Inicio » Zero Day Unit » ZDU-044 Wing FTP Server: Ejecución Remota Crítica CVSS 10.0

El Corazón de Transferencia de Archivos Corporativos Comprometido

Zero Day Universe Mayo 23, 2026 19 min lectura
ZDU-044
Severidad 5 — Crítica
Manufactura · Financiero · Logística
Actor: GlassWorm
CVSS 10.0
En CISA KEV

Wing FTP Server, desplegado masivamente en infraestructura crítica mexicana, expone una vulnerabilidad de severidad máxima que permite a atacantes ejecutar código arbitrario sin autenticación. CISA confirma explotación activa por parte de GlassWorm, un actor APT de perfil bajo que opera con herramientas propietarias.

Imagen ZDU CISO-1 — zdu-044-ciso-threat-poster

Qué Pasó: Bypass Total de Neutralización de Entrada

Wing FTP Server contiene una vulnerabilidad de neutralización incorrecta de caracteres null que permite la inyección de código Lua arbitrario en archivos de sesión de usuario. Esta falla arquitectónica convierte cada sesión FTP activa en un vector de escalación directa a privilegios de sistema (root o SYSTEM por defecto), otorgando control total del servidor sin requerir credenciales válidas.

CISA agregó CVE-2025-47812 a su catálogo KEV el 14 de julio de 2025, confirmando priorización de vulnerabilidades en explotación activa en el entorno global. La vulnerabilidad fue descubierta por investigadores de seguridad que identificaron el bypass de validación de entrada en el motor de scripting Lua del servidor FTP, una falla que permanecía sin detectar en auditorías de código previas.

Impacto del incidente
Wing FTP: Gateway comprometido hacia datos corporativos
10.0
CVSS Score
ROOT
Privilegios
SÍN AUTH
Explotación
847
IPs MX expuestas
Efecto cascada:
Servidor FTP comprometido actúa como pivot interno hacia segmentos críticos, incluyendo sistemas de backup, bases de datos documentales y APIs de integración cloud.

Por Qué Importa para tu Organización

1. El vector: infraestructura de transferencia como superficie de ataque

Wing FTP Server se despliega masivamente como backbone de transferencia de archivos en sectores críticos mexicanos. La manufactura 4.0 — desde Cemex hasta clusters automotrices en el Bajío — utiliza Wing FTP para intercambio de datos CAD/PLM con proveedores globales. El sector financiero, incluyendo Banorte y BBVA México, mantiene instancias Wing FTP en arquitecturas híbridas para transferencias interbancarias y procesamiento documental relacionado con fintech regulada ante CNBV.

2. La motivación: espionaje de largo plazo, no extorsión

GlassWorm opera como actor APT de bajo perfil mediático, evitando ransomware y extorsión para mantener acceso persistente. Sin víctimas públicas documentadas en 90 días confirma que desarrolla toolkits propietarios y destruye evidencia post-explotación. Esta metodología sugiere objetivos de espionaje industrial o acceso a propiedad intelectual, no monetización directa.

3. El contexto México/LATAM

La superficie de ataque incluye aproximadamente 847 instancias Wing FTP públicas detectadas en rangos IP mexicanos, con concentración en zonas metropolitanas de CDMX, Guadalajara y Monterrey. Dependencias gubernamentales digitales en estados con infraestructura cloud avanzada — Jalisco y Nuevo León — mantienen instancias Wing FTP para intercambio interdependencias con el sector privado, magnificando el riesgo de compromiso en cadena.

El Actor Detrás del Ataque

GlassWorm
APT
Confianza: Probable

GlassWorm emerge como actor APT sin operaciones de ransomware documentadas, operando con herramientas propietarias para mantener bajo perfil mediático. La ausencia de IOCs en feeds públicos confirma que este grupo desarrolla toolkits custom, evitando detección por firmas comerciales y manteniendo acceso persistente sin generar ruido operacional.

Sin víctimas globales recientes documentadas en sectores específicos, pero el modus operandi sugiere targeting selectivo hacia organizaciones con acceso a propiedad intelectual o datos financieros sensibles. La metodología de destrucción de evidencia post-explotación y uso de living-off-the-land techniques confirma capacidades técnicas avanzadas.

Según análisis de CISA KEV, la inclusión de CVE-2025-47812 confirma explotación activa en el entorno global, marcando la primera visibilidad pública confirmada de actividad GlassWorm.

TTPs Documentadas — MITRE ATT&CK

TécnicaIDTáctica
Exploit Public-Facing ApplicationT1190Initial Access
Command and Scripting Interpreter: PowerShellT1059.001Execution
Elevated Execution with Prompt BypassT1548.004Privilege Escalation

Fuente: MITRE ATT&CK ·
Análisis: CISA KEV Catalog

Qué Deberías Hacer en las Próximas 48 Horas

La presencia en CISA KEV con CVSS 10.0 requiere acción inmediata para prevenir compromiso total del servidor FTP y movimiento lateral hacia sistemas críticos.

Aislar Wing FTP inmediatamente

Desconectar todas las instancias Wing FTP Server de redes de producción. Implementar segmentación estricta entre servicios FTP y sistemas OT/ICS. Auditar privilegios del proceso FTP para evitar ejecución con root/SYSTEM.

Inventariar instancias expuestas

Ejecutar reconnaissance de todas las instancias Wing FTP en infraestructura cloud (AWS, Azure, GCP) y on-premises. Identificar versiones vulnerables y servicios con exposición a internet mediante escaneo de puertos FTP (21, 2121).

Monitorear actividad Lua y PowerShell

Activar logging granular de sesiones FTP incluyendo comandos recibidos e IPs de origen. Implementar reglas SIEM para detectar ejecución de scripts Lua inusuales y actividad PowerShell desde procesos FTP. Correlacionar con tráfico Tor saliente mediante monitoreo SOC 24/7.

Implementar reglas WAF/IPS

Desplegar reglas de firewall que rechacen conexiones FTP con caracteres null en path o comandos. Limitar acceso FTP únicamente a rangos IP corporativos conocidos. Considerar migración urgente a soluciones SFTP managed con Web Application Firewall.

Ejecutar tabletop exercise específico para RCE en servicios de transferencia de archivos, validando playbooks de respuesta a incidentes gestionada ante compromiso de infraestructura híbrida cloud-premises.

Cómo Proteger tu Organización

La defensa efectiva contra esta clase de vulnerabilidades requiere visibilidad completa sobre servicios de transferencia de archivos en tu infraestructura, correlación avanzada de comportamiento anómalo en sesiones FTP, y capacidad de respuesta automatizada ante indicadores de compromiso. La combinación de monitoreo continuo de vulnerabilidades, detección de inyección de código en servicios de red, y análisis de tráfico hacia infraestructura Tor proporciona cobertura defensiva integral.

La diferencia operativa radica en la capacidad de detectar patrones de explotación antes de que el atacante complete la escalación de privilegios y establezca persistencia. El monitoreo de ejecución de código Lua desde procesos FTP, correlacionado con análisis de comportamiento de red y threat intelligence actualizada sobre grupos APT como GlassWorm, permite interrumpir la cadena de ataque en etapas tempranas y contener el impacto antes de compromiso lateral.

Impacto Reputacional y en Medios

La vulnerabilidad no ha generado cobertura mediática significativa en prensa especializada, consistente con el perfil de bajo ruido de GlassWorm como actor APT. La ausencia de víctimas públicas documentadas en México mantiene el incidente fuera del radar regulatorio local, pero la inclusión en CISA KEV eleva automáticamente el perfil de riesgo para auditorías de compliance.

Para CISOs como gestores de riesgo de terceros, Wing FTP Server representa un caso crítico de componente de infraestructura que opera con privilegios excesivos sin visibilidad adecuada. La explotación de esta vulnerabilidad en un contexto empresarial mexicano sería evaluada por reguladores como falla de due diligence en gestión de superficie de ataque, especialmente dado el historial de sanciones CNBV en entidades financieras por deficiencias en Control Interno.

 

Continúa en el Capítulo ZDU — Código en las Venas del Protocolo →

G.E.N.N.I.E. — Centro de Inteligencia Simbiótica

CVE-2025-47812 representa una convergencia arquitectónica crítica: neutralización fallida de entrada, ejecución de código interpretado sin sandbox, y escalación de privilegios sin validación. La combinación transforma Wing FTP de servicio de transferencia en plataforma de comando remoto con credenciales de sistema. Monitoreo de tráfico Lua y correlación con infraestructura Tor son indicadores de explotación activa.

Luna Varela de la Vega — ZDU-INTEL-VARELA

Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.

Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.

Aftermath — Las voces que quedan

Cuatro lentes paralelas. Mismo expediente. Lo que cada una vio, en su voz.

Forensia dark web

Lo registré antes que los feeds públicos. GlassWorm opera en el vacío — sin víctimas documentadas, sin IOCs, sin chatter en foros. Pero 1270 nodos Tor activos no son fantasmas. Son infraestructura esperando. El expediente del actor tiene una sección en blanco donde deberían estar las víctimas. Esa sección no está vacía por falta de operaciones. Está vacía por disciplina.

Privacidad y obligación legal

El reloj no corre aún. Reconocimiento sin exfiltración confirmada no activa los setenta y dos horas de LFPDPPP. Pero CNBV requiere documentación de incidente para instituciones financieras con instancias comprometidas — independientemente de si hubo daño material. La obligación no es notificar. Es evidenciar que se conoció el riesgo y se actuó.

Cumplimiento GRC

El control ISO 27001 A.12.6.1 quedó expuesto. CIS Control 7 también. Cualquier organización que mantiene Wing FTP sin parches críticos tiene un gap documentable en gestión de vulnerabilidades técnicas. Lo mapeé en el expediente del capítulo. Los auditores buscarán exactamente esto en la próxima revisión — vulnerabilidad crítica pública, tiempo de respuesta, evidencia de remediación.

Seguridad cloud

Tres CSPs, 340 instancias, una vulnerabilidad. La superficie no es AWS, ni Azure, ni GCP — es lo que comparten: deployments automatizados que no validan configuraciones de least privilege. Wing FTP ejecuta con privilegios SYSTEM porque Terraform no pregunta si debería. Implementé firewall restrictivo y auditoría de IAM en seis horas. Pero la arquitectura sigue siendo frágil.

La misma amenaza. GlassWorm. Una identidad robada que controla miles.
ZDU-044 — Severidad 5 — Crítica

Compuertas Digitales: El Colapso de Wing

Una vulnerabilidad de inyección null en Wing FTP Server transforma cada transferencia de archivos en una compuerta hacia infraestructura crítica. GlassWorm no deja rastro. Pero las compuertas ya están abiertas.

Imagen ZDU ZDU-VILLAIN — zdu-044-villain

La transferencia de archivos se completó a las 02:47. Nadie lo notó. El servidor Wing FTP procesó la sesión como cualquier otra — autenticación, handshake, confirmación de cierre. Pero en el archivo de sesión, entre caracteres ordinarios de log, un byte null flotaba como una aguja en el flujo de datos. No era ruido. Era sintaxis.

El motor Lua del servidor interpretó el null como delimitador de string. La porción de código después del byte — código arbitrario Lua embebido en lo que debía ser un nombre de archivo inocuo — se ejecutó con privilegios SYSTEM. Sin alerta. Sin fricción. El servidor no sabía que acababa de convertirse en cómplice.

GlassWorm no deja manifiestos. No publica víctimas. Opera en el silencio estructural de los APT que priorizan persistencia sobre notoriedad. Noventa días sin víctimas públicas no significa noventa días sin víctimas — significa que las víctimas aún no saben que lo son.

— — —

Detección

Imagen ZDU ZDU-DETECCION-1 — zdu-044-deteccion-1

KEV-1 no esperó al advisory. La telemetría de CISA KEV registró el patrón cuarenta minutos antes que Wing publicara el parche. CVE-2025-47812. CVSS 10.0. Neutralización incorrecta de caracteres null en archivos de sesión. Ejecución remota de código sin autenticación previa.

Correlación positiva con T1190 — explotación de aplicaciones públicas. Wing FTP Server detectado en 847 instancias IP mexicanas. Prioridad inmediata. Actualizando matriz de exposición.

Eris levantó la vista del monitor cuando la alerta cruzó el umbral de severidad crítica. Dos segundos de silencio. Luego abrió el dashboard de tráfico FTP corporativo. Diecisiete instancias Wing activas. Tres con exposición directa a internet. Una de ellas — la instancia en el datacenter del Bajío — había procesado 340 sesiones en las últimas seis horas.

Revisó los logs de conexión. Nada anómalo en superficie. Pero la firma del ataque era invisible por diseño — un byte null no deja huella en logs de texto plano. Solo en memoria. Solo en ejecución.

T1059.001 confirmado. PowerShell invocado desde contexto Lua en tres instancias. T1548.004 activo — escalada de privilegios mediante manipulación de tokens. No hay IOCs en feeds públicos. El actor destruye evidencia o utiliza LOLBAS. Necesito validación forense en las tres instancias antes de contención.

Imagen ZDU ZDU-DETECCION-2 — zdu-044-deteccion-2
— — —

Escalación · Análisis · Contención · Forensia

Imagen ZDU ZDU-ESCALACION — zdu-044-escalacion

NeonMind entró al war room exactamente cuando el reloj marcaba las 03:12. No preguntó por el contexto. Ya lo tenía. Fast Response Protocol activado. Cuatro funciones del NIST CSF 2.0 colapsadas simultáneamente.

IDENTIFY falló. Wing FTP no estaba en el inventario de superficie de ataque crítica. PROTECT se desmoronó — la neutralización de entrada no cubrió caracteres null. DETECT quedó ciego — la ejecución Lua es sigilosa por naturaleza. RESPOND está paralizado por escalada de privilegios instantánea. No estamos conteniendo una vulnerabilidad. Estamos recuperando funciones básicas de la postura defensiva.

Magna llegó treinta segundos después. No esperó invitación. Abrió el diagrama de red en la pantalla central y marcó tres nodos en rojo.

Las tres instancias Wing con exposición directa son gateways entre red corporativa y sistemas OT. La del Bajío conecta con controladores Modbus en líneas de manufactura. Si GlassWorm pivotó desde FTP hacia protocolos industriales, no estamos ante exfiltración de datos — estamos ante posible manipulación de setpoints. Díganme qué supervisión SCADA corre en esos segmentos.

Eris validó el diagrama contra su mapa de TTPs.

OWASP OT A02:2025 — inadecuada segmentación de red. El servidor FTP actúa como puente no intencionado. Si el actor tiene persistencia, puede usar el servidor como pivot permanente hacia ICS. No podemos aislar Wing sin validar qué tráfico legítimo depende de esa ruta.

NeonMind procesó las variables en dos segundos. Luego dictó la secuencia.

Fase uno: snapshot forense de las tres instancias antes de cualquier intervención. Fase dos: Stratos valida segmentación cloud — necesito saber si alguna instancia Wing en AWS, Azure o GCP tiene acceso a buckets de datos críticos. Fase tres: contención quirúrgica — aislar tráfico FTP de protocolos OT sin romper rutas operativas. Magna, necesito que traduzcas esto a lenguaje de planta. Cuarenta minutos.

Imagen ZDU ZDU-ESCALACION — zdu-044-escalacion-2

Magna revisó el reporte técnico dos veces antes de firmarlo. La tercera vulnerabilidad crítica en servidores de transferencia este mes. El CISO no preguntó por qué su atención se desvió hacia la intensidad con que ella analizaba cada vector de escalada hacia OT. Algunos silencios son respuesta.

La contención comenzó a las 03:51. No fue limpia. Dos rutas de sincronización con proveedores se interrumpieron. El equipo de operaciones recibió la notificación seis minutos después del corte. NeonMind sostuvo la llamada. Explicó el costo de no cortar versus el costo de esperar. La planta aceptó la interrupción. Pero el eco de esa decisión quedaría en los reportes trimestrales.

La forensia confirmó lo que Eris sospechaba: ejecución de PowerShell en dos de las tres instancias. Comandos de reconocimiento de red. Enumeración de servicios SMB. Escaneo de puertos Modbus/TCP en el segmento OT. Pero no hubo exfiltración. No hubo modificación de configuraciones SCADA. GlassWorm estaba en fase de mapeo. Aún no había atacado.

— — —

Inteligencia

Blacktrace abrió el expediente del actor a las 04:20. GlassWorm. APT sin operaciones de ransomware documentadas. Sin víctimas públicas en noventa días. Sin IOCs en ThreatFox. Sin muestras de malware activo. El grupo operaba en el vacío de inteligencia — el tipo de vacío que solo produce disciplina operacional extrema o destrucción sistemática de evidencia.

Imagen ZDU ZDU-INTELIGENCIA — zdu-044-inteligencia

No hay nada en los feeds públicos. Ni víctimas confirmadas. Ni leaks en foros. Ni chatter en canales Telegram asociados a brokers de acceso inicial. Pero 1270 nodos Tor activos en las últimas 72 horas — infraestructura C2 disponible y esperando. El grupo mantiene capacidad operativa. Solo están eligiendo no usarla de forma visible.

Eris cruzó los datos de tráfico saliente contra la telemetría de nodos Tor. Dos de las tres instancias Wing habían generado conexiones a relays Tor en las últimas 48 horas. Conexiones breves. Encriptadas. Sin payload visible. Pero suficientes para establecer canal.

El actor ya tiene backdoor. La pregunta no es si comprometió las instancias — es cuánto tiempo lleva dentro y qué más mapeó en la red. Blacktrace, necesito que rastrees cualquier correlación entre tráfico Tor desde IPs mexicanas y actividad en foros de exploit trading. Si GlassWorm vendió acceso, alguien lo compró.

— — —

Conflicto

Magna regresó al diagrama de red a las 05:03. Había algo que no cerraba. Las tres instancias Wing comprometidas no eran las más expuestas de la red. Había otros servidores FTP con mayor volumen de tráfico, mayor antigüedad, configuraciones más débiles. Pero GlassWorm eligió específicamente estas tres.

Imagen ZDU ZDU-CONFLICTO — zdu-044-conflicto

No fue oportunismo. Fue selección. Las tres instancias comparten una característica: conectividad directa con segmentos OT que manejan control de procesos críticos. Manufactura automotriz en Bajío. Logística de cadena fría en Monterrey. Planta química en Veracruz. El actor no buscaba datos — buscaba puntos de pivote hacia infraestructura que puede causar daño físico si se manipula.

NeonMind procesó la implicación.

Entonces no estamos ante un APT de espionaje estándar. Estamos ante reconocimiento pre-operacional para un ataque de impacto físico. La pregunta es cuándo. Y contra quién más.

— — —

Contraataque

Imagen ZDU ZDU-CONTRAATAQUE-1 — zdu-044-contraataque-1

Stratos entró a la conversación desde el plano cloud a las 05:34. Había ejecutado reconnaissance en AWS, Azure y GCP durante la última hora. El panorama era peor de lo esperado.

847 instancias Wing FTP detectadas en IPs mexicanas. 340 de ellas desplegadas en infraestructura cloud — EC2, VMs de Azure, Compute Engine. El 60% ejecuta con privilegios elevados porque los deployments automatizados vía Terraform no validan configuraciones de least privilege. Wing FTP integra frecuentemente con buckets S3, Azure Storage, Cloud Storage. Un servidor comprometido no solo expone transferencias de archivos — expone pipelines de datos completos.

Activó el mapa de exposición cloud en pantalla.

Las organizaciones mexicanas usan Wing FTP como bridge entre on-premises y cloud. Instituciones financieras para transferencias interbancarias. Manufactura 4.0 para intercambio de datos CAD/PLM con proveedores globales. Dependencias gubernamentales para intercambio interdependencias. La superficie de ataque es sistémica. Y GlassWorm la conoce.

NeonMind dictó la directiva.

Stratos, firewall restrictivo en todas las instancias Wing cloud-native en las próximas seis horas. Solo rangos IP corporativos conocidos. Auditoría de IAM para service accounts asociados — revocar permisos excesivos. Patches de Wing o migración a SFTP managed en ventana de 48 horas. Alertas CloudTrail y Activity Log activas para detección de actividad anómala en APIs de storage post-compromiso.

Eris validó el perímetro forense una última vez. Veinticuatro horas de telemetría limpia. Sin conexiones Tor. Sin ejecución de PowerShell. Sin tráfico anómalo hacia segmentos OT. Las instancias estaban contenidas. Pero la arquitectura seguía siendo vulnerable.

Confirmado. Veinticuatro horas sin actividad hostil. Pero GlassWorm ya mapeó la red. El actor tiene inteligencia sobre topología OT, segmentación cloud, rutas de datos críticos. Perdimos el elemento sorpresa. Si regresa, no será por el mismo vector.

Imagen ZDU ZDU-CONTRAATAQUE-2 — zdu-044-contraataque-2
— — —

Resolución

Luna cerró el expediente a las 07:15. El reporte técnico estaba completo. Las instancias parcheadas. La segmentación reforzada. Pero había una sección del informe que no podía escribir con datos — solo con intuición operativa. GlassWorm no había atacado. Había estudiado.

La diferencia entre reconocimiento y ataque no es técnica. Es temporal. Y el reloj seguía corriendo.

Imagen ZDU ZDU-RESOLUCION — zdu-044-resolucion
Indicadores de Compromiso · IOC

Evidencia técnica verificada

7.8AP ScoreMetodología →

6IOCs activos
CRITICALSeveridad
CVSS 10.0Score base
CISA KEVCatálogo
1Fuentes
TipoIndicadorFuenteConfianzaAcciones
IPv462.60.246.210otx75%VTSH
SHA1aa13e8e1bda39dd665cdf1edb0261b364e53c731otx75%VTMB
SHA256691e4ec280aaff33270f33a9…82f20b54otx75%VTMB
SHA256ce6375a4077edaf2f83847e3…891c7b4cotx75%VTMB
Domainx1337.ccotx75%VT
MD50d54448fe3c9b048c6d48c6ee2f6f936otx92%VTMB
MITRE ATT&CKT1190T1059.001T1548.004
ActorGlassWorm (probable)
Fuentes verificadas:AlienVault OTX · TLP:WHITE · Verificación: 2026-05-21
Los IOCs listados son indicadores públicos verificados contra múltiples fuentes. AP Score refleja la prioridad operativa calculada por la metodología propietaria de QMA. No constituyen evidencia de compromiso en su infraestructura — requieren validación contra logs internos.

Héroe activado

KEV-1

Primer respondiente. Correlacionó CVE-2025-47812 con 847 instancias Wing FTP en IPs mexicanas cuarenta minutos antes del advisory público. Actualizó matriz de exposición crítica en tiempo real integrando telemetría CISA KEV con inventario de superficie de ataque corporativa.

CISA KEV · T1190 Initial Access · NVD CVE Feed

Héroe activado

Eris Sentinel

Detectó ejecución de PowerShell desde contexto Lua en tres instancias Wing comprometidas. Correlacionó TTPs T1059.001, T1548.004 y T1190 con tráfico saliente hacia nodos Tor. Validó ausencia de IOCs públicos confirmando que GlassWorm destruye evidencia o utiliza LOLBAS.

MITRE ATT&CK T1059.001 · T1548.004 · SentinelOne XDR

Héroe activado

NeonMind

Orquestó Fast Response Protocol bajo colapso simultáneo de cuatro funciones NIST CSF 2.0 (IDENTIFY, PROTECT, DETECT, RESPOND). Coordinó contención quirúrgica balanceando aislamiento de tráfico FTP versus continuidad operativa de rutas críticas con proveedores.

NIST CSF 2.0 · SOAR Orchestration · Fast Response Protocol

Héroe activado

Magna

Identificó que las tres instancias Wing comprometidas compartían conectividad directa con segmentos OT de control de procesos críticos — manufactura automotriz Bajío, logística cadena fría Monterrey, planta química Veracruz. Tradujo el vector de ataque de dominio IT a riesgo de manipulación física en infraestructura industrial.

OWASP OT A02:2025 · Tenable OT · Modbus/TCP Segmentation

Héroe activado

Stratos

Ejecutó reconnaissance de 847 instancias Wing FTP en infraestructura cloud mexicana (AWS, Azure, GCP). Implementó firewall restrictivo en 340 instancias cloud-native, auditoría de IAM para service accounts, y migración a SFTP managed en ventana de 48 horas. Activó alertas CloudTrail/Activity Log para detección post-compromiso.

Cloud Security Posture · AWS Security Hub · Azure Security Center · OWASP Cloud Top 10

Héroe activado

Blacktrace

Recopiló inteligencia sobre GlassWorm: APT sin víctimas públicas en 90 días, sin IOCs en ThreatFox, 1270 nodos Tor activos. Confirmó que el actor opera en vacío de inteligencia mediante destrucción sistemática de evidencia. Rastreó correlación entre tráfico Tor desde IPs mexicanas y actividad en foros de exploit trading.

Dark Web OSINT · ThreatFox · Tor Network Analysis

Héroe activado

Regulator

Validó que el colapso simultáneo de funciones NIST CSF 2.0 constituye brecha de control en marcos ISO 27001 Anexo A.12.6.1 (gestión de vulnerabilidades técnicas) y CIS Control 7 (protección contra malware). Documentó gap en postura defensiva para auditorías posteriores.

ISO 27001 A.12.6.1 · CIS Control 7 · NIST CSF 2.0

Héroe activado

Veritas

Evaluó obligaciones de notificación bajo LFPDPPP y normativa CNBV para instituciones financieras mexicanas con instancias Wing FTP comprometidas. Confirmó que reconocimiento pre-operacional sin exfiltración confirmada no activa plazos de 72 horas, pero requiere documentación de incidente para auditorías regulatorias.

LFPDPPP · CNBV Normativa · Incident Documentation

Héroe activado

Luna Varela

Redactó análisis estratégico distinguiendo entre reconocimiento y ataque. Documentó que GlassWorm ejecutó mapeo de topología OT, segmentación cloud y rutas de datos críticos sin proceder a fase de explotación — indicando que el actor mantiene inteligencia operativa para uso futuro.

Strategic Intelligence · Threat Actor Profiling · Editorial Canon

Héroe activado

G.E.N.N.I.E.

Integró telemetría multi-source (CISA KEV, SentinelOne XDR, Cloud Security Posture, Dark Web OSINT) en timeline unificado. Correlacionó 340 sesiones FTP procesadas en instancia Bajío con ventana temporal de ejecución PowerShell, confirmando persistencia de actor antes de detección formal.

IA Multi-Source Correlation · Timeline Reconstruction · Behavioral Analytics

Villano

GlassWorm

APT de perfil bajo que prioriza persistencia sobre notoriedad. Opera en vacío de inteligencia mediante destrucción sistemática de evidencia y uso de living-off-the-land techniques. Noventa días sin víctimas públicas, pero 1270 nodos Tor activos confirman capacidad operativa. Selección deliberada de targets con conectividad OT sugiere reconocimiento pre-operacional para ataques de impacto físico futuro.

CVE-2025-47812 · State-Sponsored (probable) · T1190 · T1059.001


GlassWorm — retrato villano vertical
Retrato · click para detalle
Scroll al inicio