⚡ Resumen semanal – SharePoint Breach, Spyware, IoT Hyjacks, DPRK Fraud, Crypto Drains y más

Algunos riesgos no violan el perímetro: llegan a través del software firmado, los currículums limpios o los proveedores sancionados que aún se esconden a la vista.

Esta semana, las amenazas más claras no fueron las más fuertes: fueron las más legítimas. En un entorno donde la identidad, la confianza y las herramientas están interconectadas, el camino de ataque más fuerte es a menudo el que parece pertenecer. Los equipos de seguridad ahora tienen el desafío de defender los sistemas no solo de las intrusiones, sino que la confianza se convierte en un arma.

⚡ Amenaza de la semana

Ataques de Microsoft SharePoint rastreados a China -Las consecuencias de una juerga de ataque se dirigen a defectos en los servidores locales de Microsoft SharePoint continúan extendiéndose una semana después del descubrimiento de las hazañas de día cero, con más de 400 organizaciones a nivel mundial comprometidas. Los ataques se han atribuido a dos grupos de piratería chinos conocidos rastreados como Typhoon de lino (también conocido como APT27), Violet Typhoon (también conocido como APT31) y un presunto actor de amenaza con sede en China, el codificado como Tormenta-2603 que ha aprovechado el acceso al despliegue de ransomware Warlock. Los ataques aprovechan CVE-2025-49706, un defecto de falsificación y CVE-2025-49704, un error de ejecución de código remoto, colectivamente llamado Toolshell. Bloomberg informó que Microsoft está investigando si una filtración del Programa de Protecciones Activas de Microsoft (MAPP), que proporciona acceso temprano a la información de vulnerabilidad a los proveedores de software de seguridad, puede haber llevado a la explotación del día cero. China ha negado las acusaciones de que estaba detrás de la campaña.

🔔 Noticias principales

• Sanciones del Tesoro de EE. UU. Compañía coreana por el esquema de trabajadores de TI – El Departamento de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos sancionó a una empresa delantera norcoreana y tres personas asociadas por su participación en el esquema de trabajadores de tecnología de la información remota (TI) fraudulenta diseñado para generar ingresos ilícitos para Pyongyang. En un movimiento relacionado, Christina Marie Chapman, una agricultor de laptop en Arizona responsable de facilitar el esquema, fue sentenciada a la cárcel durante ocho años y medio, después de recaudar $ 17 millones en fondos ilícitos para el régimen. En estos esquemas, los trabajadores de TI de Corea del Norte usan carteras bien elaboradas y cuidadosamente seleccionadas, completadas con perfiles completos de redes sociales, fotos mejoradas con AI y infartos profundos, y identidades robadas para aprobar verificaciones de antecedentes y trabajos de tierras en varias empresas estadounidenses. Una vez contratados, toman la ayuda de facilitadores para recibir computadoras portátiles emitidas por la empresa y otros equipos, a los que luego pueden conectarse de forma remota, dando así la impresión de que están dentro del país donde se encuentra la empresa. Los esfuerzos continuos operan con los objetivos gemelos de generar ingresos para el programa nuclear del Reino Hermita y otros esfuerzos a través de salarios regulares, así como obtener un punto de apoyo dentro de las redes corporativas con el fin de plantar malware para robar secretos y extorsionar a sus empleadores. “Las operaciones cibernéticas de la DPRK desafían el libro de jugadas tradicional de estado-nación: fusionar el robo de criptomonedas, el espionaje y la ambición nuclear dentro de un sistema autofinanciado impulsado por ganancias, lealtad y supervivencia”, dijo Sue Gordon, miembro de la Junta Asesora de DTEX y ex directora directora de la inteligencia nacional de Estados Unidos. “Reconocerlo como un sindicato de mafia familiar que desborna las líneas entre el delito cibernético y la artesanía. Este informe retira el telón de su funcionamiento interno y psicología, revelando cuán profundamente integrados ya están dentro de nuestra fuerza laboral, proporcionando el contexto necesario para anticipar su próximo movimiento”.
• SOCO404 y Koske Target mal configiadas las instancias de la nube para soltar mineros – Dos campañas de malware diferentes tienen vulnerabilidades y configuraciones erróneas en entornos en la nube para entregar mineros de criptomonedas. Estos grupos de actividad han sido nombrados en código SOCO404 y Koske. Mientras que SOCO404 se dirige a los sistemas Linux y Windows a implementar malware específico de plataforma, Koske es una amenaza centrada en Linux. También hay evidencia que sugiere que Koske se ha desarrollado utilizando un modelo de lenguaje grande (LLM), dada la presencia de comentarios bien estructurados, flujo lógico de mejor práctica con hábitos de secuencia de comandos defensivos e imágenes sintéticas relacionadas con el panda para alojar la carga útil del minero.
• Foro de XSS derribado y presunto administrador arrestado – La policía anotó una victoria significativa contra la economía del delito cibernético con la interrupción del famoso Foro XSS y el arresto de su presunto administrador. Dicho esto, es importante tener en cuenta que los derribos de foros similares han demostrado ser de corta duración, y los actores de amenaza a menudo se mudan a nuevas plataformas u otras alternativas, como los canales de telegrama. El desarrollo se produce cuando Leakzone, un “foro de fuga y agrietamiento” autodenominado donde los usuarios anuncian y comparten bases de datos incumplidas, credenciales robadas y software pirateado, fue atrapado filtrando las direcciones IP de sus usuarios registrados en la web abierta.
• Coyote Trojan Exploits Windows UI Automation – El troyano bancario de Windows conocido como Coyote se ha convertido en la primera cepa de malware conocida en explotar el marco de accesibilidad de Windows llamado UI Automation (UIA) para cosechar información confidencial. Coyote, que se sabe que se dirige a los usuarios brasileños, viene con capacidades para registrar las pulsaciones de teclas, capturar capturas de pantalla y atender superposiciones además de las páginas de inicio de sesión asociadas con las empresas financieras. El análisis de Akamai descubrió que el malware invoca la API GetForeGroundwindow () Windows para extraer el título de la ventana activa y compararlo con una lista codificada de direcciones web que pertenecen a bancos específicos e intercambios de criptomonedas. “Si no se encuentra ninguna coincidencia, COYOTE usará UIA para analizar los elementos infantiles de la UI de la ventana en un intento de identificar pestañas del navegador o barras de dirección”, dijo Akamai. “El contenido de estos elementos de la interfaz de usuario se referencia cruzada con la misma lista de direcciones de la primera comparación”.
• Cisco confirma exploits activos dirigidos a ISE -Cisco ha advertido que un conjunto de fallas de seguridad en el motor de servicios de identidad (ISE) e ISE Passive Identity Connector (ISE-PIC) han estado bajo una explotación activa en la naturaleza. Los fallas, CVE-2025-20281, CVE-2025-20337 y CVE-2025-20282, permiten que un atacante ejecute el código arbitrario en el sistema operativo subyacente como los archivos arbitrarios o cargue los archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema operativo subyacente como root. El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo real, la identidad de los actores de amenaza que los explotan o la escala de la actividad.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una actualización perdida o un error oculto, incluso un CVE sin parches puede abrir la puerta a daños graves. A continuación se muestran las vulnerabilidades de alto riesgo de esta semana que hacen olas. Revise la lista, parche rápido y mantén un paso adelante.

La lista de esta semana incluye: CVE-2025-54068 (Laravel LiveWire Framework), CVE-2025-34300 (Lighthouse Studio), CVE-2025-6704, CVE-2025-7624 (Sophos Firewall), CVE-2025-40599 (Sonicwall SMA 100), CVE-2025-2025, CVE-205655555555555525, CVE-2025, CVE-2025, CVE-205655555555525, CVE-2025, CVE-2025, CVE-4999999 (Sonicwall SMA 100), CVE-2025-2025, CVE-49999999 (Sonicwall SMA 100), CVE-2025- CVE-2025-50151 (Apache Jena), CVE-2025-22230, CVE-2025-22247 (Broadcom VMware Tools), CVE-2025-7783 (Form-Data), CVE-2025-34140, CVE-2025-34141, CVE-2025-34142, CVE-2025-2025-2025 (Hexagon ETQ Reliance), CVE-2025-8069 (AWS Client VPN para Windows), CVE-2025-7723, CVE-2025-7724 (TP-Link Vigi NVR), CVE-2025-7742 (LG INNOTEK LNV5110R), CVE-2025-24000 (Post SMTP), Post SMTP), CVE-2025-52449, CVE-2025-52452, CVE-2025-52453, CVE-2025-52454, CVE-2025-52455 (Salesforce Tableau Server) y CVE-2025-6241 (systrack).

📰 alrededor del mundo cibernético

• Google elimina los 1000 de los canales de YouTube vinculados para influir en OPS -Google eliminó casi 11,000 canales de YouTube y otras cuentas vinculadas a las campañas de propaganda vinculadas al estado de China, Rusia y más en el segundo trimestre de 2025. Eliminó más de 2,000 canales eliminados vinculados a Rusia, incluidos 20 canales de YouTube, 4 cuentas de ADS y 1 blog de blogger asociado con RT, una salida de medios de comunicación estatales rusas. El derribo también incluyó más de 7.700 canales de YouTube vinculados a China, que compartió contenido en chino e inglés que promovió la República Popular de China, apoyó al presidente Xi Jinping y comentó sobre los asuntos exteriores de los Estados Unidos.
• La compañía de vigilancia evita las salvaguardas SS7 – Una compañía de vigilancia no identificada ha estado utilizando una nueva técnica de ataque para evitar las protecciones del protocolo del sistema 7 (SS7) y engañar a las compañías de telecomunicaciones para que revelen la ubicación de sus usuarios. El método de ataque, probablemente utilizado desde el cuarto trimestre de 2024, depende de la manipulación de la parte de la aplicación de la aplicación de capacidades de transacción (TCAP) a través de los comandos SS7 que se han codificado de tal manera que sus contenidos no están analizados por los sistemas de protección o los firewalls en la red objetivo. “No tenemos ninguna información sobre cuán exitoso ha sido este método de ataque en todo el mundo, ya que su éxito es específico del proveedor/software, en lugar de ser una vulnerabilidad general de protocolo, pero su uso como parte de una suite indica que ha tenido cierto valor”, dijeron los investigadores de ENEA Cathal Mc Daid y Martin Gallagher.
• Número de sitios de phishing dirigidos a picos de telegrama – Un nuevo informe descubrió que el número de sitios de phishing dirigidos a los usuarios de telegramas aumentó a 12,500 en el segundo trimestre de 2025. En una variante del esquema, los estafadores crean una página de phishing que simula la página de inicio de sesión asociada con telegrama o fragmento, una plataforma en la plataforma tonelada que permite a los usuarios comprar y vender Usernames de telegrama únicos y números de teléfono virtuales. Si las víctimas ingresan a sus credenciales y los códigos de confirmación, los atacantes secuestran las cuentas. El segundo escenario implica al atacante que se acerca a una víctima para comprar un regalo digital raro en Telegram por una gran cantidad. “Como pago, el estafador envía tokens falsos”, dijo Bi.Zone. “A primera vista, son indistinguibles de los reales, pero no tienen un valor real. Después de la transferencia, la víctima queda sin un regalo y con una moneda digital falsa”. En un informe relacionado, la Unidad de Palo Alto Networks 42 dijo que identificaba 54,446 dominios que alojaban sitios de phishing en una campaña que se hace pasar por telegrama denominado telegram_acc_hijack. “Estas páginas recopilan las credenciales de inicio de sesión de Telegram enviadas y los códigos de acceso único en tiempo real (OTP) para secuestrar cuentas de usuario”, agregó la compañía.
• Ex empleado de la NCA sentenciado a 5.5 años de prisión -Un ex funcionario de la Agencia Nacional de Delitos del Reino Unido (NCA) fue sentenciado a cinco años y medio de prisión después de robar una parte de la agencia incautada por la agencia como parte de una operación de aplicación de la ley dirigida al ahora desaparecido mercado de Silk Road de Silk Road. Paul Chowles, de 42 años, fue identificado como el culpable después de que las autoridades recuperaron su iPhone, lo que lo vinculó a una cuenta utilizada para transferir bitcoin, así como el historial de búsqueda relevante del navegador relacionado con un servicio de intercambio de criptomonedas. “Dentro de la NCA, Paul Chowles era considerado como alguien competente, técnicamente mental y muy consciente de la oscura web y las criptomonedas”, dijo Alex Johnson, fiscal especialista en la división de delitos especial del Servicio de Fiscalía de la Corona. “Aprovechó su posición trabajando en esta investigación alineando sus propios bolsillos mientras ideaba un plan que creía que aseguraría que la sospecha nunca caería sobre él. Una vez que había robado la criptomoneda, Paul Chowles buscó confundir las aguas y cubrir sus huellas al transferir el bitcoin a mezclar servicios para ayudar a ocultar el sendero del dinero”.
• Sanciones del Reino Unido 3 Unidades de Gru rusas para ataques cibernéticos sostenidos – El Reino Unido sancionó a tres unidades de la Agencia de Inteligencia Militar Rusia (GRU) y 18 oficiales de inteligencia militar para “llevar a cabo una campaña sostenida de actividad cibernética maliciosa durante muchos años” con el objetivo de “sembrar caos, división y desorden en Ucrania y en todo el mundo”. La unidad de cobertura de sanciones 26165 (vinculada a Apt28), la unidad 29155 (vinculada a Cadet Blizzard) y la Unidad 74455 (vinculada a Sandworm), así como la iniciativa africana, una “fábrica de contenido de redes sociales establecida y financiada por Rusia y empleando a los funcionarios de inteligencia rusos para llevar a cabo operaciones de información en África occidental”.
• Prohibición de pagos de ransomware del Reino Unido para organismos públicos – El gobierno del Reino Unido ha propuesto una nueva legislación que prohibiría a las organizaciones del sector público y a la infraestructura nacional crítica al pagar a los operadores penales detrás de los ataques de ransomware, así como hacer cumplir los requisitos de informes obligatorios para que todas las víctimas informen a la policía de los ataques. “Los organismos y operadores del sector público de la infraestructura nacional crítica, incluidos el NHS, los consejos locales y las escuelas, se les prohibiría pagar demandas de rescate a los delincuentes bajo la medida”, dijo el gobierno. “La prohibición se dirigiría al modelo de negocio que alimenta las actividades de los ciberdelincuentes y hace que los servicios vitales que el público depende de un objetivo menos atractivo para los grupos de ransomware”. Las empresas que no caen bajo el ámbito de la ley deberían notificar al gobierno sobre cualquier intención de pagar un rescate. Un fracaso en descargar parches para abordar vulnerabilidades ampliamente explotadas podría conducir a multas diarias de £ 100,000 o 10 por ciento de la facturación en caso de que ocurra un robo digital.
• ¿Pensó que Lumma estaba fuera de servicio? ¡Piense de nuevo! – Las operaciones de Lumma Stealer se han recuperado después de un derribo de la ley de su infraestructura a principios de este año, con el malware distribuido a través de canales más discretos y tácticas de evasión más sigilosas. “La infraestructura de Lumma comenzó a aumentar nuevamente a las pocas semanas del derribo”, dijo Trend Micro. “Esta rápida recuperación destaca la resistencia y adaptabilidad del grupo frente a la interrupción”. Un cambio notable es la reducción en el volumen de dominios utilizando los servicios de Cloudflare para ofuscar sus dominios maliciosos y hacer que la detección sea más desafiante, en lugar de cambiar a alternativas rusas como Selectel. “Este pivote estratégico sugiere un movimiento hacia los proveedores que podrían percibirse como menos receptivos a las solicitudes de aplicación de la ley, lo que complica aún más los esfuerzos para rastrear e interrumpir sus actividades”, agregó la compañía. Lumma Stealer es conocido por sus métodos de entrega diversos y en evolución, aprovechando publicaciones de redes sociales, GitHub, ClickFix y sitios falsos que distribuyen grietas y generadores de claves, como métodos de acceso inicial. El resurgimiento de la lumma es la parte del curso con operaciones cibercriminales modernas que a menudo pueden reanudar rápidamente la actividad incluso después de importantes interrupciones de la aplicación de la ley. En una declaración compartida con The Hacker News, ESET confirmó el resurgimiento de Lumma Stealer y que la actividad actual se ha acercado a niveles similares a los anteriores a la acción de aplicación de la ley. “Los operadores de robadores de Lumma continúan registrando docenas de nuevos dominios semanalmente, actividad que no se detuvo incluso después de la interrupción, pero cambió a resolverlos principalmente en servidores de nombres ubicados en Rusia”, dijo Jakub Tománek, analista de malware de Eset. “La base de código en sí ha mostrado cambios mínimos desde el intento de eliminación. Esto indica que el enfoque principal del grupo ha sido restaurar las operaciones en lugar de innovar su ‘producto’ e introducir nuevas características”.

• El gobierno de los Estados Unidos advierte sobre el ransomware de enclavamiento -El gobierno de los Estados Unidos advirtió sobre los ataques de ransomware entrelazados dirigidos a empresas, infraestructura crítica y otras organizaciones en América del Norte y Europa desde finales de septiembre de 2024. Los ataques, diseñados para dirigirse a los sistemas de Windows y Linux, emplean descargas de conducción de sitios web legítimos comprometidos o Luros de estilo FileFix y Lures de estilo FileFix a la carga inicial. “Los actores luego usan varios métodos para el descubrimiento, el acceso a las credenciales y el movimiento lateral para extenderse a otros sistemas en la red”, dijo el gobierno de los Estados Unidos. “Los actores entrelazados emplean un modelo de doble extorsión en el que los actores encriptan los sistemas después de exfiltrando datos, lo que aumenta la presión sobre las víctimas para pagar el rescate para que ambos se descifren sus datos y eviten que se filtre”. También parte de las herramientas del actor de amenaza son Cobalt Strike y un troyano de acceso remoto personalizado llamado Nodesnake Rat, y robos de información como Lumma Stealer y Berserk Stealer para cosechar credenciales para el movimiento lateral y la escalada privilegiada.
• Apple notifica a los iraníes de los ataques de spyware – Apple notificó a más de una docena de iraníes en los últimos meses que sus iPhones habían sido atacados con el spyware del gobierno, según una organización de derechos y seguridad digitales llamada Miaan Group. Esto incluyó a las personas que tienen una larga historia de activismo político. También se notificó a los disidentes y un trabajador de tecnología. No está claro qué fabricante de spyware está detrás de estos ataques. Los ataques marcan el primer ejemplo conocido de herramientas mercenarias avanzadas que se usan tanto dentro de Irán como contra los iraníes que viven en el extranjero.
• Servidores de Linux dirigidos por SVF Bot -Los servidores de Linux mal gestionados están siendo atacados por una campaña que ofrece un malware basado en Python llamado Bot SVF que alista máquinas infectadas en una botnet que puede realizar ataques distribuidos de negación de servicio (DDoS). “Cuando se ejecuta el bot SVF, puede autenticarse con el servidor Discord utilizando el siguiente token BOT y luego operar de acuerdo con los comandos del actor de amenaza”, dijo ASEC. “La mayoría de los comandos apoyados son para ataques DDoS, con L7 HTTP Flood y L4 UDP Flood son los principales tipos admitidos”.
• Empresas turcas atacadas por Snake Keylogger – Las organizaciones turcas son el objetivo de una nueva campaña de phishing que ofrece un robador de información llamado Snake Keylogger. La actividad, principalmente destacando los sectores de defensa y aeroespacial, implica la distribución de mensajes de correo electrónico falsos que se hacen pasar por industrias aeroespaciales turcas (TUSAş) en un intento de engañar a las víctimas para que abran archivos maliciosos bajo la apariencia de documentos contractuales. “Una vez ejecutado, el malware emplea mecanismos avanzados de persistencia, incluidos los comandos de PowerShell para evadir el defensor de Windows y las tareas programadas para la ejecución automática, para cosechar datos confidenciales, como credenciales, cookies e información financiera, desde una amplia gama de navegadores y clientes de correo electrónico”, dijo Malwation.
• El ex ingeniero se declara culpable de robo comercial -Un hombre del condado de Santa Clara y un ex ingeniero de una compañía del sur de California se declaró culpable de robar tecnologías secretas de comercio desarrolladas para su uso por el gobierno de los Estados Unidos para detectar lanzamientos de misiles nucleares, rastrear misiles balísticos e hipersónicos, y permitirnos aviones de combate para detectar y evadir los misiles de búsqueda de calor. Chenguang Gong, de 59 años, de San José, se declaró culpable de un cargo de robo de secretos comerciales. Sigue libre con un bono de $ 1.75 millones. Gong, un doble ciudadano de los Estados Unidos y China, transfirió más de 3.600 archivos de una compañía de investigación y desarrollo del área de Los Ángeles, donde trabajó para dispositivos de almacenamiento personal durante su breve mandato con la compañía el año pasado. La compañía de víctimas contrató a Gong en enero de 2023 como gerente de diseño de circuito integrado específico de la aplicación. Fue despedido tres meses después. Gong, quien fue arrestado y acusado en febrero, está programado para la sentencia el 29 de septiembre de 2025. Se enfrenta hasta 10 años de prisión.
• FBI emisas advertencia sobre el COM -La Oficina Federal de Investigación (FBI) advierte al público sobre un grupo en línea llamado en la vida real (IRL) com que proporciona violencia como servicio (VAA), incluidos tiroteos, secuestros, robos a mano armada, apuñalamientos, asalto físico y ladrillo. “Los servicios se publican en línea con un desglose de precios para cada acto de violencia”, dijo el FBI. “Grupos que ofrecen VAA anuncian contratos en las plataformas de redes sociales para solicitar a las personas dispuestas a realizar el acto de violencia para la compensación monetaria”. También se dice que el grupo de amenazas anuncia servicios SWAT-for alquiler a través de aplicaciones de comunicación y plataformas de redes sociales. Se evalúa que IRL Com es uno de los tres subconjuntos de la Com (abreviatura de la comunidad), un creciente colectivo en línea que comprende principalmente de miles de personas de habla inglesa, muchos de los cuales son menores, y participan en una amplia gama de esfuerzos criminales. Las otras dos ramas son los hacker com, que está vinculado a DDoS y grupos de ransomware como servicio (RAAS), y extorsión Com, que implica principalmente la explotación de niños. En particular, el COM abarca los grupos de amenazas rastreados como Lapsus $ y Spiders Spider. La Agencia Nacional de Delitos Nacionales (NCA) emitió una advertencia similar a principios de marzo, llamando la atención sobre la tendencia de la COM de reclutar a los adolescentes para cometer una variedad de actos criminales, desde fraude cibernético y ransomware hasta abuso sexual infantil.
• Grupo de crimen organizado detrás de fraude a gran escala interrumpido -Un grupo criminal altamente organizado involucrado en fraude a gran escala en Europa occidental fue desmantelado en una operación coordinada dirigida por autoridades de Rumania y el Reino Unido. “La pandilla había viajado de Rumania a varios países de Europa occidental, principalmente el Reino Unido, y retiró grandes sumas de dinero de los cajeros automáticos”, dijo Europol. “Más tarde lavaron las ganancias invirtiendo en bienes raíces, empresas, vacaciones y productos de lujo, incluidos automóviles y joyas”. La operación ha llevado a dos arrestos, 18 búsquedas en la casa y la incautación de bienes raíces, automóviles de lujo, dispositivos electrónicos y efectivo. Los atacantes cometieron lo que se ha descrito como fraude de inversión de transacción (TRF), en el que se elimina la pantalla de un cajero automático y se inserta una tarjeta bancaria para solicitar fondos. Las transacciones fueron canceladas (o revertidas) antes de dispensar los fondos, lo que les permitió alcanzar dentro del cajero automático y tomar el efectivo antes de que se retractara. Se estima que la pandilla ha saqueado alrededor de € 580,000 (alrededor de $ 681,000) utilizando este método. “Los perpetradores también participaron en otras actividades criminales, incluida la descremada, forjando medios electrónicos de pago y tarjetas de transporte, y realizando ataques de contenedor, un tipo de fraude de tarjetas realizado utilizando software diseñado para identificar números de tarjetas y generar ingresos ilícitos a través de pagos fraudulentos”, agregó Europol. El desarrollo se produjo cuando una estudiante del Reino Unido de 21 años, Ollie Holman, que diseñó y distribuyó 1,052 kits de phishing vinculados a £ 100 millones (aproximadamente $ 134 millones) en fraude, fue encarcelado por siete años. Se estima que Holman recibió £ 300,000 al vender los kits entre 2021 y 2023. Los kits de phishing se vendieron a través de Telegram. Holman anteriormente se declaró culpable de siete cargos, que incluyen alentar o asistir a la comisión de un delito, hacer o suministrar artículos para su uso en fraude y transferir, adquirir y poseer propiedades penales, según el servicio de enjuiciamiento de la Corona.
• Endgame Gear reconoce el ataque de la cadena de suministro – El fabricante de periféricos de juegos Fingame Gear confirmó que los actores de amenaza no identificados comprometieron su sistema oficial de distribución de software para difundir malware XRED peligroso a clientes desprevenidos durante casi dos semanas a través de la página del producto OP1W 4K V2. La violación de seguridad ocurrió entre el 26 de junio y el 9 de julio de 2025. La compañía declaró que “el acceso a nuestros servidores de archivos no se vio comprometido, y no se trataron los datos del cliente o afectados en nuestros servidores en ningún momento, y que” este problema se aisló a la descarga de la página del producto OP1W 4K V2 solamente “.
• La nueva campaña dirigió a los usuarios de criptografía desde marzo de 2024 -Una nueva campaña de malware sofisticada y evasiva ha logrado mantener desapercibidos y dirigirse a usuarios de criptomonedas a nivel mundial desde marzo de 2024. Apodado WeevilProxy, la actividad aprovecha las campañas de anuncios de Facebook que se enojaron como un software y plataformas de criptomonedas bien conocidos, como Binance, Bybit, Krren, revuelta, intercambiando visión, y otros, y otros, y otros, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos. Finalmente, elimina los robos de información y los drenadores de criptomonedas. “También hemos observado que el actor de amenaza propaga anuncios a través de Google Display Network desde abril a mayo de 2025, que se muestran en Internet en forma de imágenes/videos”, dijo WithSeecure. “Estos anuncios también aparecen geográficamente encuadernados, por ejemplo, hemos observado tales anuncios dirigidos específicamente a Filipinas, Malasia, Tailandia, Vietnam, Bangladesh y Pakistán”.

• VMDetector Loader ofrece Formbook Malware – Se ha encontrado una nueva variante del malware del cargador VMDetector de VMDetector integrado dentro de los “datos de píxeles” de una imagen JPG aparentemente benigna que se entrega a través de correos electrónicos de phishing para implementar un robador de información llamado Formbook. La imagen JPG se recupera de Archive.org mediante scripts de Visual Basic presentes dentro de los archivos con cremallera que se envían como archivos adjuntos a los mensajes de correo electrónico.
• Los actores de amenaza usan Mount Binary en ataques de hikVision -Se han descubierto ataques en el Wild Exploting CVE-2021-36260, un error de inyección de comandos que afecta las cámaras de hikVision, que aprovechan el defecto para montar una parte remota de NFS y ejecutar un archivo de ella. “El atacante le dice a Mount que haga que el NFS remoto compartiera,/SRV/NFS/Shared, en 87.121.84 (.) 34 disponible localmente como directorio ./b”, dijo Vulncheck.
• ¿Cómo se pueden armarse los conductores de Windows? -En un nuevo análisis detallado, Security Joes ha destacado la amenaza que plantea los ataques en modo núcleo y cómo los ataques que abusan de los conductores vulnerables, llamado Tray Your Own Vulnerable Driver (BYOVD), los atacantes pueden ser utilizados por los atacantes para explotar los conductores firmados pero a las protecciones de Kernel de derivación. “Debido a que los conductores se ejecutan en modo kernel, poseen altos privilegios y acceso sin restricciones a los recursos del sistema”, dijo la compañía. “Esto los convierte en un objetivo de alto valor para los atacantes con el objetivo de aumentar los privilegios, deshabilitar los mecanismos de seguridad como las devoluciones de llamada EDR y lograr un control total sobre el sistema”.
• La superficie de ataque de las organizaciones aumenta – Las organizaciones han creado más puntos de entrada para los atacantes. Según un informe de Reliaquest, que encontró un aumento del 27% en los puertos expuestos entre la segunda mitad de 2024 y la primera mitad de 2025, un aumento del 35% en la tecnología operativa expuesta (OT) y un aumento en las vulnerabilidades en los sistemas de orientación pública, como PHP y WordPress. “Las vulnerabilidades en los activos públicos más del doble, aumentando de 3 por organización en la segunda mitad de 2024 a 7 en la primera mitad de 2025”, dijo la compañía. “Desde finales de 2024 hasta principios de 2025, el número de claves de acceso expuestas para organizaciones en nuestra base de clientes se duplicó, creando el doble de la oportunidad para que los atacantes pasen desapercibidos”.
• Pasargad del Banco iraní atacado durante el conflicto de junio -El banco iraní conocido como Pasargad fue blanco como parte de un ataque cibernético durante la Guerra de Irán-Israel en junio de 2025, lo que impacta el acceso a servicios cruciales. Una presunta operación israelí llamada Sparrow depredador se atribuyó la responsabilidad del ataque a otro banco iraní Sepah y el intercambio de criptomonedas más grande del país, Nobitex.
• La interrupción de crowdstrike impactó a más de 750 hospitales estadounidenses – Un nuevo estudio realizado por un grupo de académicos de la Universidad de California, San Diego, encontró que 759 hospitales estadounidenses experimentaron interrupciones en julio pasado debido a una actualización defectuosa de CrowdStrike. “Se identificaron un total de 1098 servicios de red distintos con interrupciones, de los cuales 631 (57.5%) no pudieron clasificarse, 239 (21.8%) eran servicios directos orientados al paciente, 169 (15.4%) eran servicios operacionalmente relevantes y 58 (5.3%) fueron servicios relacionados con la investigación”, dijo el estudio.
• Los actores norcoreanos emplean señuelos de Nvidia -Los actores de amenaza de Corea del Norte detrás de la campaña contagiosa entrevista (también conocida como DeceptedEgrelment) están aprovechando señuelos estilo ClickFix para engañar a los solicitantes de empleo desprevenidos para descargar una supuesta actualización relacionada con NVIDIA para abordar los problemas de cámara o micrófono al intentar proporcionar una evaluación de video. El ataque lleva a la ejecución de un script de Visual Basic que lanza una carga útil de Python llamada Pylangghost que roba credenciales y permite el acceso remoto a través de Meshagent.
• Variante ACRStealer distribuida en nuevos ataques – Los actores de amenaza están propagando una nueva variante de Acrstealer que incorpora nuevas características dirigidas a la evasión de detección y la obstrucción del análisis. “El AcrStealer modificado usa la puerta del cielo para interrumpir la detección y el análisis”, dijo Ahnlab. “Heaven’s Gate es una técnica utilizada para ejecutar el código X64 en los procesos WOW64 y se usa ampliamente para la evasión de análisis y la evitación de detección”. La nueva versión ha sido renombrada como Amatera Stealer, por punto de prueba. Se ofrece a la venta por $ 199 por mes a $ 1,499 por año.
• El grupo AEZA cambia la infraestructura después de las sanciones de EE. UU. -A principios de este mes, el Departamento del Tesoro de los Estados Unidos impuso sanciones contra el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia AEZA Group para ayudar a los actores de amenazas en sus actividades maliciosas, como ransomware, robo de datos y tráfico de drogas Darknet. Silent Push, en un nuevo análisis, dijo que IP abarca desde AS210644 de AEZA comenzó a migrar a AS211522, un nuevo sistema autónomo operado por Hypercore Ltd., a partir del 20 de julio de 2025, en un intento por evadir la aplicación de sanciones y operar bajo una nueva infraestructura.
• Solicitud de estafas de cotización Demostrar sofisticación -Los investigadores de ciberseguridad están llamando la atención sobre una estafa generalizada de solicitudes de cotización (RFQ) que emplea opciones de financiamiento neto comunes (neto 15, 30, 45) para robar una variedad de productos electrónicos y bienes de alto valor. “En las campañas de RFQ, el actor se comunica con un negocio para solicitar citas para varios productos o servicios”, dijo Proofpoint. “Las citas que reciben se pueden usar para hacer señuelos muy convincentes para enviar malware, enlaces de phishing e incluso compromiso de correo electrónico comercial adicional (BEC) y fraude de ingeniería social”. Además de utilizar el financiamiento suministrado por el proveedor y las identidades robadas de empleados reales para robar bienes físicos, estas estafas utilizan el correo electrónico y los formularios legítimos de solicitud de cotización en línea para llegar a posibles víctimas.

• Los juegos falsos distribuyen malware de robador – Una nueva campaña de malware está distribuyendo instaladores falsos para títulos de juegos independientes como Baruda Quest, Warstorm Fire y Dire Talon, promocionándolos a través de sitios web fraudulentos, canales de YouTube y Discord, a los usuarios innovadores para infectar sus máquinas con Staalers como Leet Stealer, RMC Stealer (una versión modificada de Leet Stealer) y Sniffer Sniffer. Los orígenes de las familias de malware Leet y RMC se remontan a menos robador, lo que sugiere un linaje compartido. Se cree que la campaña originalmente se dirigió a Brasil, antes de expandirse en todo el mundo.
• La FCC de EE. UU. Quiere prohibir que las empresas usen equipos chinos al colocar cables submarinos – La Comisión Federal de Comunicaciones de los EE. UU. Dijo que planea emitir nuevas reglas que prohíban la tecnología china de los cables submarinos estadounidenses para proteger la infraestructura de telecomunicaciones submarinas de amenazas adversas extranjeras. “Hemos visto una infraestructura de cable submarino amenazada en los últimos años por adversarios extranjeros, como China”, dijo el presidente de la FCC, Brendan Carr. “Por lo tanto, estamos tomando medidas aquí para proteger nuestros cables submarinos contra la propiedad adversaria extranjera y el acceso, así como las amenazas cibernéticas y físicas”. En un informe reciente, el futuro registrado dijo que el entorno de riesgo para los cables submarinos ha “intensificado” y que la “amenaza de actividad maliciosa patrocinada por el estado dirigida a la infraestructura de cable submarino es probable que aumente aún más en medio de tensiones geopolíticas aumentadas”. La compañía de ciberseguridad también citó una falta de redundancia, la falta de diversidad de rutas de cables y la capacidad de reparación limitada como algunos de los factores clave que aumentan el riesgo de impacto grave causado por el daño a los cables submarinos.
• China advierte a los ciudadanos de dispositivos traseros y amenazas de la cadena de suministro – El Ministerio de Seguridad del Estado de China (MSS) ha emitido un aviso, advirtiendo sobre los puestos de traseros y los ataques de la cadena de suministro contra el software. La agencia de seguridad dijo que tales amenazas no solo corren el riesgo de privacidad personal y robo de secretos corporativos, sino que también afectan la seguridad nacional. “Los riesgos de seguridad técnicos posibles en la puerta trasera también se pueden reducir fortaleciendo las medidas de protección técnica, como la formulación de estrategias de parches, actualizar regularmente los sistemas operativos, verificar regularmente los registros de dispositivos y monitorear el tráfico anormal”, dijo MSS, instando a las organizaciones a evitar software extranjero y, en su lugar, adoptar sistemas operativos nacionales. En un boletín separado, el MSS también alegó que las agencias de inteligencia de espías en el extranjero pueden establecer traseros en sus sensores de observación oceánica para robar datos.
• Infraestructura del grupo de piratería Nyashteam interrumpida -La compañía de seguridad cibernética con sede en Rusia F6 dijo que desmanteló una red de dominios operados por un equipo de piratería relativamente desconocido conocido como Nyashteam, que vende dos troyanos de acceso remoto diferentes conocidos como DCRAT (rata Darkcrystal) y WebRat a través de bots y sitios web de telegrama bajo el modelo de malware-as-a-servicio (MAAS). El malware se distribuye utilizando YouTube y GitHub al pasarlos como trucos de juego o software pirateado. También se cree que el grupo brinda servicios de alojamiento para la infraestructura cibercriminal y los clientes de soporte a través de complementos, guías y herramientas de procesamiento de datos, que atraen tanto a los piratas informáticos y los ciberdelincuentes experimentados.
• Técnica de ataque de renderershock detallada -Los investigadores de ciberseguridad han detallado una estrategia de ataque de clic cero llamada Rendershock que aprovecha los comportamientos de sistema operativo confiable para llevar a cabo el reconocimiento y entregar cargas útiles sin requerir ninguna interacción del usuario. “Al incorporar la lógica maliciosa en los metadatos, los desencadenantes de vista previa y los formatos de documentos, Renderershock capitaliza la conveniencia del sistema como un vector de ataque sin guardia”, dijo Cyfirma. “Los sistemas empresariales modernos están creados para conveniencia, previsualizando automáticamente, indexación, sincronización y representación de archivos a través de puntos finales, plataformas en la nube y suites de productividad. Estos sistemas a menudo procesan archivos sin acciones de usuario explícitas, confiando en que el proceso de representación es seguro. RenderShock explota estos explotaciones de ejecución pasiva: los componentes confiables que los archivos perseguidos no afligidos se sienten en el fondo”. “

🎥 seminarios web de ciberseguridad

• La IA está rompiendo la confianza, aquí está cómo salvarlo antes de que sea demasiado tarde, descubra cómo los clientes están reaccionando a las experiencias digitales impulsadas por la IA en 2025. El informe Auth0 Ciam Trends revela amenazas de identidad crecientes, nuevas expectativas de confianza y los costos ocultos de los inicios roto. Únase a este seminario web para aprender cómo la IA puede ser su mayor activo, o su mayor riesgo.
• Python Devs: Su instalación de PIP podría ser una bomba de malware: en 2025, la cadena de suministro de Python está bajo asedio, desde tiposquatos hasta bibliotecas de IA secuestradas. Una instalación de PIP incorrecta podría inyectar malware directamente en la producción. Esta sesión muestra cómo asegurar sus compilaciones con herramientas como Sigstore, SLSA y contenedores endurecidos. Deja de esperar que tus paquetes estén limpios, comience a verificar.

🔧 Herramientas de ciberseguridad

• VENDETECT: es una herramienta de código abierto diseñada para detectar código copiado o proveedor en todos los repositorios, incluso cuando el código ha sido modificado. Creado para las necesidades de seguridad y cumplimiento del mundo real, utiliza el análisis semántico de huellas dactilares y control de versiones para identificar de dónde se copió el código, incluida la confirmación de fuente exacta. A diferencia de las herramientas de plagio académica, Vendetect está optimizado para entornos de ingeniería de software: atrapa funciones renombradas, comentarios despojados y formateo alterado, y ayuda a rastrear dependencias no respaladas, violaciones de licencias y vulnerabilidades heredadas a menudo encontradas durante las evaluaciones de seguridad.
• Telegram Channel Scraper: es una herramienta basada en Python diseñada para monitoreo avanzado y recopilación de datos de canales públicos de telegrama. Utiliza la biblioteca Telethon para raspar mensajes y medios, almacenando todo en bases de datos SQLite optimizadas. Construido para la eficiencia y la escala, admite raspado en tiempo real, descargas de medios paralelas y exportaciones de datos por lotes. Esto lo hace útil para investigadores, analistas y equipos de seguridad que necesitan acceso estructurado al contenido de telegrama para investigar o archivar, sin depender de raspado manual o plataformas de terceros.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio riesgo: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

No confíes en tu navegador a ciegas – La mayoría de las personas piensan en su navegador como una herramienta para conectarse en línea, pero en realidad, es una de las partes más expuestas de su dispositivo. Detrás de escena, su navegador almacena en silencio nombres, correos electrónicos, empresas y, a veces, incluso información de pago. Estos datos a menudo viven en archivos simples y sin cifrar que son fáciles de extraer si alguien gana acceso local, incluso brevemente.

Por ejemplo, en Chrome o Edge, los detalles personales de AutoFill se almacenan en un archivo llamado Web Data, que es una base de datos básica de SQLite que cualquier persona con acceso puede leer. Esto significa que si su máquina está comprometida, incluso por un guión simple, su identidad personal o incluso de trabajo puede ser robada en silencio. Los equipo rojo y los atacantes adoran este tipo de oro de reconocimiento.

No se detiene allí. Los navegadores también mantienen cookies de sesión, almacenamiento local y bases de datos del sitio que a menudo no se limpian, incluso después del cierre de sesión. Estos datos pueden permitir a los atacantes secuestrar sus sesiones iniciadas o extraer información confidencial almacenada por aplicaciones web, incluidas las herramientas de la empresa. Incluso las extensiones del navegador, si son maliciosas o secuestradas, pueden espiar silenciosamente su actividad o inyectar código malo en las páginas en las que confía.

¿Otro punto débil? Extensiones del navegador. Incluso los complementos de aspecto legítimo pueden tener amplios permisos, permitiéndoles leer lo que escribe, rastrear su navegación o inyectar scripts. Si una extensión confiable se compromete en una actualización, puede convertirse en silencio en una herramienta de robo de datos. Esto sucede con más frecuencia de lo que la gente piensa.

Aquí le mostramos cómo reducir el riesgo:

• Aclarar el autofill, las cookies y los datos del sitio regularmente
• Deshabilitar el autofill por completo en las estaciones de trabajo
• Limite las extensiones: auditarlas utilizando herramientas como CRXCAVATOR o POLICÍA DE LA EXTENSIÓN
• Use el navegador DB para SQLite para inspeccionar archivos almacenados (datos web, cookies)
• Utilice herramientas como Bleachbit para limpiar de forma segura las trazas

Los navegadores son plataformas de aplicaciones esencialmente livianas. Si no está auditando cómo almacenan datos y quién puede acceder a él, está dejando una gran brecha abierta, especialmente en máquinas compartidas o expuestas a puntos finales.

Conclusión

Las señales de esta semana son menos una conclusión y más una provocación: ¿qué más podríamos estar mal clasificando? ¿Qué datos familiares podrían volverse significativos bajo una lente diferente? Si el adversario piensa en los sistemas, no en síntomas, nuestras defensas deben evolucionar en consecuencia.

A veces, la mejor respuesta no es un parche: es un cambio de perspectiva. Hay valor en mirar dos veces donde otros han dejado de mirar por completo.