La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire a su catálogo de vulnerabilidades explotadas conocidas (KEV), instando a las agencias federales a corregirlas antiguamente del 3 de abril de 2026.
Las vulnerabilidades que han sido objeto de explotación se enumeran a continuación:
- CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Corregido en julio de 2025)
- CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Corregido en diciembre de 2025)
- CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa cause una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025)
- CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS que podría permitir a un atacante remoto ejecutar código injusto. (Corregido en abril de 2025)
- CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire que podría permitir a atacantes no autenticados obtener la ejecución remota de comandos en escenarios específicos. (Corregido en julio de 2025)
La incorporación de las tres vulnerabilidades de Apple al catálogo KEV se produce a raíz de informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas deficiencias, unido con tres errores, para implementar varias familias de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER para el robo de datos.
Se estima que CVE-2025-32432 ha sido explotado como día cero por actores de amenazas desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Desde entonces, incluso se ha observado un conjunto de intrusiones rastreado como Mimo (incluso conocido como Hezb) que explota la vulnerabilidad para implementar un minero de criptomonedas y un proxy residencial.
Completando la relación está CVE-2025-54068, cuya explotación fue señalada recientemente por el equipo Ctrl-Alt-Intel Threat Research como parte de ataques organizados por el reunión de hackers patrocinado por el estado iraní, MuddyWater (incluso conocido como Boggy Serpens).
En un mensaje publicado a principios de esta semana, la Pelotón 42 de Palo Detención Networks denunció los constantes ataques del adversario a infraestructuras diplomáticas y críticas, incluidas las energéticas, marítimas y financieras, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.
“Si admisiblemente la ingeniería social sigue siendo su carácter definitorio, el reunión incluso está aumentando sus capacidades tecnológicas”, dijo la Pelotón 42. “Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a extenso plazo. Esta combinación de ingeniería social y herramientas de rápido exposición crea un perfil de amenaza potente”.
“Para respaldar sus campañas de ingeniería social a gran escalera, Boggy Serpens utiliza una plataforma de orquestación basada en web hecha a medida”, dijo la Pelotón 42. “Esta aparejo permite a los operadores automatizar la entrega masiva de correos electrónicos mientras mantienen un control granular sobre las identidades de los remitentes y las listas de objetivos”.
Atribuido al Ocupación de Inteligencia y Seguridad de Irán (MOIS), el reunión se centra principalmente en el ciberespionaje, aunque incluso se le ha vinculado con operaciones disruptivas dirigidas al Instituto de Tecnología Technion de Israel mediante la prohijamiento del personaje del ransomware DarkBit.
Una de las características distintivas del oficio de MuddyWater ha sido el uso de cuentas secuestradas pertenecientes a entidades gubernamentales y corporativas oficiales en sus ataques de phishing, y el tropelía de relaciones de confianza para sortear sistemas de aislamiento basados en reputación y distribuir malware.
En una campaña sostenida dirigida a una empresa doméstico de energía y cuadro no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, se dice que el actor de amenazas llevó a sitio cuatro oleadas distintas de ataques, lo que llevó al despliegue de varias familias de malware, incluidos GhostBackDoor y Nuso (incluso conocido como HTTP_VIP). Algunas de las otras herramientas notables en el conjunto del actor de amenazas incluyen UDPGangster y LampoRAT (incluso conocido como CHAR).
“La actividad nuevo de Boggy Serpens ejemplifica un perfil de amenaza en proceso de maduración, ya que el reunión integra sus metodologías establecidas con mecanismos refinados para la persistencia operativa”, dijo la Pelotón 42. “Al diversificar su proceso de exposición para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el reunión crea vías paralelas que garantizan la superfluidad necesaria para amparar un ritmo eficaz stop”.
