Netcrook Logo
👤 LOGICFALCON
🗓️ 05 Jan 2026   🌍 Asia

Las líneas del firewall han sido vulneradas: Hackers con Sliver C2 burlan defensas heredadas en un gran golpe global a FortiWeb

Una campaña sigilosa explota vulnerabilidades pasadas por alto en FortiWeb, desplegando Sliver C2 para evadir la seguridad y afianzar a los atacantes en redes de alto valor.

Todo comenzó con un escaneo rutinario de directorios abiertos. Lo que los cazadores de amenazas descubrieron distaba mucho de ser rutinario: una ofensiva cibernética a escala global que aprovechaba fallos desconocidos en dispositivos FortiWeb para plantar el framework de comando y control (C2) Sliver en lo más profundo de redes críticas. Tras bambalinas, los atacantes ocultaban sus huellas con sofisticados señuelos y proxies, superando a las herramientas de seguridad tradicionales y dejando a las organizaciones ciegas ante la brecha.

Dentro de la brecha: Anatomía de un ataque avanzado

El manual de los atacantes fue tanto audaz como sutil. Obteniendo acceso inicial mediante la explotación de vulnerabilidades expuestas al público - algunas posiblemente de día cero, dada la ausencia de código de prueba de concepto público - apuntaron a dispositivos FortiWeb con versiones tan antiguas como la 5.4.202 hasta la 6.1.62. React2Shell (CVE-2025-55182) jugó un papel, pero los investigadores sospechan que se usaron exploits adicionales y no publicados.

Una vez dentro, los adversarios no se limitaron a robar datos y huir. En su lugar, incrustaron el framework Sliver C2, disfrazándolo como un actualizador de sistema en /bin/.root/system-updater. La persistencia se aseguró manipulando servicios systemd y configuraciones de supervisor - trucos diseñados para sobrevivir reinicios y mimetizarse con procesos legítimos.

Para moverse lateralmente y evadir la detección, los atacantes desplegaron Fast Reverse Proxy (FRP) y un proxy microsocks modificado, astutamente renombrado como “cups-lpd” y vinculado al puerto 515 - precisamente donde opera el auténtico CUPS Line Printer Daemon. Este juego de manos permitió que el tráfico malicioso se hiciera pasar por actividad benigna del servicio de impresión, una táctica que demuestra tanto habilidad técnica como disciplina operativa.

La infraestructura era igualmente engañosa. Dos dominios C2 principales - uno imitando un repositorio de paquetes de Ubuntu, otro una página de reclutamiento de la Fuerza Aérea de Bangladesh - fueron registrados y puestos en funcionamiento. El análisis reveló un aumento en la incorporación de víctimas a finales de diciembre de 2025, con docenas de hosts comprometidos en cuestión de días. El enfoque de los atacantes en entidades financieras y gubernamentales en Pakistán y Bangladesh, junto con el uso de señuelos temáticos de Bangladesh, apunta a una campaña dirigida, no aleatoria.

Puntos ciegos y lecciones para los defensores

Quizás lo más preocupante sea la brecha en la detección. Los dispositivos FortiWeb, como muchos equipos perimetrales, carecen de herramientas integradas de detección y respuesta en el endpoint (EDR). Las organizaciones rara vez instalan monitoreo adicional, confiando en soluciones de seguridad centralizadas que simplemente no ven lo que ocurre en estos perímetros. La campaña solo fue expuesta porque los atacantes dejaron inadvertidamente registros operativos y bases de datos C2 abiertos - un recordatorio inquietante de cuántas brechas similares pueden permanecer invisibles.

Conclusión: Un llamado a repensar la seguridad perimetral

Esta campaña es una llamada de atención. A medida que los atacantes se adaptan y explotan dispositivos perimetrales pasados por alto, los defensores deben replantear su enfoque - priorizando actualizaciones para equipos heredados, desplegando controles compensatorios y segmentando redes para contener brechas. En el creciente juego del gato y el ratón de la ciberdefensa, son las grietas invisibles en el muro las que pueden resultar más peligrosas.

WIKICROOK

  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, indicándole que realice acciones específicas, a veces con fines maliciosos.
  • Zero: Una vulnerabilidad de día cero es una falla de seguridad oculta desconocida para el fabricante del software, sin solución disponible, lo que la hace sumamente valiosa y peligrosa para los atacantes.
  • Persistencia: La persistencia implica técnicas usadas por malware para sobrevivir reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
  • Proxy inverso: Un proxy inverso es un servidor que se sitúa entre los usuarios y un servicio web, ocultando la ubicación real del servicio y protegiéndolo de ataques directos.
  • Detección y Respuesta en el Endpoint (EDR): La Detección y Respuesta en el Endpoint (EDR) son herramientas de seguridad que monitorean computadoras en busca de actividad sospechosa, pero pueden pasar por alto ataques basados en navegador que no dejan archivos.
Cybersecurity Sliver C2 FortiWeb Vulnerabilities
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news