Una operación de ciberataque oportunista y masiva fue detectada el 8 de mayo de 2025 por GreyNoise, una firma especializada en inteligencia de amenazas. La actividad involucró un escaneo automatizado y coordinado de vulnerabilidades en servidores expuestos a Internet, con origen en 251 direcciones IP maliciosas, todas geolocalizadas en Japón y alojadas en la infraestructura en la nube de Amazon Web Services (AWS).
El análisis revela que esta campaña de escaneo se centró en 75 puntos de exposición distintos, afectando una amplia gama de tecnologías y aplicaciones ampliamente utilizadas en entornos empresariales y gubernamentales.
Una operación silenciosa pero precisa
Según GreyNoise, los IP maliciosos estuvieron completamente inactivos antes y después del 8 de mayo, lo que indica que la infraestructura fue alquilada de forma temporal, probablemente para evadir la detección prolongada y evitar medidas de mitigación.
«Todos los IP estuvieron en silencio antes y después de la oleada, lo que indica el alquiler temporal de infraestructura para una sola operación», detalló GreyNoise.
La operación apunta claramente a un patrón de uso efímero de recursos en la nube, una técnica cada vez más empleada por actores de amenazas para lanzar ataques automatizados y luego eliminar todo rastro.
Tecnologías y vulnerabilidades objetivo
Los investigadores detectaron que el escaneo masivo se centró en tecnologías críticas como:
-
Adobe ColdFusion
-
Apache Struts
-
Apache Tomcat
-
Drupal
-
Elasticsearch
-
Oracle WebLogic
-
WordPress
-
CGI scripts antiguos
-
Configuraciones Git expuestas
Las vulnerabilidades que intentaron explotarse incluyen algunas que han sido responsables de grandes brechas de datos en años anteriores:
-
CVE-2018-15961: ejecución remota de código en Adobe ColdFusion
-
CVE-2017-5638: inyección de OGNL en Apache Struts (famosa por el hack a Equifax)
-
CVE-2022-26134: inyección de OGNL en Atlassian Confluence
-
CVE-2014-6271 (Shellshock): una de las vulnerabilidades más críticas descubiertas en bash
-
CVE-2015-1427: ejecución remota en Elasticsearch mediante omisión de sandbox Groovy
También se observaron intentos de:
-
Acceso a scripts CGI obsoletos
-
Exposición de variables de entorno
-
Extracción de archivos de configuración de Git
-
Carga de shells web
-
Enumeración de autores en WordPress

Un patrón de escaneo orquestado
Uno de los aspectos más destacados es que, a pesar de ser una actividad de escaneo considerada «oportunista», muestra signos claros de planificación:
-
295 direcciones IP se usaron para escanear CVE-2018-15961 (ColdFusion)
-
265 IP para Apache Struts
-
260 IP para CVE-2015-1427 (Elasticsearch)
Se detectó que 251 direcciones IP participaron en los tres escaneos, lo que sugiere que todas fueron utilizadas como parte de una herramienta o conjunto de scripts automatizados, diseñados para buscar múltiples vulnerabilidades al mismo tiempo.
«Este nivel de superposición apunta a un solo operador o conjunto de herramientas desplegado en muchas IP temporales, un patrón cada vez más común en el escaneo oportunista pero orquestal», comentó GreyNoise.
Este tipo de táctica permite maximizar el alcance del ataque en una única ventana de tiempo, minimizando el riesgo de detección por sistemas de defensa que dependen de análisis longitudinal.
Implicaciones para la ciberseguridad empresarial
Este evento debe tomarse como una señal de alerta crítica para empresas, proveedores de servicios cloud y organizaciones gubernamentales. Las técnicas utilizadas —uso de infraestructura efímera en la nube, escaneo a gran escala y targeting múltiple de CVEs conocidos— son consistentes con tácticas de grupos de amenazas persistentes avanzadas (APT), aunque también podrían ser utilizadas por actores criminales oportunistas.
Las organizaciones deben implementar las siguientes medidas preventivas:
Recomendaciones de mitigación
-
Bloquear inmediatamente las direcciones IP involucradas, aunque se advierte que los atacantes pueden reutilizar infraestructuras diferentes en futuras oleadas.
-
Actualizar todas las aplicaciones y middleware a sus últimas versiones, corrigiendo vulnerabilidades conocidas.
-
Deshabilitar servicios y scripts obsoletos como CGI o configuraciones Git expuestas.
-
Implementar WAFs (firewalls de aplicaciones web) con reglas activas para bloquear payloads asociados a CVEs públicos.
-
Realizar análisis de vulnerabilidades de forma periódica para detectar configuraciones inseguras.
-
Monitorear el tráfico saliente e interno en busca de señales de exfiltración o explotación exitosa.
En fin, este incidente subraya la creciente sofisticación y escala de los ataques automatizados basados en la nube. Aunque no se ha confirmado la autoría detrás del escaneo, la eficiencia y precisión de la operación apuntan a un alto nivel de conocimiento técnico y a la posibilidad de que sea una campaña preparatoria para futuras explotaciones más focalizadas.
La ciberseguridad proactiva, la segmentación de servicios expuestos y una adecuada higiene de configuración son claves para mitigar este tipo de amenazas emergentes en un entorno digital cada vez más interconectado y vulnerable.
Fuente: The Hacker News
