La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que requiere que las agencias federales las parcheen antes del 3 de abril de 2026.
Las vulnerabilidades que se están explotando son las siguientes:
CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Solucionado en julio de 2025) CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Solucionado en diciembre de 2025) CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple podría permitir que una aplicación maliciosa provoque una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025) CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS podría permitir que un atacante remoto ejecute código arbitrario. (Corregido en abril de 2025) CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire podría permitir que un atacante no autenticado ejecute comandos remotos en ciertos escenarios. (revisado en julio de 2025)
La adición de las tres vulnerabilidades de Apple al catálogo KEV sigue a los informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas fallas y tres errores para implementar varias familias de malware, incluidas GHOSTBLADE, GHOSTKNIFE y GHOSTSABRE, para robar datos.
Según Orange Cyberdefense SensePost, CVE-2025-32432 ha sido evaluado como un exploit de día cero por atacantes desconocidos desde febrero de 2025. Desde entonces, también se ha observado que un conjunto de intrusiones rastreado como Mimo (también conocido como Hezb) explota esta vulnerabilidad para implementar mineros de criptomonedas y proxyware residencial.
Completando la lista está CVE-2025-54068. Este exploit fue informado recientemente por el equipo de investigación de amenazas Ctrl-Alt-Intel como parte de un ataque del grupo de piratería patrocinado por el estado iraní MuddyWater (también conocido como Boggy Serpens).
La Unidad 42 de Palo Alto Networks, en un informe publicado a principios de esta semana, acusó a los adversarios de atacar sistemáticamente infraestructura diplomática y crítica, incluida la energética, marítima y financiera, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.
«Si bien la ingeniería social sigue siendo su sello distintivo, el grupo también ha mejorado sus capacidades técnicas», dijo la Unidad 42. «Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a largo plazo. Esta combinación de ingeniería social y herramientas de rápido desarrollo crea un perfil de amenaza poderoso».
«Para respaldar campañas de ingeniería social a gran escala, Boggy Serpens utiliza una plataforma de orquestación basada en web personalizada», dijo la Unidad 42. «Esta herramienta permite a los operadores automatizar la distribución de correo electrónico de gran volumen con control granular sobre las identidades de los remitentes y las listas de objetivos».
El grupo, que pertenece al Ministerio de Inteligencia y Seguridad de Irán (MOIS), se centra principalmente en el ciberespionaje, pero también se dice que estuvo involucrado en una operación destructiva dirigida al Instituto de Tecnología Technion-Israel al adoptar el personaje del ransomware DarkBit.
Una de las características definitorias de los métodos comerciales de MuddyWater es el uso de cuentas comprometidas que pertenecen a agencias gubernamentales y corporaciones en ataques de phishing, así como la explotación de relaciones de confianza para eludir los sistemas de bloqueo basados en la reputación y distribuir malware.
En una campaña en curso dirigida a una empresa nacional de energía y marina no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, los actores de amenazas supuestamente llevaron a cabo cuatro oleadas de ataques diferentes, lo que llevó a la implementación de varias familias de malware, incluidos GhostBackDoor y Nuso (también conocido como HTTP_VIP). Otras herramientas notables en los arsenales de los actores de amenazas incluyen UDPGangster y LampoRAT (también conocido como CHAR).
«Las actividades recientes de Bogie Serpens ejemplifican un perfil de amenaza en proceso de maduración a medida que el grupo integra metodologías establecidas y mecanismos sofisticados para operaciones continuas», dijo la Unidad 42. «Al diversificar su proceso de desarrollo para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el grupo está creando vías paralelas y garantizando la redundancia necesaria para mantener un alto ritmo operativo».
Source link
