Chrome 0 días, exploits ivanti, robadores de macos, criptomonios y más

Todo se siente seguro, hasta que una pequeña cosa se deslice. Incluso los sistemas fuertes pueden romperse si se pierde un cheque simple o se usa mal una herramienta de confianza. La mayoría de las amenazas no comienzan con alarmas: se colocan en las pequeñas cosas que pasamos por alto. Un pequeño error, una contraseña reutilizada, una conexión tranquila, eso es todo lo que se necesita.

Mantenerse a salvo no se trata solo de reaccionar rápido. Se trata de atrapar estos primeros signos antes de que exploten en problemas reales. Es por eso que las actualizaciones de esta semana son importantes. Desde tácticas sigilosas hasta puntos de entrada inesperados, las historias por delante revelan qué tan rápido puede extenderse el riesgo, y lo que los equipos inteligentes están haciendo para mantenerse a la vanguardia. Bucear en.

⚡ Amenaza de la semana

Estados Unidos interrumpe el esquema de trabajadores de Corea del Norte – Los fiscales dijeron que descubrieron el personal de TI de Corea del Norte que trabajaba en más de 100 compañías estadounidenses que usan identidades ficticias o robadas y no solo de dibujo salarios, sino también robando datos secretos y saqueando moneda virtual de más de $ 900,000 en un incidente dirigido a una compañía de blockchain no identificada en Atlanta. Las acciones son los últimos pasos para detener el esquema, que ha visto a Corea del Norte ganar millones a través de miles de personas que usan identidades falsas para ser contratados como trabajadores de TI en compañías con sede en Occidente y otras partes del mundo. Las autoridades realizaron 21 búsquedas en 14 estados el mes pasado, lo que se suma a las búsquedas que se realizaron en ocho ubicaciones en octubre de 2024 que abarcan tres estados. En al menos un caso, los trabajadores de TI de Corea del Norte obtuvieron acceso a “datos del empleador confidenciales y código fuente, incluidos los datos de las Regulaciones de Tráfico Internacional de Armas (ITAR),” después de que fueron contratados por un contratista de defensa con sede en California que desarrolla equipos y tecnologías artificiales con inteligencia de inteligencia, dijo el Departamento de Justicia. En total, la acción coordinada condujo al arresto de un individuo y la incautación de 21 dominios web, 29 cuentas financieras utilizadas para lavar decenas de miles de dólares y casi 200 computadoras portátiles y dispositivos de acceso remoto, incluidos KVM. El Departamento de Estado de EE. UU. Ofrece recompensas de hasta $ 5 millones por información que conduzca a la “interrupción de los mecanismos financieros de las personas involucradas en ciertas actividades que apoyan a Corea del Norte”. Las acciones revelan que los norcoreanos no simplemente falsificaron las identificaciones para insinuarse en las empresas tecnológicas occidentales, sino que también robaron las identidades de “más de 80 personas estadounidenses” para hacerse pasar por trabajos en más de 100 empresas estadounidenses y canalizar dinero al régimen de Kim.

🔔 Noticias principales

• El actor de amenaza china apunta a las organizaciones francesas que usan fallas de Ivanti -Un conjunto de intrusos vinculado a China conocido como Houken se dirigió a una serie de entidades que abarcaban sectores gubernamental, de telecomunicaciones, medios de comunicación, finanzas y de transporte en Francia a principios de septiembre de 2024 utilizando tres vulnerabilidades en dispositivos de dispositivos de servicios en la nube Ivanti (CSA) como días cero. Se han observado los ataques allanando el camino para los proyectiles web de PHP, implementando una raíz del núcleo e incluso intentando parchear las vulnerabilidades, que probablemente eviten la explotación por parte de otros actores no relacionados. Se sospecha que Houken es un corredor de acceso inicial que obtiene un punto de apoyo en las redes de destino, y transmite ese acceso a otros actores de amenazas para actividades de seguimiento posteriores a la explotación.
• Nuevo Chrome 0 días explotado en la naturaleza – Google publicó actualizaciones de seguridad para abordar una falla de confusión de tipo en su navegador web Chrome que, según él, ha sido explotado en la naturaleza. Actualmente, la naturaleza exacta de los ataques actualmente, aunque se cree que se ha desplegado como parte de ataques altamente dirigidos debido al hecho de que fue descubierto por el Grupo de Análisis de Amenazas (TAG) de Google, que se especializa en detectar ataques respaldados por el gobierno. Se ha parcheado en las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS y 138.0.7204.96 para Linux.
• Sanciones de EE. UU. Russian Bulletproof Posting AEZA AEZA -La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos (OFAC) sancionó el proveedor de servicios de alojamiento balas (BPH) con sede en Rusia (BPH) AEZA Group por proporcionar la infraestructura que permitió a los actores de amenazas ofrecer malware y ransomware de Bianlian, Redline, Meduza y Lumma, así como el mercado de drogas de hosticidades en la Web Dark. Además, tres de las subsidiarias de la compañía y cuatro personas principales vinculadas a ella han sido sancionadas. Esto incluye al CEO de Aeza Group, Arsenii Aleksandrovich Penzev, al director general Yurii Meruzhanovich Bozoyan, al director técnico Vladimir Vyacheslavovich Gast e Igor Anatolyevich Knyazev.
• NightEagle se dirige a los sectores de IA y militares chinos -Se ha observado que un actor de amenaza previamente indocumentado conocido como NightEagle aprovecha una cadena de exploits de día cero en Microsoft Exchange para entregar la utilidad de cincelas basada en GO y robar datos de buzón de cuentas comprometidas. También se dice que el grupo tiene repositorios de código fuente dirigidos y sistemas de almacenamiento de copias de seguridad. El actor de amenaza, que se cree que está activo desde 2023, se ha dirigido a semiconductores de alta tecnología, tecnología cuántica, inteligencia artificial y verticales militares en China, dijo el equipo RedDrip de Qianxin. La divulgación se acerca después de otra campaña de phishing de lanza denominado DragonClone que ha señalado a las compañías de telecomunicaciones chinas para propagar Veletrix y Vshell. Los correos electrónicos de phishing, per Seqrite Labs, contienen un archivo de cremallera maliciosa que incluye binarios legítimos y archivos DLL maliciosos, que, a su vez, se ejecuta utilizando la carga lateral de DLL para iniciar el cargador Veletrix. El malware está diseñado para cargar ShellCode, un marco de simulación adversario llamado VShell, directamente en la memoria. El uso de Vshell es notable, ya que ha sido ampliamente adoptado por varios grupos de piratería chinos para atacar a las organizaciones en Occidente. Seqrite Labs dijo que la actividad comparte similitudes de comportamiento con Earth Lamia y UNC5174, lo que indica que la campaña es probablemente el trabajo de un grupo de China-Nexus.
• Corea del Norte apunta a las empresas criptográficas con malware NIM – Los actores de amenaza de Corea del Norte rastreados como Bluenoroff están implementando técnicas novedosas para infectar negocios criptográficos con malware MacOS diseñado para robar credenciales de navegadores web, datos de llavero iCloud e información de aplicaciones de telegrama. Los ataques se hacen pasar por el contacto de confianza de una víctima para invitarlos a los empleados de telegrama y atraer a los empleados de Web3 y a las organizaciones relacionadas con las criptográficas para instalar malware MacOS compilado por NIM a través de actualizaciones falsas de software de zoom bajo el pretexto de configurar una reunión. Las actualizaciones falsas están diseñadas para ejecutar cargas útiles de AppleScript, que luego se utilizan para entregar dos binarios Mach-O para activar dos cadenas de ejecución independientes. Uno lleva a la ejecución de scripts para cosechar datos, mientras que el otro, compilado del código fuente NIM, se usa para configurar la persistencia en el host. Juntos, los dos componentes facilitan la exfiltración de datos y la persistencia.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces a las cuestión de horas. Ya sea que se trate de una actualización perdida o un error oculto, incluso un CVE sin parches puede abrir la puerta a daños graves. A continuación se muestran las vulnerabilidades de alto riesgo de esta semana que hacen olas. Revise la lista, parche rápido y mantén un paso adelante.

La lista de esta semana incluye: CVE-2025-32462, CVE-2025-32463 (sudo), CVE-2025-20309 (Cisco Unified CM y Unified CM SME), CVE-2025-49596 (Inspector MCP antrópico), CVE-2025-6554 (Google Chrome), CVE-2025, 56222222222222222225225Y CVE-2025-5623, CVE-2025-5624, CVE-2025-5630 (D-Link Dir-816 Routers), CVE-2025-49151, CVE-2025-49152, CVE-2025-49153 (Microsens NMP Web+), CVE-2025-6463 (Formulario (Formulario), Tuginator) CVE-2025-36630 (Tenable Nessus), CVE-2025-52891 (Firewall de aplicaciones web de modas de modas), CVE-2025-48927, CVE-2025-48928 (Telemessage TM SGNL), CVE-2024-58248 (Nopcomerce), CVE-2025 (APCO (APOMBRE SeaSa), CVE-2025-47812 (Wing FTP), CVE-2025-4404 (FreeIPA), CVE-2025-5959, CVE-2025-6554, CVE-2025-6191 y CVE-2025-6192 (Grafana), CVE-2025-34067 (HIKVISETA Plataforma), CVE-2025-1735, CVE-2025-6491 (PHP), CVE-2025-53367 (Djvulibre) y CVE-2025-49826 (Next.js).

📰 alrededor del mundo cibernético

• Las tiendas de aplicaciones de Apple y Google ofrecen aplicaciones VPN vinculadas a China – Las tiendas en línea de Apple y Google ofrecen aplicaciones gratuitas de red privada virtual (VPN) que tienen lazos no revelados con las empresas chinas, probablemente planteando un riesgo de privacidad. Trece aplicaciones de red privada virtual (VPN) en la tienda de aplicaciones de Apple y 11 aplicaciones en la Play Store de Google (siete comunes a ambos) tienen lazos con las empresas chinas, dijo el proyecto de transparencia tecnológica. “Las VPN son particularmente preocupantes porque cualquier persona que use una VPN tiene la totalidad de su actividad en línea enrutada a través de esa solicitud”, dijo Katie Paul, directora de TTP, a NBC News. “Cuando se trata de VPN de propiedad china, eso significa que estos datos pueden entregarse al gobierno chino en función de las leyes estatales de China”.
• La araña dispersa usa teletransportación para la persistencia – El notorio grupo de delitos cibernéticos conocido como araña dispersa ha aprovechado un nuevo mecanismo de persistencia que implica el uso de teletransporte, una plataforma de acceso a la infraestructura que no se asoció previamente con el actor de amenazas. Los hallazgos demuestran cómo los malos actores están armando herramientas administrativas legítimas para mantener el acceso persistente a las redes comprometidas. “Después de obtener acceso a la nube a nivel de administración, el atacante instaló un agente de teletransporte en los servidores Amazon EC2 comprometidos para establecer un canal de comando y control remoto (C2) persistente”, dijo Rapid7. “TelePort es una herramienta legítima de código abierto para administrar la infraestructura remota, pero aquí fue cooptada para fines maliciosos. Esto efectivamente le dio al atacante acceso a los shell remotos persistentes a esos servidores en la nube, incluso si sus credenciales de usuario iniciales o el acceso VPN fueron revocados. El uso de teleport indica la adaptabilidad de las españas dispersadas en las nuevas herramientas para la persistencia y el comando de los comandos y el comando de comando y el control. Detección por herramientas de seguridad que pueden marcar el malware personalizado “.
• Servidores de Linux dirigidos por mineros criptográficos – Los servidores de Linux asegurados incorrectamente, especialmente las credenciales de SSH débiles, están siendo atacados por actores de amenaza a soltar mineros de criptomonedas y colocarlos en botnets DDOS. Los ataques también conducen al despliegue de herramientas proxy como TinyProxy o Sing-Box, así como permiten que un actor de amenaza establezca la persistencia en los anfitriones. “Los atacantes pueden usar el sistema infectado como un proxy para ocultarse en otro caso de ataque o vender los derechos de acceso al nodo de poder para obtener ganancias penales”, dijo Ahnlab. Otro conjunto de ataques ha señalado los servidores MySQL para entregar variantes de rata GH0st, y otras cargas útiles como Asyncrat, DDostf DDOS Botnet, Xworm, HPLOADER e incluso la herramienta de control remoto legítimo Zoho Managine. Xworm se ha convertido en uno de los troyanos de acceso remoto más versátiles y ampliamente distribuidos en el panorama de amenazas actual, exhibiendo una notable adaptabilidad en sus mecanismos de entrega y estableciéndose como una herramienta formidable en la caja de herramientas de los cibercriminales. Los recientes ataques montados por un actor de amenaza vinculado a China han empleado instaladores de MSI troyanizados que se hacen pasar por WhatsApp para entregar el troyano en ataques dirigidos a usuarios en el este y sudeste asiático. “La cadena de ataque implica un código de shell encriptado integrado en archivos de imagen, scripts de PowerShell para persistencia a través de tareas programadas y cargadores de shellcode”, dijo Broadcom. “La carga útil final es una rata Xworm modificada mejorada con funciones para detectar instalaciones de telegrama e informar sistemas infectados a través de mecanismos basados ​​en telegramas”.
• Grupo de inteligencia de Irán IRGC Detallado – El equipo de Investigaciones de Doma -DomaTools (DTI) ha arrojado luz sobre una entidad sombría llamada Intelligence Group 13, una unidad de huelga cibernética encubierta que funciona bajo el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) para facilitar el ciberdemiopionaje, el sabotaje industrial y la guerra psicológica. Incrustado dentro del Grupo Cyberh Cyber ​​del Shahid Kaveh, el Grupo de Inteligencia 13 poderes Cyber ​​Av3ngers, un grupo pro-iraní que se ha atribuido a los ataques dirigidos a las autoridades de agua y los sistemas SCADA en Israel y el EE. UU. “Si a través de la interrupción directa, la activación de malware preposicionada o la respuesta tecnológica narrativa y la intimidación psicológica y la intimidación psicológica, las capacidades de los grupos lo convierten en una herramienta primaria directa, por lo que la respuesta de la herramienta hibríable, la herramienta de la propiedad narrable, la herramienta para la base de la propiedad narrable, la herramienta de la propiedad, la herramienta de primera generación, la herramienta de primera generación, la herramienta para la base de la propiedad, la herramienta de primera generación, los que se denuncian la herramienta de primera generación, la herramienta para la base de la propiedad. Mensajes simbólicos diseñados para proyectar el desafío y el impacto psicológico “, dijo DTI.
• Abrir VSX utilizado para distribuir extensiones de código VS maliciosas – Casi 200,000 desarrolladores han descargado dos extensiones VSCode maliciosas del registro Open VSX. Las extensiones, ambas llamadas Solidity Language, escanean el software de escritorio remoto de SCRESCONNECT CONNECTWORTIVE existente, y si están presentes, descargue e instale una versión maliciosa desde un servidor controlado por el atacante. Desde entonces, las extensiones se han eliminado del mercado. Los hallazgos ilustran una vez más que la apertura no necesariamente equivale a la seguridad. “La apertura misma que hace que el VSX sea atractivo también introduce riesgos de que el mercado más curado de Code ayude a mitigar”, dijo John Tuckner de Secure Annex.
• Nueva campaña distribuye malware MassLogger – Los archivos de Script Visual Basic (VBE) codificados probablemente distribuidos a través de correos electrónicos de phishing se están utilizando para entregar una variante sofisticada de MassLogger, un malware de robador que puede cosechar detalles de inicio de sesión del navegador Chrome, registrar las pulsaciones de pulsaciones, capturar contenido del portaplelo y cargar archivos a un servidor remoto. “Inicialmente, la variante parecía ser una amenaza típica basada en script, pero en un análisis más profundo, resultó ser un malware de múltiples etapas sin archivo que depende en gran medida del registro de Windows para almacenar y ejecutar su carga útil maliciosa”, dijo Seqrite Labs.
• Las empresas occidentales no toman medidas en Funnull -En mayo de 2025, el Departamento del Tesoro de EE. UU. Sancionó a Filipinas con sede en Filipinas por proporcionar infraestructura para realizar estafas de cebos románticos y para llevar a cabo un ataque de la cadena de suministro en la biblioteca Polyfill (.) IO JavaScript. Sin embargo, un nuevo análisis del periodista de Silent Push and CyberseCurity Brian Krebs descubrió que muchas compañías tecnológicas estadounidenses aún organizan cuentas asociadas con el administrador de Funnull, Liu “Steve” Lizhi, incluidos X, Github, LinkedIn, Facebook, Google Groups, Medium, PayPal, WordPress, Hugging Face, Gravatar, Vercel y Flickr, entre otros. Los perfiles de Facebook, Github, LinkedIn y PayPal han sido suspendidos o derribados.
• Rusia cárcel a un hombre a 16 años por ataques cibernéticos pro-ucranianos -Rusia ha sentenciado a un hombre a 16 años en una prisión de alta seguridad por lanzar ataques distribuidos de denegación de servicio (DDoS) contra la infraestructura crítica en el país. Andrei Smirnov fue arrestado en 2023 en la ciudad siberiana de Belovo y acusado de traición. Funcionarios rusos dijeron que Smirnov se unió a las “tropas cibernéticas” de Ucrania y lanzó los ataques a instancias de los servicios de inteligencia ucranianos.
• FileFix obtiene una actualización -El investigador de seguridad MRD0X ha detallado una variante de FileFix, en sí mismo en la popular Táctica de Ingeniería Social ClickFix, que permite la ejecución de scripts maliciosos al tiempo que evita las protecciones de Marca de la Web (MOTW) en Windows al aprovechar cómo los navegadores web manejan las páginas web HTML guardadas. “Cuando se guarda una página HTML utilizando Ctrl + S o Haga clic con el botón derecho> ‘Guardar como’ y se seleccionaron ‘Página web, archivo único’ o ‘página web, completa’, entonces el archivo descargado no tiene MOTW”, dijo el investigador. “Además, este comportamiento solo se aplica si la página web que se guarda tiene un tipo mime de texto/html o aplicación/xhtml+xml”. El nuevo ataque esencialmente busca engañar a los usuarios para que guarden una página HTML (usando CTRL+S) y renombrarlo a un archivo de aplicación HTML (HTA), lo que hace que se ejecute automáticamente comandos integrados dentro de JavaScript cuando se lance. En un posible escenario de ataque, un adversario podría diseñar una página web falsa que podría pedir a los usuarios que guarden códigos de autenticación multifactor de copia de seguridad (MFA) presionando Ctrol + S y nombrar el archivo como “mfabackupcodes2025.hta”. Luego se le indica a la víctima que abra el archivo HTA para garantizar que los códigos se almacenen correctamente. “La forma más fácil de evitar que esta técnica funcione es eliminar mshta.exe para poder ejecutar archivos HTA”, señaló el investigador. “Esta es una buena solución a menos que alguien pueda utilizar esta técnica con otros tipos de archivos”.
• KeyMous+, un frente para elitress? – Un grupo hacktivista conocido como Keymous+ se ha convertido en un jugador clave en el paisaje cibernético, reclamando la responsabilidad de más de 700 ataques de denegación de servicio (DDoS) distribuidos solo en 2025. El grupo, según Radware, afirma que está compuesto por “piratas informáticos del norte de África”, y su lista de víctimas abarca sitios web gubernamentales, proveedores de telecomunicaciones en Francia e India, plataformas financieras en Marruecos y los EAU, instituciones educativas en Dinamarca e infraestructura de fabricación en Israel. Esta selección aparentemente aleatoria de objetivos, desprovisto de una agenda ideológica clara o enemigos, lo distingue de los grupos hacktivistas tradicionales. Además, la actividad parece ser una personalidad de marketing para un servicio DDOS-for alquilado conocido como Elitestress. El descubrimiento muestra a Keymous+ probablemente a horcajadas sobre el límite entre el hacktivismo y las aspiraciones comerciales. También destaca una nueva raza de actores de amenaza cuyos motivos son opacos y cada vez más impulsados ​​por las ganancias, ofreciendo herramientas de interrupción con el clic de un botón. El desarrollo se produce cuando Intel 471 dijo que identificó dos nuevos grupos hacktivistas pro-Kremlin llamados Twonet y el Ejército de TI de Rusia. Ambos están involucrados principalmente en los ataques DDoS y surgieron a principios de este año, pero este último también se ha encontrado reclutando expertos en organizaciones de infraestructura crítica ucraniana.
• El abuso de .es tld aumenta 19x veces – Las campañas maliciosas lanzadas desde los dominios .es han sido testigos de un aumento de 19X del cuarto trimestre de 2024 al cuarto trimestre de 2025, lo que lo convierte en el tercero más común, detrás .com y .ru. “Este aumento se aplica tanto a las URL de la primera etapa (enlaces integrados en correos electrónicos o archivos adjuntos) como URL de segunda etapa (sitios visitados después de las URL integradas)”, dijo Cofense. “Estas URL de la segunda etapa generalmente albergan páginas de phishing de credenciales o información exfiltrada. Son estas URL de la segunda etapa las que han visto el mayor aumento en el abuso de TLD”. A partir de mayo, 1.373 subdominios alojaban páginas web maliciosas en los dominios base 447 .es. Un hallazgo interesante es que el 99 por ciento de ellos fueron alojados en Cloudflare, y la mayoría de las páginas de phishing utilizaron una captcha de torniquía de nubeflare. “Si bien Cloudflare ha hecho recientemente la implementación de una página web rápida y fácil a través de la línea de comandos con páginas alojadas en (.) Páginas (.) Dev, no está claro si su reciente movimiento para hacer dominios alojados por ellos es fácil de implementar ha atraído a los actores de amenaza a sus servicios de alojamiento en diferentes plataformas o si hay otras razones, como la forma en que la CloudFlare de Cloud Strict o Lenient está con el abuso que las quejas”, dice la compañía.
• Aumento de archivos LNK maliciosos — The weaponization of Windows shortcut (LNK) files for malware distribution has increased by 50%, according to telemetry data gathered by Palo Alto Networks Unit 42, with malicious samples rising from 21,098 in 2023 to 68,392 in 2024. “The flexibility of LNK files makes them a powerful tool for attackers, as they can both execute malicious content and masquerade as legitimate files to deceive victims En el lanzamiento involuntario de malware “, dijeron los investigadores de la Unidad 42.

Porcentajes de objetivos del sistema para la ejecución de archivos maliciosos

• El FBI investiga el negociador de ransomware para vergüenza de extorsión – La Oficina Federal de Investigación de los Estados Unidos (FBI) está investigando a un ex empleado de la firma de seguridad DigitalMint por supuestamente tomar un recorte de los pagos de ransomware. Según Bloomberg, se dice que el empleado ayudó a los clientes de la compañía a negociar rescates durante los ataques de ransomware. Pero desconocido para ellos, el empleado tenía acuerdos secretos con pandillas de ransomware para tomar una porción del rescate que las compañías terminaron pagando. DigitalMint dijo que despidió al empleado tan pronto como se enteró de la investigación y comenzó a notificar a sus clientes.
• Cloudflare Open-Sources Orange se encuentra -CloudFlare ha implementado el cifrado de extremo a extremo (E2EE) a su aplicación de videollamadas Orange Meets y de código abierto la solución para la transparencia. La compañía de infraestructura web dijo que la solución funciona con unidades de reenvío selectivas (SFU) y utiliza la seguridad de la capa de mensajería (MLS) para establecer el cifrado de extremo a extremo para la comunicación grupal. “Para hacerlo, construimos un trabajador de servicio WASM (compilado de Rust) que establece un grupo MLS y realiza cifrado y descifrado de flujo, y diseñamos un nuevo protocolo de unión para grupos, llamado algoritmo de comitvas designado, y lo modeló formalmente en TLA+”, dijo Cloudflare.
• Rusia para construir una base de datos de estafadores conocidos – El gobierno ruso ha anunciado planes para construir una base de datos de estafadores de teléfono conocidos que incluirán muestras de voz, números de teléfono e identificadores de llamadas. Una vez que el servicio se lanza el 1 de abril de 2026, se espera que los operadores móviles en el país muestren advertencias de estafa en las pantallas del teléfono para llamadas provenientes de números de estafa conocidos. Las grabaciones de voz se compartirán con la aplicación de la ley para posibles investigaciones.
• Bomba C4 para omitir el cifrado vinculado a la aplicación en Google Chrome -El año pasado, Google introdujo una nueva medida de seguridad llamada cifrado vinculado a la aplicación para evitar que el malware que roba información obtiene cookies en los sistemas de Windows. Si bien los robos han encontrado formas de derrotar esta barandilla, Cybark ha detallado otro método denominado Ataque C4 (abreviatura de Chrome Cookie Cipher Cracker), lo que hace posible descifrar las cookies como un usuario privilegiado. “Además, esta técnica también nos permitió abusar de la nueva función de seguridad de Google para atacar las máquinas de Windows y acceder a los datos que generalmente solo deberían estar disponibles para el usuario privilegiado del sistema”, dijo el investigador de seguridad Ari Novick. La técnica esencialmente emplea un ataque Oracle de relleno para hacer el cifrado y eludir el System-DPAPI, recuperando la clave de cookies. Después de la divulgación responsable en diciembre de 2024, Google ha implementado una “solución parcial” para remediar el ataque de Oracle de relleno. Pero está deshabilitado de forma predeterminada.
• Explotar los intentos objetivo Apache Tomcat y fallas de camello -Los actores maliciosos sondeando para servidores que ejecutan versiones vulnerables de Apache Tomcat y Camel que no están eclipsados ​​contra CVE-2025-24813, CVE-2025-27636 y CVE-2025-29891 para lograr la ejecución del código remoto. Palo Alto Networks dijo que bloqueó 125,856 sondas/escaneos/intentos de explotación que se originaron en más de 70 países relacionados con estas vulnerabilidades en marzo de 2025.
• Vamos a encrypt Comenzamos a emitir certificados para direcciones IP – Vamos a encriptar este mes emitiendo certificados para direcciones IP. Estos certificados son de corta duración y válidos solo durante seis días, una tendencia que apunta a la disminución de la vida útil del certificado. Escenarios potenciales en los que uno podría necesitar un certificado de dirección IP incluyen casos de uso como servir una página predeterminada para alojamiento de proveedores, acceder a un sitio web sin un nombre de dominio, asegurar DNS a través de servicios HTTPS (DOH), proteger los servidores de almacenamiento atacados en la red y salvaguardar las conexiones efímeras dentro de la infraestructura de host en la nube.
• Google Open-Sources Privacy Tech para la verificación de edad -A medida que los servicios en línea introducen cada vez más barreras de verificación de edad, Google ha obtenido sus bibliotecas de prueba de conocimiento cero (ZKP) para ayudar a las personas a verificar su edad sin renunciar a información confidencial. “En términos de Layperson, ZKP hace posible que las personas demostraran que algo sobre ellos es cierto sin intercambiar ningún otro datos”, dijo Google. “Entonces, por ejemplo, una persona que visita un sitio web puede probar verificablemente que tiene más de 18 años, sin compartir nada más”. La Biblioteca ZKP, llamada Longfellow ZK, actualmente está siendo examinada por expertos académicos e industriales independientes. Se espera que los resultados de las revisiones estén disponibles antes del 1 de agosto de 2025.
• Apple agrega ML-kem a iOS y MacOS 26 -Hablando de soluciones criptográficas, Apple está agregando soporte de criptografía posterior al cuanto a sus sistemas operativos. Las próximas versiones de iOS, iPados, MacOS y Visisos admitirán el algoritmo de criptografía FIPS 203 (también conocido como ML-kem) por medio de un intercambio de claves híbrido de seguridad cuántica. “El mensaje Clienthello de iOS 26, iPados 26, MacOS Tahoe 26 y VisionOS 26 los dispositivos incluirá X25519MLKEM768 en la extensión Supported_Groups, junto con una participación clave correspondiente en la extensión Key_Share”, dijo Apple. “Los servidores pueden seleccionar x25519mlkem768 si lo admiten, o usar otro grupo anunciado en el mensaje Clienthello”.
• España arresta a 2 por filtrar datos personales de funcionarios gubernamentales -La policía española arrestó a un estudiante de informática de 19 años y un cómplice por presuntamente filtrar los datos personales de altos funcionarios y periodistas del gobierno. El principal sospechoso, identificado como Yoel Oq, fue detenido en la casa de sus padres en la isla de Gran Canaria. Su presunto cómplice, Cristian Ezequiel SM, también fue arrestado, según los medios locales que citan fuentes de aplicación de la ley. El dúo ha sido descrito como una “seria amenaza para la seguridad nacional”.
• AT&T lanza un bloqueo de cuenta inalámbrica para evitar ataques de intercambio de SIM – El operador móvil de EE. UU. AT&T ha lanzado una nueva característica para bloquear las cuentas y evitar ataques de intercambio de SIM. El bloqueo de la cuenta inalámbrica se puede habilitar exclusivamente a través de la aplicación Myat & T de AT&T. Una vez habilitado, bloquea cualquier cambio a los detalles de facturación de un cliente o las transferencias de números inalámbricos hasta que esté deshabilitado nuevamente. Ya existen características similares en otros operadores como T-Mobile, Verizon y Google FI. “El bloqueo obliga a un paso adicional antes de que se puedan hacer cambios importantes en la cuenta. Evita que cualquier persona compre un dispositivo en la cuenta, por ejemplo, o realice un intercambio de SIM, moviendo un número de teléfono a un SIM en un dispositivo diferente”, dijo AT&T.
• Freelancers paquistaníes detrás de sitios web que despliegan robadores -Un grupo de desarrolladores web independientes paquistaníes está detrás de una red de más de 300 sitios web que anuncia software descifrado que infecta a los usuarios con malware de robo de información, según Intrinsec. Se cree que estos sitios web se han construido para un tercero y que el grupo incorpora técnicas de optimización de motores de búsqueda y anuncios de Google para maximizar la visibilidad y el compromiso de las víctimas. “Además, se puede hacer poco para procesar a las personas pakistaníes detrás de estas actividades maliciosas, ya que no hay tratado de extradición entre los Estados Unidos y Pakistán”, dijo la compañía. “Los servidores y los dominios se pueden incautar, pero es solo una medida temporal hasta que se reconstruyan los nuevos”. El desarrollo coincide con la aparición de nuevas variantes de robador como Amatera Staaler (ACR Stealer) y Odyssey Stealer (Poseidon Stealer), convirtiéndose en los últimos participantes en un campo lleno de malware de inftasis.
• España detalla 21 sospechosos en relación con la estafa de inversión – Las autoridades españolas han detenido a 21 sospechosos por cargos de administrar un anillo de estafas de inversión. El grupo operó los centros de llamadas en Barcelona y utilizó anuncios de redes sociales para promover plataformas de inversión falsas y engañar a cientos de víctimas en todo el país para que inviertan sus fondos en ellos, obteniendo a la pandilla más de € 10 millones ($ 11.8 millones). A fines de junio de 2025, las autoridades estadounidenses extraditaron a un ciudadano ghanés, Joseph Kwadwo Badu Boateng, para enfrentar cargos relacionados con un esquema de romance y herencia dirigido a los ancianos de 2013 de 2013 a marzo de 2023. La semana pasada, un hombre nigeriano de 41 años llamado Ehis Lawrence Akhimie declaró a Guilty en cargos similares en un caso por separado. “Akhimie admitió haber defraudado más de $ 6 millones de más de 400 víctimas, muchas de las cuales eran ancianos o vulnerables”, dijo el Departamento de Justicia de los Estados Unidos.
• Estudiante chino condenado a prisión en el Reino Unido por la campaña de amordazos – Ruichen Xiong, un estudiante de China, ha sido sentenciado en un tribunal de Londres por operar un blaster SMS para llevar a cabo una campaña de smishing masiva contra las víctimas con el objetivo de cosechar sus datos personales entre el 22 y el 27 de marzo de 2025. “El equipo fue programado para enviar SMS a las víctimas dentro de un radio cercano del Blaster, diseñado para ver los mensajes de la confianza de la confianza de la victoria. Link “, dijo la Finanzas del Reino Unido de la Asociación Británica del Reino Unido. “El enlace posteriormente los llevaría a un sitio malicioso que fue diseñado para cosechar sus datos personales”.
• Microsoft toma medidas contra ataques con bombas de correo electrónico y redirección del sistema de archivos – Microsoft reveló que está implementando una función de protección de bombardeo por correo electrónico de forma predeterminada en la protección en línea de Exchange y el defensor de Microsoft para Office 365 planea contrarrestar los riesgos planteados por los ataques que buscan inundar las bandejas de entrada objetivo con miles de mensajes mediante la suscripción de sus direcciones de correo electrónico a una gran cantidad de servicios de redacción y suscripción legítimos. “Al rastrear inteligentemente los volúmenes de mensajes en diferentes fuentes e intervalos de tiempo, esta nueva detección aprovecha los patrones históricos del remitente y las señales relacionadas con el contenido de spam. Evita que las bombas de correo se caigan en la bandeja de entrada del usuario y los mensajes se envíen a la carpeta basura (de Outlook)”, dijo Microsoft. Por separado, el gigante tecnológico también ha detallado una nueva mitigación llamada RedirectionGuard que ha implementado en Windows 11 para mitigar los ataques de redirección del sistema de archivos.
• Hunters International se cierra – En un giro inusual de los acontecimientos, la operación de ransomware internacional de Hunters ha cerrado y prometido lanzar claves de descifrado gratuitas para todas las víctimas pasadas. El grupo anunció el cierre en un mensaje publicado en su sitio de filtración web oscura el 3 de julio de 2025. “Después de una cuidadosa consideración y a la luz de los desarrollos recientes, hemos decidido cerrar el Proyecto Internacional de Hunters”, escribió la pandilla en su sitio de extorsión Darknet. No explicó cuáles fueron estos “desarrollos recientes”. La operación se lanzó en noviembre de 2023 y fue un cambio de marca del ransomware Hive, que tuvo su infraestructura incautada a principios de ese año. La desaparición de Hunters International no es sorprendente, dado que un informe del Grupo-IB a principios de este año encontró que el grupo ya había cambiado nuevamente y lanzó una operación solo por extorsión conocida como filtraciones mundiales. A pesar de estas afirmaciones, la firma de seguridad francesa Lexfo dijo que identificó a las víctimas de World Leaks que habían desplegado ransomware en su red antes de ser extorsionadas. Según DatabReaches.net, World Leaks es operado por individuos previamente asociados con Hunters International. World Leaks también ha afirmado que ya no están en contacto con Hunters International. Sin embargo, el Grupo-IB dijo que el cierre “está” diseñado para controlar la narrativa y la atribución de retraso “.

🎥 seminarios web de ciberseguridad

• El futuro de los inicios de sesión: IA, confianza y privacidad chocan – Los usuarios rechazan la IA espeluznante e exigentes inicios de sesión sin fricción, y las apuestas nunca han sido más altas. Este seminario web revela hallazgos exclusivos del informe de tendencias Auth0 2025, exponiendo cómo están evolucionando las amenazas de identidad y cómo los equipos líderes están diseñando flujos de inicio de sesión de confianza que los usuarios aman. Si todavía confía en patrones de UX obsoletos o ignorando los cambios de privacidad, ya se está quedando atrás.
• Su instalación de PIP puede ser malware, aquí es cómo solucionarla – Pip Install no es solo arriesgada, es peligroso. Repójacking, paquetes falsos y contenedores infectados envenenan silenciosamente miles de aplicaciones. Esta no es una teoría, está sucediendo en este momento. Únase a los mejores expertos de seguridad para descubrir cómo se está atacando el ecosistema de Python, qué herramientas como Sigstore y SLSA realmente hacen, y los pasos reales que necesita para asegurar sus compilaciones antes de que sea demasiado tarde.

🔧 Herramientas de ciberseguridad

• Orange Meets de Cloudflare: es una aplicación de videollamadas cifrada completamente de extremo a extremo que se ejecuta completamente en el lado del cliente, no se necesitan cambios en el servidor o la SFU. Construido con WebRTC, óxido y seguridad de la capa de mensajería (MLS), admite llamadas de grupo seguras con rotación clave en tiempo real y lógica de unión formalmente verificada. Es de código abierto, escalable y listo para usar o personalizar.
• Octelium: es una plataforma gratuita, de código abierto, autohospedada para el acceso seguro y de confianza cero a los recursos internos y en la nube. Reemplaza las VPN, los túneles y las puertas de enlace con acceso basado en la identidad, sin secreto y un control de grano fino y basado en políticas. Construido en Kubernetes, es compatible con el acceso basado en el cliente y el navegador, y funciona para aplicaciones, API, SSH, bases de datos y más, sin exponer su infraestructura.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio riesgo: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Encoge su superficie de ataque con valores predeterminados inteligentes – Muchos ataques cibernéticos comienzan aprovechando las características legítimas de Windows que rara vez necesitan la mayoría de los usuarios o entornos. Office Macros, Windows Script Host, Legacy Protocols como LLMNR y Netbios a través de TCP/IP, y las interfaces de script de fondo de fondo son culpables comunes. Pero aún más las superficies más oscuras, como los controles ActiveX, las rutas de elevación del modelo de objetos componentes o los puntos finales DCOM/RPC expuestos, pueden ser puntos de entrada para el movimiento lateral y la escalada de privilegios.

Más allá del endurecimiento básico, considere técnicas avanzadas como deshabilitar las características opcionales de Win32 a través de “Dism /Online /Disable-Fature,” deshabilitar los subsistemas de entrada /salida heredados (como el soporte de 16 bits a través de NTVDM), o auditar a los oyentes de red inesperados que usan “Netstat -Abno” y “Sysinternals TCPView”. Aplicar políticas de restricción de software (SRP) o Applocker para bloquear la ejecución desde directorios TEMP, unidades USB y carpetas de perfil de usuario. Harden PowerShell con el modo de lenguaje restringido y permite que AMSI se registre para atrapar intentos de ofuscación de script.

Para los usuarios que desean valores predeterminados sin sumergirse en el registro o GPO, Hardentools ofrece una línea de base bien equilibrada. Desactiva los motores de secuencias de comandos comúnmente explotados, la ejecución de la macro de oficina y ciertos comportamientos de Windows Explorer con un solo clic. Pero para ir más allá, combínelo con scripts comunitarios como “Attack Surface Analyzer” (por Microsoft) o herramientas como O&O Shutup10 ++ para deshabilitar la telemetría y reducir la exposición a los vectores de ataque conectados a la nube.

Cuanto más oscuro sea el vector, menos probable es que los defensores lo están monitoreando, pero eso es exactamente por qué los atacantes lo aman. La reducción efectiva de la superficie de ataque no se trata solo de minimizar los servicios visibles; Se trata de saber lo que está habilitado en silencio y garantizar que sea necesario. Esta semana, vaya más allá del bloqueo de macro básico: revise lo que se ejecuta debajo del capó y cierre los riesgos silenciosos.

Conclusión

Una cosa es defenderse de los atacantes externos: es otra cuando el riesgo ya está dentro. Las revelaciones de esta semana sobre las identidades robadas, las contrataciones falsas y el acceso silencioso muestran cómo la confianza se puede convertir en un arma.

La comida para llevar es clara: la identidad no es solo un inicio de sesión, es un límite de seguridad. Y cuando eso falla, todo lo que está detrás está en riesgo.