Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Guillermo Rauch, CEO de Vercel, habla de la batalla por separar modelos de agentes

La IA figurará en todos los principales despidos tecnológicos en 2026

Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes
Identidad

Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 6, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Un grupo de piratas informáticos iraní afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) está explotando un marco de comando y control modular (C2) previamente indocumentado llamado Cavern (también conocido como Cav3rn) para atacar a organizaciones israelíes.

Esta actividad se dirige principalmente a proveedores de TI y departamentos gubernamentales y se cree que proviene de un grupo de amenazas rastreado por Check Point Research bajo el nombre Cavern Manticore, que según la compañía tiene cierta superposición táctica con Muddy Water y Lyceum, el último de los cuales se considera un subgrupo dentro de Oil Rig.

«El marco refleja un conjunto de herramientas maduro y adaptable construido alrededor de una base .NET compartida mientras utiliza múltiples formatos de compilación en varios componentes, incluidos .NET Framework, .NET Mixed-Mode C++/CLI y .NET Native AOT», dijo la firma de ciberseguridad.

«El formato de compilación en sí se convierte en una capa antianálisis que fuerza la ingeniería inversa en múltiples conjuntos de herramientas y flujos de trabajo de reconstrucción de metadatos».

Los componentes del marco C2 se utilizan como Agente de Cavern y Módulo de Cavern, lo que demuestra una clara división de responsabilidad entre las funciones de comunicación centrales y las funciones posteriores a la explotación específicas de la misión. Esta arquitectura tiene ventajas inherentes, ya que permite a los operadores personalizar las implementaciones según los perfiles de las víctimas, reducir la visibilidad forense y garantizar el acceso persistente a través de módulos personalizados para reconocimiento, robo de datos, túneles y movimiento lateral.

La cadena de ataques documentada por Check Point Research comienza con la funcionalidad de actualización de software de SysAid. Un adversario puede aprovechar esta característica para iniciar una cadena de descarga de DLL que conduzca a la ejecución de un DLL troyanizado (‘uxtheme.dll’) que contiene el Agente Cavern. El lado del agente carga un módulo DLL de comunicación independiente (‘n-HTCommp.dll’) para conectarse al servidor C2 (‘hospitalinstallation(.)com’) y recuperar módulos adicionales posteriores a la explotación sobre la marcha a través de HTTPS o WebSockets.

Se descubrieron hasta 5 módulos DLL:

mhm.dll (para operaciones de archivos, enumeración, búsqueda recursiva de archivos, procesamiento de archivos y transferencia bidireccional de archivos) db.dll (para enumeración, consultas, exportación y operaciones de bases de datos SQL) ode.dll (para reconocimiento de Active Directory, enumeración de usuarios/grupos e intentos de fuerza bruta LDAP) n-ten.dll (para reconocimiento de red, escaneos de puertos, enumeración de recursos compartidos e intentos de fuerza bruta SMB) n-sws.dll, SOCKS5 Para túneles proxy y WebSocket

Este marco es único porque utiliza tres objetivos de compilación .NET diferentes que abarcan los componentes. mhm.dll, db.dll y ode.dll son módulos .NET Framework puros, mientras que n-HTCommp.dll, n-ten.dll y n-sws.dll utilizan compilación AOT (Ahead-of-Time) nativa. El agente principal, uxtheme.dll, combina código .NET administrado y C++ nativo en un único ejecutable portátil.

El agente incluye un despachador de módulos integrado que trata los componentes cuyos nombres comienzan con n- como archivos DLL nativos y se carga a través de la API de Windows LoadLibraryA. Los componentes restantes, por otro lado, se interpretan como ensamblados .NET administrados y se cargan mediante un mecanismo conocido como aislamiento AppDomain.

«La postura anti-analítica del marco se basa en un formato de compilación .NET poco común (C++/CLI de modo mixto y AOT nativo) que fuerza múltiples conjuntos de herramientas y flujos de trabajo de reconstrucción de metadatos para ingeniería inversa, así como AppDomains separados por módulo para protección forense», explicó Check Point.

El ataque orquestado por Cavern Manticore implicó que los atacantes pasaran de un proveedor de TI inicialmente comprometido a un proveedor de segundo salto antes de llegar finalmente a la organización objetivo prevista, lo que demuestra su capacidad para convertir en un arma las relaciones de confianza dentro de la cadena de suministro de software para su beneficio.

«Esta actividad resalta el valor operativo de las relaciones con proveedores de servicios confiables, especialmente cuando se implementan soluciones de administración y monitoreo remoto (RMM)», dijo la compañía.

«Al explotar estas herramientas, los atacantes pueden moverse lateralmente entre las víctimas y entregar software malicioso disfrazado de actualizaciones legítimas. Los atacantes también parecen estar aprovechando técnicas de escritorio remoto basadas en navegador para acceder a objetivos de interés y, en algunos casos, explotando funciones integradas como copiar y pegar con portapapeles e impresión remota cuando las capacidades de transferencia de archivos son limitadas para robar datos».

El acontecimiento se produce en el contexto de la operación militar conjunta en curso lanzada por Israel y Estados Unidos contra Irán. En los últimos meses, se ha observado que un actor de amenazas patrocinado por el estado iraní rastreado como MuddyWater explota fallas de seguridad conocidas en los sistemas SmarterMail, n8n, N-central, Langflow y Laravel Livewire expuestos a Internet y realiza extensas operaciones de reconocimiento en más de 12.000 sistemas expuestos a Internet.

La lista de vulnerabilidades explotadas es la siguiente:

Se dice que la operación pasó de un reconocimiento generalizado a una recopilación de credenciales selectiva y ataques de robo de datos contra los sectores de aviación, energía y gobierno en el Medio Oriente, incluidos los sectores de aviación, energía y público en Egipto, Israel y los Emiratos Árabes Unidos.

«Esta operación utilizó una combinación de explotación de vulnerabilidades, ataques de fuerza bruta a Outlook Web Access (OWA) y un controlador de comando y control (C2) recientemente identificado que admite comunicaciones multiprotocolo», dijo Oasis Security. «La actividad avanzó más allá de los intentos de reconocimiento y acceso, lo que resultó en la exfiltración confirmada de datos confidenciales del entorno comprometido».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleUna falla en KVM de Linux de hace 16 años permite que las máquinas virtuales invitadas escapen a los hosts en sistemas Intel y AMD x86
Next Article La IA figurará en todos los principales despidos tecnológicos en 2026
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla en KVM de Linux de hace 16 años permite que las máquinas virtuales invitadas escapen a los hosts en sistemas Intel y AMD x86

julio 6, 2026

Los actores de amenazas investigan la falla CVE-2026-20896 de Gitea Docker 13 días después de su publicación

julio 6, 2026

Proxy Botnets, Browser Ransomware, AI Agent Tricks, Fake PoC Malware and More

julio 6, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Guillermo Rauch, CEO de Vercel, habla de la batalla por separar modelos de agentes

La IA figurará en todos los principales despidos tecnológicos en 2026

Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes

Una falla en KVM de Linux de hace 16 años permite que las máquinas virtuales invitadas escapen a los hosts en sistemas Intel y AMD x86

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.