Redazione RHC : 20 agosto 2025 10:41
SeLos especialistas de Red Canary han descubierto una campaña inusual que utiliza el nuevo malware DripDropper, dirigido a servidores Linux en la nube. Los atacantes obtuvieron acceso a través de la vulnerabilidad CVE-2023-46604 en Apache ActiveMQ, se afianzaron en el sistema e instalaron un parche para cerrar la vulnerabilidad por la que habían entrado.
Esta maniobra paradójica les permitió no solo ocultar sus rastros, sino también bloquear el acceso a la competencia, dejando el servidor infectado bajo su control total.
Los analistas registraron la ejecución de comandos de reconocimiento en docenas de hosts vulnerables. En algunos de ellos, los atacantes implementaron herramientas de control remoto, desde Sliver hasta túneles de Cloudflare, que proporcionaban comunicación secreta a largo plazo con servidores C2. En un incidente, modificaron la configuración de sshd, incluido el acceso root, e iniciaron el descargador DripDropper.
DripDropper es un archivo ELF creado con PyInstaller, protegido con contraseña, que se comunica con la cuenta de Dropbox de los atacantes mediante un token. La herramienta crea archivos maliciosos adicionales, los instala en el sistema mediante cron y modifica la configuración de SSH, abriendo nuevas rutas de acceso sigilosas para los operadores. El uso de servicios legítimos en la nube como Dropbox o Telegram como canales C2 permite que la actividad maliciosa se haga pasar por tráfico de red normal.
El paso final del ataque fue descargar e instalar los parches JAR oficiales de ActiveMQ desde el dominio Apache Maven. De esta forma, los atacantes cerraron la vulnerabilidad por la que habían penetrado, minimizando el riesgo de repetidos análisis de vulnerabilidad e interferencias de otros hackers.
Los expertos señalan que la explotación de CVE-2023-46604 continúa a pesar de su antigüedad y se está utilizando no solo para DripDropper, sino también para la distribución de TellYouThePass, el malware HelloKitty, o el minero Kinsing.
Para reducir los riesgos, los expertos recomiendan que las organizaciones refuercen la protección de los entornos Linux, especialmente en la nube: utilicen la gestión automatizada de la configuración mediante Ansible o Puppet, impidan el acceso root, ejecuten servicios como usuarios sin privilegios, implementen la aplicación oportuna de parches y controlen las reglas de acceso a la red. La monitorización de los registros del entorno en la nube también desempeña un papel importante, ya que permite la detección temprana de actividades sospechosas. El caso demuestra claramente que incluso una vulnerabilidad corregida no garantiza la seguridad si la solución fue proporcionada por los propios atacantes. Documentar las actualizaciones y proporcionar una respuesta oportuna por parte de los administradores siguen siendo factores clave para la protección de los sistemas críticos.
RedazioneOpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...
El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...
Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...
