El patrón de hoy es feo pero claro: los equipos de borde, los buzones y los flujos de confianza del helpdesk están siendo abusados de maneras que sobreviven a una remediación superficial.
Resumen: Hay tres historias que merecen atención inmediata esta mañana: malware en firewalls que sobrevive al ciclo de parches, una plataforma de correo con miles de servidores expuestos todavía vulnerables y un grupo de extorsión basado en vishing que convierte flujos normales de soporte en rutas de intrusión.
CISA y el NCSC del Reino Unido advierten que la puerta trasera Firestarter puede persistir en dispositivos Cisco Firepower y Secure Firewall incluso después de reinicios, actualizaciones de firmware y parches de seguridad. El malware, vinculado a un actor de espionaje seguido por Cisco, se engancha al proceso LINA, se reinstala cuando se termina y puede activarse mediante tráfico WebVPN especialmente preparado. La guía de Cisco es directa: las versiones corregidas importan, pero la ruta de limpieza recomendada es reimaginar el dispositivo.
Shadowserver afirma que más de 10.500 servidores de Zimbra Collaboration Suite expuestos en Internet siguen siendo vulnerables a CVE-2025-48700, una falla XSS que CISA ya incluye como explotada activamente. El fallo afecta a varias ramas de ZCS y puede permitir que atacantes no autenticados ejecuten JavaScript dentro de la sesión webmail de una víctima cuando se abre un correo malicioso en la interfaz Classic. Eso importa porque Zimbra lleva años siendo un trampolín para robo de correo y campañas de actores estatales.
BlackFile está siendo vinculado a un aumento de ataques de extorsión guiados por vishing contra retail y hospitalidad. Los atacantes se hacen pasar por soporte de TI, roban credenciales y códigos de un solo uso mediante páginas falsas de inicio de sesión y luego registran sus propios dispositivos para esquivar la MFA. Después saquean sistemas como Salesforce y SharePoint usando APIs estándar, roban archivos sensibles y aumentan la presión con demandas de rescate e incluso swatting.
Conclusión: El patrón de hoy es feo pero claro: los equipos de borde, los buzones y los flujos de confianza del helpdesk están siendo abusados de maneras que sobreviven a una remediación superficial.
KENSAI ayuda a los equipos a descubrir rutas de ataque expuestas en appliances perimetrales, correo, flujos de identidad y herramientas cloud antes de que los atacantes conviertan procesos normales en infraestructura de intrusión.
Escaneo gratis →Mantente alerta.
🗡️ Equipo de Seguridad KENSAI