Hackers infiltran rootkits Linux vía Cisco SNMP: ¿Estás en riesgo?
Resumen del día
Una campaña de ciberataques conocida como Operation Zero Disco explota la vulnerabilidad crítica CVE-2025-20352 del protocolo SNMP de Cisco para instalar rootkits invisibles en redes empresariales. ¡Y eso no es todo! El sofisticado rootkit LinkPro usa eBPF y “paquetes mágicos” para activarse, eludiendo toda detección.
Investigadores de Trend Micro han descubierto una campaña sofisticada llamada Operation Zero Disco, en la que atacantes explotan una vulnerabilidad crítica en el protocolo SNMP de Cisco (CVE-2025-20352) para instalar rootkits Linux en dispositivos de red vulnerables. Esta falla afecta los modelos Cisco 9400, 9300, y la serie antigua 3750G, permitiendo ejecución remota de código y acceso persistente no autorizado.
El rootkit instala una contraseña universal que incluye la palabra "disco" y modifica la memoria IOSd para ocultar su actividad, incluyendo componentes sin archivos que desaparecen tras reinicios. Además, combinan la explotación del SNMP con una variante modificada de una vulnerabilidad Telnet (CVE-2017-3881) para obtener acceso total a memoria y evadir autenticaciones...
El rootkit LinkPro, detectado por la firma Synacktiv, representa una amenaza avanzada para sistemas Linux que utiliza la tecnología eBPF (Extended Berkeley Packet Filter) para ocultar su presencia en el kernel. Este método permite operar con alta furtividad al ejecutarse dentro del kernel y manipular paquetes de red en tiempo real.
LinkPro se activa mediante la recepción de paquetes TCP especiales, denominados “paquetes mágicos”, que cumplen criterios específicos, como ser SYN con tamaño de ventana 54321. Al detectar un paquete así, el rootkit cambia su estado para permitir comunicaciones privilegiadas solo con las IPs autorizadas. Para proteger la comunicación oculta, utiliza mecanismos de filtrado y modificación de paquetes en diferentes niveles usando programas eBPF...
Hackers abusan de contratos inteligentes blockchain para propagar malware en sitios WordPress infectados
Un grupo de cibercriminales conocido como UNC5142 está usando contratos inteligentes en blockchain para distribuir malware a través de sitios WordPress vulnerables e infectados mediante una técnica llamada EtherHiding. Los atacantes inyectan un código JavaScript en más de 14,000 páginas web que se conecta a un contrato inteligente malicioso alojado en la Binance Smart Chain para descargar la segunda etapa del malware.
Esta segunda etapa, llamada CLEARSHORT, descarga y ejecuta múltiples ladrones de información dirigidos a sistemas Windows y macOS, como Atomic, Lumma, Rhadamanthys y Vidar. La inyección inicial suele ocurrir en archivos relacionados con plugins y temas, y en algunos casos directamente en la base de datos de WordPress.
Este método aprovecha la naturaleza...
