El equipo de inteligencia de amenazas de Amazon Web Services (AWS) ha identificado una campaña sofisticada de un actor avanzado (APT) que estaba explotando vulnerabilidades de día cero no divulgadas previamente en productos de Citrix Systems y Cisco Identity Service Engine (ISE), permitiéndole obtener acceso privilegiado a infraestructuras corporativas críticas. Estas fallas fueron aprovechadas antes de que los fabricantes emitieran parches o alertas, lo que demuestra la alta capacidad técnica y de recursos del grupo atacante.

El primer foco del ataque correspondió a la vulnerabilidad identificada como CVE 2025-5777, que afecta a Citrix NetScaler. Según la base de datos del National Vulnerability Database (NVD), esta vulnerabilidad permite una lectura fuera de los límites de memoria («out-of-bounds read«) cuando el dispositivo está configurado como servidor Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) o servidor AAA. Tiene una puntuación CVSS 4.0 de 9,3/10 (crítica).

La segunda vulnerabilidad, CVE-2025-20337, afecta a Cisco Identity Services Engine (ISE) y permite que un atacante remoto y sin autenticar ejecute código arbitrario con privilegios de “root” mediante una solicitud API especialmente diseñada. Su puntuación CVSS es 10,0/10 (crítica), lo que la convierte en una amenaza severa para las organizaciones que utilicen este software sin parchear.

Una vez dentro, el grupo APT desplegó un “web shell” —una herramienta que les permite mantener el acceso y ejecutar comandos— camuflado como un componente legítimo del sistema, bajo el nombre “IdentityAuditAction”. Este archivo operaba completamente en memoria, sin dejar rastros visibles en el disco, y registraba cuidadosamente las peticiones HTTP para preservar la persistencia en el entorno comprometido.

El hallazgo revela una tendencia creciente: los ciberdelincuentes más sofisticados ya no se limitan a atacar equipos finales o servidores comunes, sino que se dirigen directamente a infraestructuras de control de identidad, red y acceso en las organizaciones.

Desde AWS recomiendan aplicar una estrategia de defensa en profundidad, que combine parches actualizados, monitoreo continuo, segmentación de redes y revisión de accesos administrativos, a fin de reducir la superficie de ataque y detectar comportamientos anómalos a tiempo.

Fuente

https://aws.amazon.com/es/blogs/security/amazon-discovers-apt-exploiting-cisco-and-citrix-zero-days

https://nvd.nist.gov/vuln/detail/CVE-2025-5777

https://nvd.nist.gov/vuln/detail/CVE-2025-20337