El Centro Nacional de Seguridad Cibernética holandesa (NCSC-NL) ha emitido una advertencia urgente sobre ataques cibernéticos sofisticados dirigidos a la infraestructura crítica a través de una vulnerabilidad del día cero en los dispositivos Citrix NetScaler.
La vulnerabilidad, designada CVE-2025-6543, ha sido explotada activamente desde principios de mayo de 2025, comprometiendo con éxito varias organizaciones críticas en los Países Bajos.
Los sistemas Citrix NetScaler ADC y Gateway sirven como componentes cruciales de infraestructura de red, funcionando como equilibradores de carga y seguros de acceso remoto para entornos corporativos.
Estos dispositivos permiten a los empleados trabajar de forma remota proporcionando acceso seguro a redes y aplicaciones internas.
Los sistemas comprometidos representan una violación de seguridad significativa, ya que los atacantes obtuvieron acceso a las defensas perimetrales en las que las organizaciones confían para proteger sus redes internas.
Analistas del Centro Nacional de Seguridad Cibernética (NCSC-NL) identificado La actividad maliciosa el 16 de julio de 2025, descubriendo evidencia de explotación activa en múltiples organizaciones holandesas.
La investigación reveló que los actores de amenaza habían estado aprovechando esta vulnerabilidad previamente desconocida durante meses antes de que Citrix publicara parches el 25 de junio de 2025.
Esta línea de tiempo confirma los ataques como exploits de día cero, que representa una de las amenazas más sofisticadas observadas por las autoridades holandesas de ciberseguridad.
Los atacantes demostraron capacidades avanzadas al borrar activamente las huellas forenses, haciendo que la investigación y la atribución sean extremadamente desafiantes.
Esta destrucción de evidencia deliberada sugiere la participación de actores de amenazas altamente calificados con recursos significativos y conciencia de seguridad operativa.
Mecanismos avanzados de persistencia y evasión
La técnica de explotación implica la implementación de capas web maliciosas en dispositivos NetScaler comprometidos, proporcionando un acceso remoto persistente incluso después de que se aplican parches de vulnerabilidad iniciales.
Los investigadores de NCSC descubrieron que los atacantes colocaron archivos PHP con características sospechosas en los directorios de sistemas, a menudo utilizando nombres de archivo duplicados con diferentes extensiones para evitar la detección.
Las organizaciones pueden detectar un compromiso potencial al examinar las carpetas del sistema para archivos PHP anómalos con fechas de creación inusuales o nombres duplicados.
El NCSC ha publicado scripts de detección en su repositorio de GitHub para ayudar a identificar indicadores de compromiso (COI).
matar icaconnection -TOl Kill PCoipConnection -Toda la sesión de matar aaa -tal matar la conexión rdp -ly lb lb persistentes tesions
Estos comandos deben ejecutarse después de aplicar actualizaciones de seguridad para terminar sesiones persistentes que los atacantes podrían explotar.
El NCSC enfatiza que el parche solo es insuficiente, ya que los sistemas comprometidos pueden retener el acceso de los atacantes, lo que requiere esfuerzos exhaustivos de investigación forense y remediación.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
