Cibercriminales infiltran rootkits Linux vía Cisco SNMP: ¿Estás en riesgo?

17-Oct-2025

Author

LUIS CARREON
17 de octubre de 2025

🔒

Ciber Conciencia Digital

Tu resumen diario de ciberseguridad

📅 17 de octubre de 2025
Hackers infiltran rootkits Linux vía Cisco SNMP: ¿Estás en riesgo?
📋

📋 Resumen del Día

Una campaña de ciberataques conocida como Operation Zero Disco explota la vulnerabilidad crítica CVE-2025-20352 del protocolo SNMP de Cisco para instalar rootkits invisibles en redes empresariales. ¡Y eso no es todo! El sofisticado rootkit LinkPro usa eBPF y “paquetes mágicos” para activarse, eludiendo toda detección.

📰 Noticias Destacadas

1

Hackers despliegan rootkits Linux mediante vulnerabilidad SNMP de Cisco en ataques Zero Disco

Hackers despliegan rootkits Linux mediante vulnerabilidad SNMP de Cisco en ataques Zero Disco
Investigadores de Trend Micro han descubierto una campaña sofisticada llamada Operation Zero Disco, en la que atacantes explotan una vulnerabilidad crítica en el protocolo SNMP de Cisco (CVE-2025-20352) para instalar rootkits Linux en dispositivos de red vulnerables. Esta falla afecta los modelos Cisco 9400, 9300, y la serie antigua 3750G, permitiendo ejecución remota de código y acceso persistente no autorizado.

El rootkit instala una contraseña universal que incluye la palabra "disco" y modifica la memoria IOSd para ocultar su actividad, incluyendo componentes sin archivos que desaparecen tras reinicios. Además, combinan la explotación del SNMP con una variante modificada de una vulnerabilidad Telnet (CVE-2017-3881) para obtener acceso total a memoria y evadir autenticaciones...
📡 https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html
2

Rootkit LinkPro usa eBPF para ocultarse y se activa con paquetes TCP mágicos

Rootkit LinkPro usa eBPF para ocultarse y se activa con paquetes TCP mágicos
El rootkit LinkPro, detectado por la firma Synacktiv, representa una amenaza avanzada para sistemas Linux que utiliza la tecnología eBPF (Extended Berkeley Packet Filter) para ocultar su presencia en el kernel. Este método permite operar con alta furtividad al ejecutarse dentro del kernel y manipular paquetes de red en tiempo real.

LinkPro se activa mediante la recepción de paquetes TCP especiales, denominados “paquetes mágicos”, que cumplen criterios específicos, como ser SYN con tamaño de ventana 54321. Al detectar un paquete así, el rootkit cambia su estado para permitir comunicaciones privilegiadas solo con las IPs autorizadas. Para proteger la comunicación oculta, utiliza mecanismos de filtrado y modificación de paquetes en diferentes niveles usando programas eBPF...
📡 https://www.synacktiv.com/en/publications/linkpro-ebpf-rootkit-analysis
3

Hackers abusan de contratos inteligentes blockchain para propagar malware en sitios WordPress infectados

Hackers abusan de contratos inteligentes blockchain para propagar malware en sitios WordPress infectados
Un grupo de cibercriminales conocido como UNC5142 está usando contratos inteligentes en blockchain para distribuir malware a través de sitios WordPress vulnerables e infectados mediante una técnica llamada EtherHiding. Los atacantes inyectan un código JavaScript en más de 14,000 páginas web que se conecta a un contrato inteligente malicioso alojado en la Binance Smart Chain para descargar la segunda etapa del malware.

Esta segunda etapa, llamada CLEARSHORT, descarga y ejecuta múltiples ladrones de información dirigidos a sistemas Windows y macOS, como Atomic, Lumma, Rhadamanthys y Vidar. La inyección inicial suele ocurrir en archivos relacionados con plugins y temas, y en algunos casos directamente en la base de datos de WordPress.

Este método aprovecha la naturaleza...
📡 https://www.bitdefender.com/en-au/blog/hotforsecurity/cybercriminals-hijack-over-6-000-wordpress-sites-to-distribute-malware
📅

📅 Un día como hoy (2014 - hace 11 años)

La RAE incluye por primera vez el término “hacker”

La RAE incluye por primera vez el término “hacker”

El término “Hacker” fue incluido por primera vez pero no precisamente de la forma que el colectivo esperaba.

Al buscar en el nuevo diccionario la palabra “hacker” se lee lo siguiente: «hacker»: pirata informático. Una única definición, sin ningún otro tipo a acepción, con lo cual el término quedó reducido a un tipo específico de hackers.

Más allá de la evidente inexactitud que se manifiesta con respecto al término, la indignación reside en que se iguala entre el “hacker” que trabaja como investigador con el fin de conseguir reforzar los mecanismos de protección, y el “hacker” cibercriminal que pone sus conocimientos al servicios de actividades delictivas.

Un definición más cercana sobre el término “hacker” puede ser: persona que con mucha curiosidad se dedica a aprender sobre algo y a buscar formas de mejorarlo. Existen hackers de sombrero negro, blanco y gris.

📺

📺 Video del Día

Video de YouTube

Haz clic para ver el video relacionado con las noticias de hoy

🛡️

¡Mantente seguro en el mundo digital!

Ciber Conciencia Digital • Tu fuente confiable de noticias de ciberseguridad

© 2025 Ciber Conciencia Digital. Todos los derechos reservados.