Desde 2023, el grupo APT Earth Lamia ha llevado a cabo campañas dirigidas contra empresas en Brasil, India, Indonesia, Malasia, Filipinas, Tailandia y Vietnam, explotando vulnerabilidades en aplicaciones web y servidores expuestos.
Inyecciones SQL para acceder a servidores Microsoft SQL
Explotación de fallos como el CVE-2025-31324 en SAP NetWeaver
Herramientas post-explotación: Cobalt Strike, Supershell
Backdoors personalizados como PULSEPACK, desplegados vía DLL side-loading
Túneles proxy: Rakshasa, Stowaway
Escalamiento de privilegios con GodPotato y JuicyPotato
Limpieza de logs con herramientas legítimas como wevtutil.exe
En India, intentaron (sin éxito) desplegar el ransomware Mimic.
2° semestre de 2024: Logística y retail online
2025: Empresas TI, universidades y entidades gubernamentales
CVE-2017-9805 – Apache Struts2 RCE
CVE-2021-22205 – GitLab RCE
CVE-2024-9047 – WordPress File Upload
CVE-2024-27198 / 27199 – JetBrains TeamCity
CVE-2024-51378 / 51567 – CyberPanel
CVE-2024-56145 – Craft CMS
En marzo 2025 se detectó una versión de PULSEPACK que usa WebSocket como canal C2, lo que confirma un desarrollo activo del malware.
Reflexión XPoint: La persistencia y adaptación táctica de Earth Lamia exige reforzar la gestión de vulnerabilidades, aplicar segmentación de red, y elevar la visibilidad en entornos críticos expuestos a Internet.
Since 2023, the APT group Earth Lamia has been targeting organizations in Brazil, India, Indonesia, Malaysia, the Philippines, Thailand, and Vietnam by exploiting web application flaws and internet-exposed servers.
SQL injection to access Microsoft SQL Servers
Exploitation of CVE-2025-31324 in SAP NetWeaver
Post-exploitation tools: Cobalt Strike, Supershell
Custom backdoors like PULSEPACK via DLL side-loading
Proxy tunnels: Rakshasa, Stowaway
Privilege escalation: GodPotato, JuicyPotato
Log cleaning with tools like wevtutil.exe
Attempts to deploy Mimic ransomware in India were largely unsuccessful.
Early 2024: Financial (securities and brokerage)
H2 2024: Logistics and online retail
2025: IT firms, universities, and government orgs
CVE-2017-9805 – Apache Struts2 RCE
CVE-2021-22205 – GitLab RCE
CVE-2024-9047 – WordPress File Upload
CVE-2024-27198 / 27199 – JetBrains TeamCity
CVE-2024-51378 / 51567 – CyberPanel
CVE-2024-56145 – Craft CMS
In March 2025, PULSEPACK was observed using WebSocket for C2, confirming the malware is under active development.
XPoint Takeaway: Earth Lamia’s persistence and tactical evolution require organizations to reinforce vulnerability management, implement network segmentation, and improve visibility across internet-exposed assets.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
