Blog Blog

Casos más críticos y notorios del día

October 31, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
Casos más críticos y notorios del día

1) Espionaje con 0‑day de Windows (.LNK, CVE‑2025‑9491) contra diplomáticos en Europa (HU/BE, EU) — spearphishing + PlugX

Análisis del incidente: campaña activa atribuida a actor PRC (UNC6384 / “Mustang Panda”) contra entidades diplomáticas. Cadena: correos dirigidos → LNK malicioso → ejecución de PlugX y persistencia. Sin parche oficial al cierre; mitigación por restricción de .LNK y bloqueo IOCs. Hechos publicados hoy dentro de la ventana.
Información enriquecida (OSINT):

  • Actor (perfil): China‑nexus; espionaje diplomático; uso de certificados válidos y señuelos temáticos UE/OTAN. TTPs: TA0001/TA0002/TA0003/TA0005/TA0006/TA0011; técnicas clave T1566.001 (phishing spear), T1204.002 (user execution: archivo), T1105 (ingress tool transfer), T1055 (injección), T1547 (persistencia). ATT&CK v18.0.
  • Víctima (perfil): ministerios y misiones diplomáticas (HU/BE; expansión a IT/NL/RS). GAP: lista cerrada de entidades.
  • Vulnerabilidad: CVE‑2025‑9491 en manejo de .LNK (RCE requiriendo interacción). Sin parche a la hora de corte.
    Datos clave:
  • Actor: UNC6384 (Mustang Panda)
  • País: HU, BE (afectación inicial)
  • Sector: Gobierno/Diplomacia (ISIC O)
  • Categoría: APT / 0‑day exploitation
  • Métricas: GAP (exfiltración cuantitativa no revelada)
    Checklist Infra/OT: service_down: no | encryption: no | ot_impact: no | business_disruption: sí (riesgo reputacional)
    Conclusión: Alta severidad por 0‑day sin parche y acceso a redes diplomáticas. P1: bloquear/filtrar .LNK, AMSI/ASR para atajos; bloquear IOCs; segmentación; EDR con reglas sobre PlugX. P2: hardening de adjuntos y macros; bloqueo C2 conocidos; revisión de certificados no confiables.
    Alias APT por vendor (Mustang Panda):
  • Proofpoint: TA416; Recorded Future: RedDelta; Trend Micro: Earth Preta; Unit 42 (Palo Alto): Stately Taurus; Wiz: Bronze President/TA416/RedDelta (convergencia pública). alias_canónico sugerido: Mustang Panda (uso mayoritario). Rationale: prevalencia en fuentes y continuidad histórica.
    Referencias (texto plano):
  • BleepingComputer — “Windows zero‑day … diplomats” (31‑Oct‑2025)
  • Arctic Wolf Labs / StrikeReady (citados por BC)
  • Google GTIG blog (UNC6384 captive portal), SecurityWeek/THN resúmenes
  • IOCs: Expel/Microsoft cuando aplique

2) BadCandy en routers Cisco IOS XE (AU): aviso oficial por compromisos masivos de equipos sin parche

Análisis del incidente: ASD (Australia) advierte >150 dispositivos aún comprometidos y >400 potencialmente afectados desde julio; vector original CVE‑2023‑20198 (RCE no autenticada por UI). Persisten re‑explotaciones y reinfecciones.
Información enriquecida (OSINT):

  • Actor: probables estatales (atribución general) y criminales oportunistas. TTPs: T1190 (explotación de app pública), T1505.003 (web shell). ATT&CK v18.0.
  • Víctima: múltiples organizaciones (cross‑sector Critical Infrastructure).
  • Vulnerabilidad: CVE‑2023‑20198; parches/mitigaciones disponibles (oct‑2023).
    Datos clave:
  • País: AU
  • Sector: Multisector CI (ISIC D/E/H, etc.)
  • Categoría: Compromiso de infraestructura de red
  • Métricas: 150+ activos aún comprometidos (AU)
    Checklist Infra/OT: service_down: sí (casos) | encryption: no | ot_impact: posible | business_disruption: sí
    Conclusión: Crítico para telcos/entornos perimetrales. P1: parche inmediato; retirar UI de Internet; rotar credenciales; reemplazar equipos con higiene deficiente. P2: monitoreo Lua/BadCandy, verificación post‑reboot y hardening IOS XE.
    Referencias (texto plano): ASD cyber.gov.au — ALERT; BleepingComputer (resumen)

3) Linux kernel CVE‑2024‑1086 (nf_tables) ahora explotada por ransomware (US/EU, global)

Análisis del incidente: CISA confirma abuso activo de CVE‑2024‑1086 (use‑after‑free en nf_tables) para privil. escalation en campañas de ransomware. Impacta kernels 3.15–6.8‑rc1 (distros principales). PoC pública desde 2024.
Información enriquecida (OSINT):

  • Actor: múltiples grupos criminales (no único). TTPs: TA0004; T1068 (Exploitation for Privilege Escalation). ATT&CK v18.0.
  • Víctima: cross‑industry Linux fleets.
  • Vulnerabilidad: CVE‑2024‑1086; mitigaciones: bloquear nf_tables si no se usa; namespaces; LKRG (con cautela).
    Datos clave:
  • Categoría: Vulnerabilidad explotada activamente
  • Métricas: GAP (volumen de hosts afectados no público)
    Checklist Infra/OT: service_down: no | encryption: sí (fase posterior) | ot_impact: posible (Linux OT) | business_disruption: sí
    Conclusión: Alta severidad por escalada local confiable y adopción por ransomware. P1: inventario de kernels; backport/parche; endurecer user namespaces; detecciones eBPF. P2: EDR Linux con policy sobre modprobe nf_tables y abnormals.
    Referencias (texto plano): CISA KEV (mención), BleepingComputer

4) VMware Tools / Aria Operations — CVE‑2025‑41244 en KEV (explotada, actor China‑linked) — LPE hacia root

Análisis del incidente: CISA agrega CVE‑2025‑41244 (privilegios inseguros con SDMP habilitado) a KEV por explotación activa desde mid‑2024; atribución reportada a UNC5174 (China‑nexus). Broadcom publicó corrección en septiembre. Deadline FCEB: 2025‑11‑20.
Información enriquecida (OSINT):

  • Actor: UNC5174 (atribución abierta). TTPs: T1068 (LPE); pivote a vCenter/guest. ATT&CK v18.0.
  • Víctima: entornos virtualizados (cross‑industry).
  • Vulnerabilidad: CVE‑2025‑41244 (CVSS 7.8).
    Datos clave:
  • País: global
  • Sector: Multisector (NAICS 518/541)
  • Categoría: Vulnerabilidad explotada (KEV)
  • Métricas: GAP (n° incidentes públicos)
    Checklist Infra/OT: service_down: no | encryption: posible (fase post‑exploit) | ot_impact: bajo | business_disruption: sí (VMs)
    Conclusión: Alta por uso real “in the wild” y ubicuidad de Tools/Aria. P1: validar SDMP; parchear Tools/Aria; políticas de mínimo privilegio en guests. P2: detecciones de escaladas anómalas en huéspedes/agents.
    Referencias (texto plano): THN — “CISA flags VMware zero‑day …” (31‑Oct‑2025); CISA KEV (30‑Oct‑2025)

5) Rhysida: campaña global vía malvertising (Bing Ads) disfrazando Microsoft TeamsOysterLoader/Latrodectus → ransomware

Análisis del incidente: campaña en curso (segunda ola 2025, desde junio) con >40 certificados de firma de código usados para bajar detección; typosquatting y páginas señuelo de “Teams”. Microsoft revocó >200 certs usados por Vanilla Tempest/Rhysida. Publicado hoy con IOCs y timeline.
Información enriquecida (OSINT):

  • Actor: Rhysida (RaaS). TTPs: T1583 (infra), T1585 (abuso reputación), T1204.002 (user exec), T1553.002 (firma de código), T1059/T1105 (staging/C2). ATT&CK v18.0.
  • Víctima: empresas generalistas; dosificados en salud/educación/Manufact. GAP: lista completa de víctimas de esta ola.
  • Vulnerabilidades: n/a (ingeniería social + loaders).
    Datos clave:
  • País: global
  • Sector: multisector
  • Categoría: Ransomware — initial access via ads
  • Métricas: 27 orgs posteadas desde junio (leak site), 200+ históricas (GAP: universos exactos).
    Checklist Infra/OT: service_down: casos | encryption: sí | ot_impact: bajo | business_disruption: sí
    Conclusión: Alta por escala, baja detección inicial y abuso de confianza. P1: bloquear ads / Start‑menu web results; políticas de descarga firmada; AppLocker/SmartScreen estricto. P2: Detecciones en OysterLoader/Latrodectus, revocación de certs e IOC‑matching continuo.
    Referencias (texto plano): The Register (31‑Oct‑2025); Expel blog “Certified OysterLoader…” (31‑Oct‑2025)

6) Ribbon Communications (US, Telecom): intrusión con exfil limitada; sin impacto en red/servicio

Análisis del incidente: compañía de telecom reporta intrusión atribuida a actor “nation‑state”; exfiltración de un “número limitado” de archivos desde laptops; sin evidencia de afectación a plataformas/servicios ni a redes de clientes. Divulgado hoy.
Información enriquecida (OSINT):

  • Actor: estatal no especificado (GAP). TTPs GAP (no detallados).
  • Víctima: Telecom (NAICS 517).
  • Vulnerabilidades: GAP (no divulgadas).
    Datos clave:
  • País: US
  • Sector: Telecom
  • Categoría: Breach / exfil limitada
  • Métricas: GAP (MB/GB no declarados)
    Checklist Infra/OT: service_down: no | encryption: no | ot_impact: no | business_disruption: bajo
    Conclusión: Media‑Alta por sector crítico y posible acceso sostenido; por ahora sin daño de infraestructura. P1: caza de persistencias, revisión BYOD/EDR en endpoints móviles; P2: notificación a clientes si se identifica data sensible.
    Referencias (texto plano): Dark Reading — “Ribbon Communications … breach” (31‑Oct‑2025)
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog