Redazione RHC : 1 agosto 2025 07:12
Darktrace ha registrado un ataque dirigido a una empresa química estadounidense, en el que los atacantes explotaron una vulnerabilidad crítica en la plataforma SAP NetWeaver. La amenaza, registrada como CVE-2025-31324, consistía en un error en el mecanismo de carga de archivos que permitía a los atacantes ejecutar código arbitrario en el servidor sin autenticación. Aunque SAP lanzó una actualización en abril, el incidente ocurrió cuando la corrección aún no se había instalado.
El ataque se desarrolló durante tres días. Las primeras señales fueron actividad similar a un escaneo de reconocimiento en dispositivos con acceso a internet, presumiblemente con SAP NetWeaver. Posteriormente se descubrió que los atacantes habían explotado la vulnerabilidad para descargar un archivo ejecutable malicioso en formato ELF, correspondiente a una familia de malware llamada Auto-Color.
Este malware fue descrito por primera vez en febrero de 2025 por la Unidad 42 de Palo Alto Networks. En ese momento, atacaba universidades e instituciones gubernamentales de Norteamérica y Asia. Auto-Color funciona como un troyano de acceso remoto, lo que otorga a los atacantes control total sobre los hosts Linux infectados. Sus capacidades incluyen la ejecución de shell, la creación y ejecución de archivos, la manipulación de la configuración del proxy del sistema, la gestión de la carga, la recopilación de información del sistema y la capacidad de autodestruirse completamente al recibir una orden.
Una de las características clave de Auto-Color es su capacidad para ocultar su actividad. Si no se establece una conexión con el servidor de comando y control, el malware se ralentiza o incluso deja de funcionar por completo, imitando un archivo inofensivo. Esto le permite evadir los sistemas de detección de amenazas y generar menos sospechas en la fase inicial de penetración.
Durante el incidente de abril, Auto-Color no logró establecer una conexión persistente con la infraestructura externa de C&C, pero incluso en este estado, mostró un comportamiento complejo, lo que demuestra un profundo conocimiento de la lógica interna de Linux y cautela en sus acciones. Según los analistas, los autores de este malware minimizaron deliberadamente el riesgo de detección al deshabilitar las funciones activas en caso de fallo de conexión con el servidor C&C.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
