Ciberataque de grupo Lazarus pone en riesgo a dependencias del gobierno mexicano

Dependencias del gobierno de México enfrentan un riesgo creciente ante ciberamenazas, en un contexto global donde los ataques digitales se han vuelto más frecuentes, complejos y dirigidos.

De acuerdo con especialistas en seguridad informática y reportes oficiales, la infraestructura tecnológica de diversas instituciones públicas permanece vulnerable, lo que podría comprometer información crítica del Estado y de la ciudadanía.

Al respecto, la Unidad de Investigación de SILIKN identificó que el grupo de cibercriminales Lazarus, patrocinados por Corea del Norte, comprometieron el entorno en la nube de la empresa Commvault, alojado en Microsoft Azure, mediante la explotación de una vulnerabilidad de día cero.

De acuerdo con la startup de ciberseguridad, el ataque aprovechó la vulnerabilidad CVE-2025-3928, una falla crítica con puntuación CVSS de 8.7 que afecta el servidor web de Commvault, falla que permite a un atacante remoto autenticado crear y ejecutar webshells, accediendo así de manera no autorizada a la infraestructura comprometida.

Abundó que aunque su explotación requiere credenciales válidas dentro del entorno de Commvault, se presume que los atacantes combinaron esta vulnerabilidad con técnicas como el robo de credenciales para lograr la intrusión.

“El incidente fue detectado por primera vez en marzo de 2025, y aunque Commvault lanzó parches correctivos en febrero, estos fueron publicados antes de que se asignara el identificador CVE, lo que confirma que se trató de un ataque de día cero. Las versiones corregidas incluyen las actualizaciones 11.36.46, 11.32.89, 11.28.141 y 11.20.217 para plataformas Windows y Linux”.

SILIKN indicó en un artículo que para apoyar en la detección de actividades maliciosas, se compartieron varios indicadores de compromiso (IoC) y se ha recomendado bloquear las siguientes direcciones IP:

– 108.69.148.100 

– 128.92.80.210 

– 184.153.42.129 

– 108.6.189.53 

– 159.242.42.20 

Igualmente aconseja monitorear intentos de inicio de sesión desde direcciones IP fuera de los rangos geográficos y horarios habituales.

Las dependencias del gobierno mexicano potencialmente expuestas a esta vulnerabilidad son:

– Servicio de Administración Tributaria (SAT) 

– Gobierno del Estado de Sonora 

– Secretaría de Hacienda del Estado de Sonora 

– CorreosClic (Servicio Postal Mexicano) 

– Instituto Superior de Auditoría y Fiscalización 

– Agencia Nacional de Aduanas de México 

– Secretaría de Educación y Cultura de Colima 

– Plataforma Integral de Información de la Secretaría de Educación y Cultura de Colima 

“La exposición de estas entidades se ve agravada por falta de actualizaciones, uso de sistemas obsoletos y la persistencia de vulnerabilidades en plataformas como Zimbra, que continúan siendo vectores de ataque ampliamente explotados”, mencionó.