollo. En paralelo, han aparecido nuevas versiones de ZLoader (2.11.6.0 y 2.13.7.0) con mejor ofuscación, técnicas anti-análisis más avanzadas, descubrimiento lateral vía LDAP y comunicación C2 mejorada por DNS/WebSocket, lo que muestra una evolución hacia ataques más sigilosos y dirigidos.

Botnet ShadowV2 explota contenedores Docker mal configurados en AWS para ofrecer ataques DDoS por encargo

Investigadores descubrieron ShadowV2, una nueva botnet de DDoS por encargo que explota contenedores Docker mal configurados en AWS para desplegar un RAT basado en Go, gestionado desde un C2 en Python alojado en GitHub Codespaces. Incluye métodos de ataque avanzados como HTTP/2 Rapid Reset floods y técnicas para evadir Cloudflare, lo que demuestra que está diseñada como una plataforma de cibercrimen como servicio. El hallazgo llega en medio de ataques DDoS récord, incluyendo uno de 22.2 Tbps mitigado por Cloudflare, y el auge de la botnet AISURU, que ha infectado casi 300,000 dispositivos IoT en todo el mundo.

Microsoft corrige fallo crítico en Entra ID que permitía suplantar administradores globales entre tenants

Investigadores descubrieron una vulnerabilidad crítica en Microsoft Entra ID (CVE-2025-55241, CVSS 10.0) que permitía a atacantes suplantar a cualquier usuario — incluso administradores globales — en cualquier tenant sin acceso previo. El problema se debía al manejo inseguro de actor tokens entre servicios y una falla de validación en la antigua API Azure AD Graph, lo que permitía comprometer tenants cruzados.

La explotación habría evitado MFA, acceso condicional y registros, sin dejar rastro, y otorgando control total sobre servicios de Azure y Microsoft 365. Microsoft corrigió el fallo el 17 de julio de 2025 sin requerir acción por parte de los clientes, y retiró la API Graph el 31 de agosto. El bug fue descubierto por Dirk-jan Mollema y resalta los riesgos de depender de APIs heredadas en entornos cloud. Se suma a una serie de hallazgos recientes sobre seguridad en la nube que afectan a Microsoft y AWS, incluyendo errores de configuración en OAuth, filtraciones de credenciales y abuso de APIs que permiten acceso cruzado entre tenants, exfiltración de datos y escalamiento de privilegios. En conjunto, estos fallos muestran cómo el mal uso de tokens, configuraciones incorrectas y validaciones insuficientes en sistemas de identidad pueden exponer a las organizaciones a compromisos silenciosos a gran escala en la nube.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.