剣 KENSAI
← All posts · security · 2026-03-11

Robo de credenciales FortiGate, botnet KadNap afecta 14.000 routers, Microsoft parchea 2 Zero-Days

← Volver al Blog

1. Firewalls FortiGate explotados para robar credenciales AD

🚨 CRÍTICO — Campaña activa dirigida a sanidad & gobierno

Actores de amenazas abusan de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para comprometer las redes de las víctimas. La campaña se dirige a entornos sanitarios, gubernamentales y de proveedores de servicios gestionados, extrayendo archivos de configuración que contienen credenciales de cuentas de servicio y datos de topología de red.

Según SentinelOne, los atacantes explotan vulnerabilidades recientemente divulgadas — CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858 — o credenciales débiles para comprometer dispositivos FortiGate. Dado que estos dispositivos suelen conectarse a Active Directory y LDAP para la aplicación de políticas basadas en roles, un dispositivo comprometido entrega a los atacantes las llaves de toda la infraestructura de autenticación.

En un incidente documentado, los atacantes crearon una cuenta de administrador local fraudulenta llamada «support», configuraron cuatro políticas de firewall permisivas y luego descifraron el archivo de configuración para extraer credenciales de cuenta de servicio LDAP en texto plano. Posteriormente registraron estaciones de trabajo fraudulentas en Active Directory antes de ser detectados.

Acciones requeridas: Actualizar los dispositivos FortiGate al último firmware inmediatamente. Rotar todas las credenciales de cuentas de servicio conectadas a FortiGate. Habilitar MFA en todas las interfaces administrativas. Monitorizar la creación no autorizada de cuentas y los cambios en las políticas del firewall.


2. El botnet KadNap secuestra más de 14.000 routers ASUS

🚨 CRÍTICO — Más de 14.000 dispositivos comprometidos, 60% en EE.UU.

Un nuevo malware llamado KadNap ha infectado más de 14.000 dispositivos de red perimetral — principalmente routers ASUS — para alimentar un botnet proxy sigiloso. Más del 60% de las víctimas se encuentran en Estados Unidos.

Descubierto por Black Lotus Labs en Lumen, KadNap utiliza una versión personalizada del protocolo Kademlia Distributed Hash Table (DHT) para ocultar su infraestructura de comando y control dentro de una red peer-to-peer, haciéndolo altamente resistente a los intentos de desmantelamiento.

Los dispositivos comprometidos se canalizan hacia un servicio proxy llamado Doppelgänger (un rebranding de la red proxy Faceless), que vende proxies residenciales «100% anónimos» en más de 50 países. El malware apunta a procesadores ARM y MIPS, establece persistencia mediante tareas cron y cierra activamente el acceso SSH en el puerto 22 para impedir la remediación.

DetalleInformación
Dispositivos infectadosMás de 14.000
Objetivo principalRouters ASUS
Víctimas en EE.UU.60%+
Protocolo C2Kademlia DHT personalizado (P2P)
Servicio proxyDoppelgänger (rebranding de Faceless)
Activo desdeAgosto 2025

Acciones requeridas: Actualizar el firmware de los routers ASUS inmediatamente. Verificar tareas cron no autorizadas y procesos desconocidos. Si está comprometido, restablecer el dispositivo de fábrica. Bloquear la IP C2 conocida 212.104.141.140.


3. Patch Tuesday de marzo 2026 de Microsoft: 2 Zero-Days, 79 vulnerabilidades

⚠️ PARCHEAR AHORA — 2 Zero-Days divulgados públicamente

El Patch Tuesday de marzo 2026 de Microsoft aborda 79 fallos de seguridad, incluyendo 2 vulnerabilidades zero-day divulgadas públicamente y 3 problemas clasificados como críticos. Dos bugs críticos de ejecución remota de código afectan a Microsoft Office y pueden activarse a través del panel de vista previa.

Puntos clave de este ciclo de parches:

  • Zero-Day SQL Server EoP: Control de acceso inadecuado otorga privilegios SQLAdmin a través de la red
  • Zero-Day .NET DoS: Lectura fuera de límites permite denegación de servicio no autorizada a través de la red
  • CVE-2026-26110 & CVE-2026-26113: Bugs críticos de RCE en Office explotables a través del panel de vista previa
  • CVE-2026-26144: Vulnerabilidad de divulgación de información en Excel que podría exfiltrar datos a través de Microsoft Copilot — permitiendo robo de datos zero-click mediante el modo agente de IA

La vulnerabilidad relacionada con Copilot (CVE-2026-26144) es particularmente notable — representa un nuevo vector de ataque donde los asistentes de IA pueden ser utilizados como armas para exfiltrar datos sin interacción del usuario. Esto es un presagio de la superficie de ataque habilitada por IA a la que las organizaciones ahora se enfrentan.

Acciones requeridas: Desplegar todos los parches de marzo 2026 inmediatamente. Priorizar las actualizaciones de Office debido a la explotación del panel de vista previa. Revisar los permisos de Copilot Agent y restringir las capacidades de salida de red.


4. El eliminador de EDR BlackSanta apunta a departamentos de RRHH

⚠️ CAMPAÑA ACTIVA — Actor de amenazas de habla rusa

Una campaña sofisticada en curso durante más de un año entrega un nuevo eliminador de EDR denominado BlackSanta a departamentos de recursos humanos mediante correos de spear-phishing con archivos ISO maliciosos disfrazados de currículos.

La cadena de ataque es altamente evasiva: los archivos ISO contienen un acceso directo de Windows disfrazado de PDF, un script PowerShell y una imagen que oculta código malicioso mediante esteganografía. El código extraído utiliza DLL sideloading mediante un ejecutable legítimo de SumatraPDF, realiza una detección exhaustiva de sandbox y VM, y luego despliega BlackSanta.

BlackSanta desactiva sistemáticamente la detección de endpoints mediante:

  • Agregar exclusiones de Microsoft Defender para archivos .dls y .sys
  • Reducir la telemetría y el envío automático de muestras a la nube de Microsoft
  • Suprimir notificaciones de Windows para evitar alertar al usuario
  • Usar process hollowing para ejecutar payloads dentro de procesos legítimos

Acciones requeridas: Alertar a los equipos de RRHH sobre ataques de phishing con currículos. Bloquear archivos adjuntos ISO en la pasarela de correo. Monitorizar cambios no autorizados en las exclusiones de Defender. Implementar allowlisting de aplicaciones.


5. Bypass de autenticación crítico en HPE AOS-CX

🚨 CRÍTICO — Restablecimiento de contraseña admin sin autenticación

HPE ha parcheado CVE-2026-23813, un bypass de autenticación crítico en el sistema operativo Aruba Networking AOS-CX que permite a atacantes remotos no autenticados restablecer contraseñas de administrador en switches campus y de centro de datos de la serie CX.

La vulnerabilidad existe en la interfaz de gestión web y requiere solo ataques de baja complejidad para ser explotada. Cualquier organización que ejecute switches HPE AOS-CX con interfaces de gestión expuestas está en riesgo inmediato.

Mitigaciones si se retrasa el parcheo:

  • Aislar las interfaces de gestión en una VLAN dedicada
  • Implementar controles de acceso estrictos de capa 3+ para el tráfico de gestión
  • Desactivar interfaces HTTP(S) en SVIs y puertos enrutados donde no sean necesarios
  • Aplicar ACLs de plano de control en endpoints de gestión REST/HTTP

6. APT28 despliega BEARDSHELL & COVENANT contra el ejército ucraniano

El grupo ruso APT28 (Fancy Bear / Unidad GRU 26165) continúa su campaña de ciberespionaje contra Ucrania, desplegando dos implantes — BEARDSHELL y COVENANT — para la vigilancia a largo plazo del personal militar ucraniano desde abril de 2024.

ESET informa que el arsenal también incluye SLIMAGENT, capaz de keylogging, captura de pantalla y recopilación de datos del portapapeles. La campaña subraya la dimensión cibernética continua del conflicto ruso-ucraniano y el targeting persistente de las comunicaciones militares.


7. La técnica Zombie ZIP elude herramientas de seguridad

Una nueva técnica denominada «Zombie ZIP» permite a los atacantes ocultar payloads maliciosos en archivos comprimidos especialmente elaborados que evaden la detección antivirus y EDR. La técnica explota diferencias en cómo las herramientas de seguridad y el software de archivos legítimo analizan los archivos ZIP, creando puntos ciegos por los que el malware puede colarse.

Acciones requeridas: Asegurar que las herramientas de seguridad pueden inspeccionar formatos de archivo anidados y malformados. Considerar el sandboxing de todos los archivos comprimidos adjuntos antes de entregarlos a los usuarios finales.


8. CISA: Vulnerabilidad de Ivanti EPM bajo explotación activa

CISA ha añadido una vulnerabilidad recientemente parcheada de Ivanti Endpoint Manager (EPM) a su catálogo de vulnerabilidades explotadas conocidas (KEV) tras confirmar explotación activa en el mundo real. Las organizaciones que ejecutan Ivanti EPM deben priorizar el parcheo inmediatamente.

El patrón de vulnerabilidades de Ivanti siendo rápidamente armadas continúa — esta es la última de una larga serie de vulnerabilidades críticas de Ivanti que pasan de la divulgación a la explotación en días.


9. El malware Android BeatBanker se hace pasar por la app Starlink

Un nuevo troyano bancario Android llamado BeatBanker se distribuye a través de sitios web falsos de Google Play Store, haciéndose pasar por una aplicación Starlink. Una vez instalado, el malware secuestra dispositivos para interceptar credenciales bancarias y transacciones financieras.

Acciones requeridas: Instalar aplicaciones solo desde la Google Play Store oficial. Activar Google Play Protect. Educar a los usuarios sobre tiendas de aplicaciones falsas.


10. Soporte de Passkeys de Microsoft Entra para Windows

Como nota positiva, Microsoft está implementando el soporte de passkeys para Microsoft Entra en dispositivos Windows, habilitando autenticación sin contraseña resistente al phishing mediante Windows Hello. Este es un paso significativo hacia la eliminación de ataques basados en contraseñas — las organizaciones deberían comenzar a planificar el despliegue de passkeys de Entra.


Más titulares

NoticiaImpacto
El grupo norcoreano UNC4899 compromete empresa cryptoArchivo AirDrop troyanizado + técnicas living-off-the-cloud roban millones en criptomonedas
Windows 10 KB5078885 ESU publicadoActualización de seguridad extendida para Windows 10 aborda vulnerabilidades del Patch Tuesday de marzo incluyendo 2 zero-days
Paquete npm malicioso suplanta a OpenClawEl paquete despliega RAT y roba credenciales de macOS, claves SSH, wallets crypto e historial de iMessage

Cómo KENSAI te protege

Monitorización de dispositivos perimetrales — Detecta dispositivos FortiGate, ASUS y HPE comprometidos antes de que los atacantes pivoten más profundamente

Inteligencia de parches — Seguimiento priorizado de CVE para Microsoft, Ivanti e infraestructura de red en horas tras la divulgación

Verificaciones de integridad EDR — Identifica manipulaciones tipo BlackSanta en configuraciones de seguridad de endpoints

Postura de seguridad IA — Monitoriza permisos de Copilot y agentes IA para prevenir vectores de exfiltración de datos como CVE-2026-26144


Acciones recomendadas

  1. Inmediato: Parchear FortiGate al último firmware. Desplegar parches de Microsoft de marzo 2026. Actualizar switches HPE AOS-CX.
  2. Hoy: Verificar routers ASUS para indicadores de KadNap. Rotar todas las credenciales de cuentas de servicio conectadas a FortiGate. Revisar la configuración de salida de red de Copilot Agent.
  3. Esta semana: Bloquear adjuntos ISO en pasarelas de correo. Auditar despliegues de Ivanti EPM. Planificar el despliegue de passkeys de Entra.
  4. Continuo: Monitorizar patrones de manipulación de EDR. Informar a equipos de RRHH sobre phishing con currículos. Implementar zero-trust para la gestión de dispositivos de red.

Protege tu organización con KENSAI

Escaneo de vulnerabilidades impulsado por IA y monitorización de seguridad continua. Inicia tu escaneo gratuito hoy.

Iniciar escaneo gratuito →

Mantente seguro. Mantente vigilante.

🗡️ Equipo de Seguridad KENSAI

🛡️ ¿Es seguro su sitio web?

Descubra vulnerabilidades antes que los atacantes.

Escanee su sitio gratis →

All posts · Permalink