Amazon detecta un ataque APT con dos 0-day contra Cisco y Citrix que pone en riesgo la seguridad empresaria

Amazon informó sobre un complejo ciberataque, en el que los atacantes utilizaron simultáneamente 2 vulnerabilidades de día cero — en productos de Citrix y Cisco. Según el jefe del servicio de seguridad de la información de la compañía, CJ Moses, una agrupación desconocida obtuvo acceso a los sistemas explotando los fallos antes de su divulgación pública e instaló malware diseñado a medida.

El incidente fue detectado por la red de honeypots Amazon MadPot. Detectó intentos de intrusión a través de la vulnerabilidad CVE-2025-5777 en Citrix NetScaler ADC y NetScaler Gateway —un error de lectura fuera del área de memoria válida. Debido a este fallo, un atacante podía leer remotamente el contenido de la memoria del dispositivo y obtener datos sensibles de las sesiones. La vulnerabilidad recibió el nombre no oficial CitrixBleed 2 —por analogía con el fallo previo mediante el cual los hackers robaban tokens de autorización de usuarios.

Citrix publicó una corrección el 17 de junio; sin embargo, como mostraron observaciones posteriores, el exploit se utilizó activamente antes de la salida del parche. A principios de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y investigadores independientes confirmaron la explotación de la vulnerabilidad, que permitía interceptar sesiones de usuario.

Mientras los especialistas de Amazon analizaban el ataque a Citrix, detectaron otro componente malicioso dirigido ya a Cisco Identity Services Engine. Como se comprobó, éste utilizaba un endpoint de red no documentado, vulnerable debido a un error de deserialización de datos. La información fue remitida a Cisco, y más tarde la empresa asignó a ese fallo el identificador CVE-2025-20337.

Esta segunda vulnerabilidad recibió la máxima puntuación de gravedad —10 en la escala CVSS. Permitía a atacantes remotos no autorizados ejecutar código arbitrario en el servidor con privilegios de administrador (root). Según CJ Moses, lo especialmente preocupante fue que los ataques comenzaron antes de que Cisco registrara oficialmente la vulnerabilidad y publicara actualizaciones completas. Esa «explotación en la ventana entre parches» se considera una táctica típica de actores bien preparados, que siguen los cambios en el código y convierten al instante los errores encontrados en herramientas de ataque.

Tras la intrusión en Cisco ISE, los hackers instalaron una puerta trasera personalizada desarrollada específicamente para esa plataforma. Actuaba exclusivamente en memoria, dejando casi sin huellas, e inyectaba en procesos Java activos mediante el mecanismo de reflexión. El malware se registraba en el sistema como un oyente HTTP, interceptando todo el tráfico del servidor Tomcat. Para ocultarse se emplearon cifrado DES y una codificación Base64 no estándar, y el acceso de gestión requería conocer ciertos encabezados HTTP. Por la combinación de indicios, los especialistas concluyeron que el ataque no procedía de hackers casuales, sino de un grupo profundamente familiarizado con la arquitectura de Cisco ISE y con aplicaciones Java corporativas.

El hecho de poseer simultáneamente exploits para CitrixBleed 2 y CVE-2025-20337 evidencia un alto nivel de preparación de los atacantes. Esas capacidades solo pueden pertenecer a un equipo con investigadores de vulnerabilidades propios o con acceso a información no pública sobre ellas. Ni Cisco ni Citrix han revelado aún quién estuvo detrás de los ataques ni con qué objetivos se llevó a cabo la operación.

Según el equipo Amazon Threat Intelligence, este incidente es un buen ejemplo de una tendencia cada vez más peligrosa: grandes grupos APT utilizan varias vulnerabilidades a la vez para infiltrarse en sistemas de servicios críticos —los que responden de la autenticación, el control de acceso y la política de red en infraestructuras corporativas.