Lunes 9am - 5pm Martes 9am - 5pm Miércoles 9am - 5pm Jueves 9am - 5pm Viernes 9am - 5pm

Zero Day Unit

Name: Zero Day Unit
Address: Mexico City, MX
Telephone: +524422394856

Casa
Mexico
Mexico City
Zero Day Unit

Somos QMA SC, una empresa 100% mexicana que desarrolla y distribuye soluciones de seguridad en el en Visite nuestro blog http://wsg.bemonitor.com.mx/

Nuestras soluciones son herramientas avanzadas de comunicación y seguridad adaptables a los factores siempre cambiantes de nuestro entorno externo, y versátiles con el fin de responder a las siempre crecientes necesidades de nuestra diversa cartera de clientes, la cual incluye cuentas con compañías grandes y pequeñas, bancos, agencias gubernamentales y varias multinacionales.

02/06/2026

La amenaza no es teórica. En el sector financiero mexicano, Optima Servicios Financieros fue afectada por el grupo TheGentlemen en abril de 2026. En manufactura, Tapon Corona fue afectada por TheGentlemen ese mismo mes, y Katcon Global fue afectada por Crypto24 en abril de 2026. Estos tres casos ilustran una constante: los grupos activos en México operan contra sectores con infraestructura AD convencional, exactamente el perfil de blanco del toolkit documentado.

Adicionalmente, el monitoreo de inteligencia sobre grupos con historial en México muestra que LockBit 3.0 acumula 31 víctimas mexicanas totales, con TTPs documentados que incluyen T1083 (descubrimiento de archivos y directorios), T1059 (ejecución mediante intérpretes de comandos) y T1486 (cifrado de datos para impacto). Qilin Ransomware suma 19 víctimas mexicanas con presencia en servicios financieros, salud y manufactura. La incorporación de capacidades de evasión EDR generadas por IA a este ecosistema preexistente representa una aceleración del riesgo, no un riesgo nuevo.

Ransomware construido con IA automatiza evasión de EDR y descubrimiento de Active Directory. Riesgos reales para CISOs en México y LATAM.

02/06/2026

1. El vector: herramientas de administración como superficie crítica
ScreenConnect no es software periférico — es infraestructura central que controla acceso remoto a workstations, servidores y dispositivos corporativos. En el contexto mexicano, MSPs y departamentos de TI lo usan para gestionar sucursales distribuidas geográficamente. Un atacante que compromete ScreenConnect hereda los privilegios administrativos de toda la organización, sin necesidad de movimiento lateral tradicional.

2. La motivación: acceso persistente sin detección
y otros grupos de ransomware prefieren este tipo de vector porque les da acceso administrativo legítimo a través de herramientas que ya están permitidas en la red. No necesitan instalar backdoors — ScreenConnect comprometido ES el backdoor. Los logs muestran actividad administrativa normal, evadiendo detección basada en comportamiento anómalo.

3. El contexto México: MSPs como multiplicadores de riesgo
México tiene una densidad alta de MSPs que atienden PyMEs con infraestructura TI limitada. Un solo MSP comprometido via ScreenConnect puede exponer simultáneamente 50-200 clientes corporativos. Los sectores manufacturero, automotriz y servicios financieros en el Bajío y norte del país dependen intensivamente de soporte remoto para operaciones distribuidas. La superficie de ataque se multiplica exponencialmente.

Vulnerabilidad crítica permite crear cuentas administrativas sin credenciales. BlackBasta ya explota este vector para comprometer redes corporativas.

28/05/2026

Oracle Solaris opera como columna vertebral en sectores donde la continuidad operativa no permite migraciones disruptivas: sistemas bancarios core, plataformas de telecomunicaciones, servidores de bases de datos industriales y entornos gubernamentales. Un CVSS 10.0 en esta infraestructura equivale a compromiso total de servicios críticos que pueden estar operando sin interrupción durante décadas.

APT40, grupo de amenaza avanzada atribuido al Ministerio de Seguridad del Estado de China, no busca monetización inmediata sino acceso persistente para espionaje industrial y gubernamental. Su historial incluye campañas contra infraestructura marítima, defensa, investigación biomédica y sectores gubernamentales, utilizando vulnerabilidades en infraestructura expuesta para establecer foothold de largo plazo.

Las organizaciones mexicanas en sectores críticos mantienen dependencia significativa de infraestructura Oracle Solaris: Pemex y CFE para sistemas SCADA y control industrial, instituciones fintech regulada ante CNBV como BBVA, Santander y Banorte para procesamiento de transacciones core, y dependencias gubernamentales para servicios ciudadanos digitalizados. La exposición regional se amplifica por la concentración de esta tecnología en entornos donde el parcheo requiere coordinación interinstitucional.

CVE-2020-14871 permite compromiso total de sistemas Oracle Solaris y ZFS sin autenticación. En CISA KEV desde 2021. Acciones inmediatas para CISO.

26/05/2026

Los controladores Aviatrix no son dispositivos periféricos — son el sistema nervioso de arquitecturas cloud modernas. Orquestan túneles entre VPCs, definen políticas de enrutamiento y controlan la segmentación entre AWS, Azure y GCP. Su compromiso no afecta un sistema aislado: destruye la integridad de toda la arquitectura de confianza multi-cloud.

UNC3886 no busca extorsión inmediata sino persistencia de largo plazo para espionaje de inteligencia. Su preferencia histórica por dispositivos de red y planos de control convierte a Aviatrix en el vector perfecto: visibilidad total del tráfico empresarial desde un punto que raramente se monitorea como endpoint crítico.

Las organizaciones mexicanas con infraestructura multi-cloud masiva están directamente expuestas. BBVA México y Santander México operan Aviatrix para conectividad híbrida entre centros de datos locales y AWS/Azure. El sector manufacturero — CEMEX, Grupo Bimbo — depende de routing Aviatrix para plantas distribuidas. Fintech como Clip y Albo procesan transacciones a través de túneles Aviatrix controlados por estos dispositivos, requiriendo fintech regulada ante CNBV.

CVE-2024-50603 CVSS 10.0 permite a UNC3886 ejecutar comandos remotos sin autenticación en controladores Aviatrix, comprometiendo AWS, Azure y GCP.

25/05/2026

Scattered Spider es un grupo de cibercrimen avanzado de origen angloparlante, activo desde al menos 2022, con tácticas propias de APT que combinan ingeniería social sofisticada con explotación técnica directa. Sus operaciones documentadas incluyen SIM swapping, vishing, impersonación de soporte técnico y compromiso de infraestructura legítima para persistencia a largo plazo.

El grupo ganó notoriedad internacional por sus ataques devastadores contra MGM Resorts y Caesars Entertainment en 2023, ambos con impacto operativo masivo que paralizó operaciones críticas durante días. Sus sectores objetivo históricos incluyen telecomunicaciones, hospitalidad, retail, juegos y servicios financieros, con expansión documentada hacia infraestructuras de comunicaciones corporativas en América Latina.

Vulnerabilidad crítica permite carga de archivos maliciosos sin autenticación en SmarterMail. Scattered Spider explota vector para RCE total.

24/05/2026

El modelo de bullet-proof hosting (BPH) opera bajo un principio simple pero devastador: ofrecer a actores maliciosos servidores que deliberadamente ignoran las solicitudes de baja por abuso.

A diferencia del hosting legítimo, estos proveedores aceptan pagos en criptomonedas, rotan IP constantemente y explotan vacíos entre jurisdicciones legales. El resultado es una capa de indirección que ralentiza investigaciones durante meses, mientras los ataques continúan sin interrupción.

En el caso holandés, la infraestructura confiscada habilitaba simultáneamente ataques DDoS volumétricos, campañas de desinformación coordinadas y operaciones de interferencia.

Este tipo de multiuso operacional es característico del BPH moderno: un mismo servidor puede alojar un panel de comando y control de botnet a las 08:00 h y servir como nodo de amplificación DNS a las 14:00 h.

Sin embargo, lo que parece una victoria táctica encubre un problema estructural más profundo: por cada proveedor desmantelado, la demanda de infraestructura evasiva migra en semanas a jurisdicciones con menor capacidad de respuesta judicial.

800 servidores confiscados en Países Bajos. El bullet-proof hosting riesgo para México y LATAM: sectores financiero, gobierno y telco bajo exposición.

24/05/2026

Wing FTP Server se despliega masivamente como backbone de transferencia de archivos en sectores críticos mexicanos.

La manufactura 4.0 — desde Cemex hasta clusters automotrices en el Bajío — utiliza Wing FTP para intercambio de datos CAD/PLM con proveedores globales. El sector financiero, incluyendo Banorte y BBVA México, mantiene instancias Wing FTP en arquitecturas híbridas para transferencias interbancarias y procesamiento documental relacionado con fintech regulada ante CNBV.

La motivación: espionaje de largo plazo, no extorsión
GlassWorm opera como actor APT de bajo perfil mediático, evitando ransomware y extorsión para mantener acceso persistente.

Sin víctimas públicas documentadas en 90 días confirma que desarrolla toolkits propietarios y destruye evidencia post-explotación. Esta metodología sugiere objetivos de espionaje industrial o acceso a propiedad intelectual, no monetización directa.

Wing FTP expone ejecución remota de código Lua sin autenticación. 847 IPs mexicanas en riesgo. GlassWorm APT confirma explotación.

24/05/2026

El servicio funcionaba como capa de anonimización para cadenas de ataque completas: desde el reconocimiento inicial hasta la exfiltración de datos y el despliegue de payloads.

Sin embargo, la disonancia central no está en la operación policial sino en lo que ocurre después: la infraestructura VPN criminal no desaparece con la incautación; los artefactos de red que dejó —direcciones IP, rangos de salida, patrones de tráfico— permanecen en los logs de organizaciones que fueron objetivo o vector de paso.

Esta clase de servicios operaba con un modelo de negocio diseñado para la impunidad: rotación de IPs, jurisdicciones múltiples y cifrado de extremo a extremo que dificultaba la inspección de tráfico saliente. En consecuencia, las organizaciones afectadas rara vez identificaban actividad maliciosa en tiempo real. El tráfico se confundía con conexiones VPN legítimas de colaboradores remotos, lo que retrasaba la respuesta a incidentes semanas o meses.

El desmantelamiento de First VPN expone el riesgo de infraestructura VPN criminal en finanzas, salud y gobierno mexicanos. Analisis CISO.

22/05/2026

CISA agregó esta vulnerabilidad al catálogo KEV el 2 de mayo de 2025, confirmando explotación activa en entornos reales con priorización de vulnerabilidades en explotación activa.

Commvault ha publicado un parche de emergencia que requiere aplicación inmediata dado el CVSS 10.0 y la naturaleza crítica de los sistemas de backup como infraestructura de disaster recovery.

Path traversal sin autenticación en Commvault Command Center permite ejecución remota de código. BlackCat/ALPHV explota activamente. CISA KEV confirmado.

22/05/2026

El ecosistema de ransomware dirigido a organizaciones mexicanas muestra actividad sostenida y diversificada. En servicios financieros, Optima Servicios Financieros fue afectada por el grupo TheGentlemen en abril de 2026.

Asimismo, latinoseguros.com.mx fue afectada por LockBit 5 en enero de 2026. En el segmento de consumo, Muebles Dico fue afectada por Qilin en febrero de 2026, evidenciando que el retail no es ajeno a estos operadores.

Sorry Ransomware ataca banca y retail mexicano con doble extorsión. CISOs: obligaciones ANCS, sanciones CNBV y acciones urgentes ante ransomware banca retail.

Dirección

Mexico City

Horario de Apertura

Lunes	9am - 5pm
Martes	9am - 5pm
Miércoles	9am - 5pm
Jueves	9am - 5pm
Viernes	9am - 5pm

Teléfono

+524422394856

Página web

https://www.qma.mx/cybersecurity-gang/

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando Zero Day Unit publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.