Veeam, proveedor líder de soluciones de respaldo y recuperación, ha lanzado actualizaciones de seguridad para abordar una grave vulnerabilidad de ejecución remota de código (RCE) en su software de Backup & Replication. El fallo de seguridad, identificado como CVE-2025-23121, ha sido calificado con una puntuación CVSS de 9.9, lo que lo convierte en una amenaza crítica para entornos empresariales.

Esta vulnerabilidad permite que un usuario de dominio autenticado ejecute código arbitrario de forma remota en el servidor de respaldo, lo que puede comprometer completamente la integridad del entorno afectado.

Detalles de la vulnerabilidad CVE-2025-23121 en Veeam Backup & Replication

El fallo de seguridad afecta a todas las versiones anteriores a Veeam Backup & Replication 12.3.2 (compilación 12.3.2.3617), incluida la versión 12.3.1.1139. El problema fue descubierto por investigadores de seguridad de CODE WHITE GmbH y watchTowr, quienes notificaron a la empresa para facilitar la corrección.

El aviso oficial de Veeam describe la vulnerabilidad como una RCE que puede ser explotada por un atacante con credenciales válidas en el dominio, lo cual pone en riesgo la confidencialidad, disponibilidad e integridad de los datos respaldados.

Actualización clave: parche y versiones afectadas

Veeam recomienda a todos sus usuarios empresariales actualizar de inmediato a la versión 12.3.2 (compilación 12.3.2.3617) para mitigar el riesgo asociado a CVE-2025-23121. Esta actualización no solo soluciona esta vulnerabilidad crítica, sino que también refuerza otras áreas del producto afectadas por fallos adicionales:

• CVE-2025-23120: Otra RCE con CVSS 9.9, que podría eludirse incluso después del parche inicial, según advertencias previas de CODE WHITE.
• CVE-2025-24286: Vulnerabilidad con una puntuación CVSS de 7.2 que permite a un usuario con rol de operador de backup modificar tareas de respaldo y ejecutar código arbitrario.
• CVE-2025-24287: Fallo en Veeam Agent para Microsoft Windows (CVSS 6.1) que permite a usuarios locales modificar contenido en el sistema y escalar privilegios.

Este último problema ha sido resuelto en Veeam Agent versión 6.3.2 (compilación 6.3.2.1205).

Seguridad en Veeam: una prioridad creciente ante ataques dirigidos

La empresa de ciberseguridad Rapid7 ha indicado que más del 20% de sus incidentes de respuesta durante 2024 involucraron la explotación de vulnerabilidades en Veeam, una vez que los atacantes habían comprometido el perímetro inicial. Esto evidencia que los productos de respaldo como Veeam se han convertido en objetivos prioritarios dentro de las campañas de ataque de ransomware, exfiltración de datos y movimientos laterales dentro de redes empresariales.

Recomendaciones para usuarios de Veeam

Debido a la severidad de las vulnerabilidades descubiertas, se recomienda a los usuarios de Veeam tomar las siguientes acciones inmediatas:

• Actualizar a la versión 12.3.2 de Veeam Backup & Replication.
• Aplicar los parches correspondientes para Veeam Agent para Microsoft Windows.
• Restringir el acceso al servidor de respaldo a usuarios estrictamente necesarios.
• Monitorear los logs del sistema en busca de actividades sospechosas.
• Implementar políticas de segmentación de red y autenticación multifactor.

La explotación de fallos en software de respaldo como Veeam no solo pone en riesgo los datos, sino también la capacidad de recuperación ante ataques de ransomware, haciendo que una falla de este tipo tenga implicaciones devastadoras para la continuidad del negocio.

Veeam y el reto de la ciberseguridad en infraestructuras de respaldo

La aparición de vulnerabilidades críticas como CVE-2025-23121 subraya la importancia de mantener actualizados los sistemas de respaldo y adoptar un enfoque de seguridad proactivo. Veeam ha respondido con rapidez mediante el lanzamiento de parches, pero la responsabilidad de proteger el entorno recae también en los administradores de sistemas y equipos de TI.

En un contexto donde los atacantes priorizan la infiltración en herramientas de backup para inhibir la recuperación ante incidentes, ignorar estas actualizaciones puede tener consecuencias irreparables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La comunidad de ciberseguridad ha identificado a un nuevo y sofisticado actor de amenazas conocido como Water Curse, que emplea repositorios maliciosos de GitHub como plataforma de distribución de malware de múltiples etapas. Este grupo se destaca por su capacidad técnica, su enfoque en el robo de credenciales y su capacidad para mantener la persistencia en los sistemas comprometidos.

Según un informe publicado por Trend Micro, Water Curse ha montado una campaña activa y sostenida, en la que cargas útiles maliciosas están ocultas en herramientas de pruebas de penetración aparentemente legítimas. Estas cargas se camuflan en archivos de configuración de proyectos de Visual Studio, y entregan malware como SMTP Email Bomber y Sakura-RAT.

GitHub como vector para ataques a la cadena de suministro

Uno de los aspectos más preocupantes de esta campaña es el abuso de repositorios públicos de GitHub para alojar código malicioso, disfrazado como herramientas para desarrolladores. Este enfoque representa una amenaza directa para la cadena de suministro de software, ya que las víctimas potenciales tienden a confiar en plataformas reconocidas como GitHub para descargar utilidades.

Los investigadores han detectado hasta 76 cuentas de GitHub vinculadas directamente con esta operación, lo que sugiere una estrategia bien organizada y de gran escala. Además, se ha determinado que la campaña podría haber estado activa desde marzo de 2023, utilizando múltiples lenguajes de programación y una amplia gama de herramientas ofensivas.

Técnicas avanzadas: ofuscación, persistencia y evasión

Scripts ofuscados y reconocimiento del sistema

Water Curse emplea complejas cadenas de infección por etapas, iniciadas por scripts altamente ofuscados en Visual Basic Script (VBS) y PowerShell. Estos scripts descargan archivos cifrados, extraen aplicaciones desarrolladas en Electron, y realizan un minucioso reconocimiento del sistema para maximizar el impacto del ataque.

Persistencia y debilitamiento de defensas

Además, los atacantes utilizan técnicas de evasión como:

• Antidepuración
• Escalada de privilegios
• Modificación de configuraciones del sistema
• Desactivación de herramientas de defensa mediante PowerShell

Estas técnicas permiten a Water Curse mantener la persistencia a largo plazo y dificultar significativamente la remediación por parte de los equipos de seguridad.

Motivación financiera y segmentación multivertical

Water Curse no es un actor motivado políticamente; su objetivo principal es la monetización del acceso ilícito. Esto incluye:

• Robo de credenciales
• Secuestro de sesiones
• Reventa de accesos comprometidos

Los repositorios vinculados a esta operación también incluyen trucos para videojuegos, bots de spam, herramientas OSINT, ladrones de wallets de criptomonedas y otros recursos con alto valor en el mercado negro, lo que refuerza su enfoque multivertical.

La infraestructura del grupo muestra un alto grado de automatización y escalabilidad, con exfiltración activa de datos a través de plataformas como Telegram y servicios públicos de intercambio de archivos.

ClickFix y la expansión del malware basado en infraestructura legítima

En paralelo a la operación de Water Curse, se han observado campañas que utilizan la táctica de ClickFix, desplegando familias de malware como AsyncRAT, DeerStealer, SectopRAT y LightPerlGirl mediante el cargador Hijack Loader.

Estos ataques aprovechan túneles temporales proporcionados por Cloudflare para entregar las cargas útiles desde dominios efímeros y no registrados. Esta técnica permite a los atacantes eludir defensas perimetrales al parecer tráfico legítimo dentro de flujos de trabajo de DevOps o mantenimiento de TI.

Sorillus RAT: ataques recientes contra Europa

En Europa, una campaña maliciosa ha tenido como objetivo a organizaciones en países como España, Portugal, Italia, Francia, Bélgica y los Países Bajos, utilizando correos electrónicos de phishing con señuelos de facturación que conducen a la instalación de Sorillus RAT, también conocido como Ratty RAT.

Este troyano de acceso remoto, basado en Java y multiplataforma, es capaz de:

• Exfiltrar datos sensibles
• Registrar pulsaciones de teclas
• Tomar capturas de pantalla y grabar audio
• Descargar y subir archivos
• Ejecutar comandos arbitrarios

La infección comienza con un archivo adjunto PDF que contiene un enlace de OneDrive. Al hacer clic en "Abrir el documento", la víctima es redirigida a un sistema de distribución de tráfico (TDS) que evalúa la solicitud y, si cumple con los criterios, entrega un archivo JAR malicioso.

Según Orange Cyberdefense, este ataque también ha distribuido el malware SambaSpy, que forma parte de la familia de Sorillus RAT, y utiliza servicios legítimos como MediaFire, Ngrok y LocaltoNet para eludir detecciones.

CEl nuevo rostro del malware en la era de la confianza digital

La campaña de Water Curse y otras operaciones similares revelan una tendencia preocupante en el mundo de la ciberseguridad: la explotación de plataformas legítimas como GitHub, Cloudflare y OneDrive para llevar a cabo ataques a gran escala.

Estas amenazas no solo desafían las capacidades de las herramientas tradicionales de defensa, sino que también requieren un cambio estratégico hacia la detección proactiva, el monitoreo de comportamiento y la verificación contextual de fuentes confiables. En este nuevo panorama, la confianza no puede asumirse: debe verificarse continuamente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El phishing sigue siendo una de las amenazas más persistentes en el panorama de la ciberseguridad moderna. No se trata de una falta de evolución por parte de los defensores, sino de la rapidez con la que los ciberdelincuentes se adaptan a los entornos tecnológicos. Hoy, el phishing de hora cero representa una forma avanzada de engaño digital, donde los atacantes no solo se apoyan en correos falsos o dominios sospechosos, sino que explotan la confianza depositada en herramientas y plataformas legítimas utilizadas a diario.

¿Qué es el phishing de ChainLink?

De los correos falsos a las secuencias encadenadas

Mientras que el phishing tradicional se basaba en señales claras como URLs dudosas o remitentes desconocidos, el phishing moderno ha evolucionado hacia técnicas más sutiles y efectivas. Una de ellas es el phishing de ChainLink, donde los atacantes orquestan una cadena de pasos cuidadosamente diseñada que lleva a la víctima desde un correo aparentemente legítimo a un sitio de phishing camuflado, utilizando dominios y servicios de confianza como Google Drive, Dropbox o plataformas de recursos empresariales.

En esta cadena:

• El usuario recibe un enlace legítimo.
• Al hacer clic, es redirigido gradualmente a través de servicios reconocidos.
• Finalmente, se le presenta un formulario falso donde entrega sus credenciales sin sospechar.

¿Por qué es tan efectivo el phishing moderno?

El navegador: el nuevo campo de batalla

El navegador web se ha convertido en el núcleo de la actividad digital empresarial. Desde revisiones de código hasta tareas administrativas, la mayoría de las acciones del día a día suceden en pestañas del navegador. Esta centralización ofrece una superficie de ataque ideal para los actores maliciosos.

Incluso los empleados con mayor conciencia en ciberseguridad pueden caer en la trampa cuando interactúan con interfaces familiares y dominios legítimos. Los atacantes aprovechan esta confianza e insertan elementos como CAPTCHA reales, enlaces firmados y verificaciones de autenticidad, haciendo que los intentos de phishing pasen desapercibidos.

Ingeniería social en el navegador


Exploiting lo cotidiano

Los CAPTCHA, las páginas de inicio de sesión y las redirecciones seguras se han vuelto tan comunes que los atacantes los usan como herramientas de ingeniería social. Esto no solo ocurre en campañas de phishing, sino también en amenazas emergentes como ClickFix, una técnica basada en engañar al usuario para ejecutar acciones maliciosas desde el navegador.

Este fenómeno evidencia un hecho alarmante: lo "conocido" ya no es sinónimo de seguro. Las plataformas y dominios confiables ahora funcionan como vehículo para ejecutar ataques invisibles ante los ojos de las soluciones de seguridad convencionales.

¿Por qué las soluciones tradicionales fallan frente al phishing de hora cero?

Las herramientas de seguridad no lo ven venir

Aunque muchas organizaciones cuentan con defensas en capas como:

• Pasarelas de correo electrónico seguras (SEG)
• Filtrado DNS
• Puertas de enlace web seguras (SWG)
• Sistemas EDR y antivirus
• Protecciones del navegador

...la mayoría sigue siendo vulnerable al phishing basado en dominios confiables.

Esto se debe a que las soluciones tradicionales están diseñadas para identificar comportamientos maliciosos conocidos. En el phishing de hora cero, no hay malware que detectar. Solo hay formularios de recolección de credenciales cuidadosamente ocultos, alojados en dominios legítimos. Como resultado, las herramientas de seguridad del endpoint no marcan ninguna alerta.

Cómo defenderse del phishing de ChainLink

Llevar la seguridad al navegador

La clave para contrarrestar estas amenazas sofisticadas está en trasladar la seguridad al punto de interacción real: el navegador. Las organizaciones deben adoptar herramientas capaces de realizar análisis en tiempo real de las páginas web, supervisar el comportamiento del usuario y detectar secuencias encadenadas de phishing antes de que se produzca la filtración de datos.

Además:

• Implementa soluciones de protección del navegador que analicen el contenido renderizado.
• Supervisa interacciones en tiempo real y comportamiento contextual del usuario.
• Educa a los empleados sobre los nuevos vectores de ataque que ya no presentan "banderas rojas" evidentes.
• Considera tecnologías que identifican y bloquean formularios de recolección sospechosos, incluso en dominios conocidos.

Detener el phishing en su raíz


Los ataques de phishing de ChainLink representan un nuevo nivel de sofisticación, aprovechando la infraestructura confiable para sortear filtros y soluciones de seguridad. Para combatir estas amenazas modernas, es necesario abandonar el enfoque perimetral clásico y actuar directamente donde se manifiesta el riesgo: en el navegador y durante las interacciones del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware a gran escala dirigida a jugadores de Minecraft ha sido descubierta recientemente, afectando a miles de usuarios que descargan mods y trucos infectados para este popular videojuego. La operación utiliza ladrones de información (infostealers) diseñados para robar credenciales, tokens de autenticación, y billeteras de criptomonedas en sistemas Windows.

La amenaza fue identificada por investigadores de Check Point Research, quienes atribuyen la campaña al grupo conocido como Stargazers Ghost Network, una red activa desde 2023 que emplea tácticas de distribución como servicio (Distribution-as-a-Service, DaaS) para propagar su malware utilizando plataformas legítimas como GitHub y Pastebin.

Stargazers Ghost Network: malware oculto en mods de Minecraft

Ecosistema de modding como vector de ataque

La campaña aprovecha el vasto ecosistema de modding de Minecraft, un entorno ideal para infiltrar malware a través de archivos aparentemente inofensivos. Según Check Point, los actores maliciosos utilizan repositorios de GitHub disfrazados de mods populares como Skyblock Extras, Polar Client, FunnyMap, Oringo y Taunahi. En total, se han identificado aproximadamente 500 repositorios, muchos de ellos bifurcados o clonados, que forman parte de esta operación.

Check Point también ha detectado más de 700 "estrellas" en GitHub generadas por unas 70 cuentas falsas, lo que indica un esfuerzo coordinado para dar legitimidad a estos proyectos maliciosos.

Técnicas avanzadas para eludir detección

Malware basado en Java y Godot

El malware se presenta en múltiples etapas. La infección inicial comienza cuando el jugador ejecuta un archivo JAR malicioso dentro de Minecraft, lo que desencadena la descarga de una segunda etapa desde Pastebin, utilizando URLs codificadas en Base64. Esta segunda etapa incluye un ladrón de información basado en Java, que apunta a:

• Tokens de cuentas de Minecraft
• Datos de lanzadores como Lunar, Feather y Essential
• Tokens de Discord y Telegram

Los datos robados se transmiten a través de solicitudes HTTP POST al servidor del atacante.

44 CALIBER: ladrón de información .NET

Una vez ejecutado, el ladrón de Java también actúa como cargador para un segundo malware conocido como 44 CALIBER, un ladrón .NET más tradicional que roba:

• Credenciales de navegadores (Chromium, Edge, Firefox)
• Documentos personales y archivos del sistema
• Billeteras de criptomonedas (BitcoinCore, Monero, Ethereum, Zcash, entre otras)
• Cuentas de VPN (ProtonVPN, NordVPN, OpenVPN)
• Información de aplicaciones como Steam, Discord, FileZilla y Telegram

Este malware también captura información del sistema, datos del portapapeles y realiza capturas de pantalla, lo que representa una amenaza crítica para la privacidad y seguridad del usuario.

Origen y señales de compromiso (IoC)

Los investigadores destacan que los webhooks de exfiltración usan Discord y contienen comentarios en ruso, junto con marcas de tiempo UTC+3, lo que apunta a que los operadores podrían tener origen en Europa del Este, posiblemente Rusia.

Check Point ha compartido una lista completa de indicadores de compromiso (IoC) al final de su informe técnico, con el fin de ayudar a administradores y expertos en ciberseguridad a identificar y mitigar esta amenaza.

Recomendaciones para protegerse del malware en Minecraft

Para evitar ser víctima de esta y otras campañas similares, se recomienda a los jugadores de Minecraft tomar las siguientes precauciones:

• Descargar mods únicamente de plataformas de confianza y comunidades oficiales.
• Verificar que los proyectos en GitHub tengan un historial legítimo de confirmaciones, colaboradores activos y una comunidad real.
• Evitar mods compartidos por usuarios desconocidos o repositorios con poca o ninguna actividad reciente.
• Utilizar cuentas de Minecraft secundarias o "desechables" al probar mods desconocidos.
• Contar con una solución de seguridad endpoint actualizada que pueda detectar cargas maliciosas.

En fin, la campaña dirigida por Stargazers Ghost Network pone en evidencia cómo plataformas legítimas como GitHub y Pastebin pueden ser utilizadas para distribuir software malicioso a través de archivos que aparentan ser herramientas útiles para la comunidad gamer. En el caso de Minecraft, cuya base de usuarios incluye una gran cantidad de menores de edad y entusiastas del modding, los riesgos son aún más altos.

La concienciación en ciberseguridad, combinada con buenas prácticas de higiene digital, sigue siendo la primera línea de defensa contra estas campañas que buscan explotar la confianza de los usuarios en entornos populares.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta