Redazione RHC : 20 agosto 2025 10:41
SeLos especialistas de Red Canary han descubierto una campaña inusual que utiliza el nuevo malware DripDropper, dirigido a servidores Linux en la nube. Los atacantes obtuvieron acceso a través de la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ, se afianzaron en el sistema e instalaron un parche para cerrar la vulnerabilidad por la que habían entrado.
Esta maniobra paradójica les permitió no solo ocultar sus rastros, sino también bloquear el acceso a la competencia, dejando el servidor infectado bajo su control total.
Los analistas registraron la ejecución de comandos de reconocimiento en docenas de hosts vulnerables. En algunos de ellos, los atacantes implementaron herramientas de control remoto, desde Sliver hasta túneles de Cloudflare, que proporcionaban comunicación secreta a largo plazo con servidores C2. En un incidente, modificaron la configuración de sshd, incluido el acceso root, e iniciaron el descargador DripDropper.
DripDropper es un archivo ELF creado con PyInstaller, protegido con contraseña, que se comunica con la cuenta de Dropbox de los atacantes mediante un token. La herramienta crea archivos maliciosos adicionales, los instala en el sistema mediante cron y modifica la configuración de SSH, abriendo nuevas rutas de acceso sigilosas para los operadores. El uso de servicios legítimos en la nube como Dropbox o Telegram como canales C2 permite que la actividad maliciosa se haga pasar por tráfico de red normal.
El paso final del ataque fue descargar e instalar los parches JAR oficiales de ActiveMQ desde el dominio Apache Maven. De esta forma, los atacantes cerraron la vulnerabilidad por la que habían penetrado, minimizando el riesgo de repetidos análisis de vulnerabilidad e interferencias de otros hackers.
Los expertos señalan que la explotación de CVE-2023-46604 continúa a pesar de su antigüedad y se está utilizando no solo para DripDropper, sino también para la distribución de TellYouThePass, el malware HelloKitty, o el minero Kinsing.
Para reducir los riesgos, los expertos recomiendan que las organizaciones refuercen la protección de los entornos Linux, especialmente en la nube: utilicen la gestión automatizada de la configuración mediante Ansible o Puppet, impidan el acceso root, ejecuten servicios como usuarios sin privilegios, implementen la aplicación oportuna de parches y controlen las reglas de acceso a la red. La monitorización de los registros del entorno en la nube también desempeña un papel importante, ya que permite la detección temprana de actividades sospechosas. El caso demuestra claramente que incluso una vulnerabilidad corregida no garantiza la seguridad si la solución fue proporcionada por los propios atacantes. Documentar las actualizaciones y proporcionar una respuesta oportuna por parte de los administradores siguen siendo factores clave para la protección de los sistemas críticos.
RedazioneEl Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
