- Advertisement -spot_img
Tecnología

VPN 0 días, trasero de cifrado, malware de IA, falla de macOS, hack de cajero automático y más

El malware ya no solo está tratando de esconderse, está tratando de pertenecer. Estamos viendo un código que habla como nosotros, registros como nosotros, incluso se documenta como un compañero de equipo útil. Algunas amenazas ahora se parecen más a las herramientas de desarrollador que a las exploits. Otros toman prestada confianza de las plataformas de código abierto, o se construyen en silencio de los fragmentos escritos por AI. No se trata solo de ser malicioso, se trata de ser creíble.

En el resumen de ciberseguridad de esta semana, exploramos cómo las amenazas de hoy se están volviendo más sociales, más automatizadas y demasiado sofisticadas para los instintos de ayer para atrapar.

⚡ Amenaza de la semana

Secret Blizzard conduce ataques de AITM de nivel ISP para desplegar Apolloshadow – Las ciberespías rusas están abusando de las redes de proveedores de servicios de Internet locales para dirigirse a embajadas extranjeras en Moscú y probablemente recopilen inteligencia de los dispositivos de los diplomáticos. La actividad se ha atribuido a la amenaza persistente avanzada rusa (apt) conocida como Blizzard Secret (también conocido como Turla). Es probable que implique usar una posición adversaria en el medio (AITM) dentro de las compañías de telecomunicaciones nacionales e ISP que los diplomáticos están utilizando para el acceso a Internet para impulsar una pieza de malware llamada Apolloshadow. Esto indica que el ISP puede estar trabajando con el actor de amenaza para facilitar los ataques utilizando los sistemas del sistema para actividades de investigación operativas (SORM). Microsoft se negó a decir cuántas organizaciones fueron atacadas o infectadas con éxito en esta campaña.

🔔 Noticias principales

  • Empresas que emplearon a los piratas informáticos de Hafnium vinculados a más de una docena de patentes – Los actores de amenaza vinculados al notorio grupo de piratería de Hafnium han trabajado para empresas que registraron varias patentes para forenses y tecnologías de recopilación de datos altamente intrusivas. Los hallazgos destacan el diverso ecosistema ofensivo del sector privado de China y un problema subyacente con el mapeo de la artesanía a un grupo específico, que puede no reflejar con precisión la verdadera estructura organizativa de los atacantes. El hecho de que los actores de amenaza se hayan atribuido a tres compañías diferentes muestran que múltiples compañías pueden estar trabajando en conjunto para llevar a cabo las intrusiones y esas compañías pueden estar proporcionando sus herramientas a otros actores, lo que lleva a una atribución incompleta o engañosa. Actualmente no se sabe cómo los actores de amenaza llegaron a poseer los defectos de Microsoft Exchange Server que se utilizaron para atacar a varias entidades en una campaña generalizada a principios de 2021. Pero su estrecha relación con la Oficina de Seguridad del Estado de Shanghai (SSSB) ha aumentado la posibilidad de que la Oficina haya obtenido acceso a información sobre los días cero a través de algún método de recopilación de evidencia y aprobado por los atacantes. El descubrimiento también destaca otro aspecto importante: las amenazas persistentes avanzadas (APT) con sede en China pueden consistir en diferentes compañías que sirven a muchos clientes debido al ecosistema contratante, lo que obliga a estas compañías a colaborar en intrusiones. En junio de 2025, el futuro registrado reveló que un instituto de investigación de defensa estatal chino presentó una patente a fines de diciembre de 2024 que analiza varios tipos de inteligencia, incluidos Osint, Humint, Sigint, Geoint y Techint, para capacitar un modelo de lenguaje grande específico militar para “apoyar cada fase del ciclo de inteligencia y mejorar la toma de decisiones durante las operaciones militares”.
  • Probable fallas de VPN Sonicwall SSL de 0 días utilizada en ataques de ransomware Akira -Los dispositivos VPN de SonicWall SSL se han convertido en el objetivo de los ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025. El ártico Lob Labs dijo que los ataques podrían estar explotando una falla de seguridad ineteterminada en los dispositivos, lo que significa que una vulnerabilidad de los días cero, dado que algunos de los incidentes afectados por completo. Sin embargo, la posibilidad de ataques basados en credenciales para el acceso inicial no se ha descartado. El desarrollo se produjo cuando Watchtowr Labs detalló múltiples vulnerabilidades en los electrodomésticos de la serie Sonicwall SMA 100 (CVE-2025-40596, CVE-2025-40597 y CVE-2025-40598) que un atacante podría explotar para causar la negación de la ejecución del código o el código. “Nos topamos con vulnerabilidades que se sienten que fueron conservadas en Amber de una era más ingenua de programación C”, dijo la investigadora de seguridad Sina Kheirkhah. “Si bien entendemos (y estamos de acuerdo) en que estas vulnerabilidades son, en última instancia, difíciles, o en algunos casos, actualmente no son explotables, el hecho de que existan en absoluto es, francamente, decepcionante. Los desbordamientos de pila y almacenamiento previos a la autor desencadenados por los encabezados HTTP malformados ya no se supone que ocurren”.
  • UNC2891 infringe la red ATM a través de 4g Raspberry Pi en ataque cibernético -Se ha observado que el actor de amenaza conocido como UNC2891 dirige a la infraestructura automática de la máquina de cajeros automáticos (ATM) utilizando una Raspberry Pi equipada con 4G como parte de un ataque encubierto. El ataque cibernético involucró al adversario aprovechando su acceso físico para instalar el dispositivo Raspberry Pi y tenerlo conectado directamente al mismo interruptor de red que el ATM, colocándolo efectivamente dentro de la red del banco de destino. El objetivo final de la infección era implementar el Caketap RootKit en el servidor de conmutación de ATM y facilitar los retiros de efectivo de ATM fraudulentos. Se evalúa la UNC2891 para compartir superposiciones tácticas con otro actor de amenaza llamado UNC1945 (también conocido como LightBasin), que se identificó previamente a proveedores de servicios administrados y objetivos sorprendentes dentro de las industrias de consultoría financiera y profesional. UNC1945 también es conocido por sus ataques dirigidos al sector de las telecomunicaciones.
  • Explotación activa de la falla del tema de WordPress solo -Los actores de amenaza están explotando activamente un defecto de seguridad crítico en “Tema de WordPress sin fines de lucro multipropósito de caridad” para hacerse cargo de los sitios susceptibles. La vulnerabilidad, rastreada como CVE-2025-5394 (puntuación CVSS: 9.8), es una carga de archivos arbitraria que afecta todas las versiones del complemento antes e incluyendo 7.8.3. Se ha solucionado en la versión 7.8.5 lanzado el 16 de junio de 2025. En los ataques observados, el defecto se promedia para cargar un archivo zip que contiene una puerta trasera basada en PHP para ejecutar comandos remotos y cargar archivos adicionales. Alternativamente, la falla también se ha armado para ofrecer administradores de archivos y traseros con plantillas totalmente completas capaces de crear cuentas de administrador deshonesto.
  • Múltiples defectos parcheados en el cursor del editor de código AI -Se han abordado varias vulnerabilidades de seguridad en el cursor, incluido un error de alta severidad (CVE-2025-54135, también conocido como CurxeCute) que podría dar lugar a la ejecución de código remoto (RCE) al procesar contenido externo de un servidor de protocolo de contexto de modelo de terceros (MCP). “Si está encadenado con una vulnerabilidad de inyección rápida por separado, esto podría permitir la escritura de archivos MCP sensibles en el host por el agente”, dijo Cursor. “Esto se puede usar para ejecutar directamente el código agregándolo como un nuevo servidor MCP”. También se aborda en Cursor versión 1.3 es CVE-2025-54136 (puntaje CVSS de 7.2), que podría haber permitido a los atacantes intercambiar archivos de configuración de MCP inofensivos por un comando malicioso, sin activar una advertencia. “Si un atacante tiene permisos de escritura en las ramas activas de un usuario de un repositorio de origen que contiene los servidores MCP existentes que el usuario ha aprobado previamente, o un atacante tiene una escritura de archivos arbitraria localmente, el atacante puede lograr una ejecución de código arbitraria”, dijo la compañía.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una actualización perdida o un error oculto, incluso un CVE sin parches puede abrir la puerta a daños graves. A continuación se muestran las vulnerabilidades de alto riesgo de esta semana que hacen olas. Revise la lista, parche rápido y mantén un paso adelante.

La lista de esta semana incluye: CVE-2025-7340, CVE-2025-7341, CVE-2025-7360 (complemento de formulario de contacto HT), CVE-2025-54782 (@Nestjs/Devtools-Integration), CVE-2025-54418 (Codeigner4), CVE-2025-4421,, CVE-2025-54418 (Codeigner4), CVE-2025-4421,), CVE-2025-54418 (Codeigner4), CVE-2025-4421, 4421, CVE-2025‑4422, CVE-2025‑4423, CVE-2025‑4424, CVE-2025‑4425, CVE-2025‑4426 (Lenovo), CVE-2025-6982 (TP-Link Archer C50), CVE-2025-2297 (más allá de la gestión de privilegios de ventanas para Windows), CVE-2025-5394 (tema solo), CVE-2025-2523 (Honeywell Experion PKS), CVE-2025-54576 (OAuth2-Proxy), CVE-2025-46811 (SUSE), CVE-2025-6076, CVE-2025-6077 y CVE-2025-6078 (Software de sus socios).

📰 alrededor del mundo cibernético

  • RCE crítico en @nestjs/devitools-integración -Se ha descubierto una falla de ejecución de código remoto crítico (CVE-2025-54782, puntaje CVSS: 9.4) en @Nestjs/Devtools-Integration, un paquete Nestjs NPM descargado por 56,000 veces por semana. El paquete establece un servidor de desarrollo local con un punto final que ejecuta un código arbitrario dentro de un “sandbox” de JavaScript construido con el nodo: VM Module y el ahora abandonado de eval, lo que finalmente permite la ejecución de código de usuario no confiable en un entorno de arenque, dijo Socket. Un análisis posterior ha encontrado que el sandbox es trivialmente escapable y debido a que el servidor es accesible en Localhost, cualquier sitio web malicioso puede activar la ejecución del código en la máquina de un desarrollador a través de CSRF utilizando el punto final Inspector/Graph/Interact. “Debido al sandboxing inadecuado y a las protecciones de origen cruzado faltante, cualquier sitio web malicioso visitado por un desarrollador puede ejecutar código arbitrario en su máquina local”, dijo el mantenedor de Nestjs Kamil Mysliwiec en un aviso. “Al encadenar estos problemas, un sitio web malicioso puede desencadenar el punto final vulnerable y lograr la ejecución de código arbitraria en la máquina de un desarrollador que ejecuta la integración de Nestjs DevTools”.
  • Los atacantes explotan cuentas de correo electrónico comprometidas para ataques – Los actores de amenaza utilizan cada vez más las cuentas de correo electrónico interna o confiable de los socios comerciales comprometidos para enviar correos electrónicos maliciosos para obtener acceso inicial. “El uso de una cuenta confiable legítima ofrece a un atacante numerosas ventajas, como potencialmente evitar los controles de seguridad de una organización, así como parecer más confiable para el destinatario”, dijo Talos. La divulgación se produce cuando los malos actores también continúan explotando la función de envío directo de Microsoft 365 para entregar correos electrónicos de phishing que parecen originarse dentro de la organización mediante el uso de una dirección interna falsificada y aumenta la probabilidad de éxito de los ataques de ingeniería social. Los mensajes se inyectan en Microsoft 365 inquilinos a través de dispositivos de seguridad de correo electrónico de terceros no garantizados utilizados como relés SMTP. “Esta táctica permite a los atacantes enviar cargas útiles maliciosas a los usuarios de Microsoft 365 con mayor credibilidad, lo que a menudo resulta en una entrega exitosa a pesar de los controles de autenticación fallidos”, dijo Proofpoint.
  • Signal advierte que saldrá de Australia sobre el empuje de la puerta trasera de cifrado – El presidente de Signal Foundation, Meredith Whittaker, dijo que la aplicación de mensajería segura dejará a Australia si el gobierno lo obliga a incorporar una puerta trasera en su algoritmo de cifrado o acceso a la demanda a los datos de los usuarios cifrados. A principios de este año, el gobierno del Reino Unido emitió una orden secreta que exigía que Apple le permita acceder a datos de usuarios cifrados para ayudar en las investigaciones, lo que resulta en que Apple elimine su función de protección de datos avanzada (ADP) para los usuarios de la región. Si bien el gobierno del Reino Unido parece estar retrocediendo de su demanda anterior, Google le dijo a TechCrunch que, a diferencia de Apple, no recibió ninguna solicitud del Reino Unido para construir una puerta trasera secreta. Esta es la primera vez que Google comenta formalmente sobre el asunto.
  • Google Hardens CHROME Extension Supply Chain contra el compromiso de la cuenta – Google ha implementado una nueva función de seguridad llamada carga CRX verificada para los desarrolladores de extensión de Chrome que impone firmas criptográficas para todas las actualizaciones de extensión de Chrome y evita que los malos actores comprometan cuentas de desarrolladores y publiquen actualizaciones maliciosas en la tienda web de Chrome (CWS). La protección de seguridad también está diseñada para abordar los escenarios en los que las revisiones de código CWS no siempre pueden marcar tales ataques maliciosos. “Al optar por una extensión en la carga CRX verificada, el desarrollador le da a Google una clave pública. Después de eso, el desarrollador ya no puede cargar archivos zip sin firmar para esa extensión y, en cambio, debe cargar un archivo CRX firmado con la clave privada correspondiente”, dijo Google (PDF). “La carga verificada actúa como un segundo factor para el acto de cargar a CWS. Un actor malicioso que compromete la contraseña de cuenta de un desarrollador, las cookies de sesión o incluso una token OAuth, no podrá cargar una actualización maliciosa a menos que también obtengan acceso a la clave de firma privada del desarrollador”.
  • Kimsuky se dirige a Corea del Sur con malware de robador -El grupo de piratería Kimsuky vinculado a Corea del Norte se ha vinculado a una campaña de phishing de lanza que se dirige a las entidades de Corea del Sur utilizando los archivos de Windows Shortcut (LNK) como un vector de acceso inicial para desencadenar una cadena de infección de varias etapas para desplegar un KeyLogger, Staaler de información, establecer un control persistente sobre los hosts comprometidos y ofrecer una carga de pago de la siguiente etapa desconocida. Paralelamente, los usuarios se muestran con documentos de señuelos relacionados con avisos de impuestos y alertas gubernamentales sobre presuntos delincuentes sexuales en el área. “Una vez dentro, el malware realiza un perfil extenso del sistema, roba credenciales y documentos confidenciales, monitorea la actividad del usuario a través de el keylogging y la captura del portapapeles, y exfiltrata los datos en segmentos discretos sobre el tráfico web estándar, lo que la combina en operaciones de red normales”, dijo Aryaka.
  • Apple MacOS Flaw puede omitir TCC – Los atacantes podrían haber utilizado una vulnerabilidad de macOS recientemente parcheada para evitar la transparencia, el consentimiento y las verificaciones de seguridad de control (TCC) y robar información del usuario confidencial de ubicaciones como el directorio de descargas y los cachés de inteligencia de Apple. Microsoft, el defecto, denominado Sploitlight de Microsoft y rastreó como CVE-2025-31199, fue abordado por la liberación de MacOS Sequoia 15.4 en marzo de 2025. El ataque se llama así porque explota los complementos de los focos llamados importadores, que se utilizan para indexar los datos encontrados en un dispositivo y la superficie de la superficie a través de su herramienta de búsqueda integrada. Sploitlight convierte estos complementos en un bypass TCC, lo que permite que se filtren datos valiosos sin el consentimiento de un usuario.
  • Versión mejorada de Xworm manchado -Se ha descubierto una nueva versión de un troyano de acceso remoto llamado Xworm (versión 6.0) con nuevas características, como protección de procesos y capacidades de anti-análisis mejoradas, lo que indica intentos continuos de los desarrolladores para iterar y refinar sus tácticas. El punto de partida del ataque es un script de Visual Basic que probablemente se entrega a los objetivos a través de la ingeniería social, que luego procede a configurar la persistencia en el host a través del Registro de Windows (a diferencia de las tareas programadas en la versión anterior), aunque es importante tener en cuenta que el constructor ofrece tres métodos diferentes, incluidas las técnicas mencionadas y la carga útil a la carpeta de inicio. También está diseñado para ejecutar un script PowerShell que incluye la capacidad de evitar la interfaz de escaneo de antimalware (AMSI) a través de la modificación en memoria de “Clr.dll” para evitar la detección. Algunas de las nuevas características observadas en la última versión de Xworm son su capacidad para prevenir la terminación del proceso al marcarse como un proceso crítico y suicidarse si el host comprometido ejecuta Windows XP.
  • Mozilla advierte a los desarrolladores de complementos contra el ataque de phishing -El fabricante de navegadores Mozilla advierte sobre una campaña de phishing dirigida a su infraestructura de complementos de Firefox que tiene como objetivo engañar a los desarrolladores para separarse de las credenciales de su cuenta como parte de correos electrónicos que contienen mensajes como “Su cuenta de complementos Mozilla requiere una actualización para continuar con las características de los desarrolladores” que están diseñados para provocar el compromiso. La divulgación sigue a la aparición de complementos falsos de Firefox que se disfrazan de Tronlink, Solflare, Rabby Wallet y están diseñados para robar secretos de billeteras de criptomonedas, dijo el investigador de seguridad Lukasz Olejnik.
  • Nuevo malware de robador diseccionado – Los investigadores de ciberseguridad han detallado a tres nuevas familias de malware de Stealer llamadas Cyber Stealer, Raven Stealer y Shuyal Stealer que combinan extensas capacidades de robo de credenciales con tácticas de reconocimiento y evasión del sistema avanzado. “Más allá del robo de credenciales, Shuyal captura capturas de pantalla del sistema y contenido de portapapeles, exfiltrando estos datos junto con tokens de discordia robadas a través de una infraestructura de BOT de telegrama”, dijo Hybrid Analysis. “El malware mantiene el sigilo operativo a través de los mecanismos de autoselección, eliminando trazas de su actividad utilizando un archivo por lotes después de completar sus funciones principales”. Cyber Stealer, por su parte, mantiene la comunicación con su servidor de comando y control (C2) a través de verificaciones de latidos, configuración del minero XMR, verificaciones de tareas y exfiltración de datos. También viene con una clipper, capacidades remotas, proxy inversa, DDoS, minería XMR y capacidades de envenenamiento DNS basadas en el nivel de suscripción elegido por un cliente. “La URL C2 se puede actualizar dinámicamente a través de Pastebin, con una URL de copia de seguridad codificada si eso falla”, dijo Esentire. Si bien ya hay varios robadores en la escena del delito cibernético, la aparición de nuevos robadores demuestra la naturaleza lucrativa de tales herramientas para permitir el robo de datos a escala. El tercer nuevo malware de InfenteSer es Raven Stealer, que se distribuye activamente a través de repositorios de GitHub y se promueve a través de un canal de telegrama operado por los actores de amenaza. El robador es consistente con otros robadores, facilitando el robo de credenciales, la recolección de datos del navegador y la exfiltración de datos en tiempo real a través de la integración de Bot de Telegram.
  • Nodo de node.js robador vistado en la naturaleza -Desarrollado y vendido por el Grupo Sordeal, un actor de amenazas que demuestra el dominio del idioma francés, NovableVight se comercializa como una “herramienta educativa” en plataformas como Telegram y Discord de 25 € por un mes a 140 € por seis meses ($ 28 a $ 162). Sin embargo, este aspecto enmascara su verdadera intención: un malware modular, basado en NodeJS rico en características, basado en NodeJS construido en el marco de electrones, diseñado para robar información confidencial, incluidas las credenciales de inicio de sesión y los datos de la billetera de criptomonedas. Se dice que el malware se distribuye a través de sitios web falsos que publicitan los instaladores de videojuegos. “Novablight es un robador de información modular y rico en características construido en node.js con el marco de electrones”, dijo Elastic Security Labs. “Sus capacidades van más allá del simple robo de credenciales, incorporando métodos para la recopilación y exfiltración de datos, la detección de sandbox y la pesada ofuscación”.
  • El robo de bitcoin de Lubian $ 3.5B no se detectó durante casi cinco años -Un robo previamente no revelado de 127,426 bitcoin, valorado en $ 3.5 mil millones en ese momento (actualmente aproximadamente $ 14.5 mil millones), se remonta a un ataque de diciembre de 2020 en un grupo minero chino poco conocido llamado Lubian, convirtiéndolo como el más grande de la criptñencia hasta la fecha, superado por la fecha de $ 1.5 billones de hack. El 28 de diciembre de 2020, por más del 90% de su BTC “, dijo Arkham Intelligence. “Posteriormente, el 29 de diciembre, alrededor de $ 6 millones de BTC y USDT adicionales fueron robados de una dirección Lubian activa en la capa Omni de Bitcoin. El 31, Lubian rotó sus fondos restantes a las billeteras de recuperación”. Se cree que los atacantes desconocidos pueden haber explotado un algoritmo de generación de llave privado defectuoso que lo dejó susceptible a los ataques de fuerza bruta. “Lubian conservó 11,886 BTC, actualmente con un valor de $ 1.35B, que todavía poseen”, dijo Arkham. “El hacker también tiene el BTC robado, con su último movimiento conocido como una consolidación de billetera en julio de 2024”. Ni Lubian ni el presunto hacker han reconocido públicamente la violación.
  • Rusia bloquea el acceso a SpeedTest – Rusia bloqueó el acceso a SpeedTest, una popular herramienta de prueba de velocidad en Internet desarrollada por la compañía estadounidense Ookla, alegando que el servicio plantea una amenaza de seguridad nacional y podría ayudar a los ataques cibernéticos. La restricción se debe a las “amenazas identificadas para la seguridad de la red de comunicación pública y el segmento ruso de Internet,” Roskomnadzor, el vigilante de comunicaciones del país, dijo, y agregó que “recopila datos sobre el diseño y la capacidad de los nodos de comunicaciones rusas” que podrían usarse para “planear, conducir y evaluar los ataques sobre las redes rusas y los sistemas relacionados”.
  • CISA libera torio -La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) anunció la disponibilidad pública de torio, una plataforma de código abierto para analistas de malware y forenses en los sectores público, público y privado. “El torio mejora las capacidades de los equipos de ciberseguridad al automatizar los flujos de trabajo de análisis a través de la integración perfecta de herramientas comerciales, de código abierto y personalizados”, dijo CISA. “Admite varias funciones de misión, incluidos el análisis de software, los forenses digitales y la respuesta a los incidentes, lo que permite a los analistas evaluar eficientemente las amenazas complejas de malware”. La agencia también ha publicado la herramienta de estrategias de desalojo, que ayuda a los equipos de seguridad durante la respuesta de incidentes al proporcionar las acciones necesarias para contener y desalojar a los adversarios de redes y dispositivos comprometidos.
  • Entidades rusas dirigidas a desplegar huelga de cobalto -El sector de la tecnología de la información rusa (TI), y, en cierta medida, las empresas en China, Japón, Malasia y Perú, han estado en el extremo receptor de una campaña de correo electrónico de Spear-Phishing que ofrece el Beacon de Cobalt Strike por medio de cargas útiles intermedias que llegan a perfiles falsas en plataformas de redes sociales para obtener la URL que organiza la herramienta posterior a la explotación. Se dice que las cuentas, creadas en las redes sociales en Github, Quora y Russian-Language, se crearon específicamente para los ataques y actúan como resolutores de caída muerta para facilitar la resistencia operativa. La actividad se registró por primera vez en la segunda mitad de 2024, alcanzando su pico en noviembre y diciembre. La campaña no se ha atribuido a ningún actor o grupo de amenazas conocido.
  • Apt36 se dirige a los ferrocarriles indios, sectores de petróleo y gas -Un presunto actor de amenaza paquistaní conocido como APT36 (también conocido como Tribu Transparente) se ha atribuido a ataques dirigidos a los sistemas ferroviarios indios, la infraestructura de petróleo y gas, y el Ministerio de Asuntos Externos a través de ataques de phishing de lanza para entregar un malware conocido llamado Poseidon. “Utilizan archivos .desktop disfrazados de documentos PDF para ejecutar scripts que descargan malware y establecen persistencia utilizando trabajos cron”, dijo Hunt.io. “La puerta trasera de Poseidon, construida en el marco mítico y escrito en GO, se utiliza para mantener el acceso y apoyar el movimiento lateral”.
  • El ataque de ransomware Qilin aprovecha la técnica BYOVD – Se ha observado que los actores de amenaza asociados con el ransomware Qilin aprovechan un controlador previamente desconocido, TPWSAV.SYS, para deshabilitar sigilosamente las herramientas de seguridad utilizando una versión personalizada de Edrsandblast como parte de un ataque de conductor vulnerable (BYOVD). “Este controlador, desarrollado originalmente para las características de ahorro de energía en las computadoras portátiles de Toshiba, es un controlador de núcleo de Windows firmado, lo que lo convierte en una opción atractiva para evitar las protecciones EDR a través de un ataque BYOVD”, dijo Blackpoint Cyber. Antes de este incidente, no ha habido evidencia de explotación del conductor. “Compilado en 2015 y tener una firma válida, este conductor es un candidato atractivo para los ataques de BYOVD destinados a deshabilitar EDR. Mientras interactuar con el conductor, solo requiere privilegios de bajo nivel, cargándolo y enumerando los privilegios administrativos de la demanda física de la memoria”, agregó la compañía.
  • La campaña de phishing distribuye 0BJ3CTIVITIVY STALER -Los correos electrónicos de phishing que llevan los recursos de orden de compra se están utilizando para distribuir a través de archivos JavaScript un robador llamado 0BJ3CTIVITION STALER, que se ha propagado a través de AndE Loader en el pasado. “Las etapas adicionales son poco comunes, incluidos los scripts de PowerShell personalizados para implementar las próximas etapas y esteganografía para ocultar algunas de las cargas útiles”, dijo Trellix. “Una vez decodificado, el script de PowerShell se descargará desde Archive.org una imagen JPG, que contiene la siguiente etapa oculta usando esteganografía”. Estados Unidos, Alemania y Montenegro exhiben un alto volumen de detecciones, aunque los datos de telemetría también han revelado una actividad notable en Europa, América del Norte, el sudeste asiático y Australia, lo que indica la naturaleza global de la amenaza.
  • Creciente número de defectos apalancados como 0 o 1 día -Un tercio de los defectos apalancados por los atacantes este año han sido fallas de día cero o 1 día, lo que indica que los actores de amenaza se están volviendo más rápidos para explotar las vulnerabilidades. “Observamos un aumento del 8,5% en el porcentaje de KEV (vulnerabilidades explotadas conocidas) que tenía evidencia de explotación divulgada en o antes del día que se publicó una CVE, 32.1% en H1-2025 en comparación con el 23.6% que informamos en 2024”, dijo Vulncheck. En total, la compañía agregó 432 nuevas vulnerabilidades a su lista de KEV en la primera mitad de 2025, con 92 actores de amenaza únicos vinculados a los esfuerzos de explotación. De estos, 56 (60.8%) se atribuyeron a países específicos, incluidos China (20), Rusia (11), Corea del Norte (9) e Irán (6). En un desarrollo relacionado, un informe de Greynoise encontró que en el 80% de los picos de reconocimiento contra el equipo empresarial, el aumento de la actividad fue seguido por la publicación de una nueva CVE dentro de las seis semanas, lo que sugiere que los actores o investigadores de amenazas están probando sus hazañas con anticipación. “Estos patrones fueron exclusivos de las tecnologías de Edge Enterprise como VPN, firewalls y herramientas de acceso remoto, los mismos tipos de sistemas cada vez más atacados por actores de amenazas avanzadas”, dijo la firma de inteligencia de amenazas.
  • BreachForums vuelve a estar en línea – Breachforums parece volver después de desconectarse en abril. El popular foro del delito cibernético fue cerrado y resucitado varias veces durante el año pasado. Según DatabReaches.net, el sitio oficial parece volver a estar en línea en su dirección web oscura, al tiempo que preserva la base de datos de usuarios original, la reputación, los créditos y las publicaciones. Además, el sitio parece haber regresado bajo un nuevo liderazgo: un usuario con el apodo en línea “N/A”. En una publicación introductoria, N/A también afirmó que ninguno de sus administradores ha sido arrestado y que es “negocios como siempre”.
  • Los nuevos ataques de RedCurl entregan rojo -El actor de amenaza conocido como Gold Blade (también conocido como Earth Kapre, RedCurl y Red Wolf) se ha vinculado a un nuevo conjunto de ataques en julio de 2025 que combinan archivos LNK maliciosos y WebDAV para ejecutar DLLS alojados de forma remota para lanzar finalmente Red Loader con carga lateral de DLL. Los archivos LNK, disfrazados de cartas de presentación en formato PDF, se distribuyen a través de correos electrónicos de phishing a través de sitios de búsqueda de empleo de terceros como de hecho.
  • MIMO explota fallas de SharePoint para entregar ransomware -El actor de amenaza conocido como MIMO está explotando los fallas de Microsoft SharePoint recientemente reveladas para entregar el ransomware 4L4MD4R basado en GO. El grupo de piratería se vinculó recientemente con el abuso de una falla de CMS de artesanía crítica para soltar a los mineros. El desarrollo marca la primera vez que el grupo de piratería ha desplegado ransomware en la naturaleza.
  • Silver Fox APT utiliza un complemento Flash Fake para entregar malware – El actor de amenaza rastreó como Silver Fox se ha observado entregando el troyano de Winos bajo la apariencia de herramientas populares como Adobe Flash, Google Translate y WPS. Los vectores de distribución típicos incluyen correo electrónico, sitios web de phishing y software de mensajería instantánea. “Sin embargo, con la fuga del código fuente de Troya de control remoto (como Winos 4.0) en el círculo cibernético, Silver Fox se ha transformado gradualmente de una sola organización en una familia maliciosa ampliamente reconstruida por grupos de delitos cibernéticos e incluso organizaciones APT”, dijo el equipo conocido 404. “Winos tiene un rico conjunto de complementos funcionales que permiten varias funciones de control remoto y robo de datos en el host de destino”.
  • Hacker Girona arrestado – Las autoridades españolas han detenido a un cibercriminal que supuestamente robó datos confidenciales de las principales instituciones financieras, organizaciones educativas y empresas privadas en todo el país. El acusado, descrito como un hombre con habilidades avanzadas de programación de computadoras, está acusado de atacar a los bancos españoles, una escuela de manejo y una universidad pública, entre otros. Se alega que el sospechoso ha robado bases de datos personales de empleados y clientes, así como documentos internos de empresas y organizaciones, y luego las vendió con fines de lucro.
  • Infraestructura de SHADOWSYNDICATE analizada – Los investigadores de seguridad cibernética han encontrado conexiones entre la infraestructura de Shadowsyndicate y varias familias de malware como AMOS Stealer, TrueBot y una serie de cepas de ransomware como CL0P, BlackCat, Lockbit, Play, Royal, Cactus y Ransomhub. Además de tener acceso a una red de Hosters a prueba de balas (BPHS) en Europa, se cree que las funciones de Shadowsyndicate como un corredor de acceso inicial (IAB) que alimentan los aptos rusos, norcoreanos y chinos. “No está claro si Shadowsyndicate tiene un modelo de negocio estructurado con clientes formales o socios en el delito cibernético, o si representa un actor de amenazas híbrido más fluido”, dijo Intrinsec.
  • ¿Quiénes son los leones? – Los cazadores de amenazas han arrancado la cobertura de Lionishackers, un vendedor de bases de datos corporativas y un actor de amenazas motivado financieramente centrado en exfiltrarse y vender bases de datos corporativas a través de los foros de Telegram y Underground desde julio de 2024 “, aunque parecen tener un enfoque oportunista al elegir sus objetivos, parece ser una cierta preferencia para las víctimas ubicadas en los países asiáticos”, dichal24. “Han mostrado un alto nivel de colaboración con el grupo ‘Hunt3r Kill3RS’ y una amplia participación en los canales de telegrama de las comunidades subterráneas relevantes. Además, también trabajaron y ofrecieron otros servicios, como pruebas de lápiz, la comercialización de la botnet fantasma y el lanzamiento de un proyecto de foro dubricados por los foros estresados”.
  • EDSKMANAGER RAT, PULSAR RAT y RETRO-C2 RAT expuesta -Los investigadores de seguridad cibernética han marcado tres nuevos troyanos de acceso remoto llamados Edskmanager Rat, Pulsar Rat y Retro-C2 RAT, marcando su capacidad para evadir la detección y mantener el control sobre los sistemas comprometidos. “El malware emplea un descargador disfrazado de software legítimo, seguido de descifrado en memoria y comunicación sigilosa con servidores de comando y control”, dijo Cyfirma sobre Edskmanager Rat. “Su uso de HVNC (computación de red virtual oculta), técnicas de persistencia avanzada y medidas anti-análisis indica un fuerte enfoque en el acceso encubierto a largo plazo a los sistemas infectados”. Pulsar Rat, por otro lado, es un troyano de Android que explota los servicios de accesibilidad para obtener un control casi total del dispositivo, acceder a mensajes, llamadas, datos GPS, la cámara, micrófono y otros datos confidenciales. Desarrollado por un actor de amenaza de habla turca conocido como Zerotrace, Retro-C2 Rat emplea técnicas de carga reflexiva para evadir la detección y los datos de sifón de máquinas comprometidas. “La infraestructura de comando y control está completamente basada en la web y proporciona a los actores de amenaza de monitoreo de clientes en tiempo real, gestión de acción, como CMD, PowerShell, escritorio remoto, keylogging, captura de portapapeles, gestión de archivos y procesos, operaciones de registro y red, grabación de audio, escaneo de billeteras, operaciones de persistencia y recuperación credencial”, dijo la amenaza de amenazmon.
  • Apple para habilitar la protección avanzada de huellas dactilares para todas las sesiones de navegación de Safari – Apple ha revelado que tiene la intención de hacer que la protección avanzada de huellas dactilares sea el valor predeterminado para todas las sesiones de navegación en Safari con el lanzamiento de iOS 26, iPados 26 y MacOS 26 en septiembre de 2025. Actualmente, la opción se limita al modo de navegación privado. La característica se introdujo por primera vez en Safari 17.0.
  • Defecto de seguridad descubierto en Spyware Spywathful -Una vulnerabilidad de inyección de SQL en una operación acosada de Android llamada Catwatchful ha expuesto a más de 62,000 de sus clientes, incluido su administrador con sede en Uruguay, Omar Soca Charcov. El error, descubierto por el investigador Eric Daigle, podría ser explotado para filtrar la base de datos de la aplicación, comprometiendo las direcciones de correo electrónico de los clientes y las contraseñas de texto sin formato. Desde entonces, Google ha agregado protecciones para marcar aplicaciones maliciosas y suspendido la cuenta de Firebase del desarrollador por abusar de su infraestructura para operar el software de monitoreo.
  • El ransomware sigue siendo una amenaza – Dragonforce ha reclamado más de 250 víctimas en su sitio de fuga de la web oscura, con 58 en el segundo trimestre de 2025 solo, lo que indica que el cartel de ransomware está ganando tracción después de que supuestamente absorbe Ransomhub. Algunos de los grupos que parecen haber salido de la escena incluyen Ransomhub, Babuk-Bjorka, Funksec, Bianlian, 8Base, Cactus y Hunters International. “Con los principales servicios de Raas cerrando, muchos afiliados operan de forma independiente o buscan nuevas asociaciones”, dijo Check Point. “El resultado es un número creciente de entidades de ransomware más pequeñas, a menudo de corta duración. Al mismo tiempo, los jugadores establecidos compiten activamente para reclutar a estos afiliados ‘huérfanos'”. Los ataques de ransomware también se han observado evolucionando más allá de la doble extorsión para obligar a las víctimas a pagar con amenazas de fugas de datos y ataques DDoS. “Las tácticas de extorsión doble, triple y cuadruplica agregan presión al amenazar con exponer la información del cliente, interrumpir las operaciones con ataques distribuidos de denegación de servicio (DDoS) y enviar mensajes de acoso a socios comerciales, clientes y otros, incluida la información sobre los medios de influencia”, dijo Akamai.
  • Los actores de amenaza esconden malware en DNS Records -Si bien se sabe que los actores de amenaza han aprovechado el sistema de nombres de dominio (DNS) para fines de comando y control utilizando una técnica llamada Tuneling DNS, se ha observado que los cibercriminales están evolucionando aún más sus tácticas al ocultar los comandos maliciosos en los registros DNS TXT al conversolos en su representación hexadecimal y almacenarlos en Chunks. La práctica es inteligente y astuta, ya que permite que los scripts maliciosos y el malware de la etapa temprana obtengan archivos binarios sin tener que descargarlos de sitios controlados por atacantes o adjuntarlos a correos electrónicos, que tienen una mayor probabilidad de ser detectados por el software antivirus.
LEER  Chrome 0 días, exploits ivanti, robadores de macos, criptomonios y más

🎥 seminarios web de ciberseguridad

  • Los paquetes maliciosos de Python están en todas partes: aprenda a detectarlos y detenerlos: En 2025, los ataques contra el ecosistema de Python están aumentando rápidamente, desde fallas de imagen de contenedor peligrosas hasta fallas de imagen de contenedores peligrosos. Si todavía estás “Pip instalando y rezando”, es hora de subir de nivel. Únase a nosotros para un seminario web práctico donde desglosemos las amenazas reales de la cadena de suministro y le muestre cómo defender su código con herramientas prácticas, flujos de trabajo más inteligentes e imágenes endurecidas. Sin exageración, solo pasos claros para asegurar su pitón.
  • Asegure su pila de IA: aprenda a defender la identidad antes de que sea demasiado tarde: AI está cambiando la forma en que trabajamos, y la forma en que nos atacan. Únase a Karl Henrik Smith de Okta para explorar cómo la identidad se está convirtiendo en la última y más crítica línea de defensa contra las amenazas de IA. Desde profundos hasta agentes autónomos, los atacantes se mueven más rápido de lo que las herramientas tradicionales pueden manejar. En este seminario web gratuito, aprenderá por qué la seguridad de identidad primero es la clave para mantenerse a la vanguardia y cómo ponerla en acción.

🔧 Herramientas de ciberseguridad

  • Torio: Lanzado por la CISA de EE. UU., Esta nueva herramienta de código abierto es una plataforma escalable para automatizar el análisis de archivos y agregar resultados en diversas herramientas. Ayuda a los equipos de ciberseguridad a racionalizar el triaje de malware, el forense y las pruebas de herramientas al integrarse con los flujos de trabajo existentes a través de la automatización basada en eventos y una infraestructura escalable.
  • LangExtract: es una biblioteca de Python de código abierto, desarrollada por Google, que ayuda a los desarrolladores información estructurada de texto no estructurado utilizando Gemini y otros LLM. Está diseñado para tareas como analizar registros médicos, documentos legales o comentarios de los clientes mediante la combinación de extracción impulsada por aviso, salidas a tierra y aplicación de esquemas. LangExtract admite backends flexibles, escala en documentos largos y facilita la visualización y verifica los resultados, todo sin ajustar un modelo.
LEER  Paquete PYPI malicioso disfrazados de módulo de quimera para robar datos de AWS, CI/CD y macOS

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio riesgo: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Su teclado podría estar espiando, aquí le mostramos cómo decir – La mayoría de las personas no se dan cuenta, pero el teclado de su teléfono inteligente puede hacer más que solo escribir. Algunos de ellos se conectan silenciosamente a Internet, enviando lo que escribe, cuándo escribe e incluso lo que hay en su portapapeles. Incluso las aplicaciones de confianza como Gboard y SwiftKey tienen características de sincronización en la nube que comparten sus patrones de escritura. Y en peores casos, los teclados Rogue pueden registrar contraseñas o robar semillas de billetera criptográfica sin signos visibles.

La solución no solo “no uses teclados sombreados”. Es saber cómo controlar lo que pueden hacer. Comience utilizando una aplicación de firewall como NetGuard o Rethinkdns para bloquear su teclado para enviar datos a través de Internet. Vaya a la configuración de su teclado y desactive las características de “personalización” o sincronización. Tenga cuidado con el comportamiento extraño como un teclado pidiendo acceso a su micrófono, contactos o ubicación: esas son banderas rojas. En las versiones más nuevas de Android, las alertas de portapapeles le advertirán si un teclado está hundiendo.

Si desea plena tranquilidad, cambie a un teclado que respeta su privacidad por diseño. Opciones como OpenBoard o Keyboard simple no tienen acceso a Internet en absoluto. Son rápidos, limpios y de código abierto, lo que significa que su código puede ser auditado para un comportamiento oculto. En resumen: si su teclado quiere “aprender de usted”, asegúrese de que no esté aprendiendo demasiado.

LEER  Apple envía alertas de pantalla de bloqueo a iPhones obsoletos a través de exploits activos basados ​​en la web

Conclusión

Cada amenaza que cubrimos esta semana cuenta la misma historia: los atacantes están evolucionando más rápido porque están aprendiendo de nosotros. Desde cómo codificamos cómo confiamos, están observando de cerca. ¿Pero el otro lado? También nosotros.

Cuanto más compartimos, más rápido nos adaptamos. Sigue presionando, sigue cuestionando y nunca dejes que “normal” te haga sentir cómodo.

- Advertisement -spot_img
Previous article
¿Romance? Katy Perry y Justin Trudeau vieron cenar
Next article
Los fanáticos reaccionan a Willem Dafoe bailando con un vestido

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos
TecnologíaInmobiliaria News -

Por qué el riesgo de terceros es la mayor brecha en...

La próxima brecha importante que afecte a sus clientes probablemente no provendrá del interior de sus muros. Vendrá a...

Noticias relacionadas

- Advertisement -spot_img

Selecciones del editor

Publicaciones populares

Etiquetas populares

EntretenimientoNoticias del mundoNoticias de juegosNoticiasSteamNoticias de SteamSeguridad cibernéticaInternetCriptomonedaNoticias de la economíaPC en líneaPCJuego más recienteJuego con PCJuego para PCLo últimoDeportesBitcoin (BTC)Noticias de IACriptomonedas

POPULAR TAGS

EntretenimientoNoticias del mundoNoticias de juegosNoticiasSteamNoticias de SteamSeguridad cibernéticaInternetCriptomonedaNoticias de la economíaPC en líneaPCJuego más recienteJuego con PCJuego para PCLo últimoDeportesBitcoin (BTC)Noticias de IACriptomonedas

Sobre nosotras

En Inmobiliarianews, nuestra misión es proporcionar información precisa, relevante y oportuna que te mantenga conectado con los acontecimientos más importantes a nivel global.

Síganos

© 2026 Todos los derechos reservados | Protegido por Inmobiliaria News