Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
320x100 Itcentric
Banner Ransomfeed 970x120 1
Microsoft Teams está bajo creciente presión. EncryptHub comprometió redes corporativas con malware

Microsoft Teams está bajo creciente presión. EncryptHub comprometió redes corporativas con malware

Redazione RHC : 17 agosto 2025 08:42

En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.

El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos. Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas. Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa. Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa. El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo. Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com. Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin». CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI. La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave. Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social. Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...