Vulnerabilidades activas en Windows MSHTML, Android y npm: APT28, zero-day Qualcomm y ataque a la cadena de suministro
Tres amenazas activas centran la atención de los equipos de seguridad informática: la explotación por APT28 de un zero-day en MSHTML de Windows, el boletín de seguridad de Android de marzo de 2026 con 129 vulnerabilidades parcheadas, incluyendo un zero-day activamente explotado, y una nueva campaña de ataque a la cadena de suministro de software atribuida a actores norcoreanos del grupo Famous Chollima. Las empresas y pymes de Extremadura deben revisar sus sistemas y aplicar los parches disponibles sin demora.
La actividad en el panorama de amenazas se mantiene intensa. Se han confirmado tres incidentes de elevada relevancia para cualquier equipo de ciberseguridad: la vinculación del grupo de amenaza persistente avanzada (APT) conocido como APT28 con la explotación activa de un fallo crítico en el motor MSHTML de Windows, la publicación del boletín mensual de Android con un zero-day en un componente gráfico de Qualcomm bajo explotación activa, y el descubrimiento de 26 paquetes maliciosos en el registro npm atribuidos a Corea del Norte. A continuación se detallan los aspectos técnicos y las recomendaciones de mitigación aplicables a empresas de Cáceres, Badajoz y toda Extremadura.
¿Tu empresa necesita reforzar su postura de ciberseguridad?
Desde el análisis de vulnerabilidades hasta la gestión de incidentes, cubre todas las necesidades de seguridad de pymes y empresas en Extremadura.
Conoce los servicios de CIBEREXTAPT28 y la explotación del zero-day CVE-2026-21513 en MSHTML
CVE-2026-21513 es un fallo de alta severidad con una puntuación CVSS de 8.8 en el framework MSHTML de Windows. El grupo APT28, vinculado al Estado ruso, lo explotó en ataques reales antes de que Microsoft publicara el parche en el Patch Tuesday de febrero de 2026.
La investigación llevada a cabo por Akamai ha permitido relacionar la infraestructura del dominio wellnesscaremed[.]com con campañas activas de APT28. El vector de ataque emplea archivos de acceso directo de Windows (LNK) que embeben código HTML directamente tras la estructura estándar del archivo. Al abrirlos, el sistema operativo procesa la navegación a través de la lógica de ieframe.dll, donde una validación insuficiente de la URL de destino permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW, ejecutando recursos locales o remotos fuera del contexto de seguridad del navegador.
La técnica permite evadir tanto el mecanismo Mark-of-the-Web (MotW) como la Configuración de Seguridad Mejorada de Internet Explorer (IE ESC). El exploit se apoya en iframes anidados y múltiples contextos DOM para manipular los límites de confianza. Aunque la campaña observada utiliza archivos LNK, Akamai advierte de que la ruta de código vulnerable puede activarse desde cualquier componente que embeba MSHTML, por lo que deben contemplarse vectores de entrega adicionales más allá del phishing con ficheros LNK.
Recomendaciones para empresas
- Aplicar el parche de Microsoft del Patch Tuesday de febrero de 2026 que corrige CVE-2026-21513.
- Revisar las reglas del SIEM y el EDR para detectar ejecuciones anómalas de ShellExecuteExW y accesos inusuales a ieframe.dll.
- Concienciar a los usuarios sobre el riesgo de abrir archivos LNK procedentes de fuentes no verificadas.
- Monitorizar el tráfico saliente en busca de conexiones hacia dominios asociados a la infraestructura de APT28.
Boletín de seguridad de Android de marzo de 2026: 129 vulnerabilidades y el zero-day CVE-2026-21385
Google ha confirmado que CVE-2026-21385 (CVSS 7.8, Alta) está siendo explotado de forma limitada y dirigida. El fallo reside en el subcomponente Display/Graphics de Qualcomm y provoca corrupción de memoria mediante un integer overflow que ocurre durante la alineación de la asignación de memoria sin validación correcta del tamaño del búfer.
El Boletín de Seguridad de Android de marzo de 2026 corrige un total de 129 vulnerabilidades en el ecosistema Android, lo que lo convierte en una de las actualizaciones mensuales más voluminosas de los últimos años. CVE-2026-21385 afecta a 234 chipsets de Qualcomm y fue notificado por el equipo de Android Security de Google a Qualcomm el 18 de diciembre de 2025. Qualcomm informó a sus clientes el 2 de febrero de 2026. El boletín se divide en dos niveles de parche, 2026-03-01 y 2026-03-05, para facilitar el despliegue escalonado entre fabricantes y operadores.
La actualización incluye además la corrección de CVE-2026-0006, una vulnerabilidad crítica de ejecución remota de código (RCE) en el componente System de Android que no requiere privilegios adicionales ni interacción del usuario para su explotación, junto con varios fallos críticos de escalada de privilegios en el Kernel y el Framework. Los componentes afectados incluyen componentes de Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.
Medidas recomendadas para entornos corporativos
- Actualizar todos los dispositivos Android al nivel de parche 2026-03-05 lo antes posible.
- Priorizar dispositivos con chipsets Qualcomm por su exposición directa a CVE-2026-21385.
- Implementar políticas MDM que fuercen la actualización automática en flotas de dispositivos corporativos.
- Activar threat hunting basado en análisis de comportamiento hasta que se publiquen indicadores de compromiso (IOC) específicos.
Vulnerabilidades destacadas del boletín de Android de marzo de 2026
| CVE | Componente | Severidad / CVSS | Impacto |
|---|---|---|---|
| CVE-2026-21385 | Qualcomm Display/Graphics | 7.8 (Alta) | Zero-day explotado activamente. Corrupción de memoria. |
| CVE-2026-0006 | Android System | Crítica | RCE sin privilegios ni interacción del usuario. |
| CVE-2026-0047 | Android Framework | Crítica | Escalada de privilegios. |
Ataque a la cadena de suministro: 26 paquetes npm maliciosos del grupo Famous Chollima
El grupo Famous Chollima, vinculado a Corea del Norte, ha publicado 26 paquetes maliciosos en el registro npm. Estos paquetes contienen un troyano de acceso remoto (RAT) que se activa durante la instalación y tiene como objetivo principal a desarrolladores Web3 y de criptomonedas.
Los paquetes se hacen pasar por herramientas legítimas de desarrollo. Durante el proceso de instalación, el script install.js se ejecuta automáticamente y lanza código malicioso ubicado en vendor/scrypt-js/version.js. Las URLs de mando y control (C2) se ocultan mediante esteganografía de texto en publicaciones de Pastebin, técnica que dificulta su detección por parte de soluciones de seguridad convencionales. Los investigadores identificaron además el uso de 31 instancias en Vercel para distribuir las cargas útiles de segundo nivel.
Las capacidades del malware incluyen keylogging, robo de credenciales almacenadas en Visual Studio Code, captura de claves SSH y escaneo activo del sistema en busca de secretos de billeteras de criptomonedas. La alerta fue compartida por la comunidad GoPlus y vincula la campaña con el conocido grupo de amenazas persistentes avanzadas Famous Chollima. Este incidente pone de manifiesto los riesgos que presentan los ataques a la cadena de suministro de software para cualquier organización que utilice dependencias de código abierto en sus desarrollos.
Buenas prácticas frente a ataques de cadena de suministro
- Auditar las dependencias de proyectos activos en busca de los 26 paquetes identificados por la comunidad GoPlus.
- Implementar controles de integridad sobre paquetes npm antes de su instalación en entornos productivos.
- Revisar los logs de instalación de npm en busca de ejecuciones anómalas de scripts postinstall o install.
- Aplicar políticas de lista de permitidos para registros privados de paquetes en entornos empresariales.
- Restringir el acceso a herramientas de desarrollo como Visual Studio Code en sistemas con acceso a entornos productivos o claves críticas.
El panorama de amenazas exige una postura de ciberseguridad proactiva. La detección temprana de vulnerabilidades mediante análisis de vulnerabilidades y pentesting, la gestión ágil de parches y la formación continua del equipo técnico son las principales palancas para reducir el riesgo en empresas y pymes de Extremadura. Una estrategia de Zero Trust, combinada con soluciones EDR/XDR, un SIEM correctamente configurado y la implementación del Esquema Nacional de Seguridad (ENS) o la norma ISO 27001, proporciona la base técnica necesaria para hacer frente a amenazas como las descritas: actores estatales, zero-days y ataques a la cadena de suministro de software.
Contacto
Para consultas sobre servicios de ciberseguridad para empresas en Extremadura: info@ciberext.es
Servicios de ciberseguridad para empresas y pymes en Extremadura
CIBEREXT se celebra y desarrolla dentro del marco del Proyecto CIBERREG, una iniciativa de la Junta de Extremadura en colaboración con Incibe y cofinanciada con fondos de la Union Europea - NextGenerationEU
Referencias
- CVE-2026-21513 (NVD): Microsoft MSHTML Framework Protection Mechanism Failure Vulnerability / National Vulnerability Database / https://nvd.nist.gov/vuln/detail/CVE-2026-21513
- APT28 y CVE-2026-21513 (The Hacker News): APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday / The Hacker News / https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html
- APT28 y CVE-2026-21513 (Security Affairs): Russia-linked APT28 exploited MSHTML zero-day CVE-2026-21513 before patch / Security Affairs / https://securityaffairs.com/188782/security/russia-linked-apt28-exploited-mshtml-zero-day-cve-2026-21513-before-patch.html
- APT28 y CVE-2026-21513 (SC Media): APT28 attacks involving MSHTML zero-day precede fixes / SC Media / https://www.scworld.com/brief/apt28-attacks-involving-mshtml-zero-day-precede-fixes
- Boletín de Seguridad de Android, marzo de 2026 (Google): Android Security Bulletin March 2026 / Google / https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=es-419
- CVE-2026-21385 (Bleeping Computer): Android gets patches for Qualcomm zero-day exploited in attacks / Bleeping Computer / https://www.bleepingcomputer.com/news/security/google-patches-android-zero-day-actively-exploited-in-attacks/
- CVE-2026-21385 (CyberScoop): Google addresses actively exploited Qualcomm zero-day in fresh Android update / CyberScoop / https://cyberscoop.com/android-security-update-march-2026/
- 26 paquetes npm maliciosos (The Hacker News): North Korean Hackers Publish 26 npm Packages Hiding Pastebin C2 / The Hacker News / https://thehackernews.com/2026/03/north-korean-hackers-publish-26-npm.html
- 26 paquetes npm maliciosos (Coinfomania ES): Hackers norcoreanos despliegan 26 paquetes maliciosos en npm / Coinfomania / https://coinfomania.com/es/hackers-norcoreanos-despliegan-26-paquetes-maliciosos-en-npm/
