Redazione RHC : 1 agosto 2025 07:12
Darktrace ha registrado un ataque dirigido a una empresa química estadounidense, en el que los atacantes explotaron una vulnerabilidad crítica en la plataforma SAP NetWeaver. La amenaza, registrada como CVE-2025-31324, consistía en un error en el mecanismo de carga de archivos que permitía a los atacantes ejecutar código arbitrario en el servidor sin autenticación. Aunque SAP lanzó una actualización en abril, el incidente ocurrió cuando la corrección aún no se había instalado.
El ataque se desarrolló durante tres días. Las primeras señales fueron actividad similar a un escaneo de reconocimiento en dispositivos con acceso a internet, presumiblemente con SAP NetWeaver. Posteriormente se descubrió que los atacantes habían explotado la vulnerabilidad para descargar un archivo ejecutable malicioso en formato ELF, correspondiente a una familia de malware llamada Auto-Color.
Este malware fue descrito por primera vez en febrero de 2025 por la Unidad 42 de Palo Alto Networks. En ese momento, atacaba universidades e instituciones gubernamentales de Norteamérica y Asia. Auto-Color funciona como un troyano de acceso remoto, lo que otorga a los atacantes control total sobre los hosts Linux infectados. Sus capacidades incluyen la ejecución de shell, la creación y ejecución de archivos, la manipulación de la configuración del proxy del sistema, la gestión de la carga, la recopilación de información del sistema y la capacidad de autodestruirse completamente al recibir una orden.
Una de las características clave de Auto-Color es su capacidad para ocultar su actividad. Si no se establece una conexión con el servidor de comando y control, el malware se ralentiza o incluso deja de funcionar por completo, imitando un archivo inofensivo. Esto le permite evadir los sistemas de detección de amenazas y generar menos sospechas en la fase inicial de penetración.
Durante el incidente de abril, Auto-Color no logró establecer una conexión persistente con la infraestructura externa de C&C, pero incluso en este estado, mostró un comportamiento complejo, lo que demuestra un profundo conocimiento de la lógica interna de Linux y cautela en sus acciones. Según los analistas, los autores de este malware minimizaron deliberadamente el riesgo de detección al deshabilitar las funciones activas en caso de fallo de conexión con el servidor C&C.
Redazione18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
Dos graves vulnerabilidades en el sistema operativo AIX de IBM podrían permitir a atacantes remotos ejecutar comandos arbitrarios en los sistemas afectados, lo que ha llevado a la compañía a public...
Masimo, una empresa estadounidense que desarrolla tecnologías de monitorización médica, ha ganado otra batalla legal contra Apple . Un jurado federal le otorgó 634 millones de dólares por infring...
El software espía (también conocido como aplicaciones espía) representa una de las amenazas más insidiosas y peligrosas de la era digital. Se trata de programas maliciosos diseñados para infiltra...
Google se acerca a la presentación oficial de Gemini 3.0 , el nuevo modelo de inteligencia artificial que representa uno de los pasos más significativos en la estrategia de la compañía. Según inf...
