Explaios de VPN, incriación silenciosa de Oracle, SickFix Surge y más

Hoy, cada sistema no parpadeado, contraseña filtrada y complemento pasado por alto es una puerta para atacantes. Las cadenas de suministro se extienden profundamente en el código en el que confiamos, y el malware se esconde no solo en aplicaciones sombrías, sino en ofertas de trabajo, hardware y servicios en la nube en los que confiamos todos los días.

Los piratas informáticos ya no necesitan hazañas sofisticadas. A veces, sus credenciales y un poco de ingeniería social son suficientes.

Esta semana, rastreamos cómo los supervisiones simples se convierten en grandes infracciones, y las amenazas silenciosas que la mayoría de las empresas aún subestiman.

Vamos a sumergirnos.

⚡ Amenaza de la semana

UNC5221 explota un nuevo defecto ivanti para soltar malware -El Grupo de Cyber ​​Espionage de China-Nexus rastreó como UNC5221 explotó un defecto ahora parpadeado en Ivanti Connect Secure, CVE-2025-22457 (CVSS Score: 9.0), para ofrecer un gotero en la memoria llamado Trailblaze, un pasivo en el nombre de nombre en código y el suite de malware de membretería. La vulnerabilidad fue originalmente parcheada por Ivanti el 11 de febrero de 2025, lo que indica que los actores de amenaza estudiaron el parche y descubrieron una forma de explotar las versiones anteriores para violar los sistemas no parchados. Se cree que UNC5221 comparte superposiciones con grupos rastreados por la comunidad más amplia de ciberseguridad bajo los apt27, el tifón de seda y la UTA0178.

🔔 Noticias principales

• CiCrypThub desenmascarado como un probable actor de lobo solitario -Un actor de amenaza prometedora que opera bajo el alias CiCrypthub ha sido expuesto debido a una serie de errores de seguridad operativos. Lo que distingue a CiCrryPThub de otros ciberdelincuentes típicos es la dicotomía de sus actividades en línea: al realizar campañas maliciosas, el individuo contribuyó simultáneamente a la investigación legítima de seguridad, incluso recibió el reconocimiento del Centro de Respuesta de Seguridad de Microsoft (MSRC) el mes pasado para descubrir e informar CVE-2025-24061 y CVE-2025-2407. Otro aspecto interesante de CiCrypThub es su uso de Operai Chatgpt como un “socio en el crimen”, aprovechándolo para las tareas de desarrollo y traducción de malware. En algunas conversaciones particularmente reveladoras con el chatbot de inteligencia artificial (AI), CiCrypThub le pidió que evaluara si estaba mejor adecuado para ser un hacker de “sombrero negro o sombrero blanco” y si fuera mejor ser un “hacker genial o un investigador malicioso”, incluso con el alcance de la confesión de sus actividades criminales y las explotaciones que se había desarrollado. “Cuando las personas piensan en los ciberdelincuentes, tienden a imaginar equipos de alta tecnología y respaldados por el gobierno y piratas informáticos que utilizan tecnología de vanguardia”, dijo Outpost24. “Sin embargo, muchos piratas informáticos son personas normales que en algún momento decidieron seguir un camino oscuro”.
• La cadena de suministro de acción de Github se remonta a Spotbugs Robo de Pat -El ataque de la cadena de suministro en cascada que inicialmente se dirigió a Coinbase antes de convertirse en un alcance más amplio para eliminar a los usuarios del GitHub Action “TJ-Actions/Changed-Files” se ha rastreado más atrás al robo de un token de acceso personal (PAT) asociado con otro proyecto de fuente abierta llamada Spotbugs. Los orígenes de la incumplimiento sofisticada se están enfocando lentamente en medio de una investigación continua, revelando cómo ocurrió el compromiso inicial. Ahora ha surgido que la popular herramienta de análisis estático, Spotbugs, se vio comprometida en noviembre de 2024, utilizándola como un trampolín para comprometer “ReviewDog/Action-setup”, que posteriormente condujo a la infección de “TJ-Actions/Change-Files”. Esto fue posible debido al hecho de que el mantenedor de ReviewDog también tenía acceso a repositorios de Spotbugs. El ataque de la cadena de suministro de varios pasos finalmente exponió secretos en 218 repositorios después de que los atacantes fallaron en su intento de violar los proyectos relacionados con Coinbase.
• Entrevistas contagiosas adopta ClickFix y difunen paquetes de NPM falsos – Se han observado que los actores de amenaza de Corea del Norte detrás de la campaña de entrevistas contagiosas en curso adoptan la infame estrategia de ingeniería social de ClickFix para entregar una puerta trasera previamente indocumentada llamada Golangghost. El colectivo adversario también ha publicado hasta 11 paquetes de NPM que entregan el malware del robador de información de Beaverail, así como un nuevo cargador de troyanos de acceso remoto (rata). Los paquetes se descargaron más de 5,600 veces antes de su eliminación. Mientras tanto, los trabajadores de TI de Corea del Norte están ampliando sus esfuerzos más allá de los Estados Unidos, y están tratando de obtener empleo de manera fraudulenta con organizaciones de todo el mundo, especialmente en Europa. Los investigadores de Google llamaron a los guerreros de TI por participar en “un patrón de proporcionar referencias fabricadas, construir una relación con los reclutadores de empleo y usar personajes adicionales que controlaban para garantizar su credibilidad”. Además, están tratando cada vez más de extorsionar el dinero de estas compañías una vez que los descubren y/o despiden. En los últimos años, el gobierno de EE. UU. Ha hecho un impulso concentrado para crear conciencia sobre la operación de amenaza interna, para eliminar y castigar a los facilitadores con sede en los Estados Unidos del esquema fraudulento, para descubrir a los trabajadores de TI y las compañías frontales que ayudan a estos trabajadores a ocultar su verdadero origen y ayudar a las organizaciones a detectar el riesgo antes de que sea demasiado tarde. Con toda probabilidad, estos intensos esfuerzos de aplicación de la ley han provocado que los operadores del esquema se centren más en los objetivos ubicados en otros lugares, al tiempo que los llevan a adoptar medidas más agresivas para mantener los flujos de ingresos.
• Las versiones falsas de los teléfonos Android vienen precargadas con malware Triada -Se ha encontrado que las versiones falsificadas de los modelos populares de teléfonos inteligentes a precios reducidos están preinstaladas con una versión modificada de un malware Android llamado TRIADA. La mayoría de las infecciones se han informado en Rusia. Se cree que las infecciones son el resultado de un compromiso de la cadena de suministro de hardware, aunque se ha observado que Triada se propaga a través de modificaciones no oficiales de WhatsApp y mercados de aplicaciones de terceros.
• Los malos actores abusan de Mu-Plugins para guardar malware -Los actores de amenaza están utilizando el directorio de WordPress Mu-Plugins (“complementos de uso obligatorio”) para ejecutar sigilosamente el código malicioso en cada página mientras evade la detección. Debido a que las plugins MU se ejecutan en cada carga de página y no aparecen en la lista de complementos estándar, pueden usarse para realizar sigilosamente una amplia gama de actividades maliciosas, como robar credenciales, inyectar código malicioso o alterar la salida HTML.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión menor en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La lista de esta semana incluye: CVE-2025-22457 (Ivanti Connect Secure, Policy Secure y ZTA Gateway), CVE-2025-30065 (Apache Parquet), CVE-2024-10668 (Google Quick Share for Windows), CVE-2025-24362 (Github/CodeQL-Action), CVE-2025-1268 (CANONA CVE-2025-1449 (Rockwell Automation Verve Asset Manager), CVE-2025-2008 (complemento del importador CSV WP), CVE-2024-3660 (Tensorflow Keras), CVE-2025-20139 (Cisco Enterprise Chat y correo electrónico), CVE-2025-20212 (Cisco Cisco Anycon de Cisco de Cisco de Cisco de Cisco de Cisco de CISCO Meraki MX y Cisco Meraki Z), CVE-2025-27520 (Bentoml), CVE-2025-2798 (tema de Woffice CRM), CVE-2025-2780 (Woffice Core Plugin), CVE-2025-31553 (WPFactory Advanced WooOcommerce Sense Informe Reglin), CVE-2025-31579 (WPFactory WooOcommerce Complemento de ventas de ventas), CVE-2025-31525 (CVE-31525 (WPA (EXEIDEAS International WP AutoKeyword Plugin) y CVE-2025-31552 (complemento RSVPmarker).

📰 alrededor del mundo cibernético

• Oracle confirma en privado la violación de datos – Según los informes, el gigante de la computación empresarial Oracle informa a sus clientes en privado que los hackers de TI comprometieron un entorno de Oracle “heredado”, exponiendo nombres de usuario, verises de contrato y contraseñas cifradas, contradiciendo su negación pública consistente sobre el incidente. “La compañía informó a los clientes que el sistema no ha estado en uso durante ocho años y que las credenciales de los clientes robados, por lo tanto, representan poco riesgo”, informó Bloomberg. Según los informes, una investigación realizada por la Oficina Federal de Investigación de los Estados Unidos (FBI) y CrowdStrike está en curso. Esta es la segunda violación que la compañía ha reconocido a los clientes en las últimas semanas. Se evalúa que la intrusión está separada de otro truco en Oracle Health (anteriormente Cerner) que afectó a algunos clientes de atención médica de los Estados Unidos el mes pasado. Las noticias sobre la violación salieron a la luz después de que un actor de amenaza no identificado llamado “Rose87168” intentó vender datos sobre incumplimientos que afirmaron haber robado a los servidores en la nube de la compañía. Múltiples compañías de ciberseguridad, incluidas Black Kite, Cloudsek, Cyberangel, Hudson Rock, Orca Security, Socradar, Sygnia y Trustwave, han analizado y validado los datos publicados para la venta en línea como se extraen directamente de Oracle. Se cree que el atacante ha explotado una vulnerabilidad no parpadea en Oracle Fusion Middleware (CVE-2021-355587) para comprometer el sistema de inicio de sesión y autenticación de Oracle Cloud y robar los datos. “Esta exposición fue facilitada a través de una exploit de Java 2020 y el hacker pudo instalar un shell web junto con malware”, dijo Cyberangel. “El malware se dirigió específicamente a la base de datos Oracle IDM y pudo exfil”. El investigador de seguridad Kevin Beaumont dijo que “Oracle está intentando declaraciones de Wordsmith en torno a Oracle Cloud y usar palabras muy específicas para evitar la responsabilidad,” agregando “Oracle Rebadged Old Cloud Services para ser Oracle Classic. Oracle Classic tiene el incidente de seguridad. Oracle está negando en ‘Oracle Cloud’ usando este alcance, pero aún es Oracle Cloud Services que Oracle Managine. Es parte de Wordplay”. “. CloudSek ha desarrollado una herramienta en línea que permite a las organizaciones verificar si se ven afectadas por la violación de datos. El reconocimiento privado de Oracle también se produce pocos días después de que la compañía fue golpeada con una demanda colectiva sobre su manejo del evento de seguridad.
• Nueva rata Triton emerge en la naturaleza -Un nuevo troyano de acceso remoto basado en Python llamado Triton Rat permite a los actores de amenaza acceder y controlar de forma remota un sistema usando Telegram. Escrito en Python, el malware está disponible públicamente en GitHub y viene con capacidades para registrar las pulsaciones de teclas, ejecutar comandos, grabar pantallas, recopilar información de Wi-Fi y robar contraseñas, contenido de portapapeles y cookies de seguridad Roblox. “Una cookie de seguridad de Roblox es una cookie de navegador que almacena la sesión de los usuarios y puede usarse para obtener acceso a la cuenta de Roblox que evita 2FA”, dijo Cado Security. La divulgación se produce cuando Cyfirma detalló otra rata escrita en Python que utiliza la API de Discord para comando y control (C2) para ejecutar comandos arbitrarios del sistema, robar información confidencial, capturar capturas de pantalla y manipular tanto las máquinas locales como los servidores de discordias.
• El DOJ de EE. UU. Anuncia la recuperación de $ 8.2 millones robada en estafa de cebo romántico – El Departamento de Justicia de los Estados Unidos (DOJ) ha anunciado la recuperación de $ 8.2 millones en USDT (Tether) que fue robado a través de una estafa de cebo romántico (anteriormente Butchering). According to a complaint filed in late February 2025, the scam targeted a woman in Ohio, who lost her entire life savings of approximately $663,352, after she responded to a text message from an unknown number in November 2023. While the initial conversation revolved around topics such as hobbies and religion, the victim was persuaded into opening an account at crypto.com and transferred her money into the account. “Cuando la víctima quería retirar fondos, su ‘amigo’ cedió y dijo que se necesitaban pagos adicionales y ella cumplió”, dijo el Departamento de Justicia. “Cuando a la víctima ya no les quedaba fondos después de hacer pagos adicionales, su ‘amigo’ comenzó a amenazarla de que él enviaría a sus amigos a ‘cuidar’ de sus amigos y familiares”. Se estima que más de 30 víctimas han caído para el esquema en total “.
• ClickFix utilizado para entregar Qakbot – La técnica ClickFix cada vez más popular se ha utilizado como vector de entrega para distribuir el malware Qakbot previamente inactivo. El ataque combina el malware con ClickFix, un método de compromiso de punto final que se observó por primera vez a fines de 2024 y desde entonces ha ganado una tracción significativa en los últimos meses. Implica engañar a una víctima para que ejecute un comando malicioso con el pretexto de solucionar un problema, generalmente un desafío de verificación Captcha.
• Fallas reveladas en el filtro de llamadas de Verizon -La aplicación de filtro de llamadas de Verizon tenía una vulnerabilidad que permitía a los clientes acceder a los registros de llamadas entrantes para otro número inalámbrico de Verizon a través de una solicitud de API no segura al “CLR-AQX.CEQUINTVZWECID.com/clr/calllogretrieval” en el punto de finalización. Pero el investigador de seguridad Evan Connelly, quien descubrió e informó el error el 22 de febrero de 2025, descubrió que la solicitud que contenía el número de teléfono utilizado para recuperar los registros del historial de llamadas no se verificaba con el número de teléfono cuyos registros de llamadas entrantes se solicitaban. Esto podría abrir la puerta a un escenario en el que un atacante podría haber alterado la solicitud con otro teléfono de Verizon para recuperar su historial de llamadas entrantes. Verizon ha abordado la vulnerabilidad a partir del 25 de marzo de 2025.
• GitHub presenta actualizaciones de la plataforma de seguridad avanzada – GitHub ha anunciado actualizaciones a su plataforma de seguridad avanzada después de su servicio de escaneo secreto detectado más de 39 millones de secretos filtrados en repositorios el año pasado. Esto incluye un escaneo secreto gratuito de toda la organización para ayudar a los equipos a identificar y reducir la exposición, así como la disponibilidad de protección de secreto de GitHub y una nueva herramienta de evaluación de riesgos secreto que tiene como objetivo ofrecer “información clara sobre la exposición de su organización”.
• Nuevo Ubuntu Linux Security omitida detallados – Se han descubierto tres derivaciones de seguridad en las restricciones del espacio de nombres de usuarios de usuarios de Ubuntu Linux, lo que podría permitir que un atacante local explote vulnerabilidades en los componentes del núcleo. Los derivados, que ocurren a través de AA-EXEC, BusyBox y LD_PReload, permiten a los atacantes crear espacios de nombres de usuarios con privilegios elevados. “Estos derivaciones permiten a los atacantes locales crear espacios de nombres de usuarios con capacidades administrativas completas, lo que facilitan la explotación de vulnerabilidades en los componentes del núcleo que requieren poderosos privilegios administrativos dentro de un entorno confinado”, dijo Qualys en un comunicado. “Es importante tener en cuenta que estos derivados por sí solos no permiten la adquisición completa del sistema; sin embargo, se vuelven peligrosos cuando se combinan con otras vulnerabilidades, típicamente relacionadas con el núcleo”. Ubuntu, que reconoció los problemas, dijo que está trabajando para “implementar más reglas de ajuste en Apparmor”.
• Classiscam apunta a Asia Central -Classiscam es una operación automatizada de estafa como servicio que utiliza bots de telegrama para crear sitios web falsos que se hacen pasar por servicios legítimos en un intento de engañar a las víctimas para que compartan sus detalles financieros. La estafa, también llamada Telekopye, involucra esencialmente a los estafadores que se hacen pasar por un comprador o un vendedor en plataformas en línea para engañar a las víctimas para que transfieran dinero para bienes o servicios inexistentes, o persuadiendo al vendedor para que use un servicio de entrega para la transacción a través de un sitio web de entrega falsa que busca su información financiera. Estas conversaciones ocurren sobre una aplicación de mensajería como Telegram al afirmar que “es más fácil comunicarse”. La investigación del Grupo-IB ha encontrado que más de diez instituciones financieras en Uzbekistán, incluidos los destacados bancos y los sistemas de pago, han sido atacadas por esquemas de phishing, que emplean sitios falsos que se hacen pasar por los servicios para obtener las credenciales bancarias de sus clientes. Uno de esos equipos que se dedican al esquema fraudulento es el equipo de Namangun, que ha proporcionado principalmente servicios de phishing dirigidos a Uzbekistán y Kirguistán desde finales de noviembre de 2024, lo que permite a sus clientes crear páginas de phishing en la marcha utilizando su bot de telegrama.

• Google se asocia con Nvidia y Hiddenlayer para una nueva biblioteca de firma de modelos -Google, en colaboración con Nvidia y Hiddenlayer, ha anunciado el lanzamiento de una biblioteca de Python llamada “firma de modelos” que ofrece a los desarrolladores una forma de firmar y verificar los modelos de aprendizaje automático (ML) en un esfuerzo para reforzar la seguridad de la cadena de suministro de ML y la protección contra amenazas emergentes como el modelo y el envenenamiento de datos, inyección rápida, fuga rápida y una evasión rápida. “Usando firmas digitales como las de Sigstore, permitimos a los usuarios verificar que el modelo utilizado por la aplicación es exactamente el modelo creado por los desarrolladores”, dijo el gigante tecnológico. El desarrollo se produce cuando Python estandarizó oficialmente un formato de archivo de bloqueo como parte de PEP 751. El nuevo formato, llamado pylock.toml, es un formato basado en TOML que registra versiones de dependencia exactas, hashes de archivos y fuentes de instalación. El nuevo estándar “Aline a Python con otros ecosistemas como JavaScript (Package-Lock.json), Rust (Cargo.lock) y Go (Go.Sum)”, dijo Socket. “Si bien el PEP no aborda todas las amenazas de la cadena de suministro (como el tipo de tipoquatación, el compromiso de la cuenta del mantenedor y las cargas útiles ocultas), sienta las bases para una mejor auditoría y resistencia a los manipulaciones”.
• Arcanum Trojan distribuido a través de sitios de fortuna -Un nuevo troyano llamado Arcanum se está distribuyendo a través de sitios web dedicados a la fortuna y las prácticas esotéricas, disfrazándose de una aplicación “mágica” para predecir el futuro. La aplicación, aunque ofrece una funcionalidad aparentemente inofensiva, se conecta a un servidor remoto para implementar cargas útiles adicionales, incluida la Autolycus. Hermes Stealer, Karma.miner Miner y Lysander.Scytale Crypto-Malware. La información capturada se exfila posteriormente a un servidor controlado por el atacante. El surgimiento del malware coincide con el descubrimiento de un skimmer de tarjeta de crédito Malware con nombre en código Rolandskimmer que se dirige a los usuarios de comercio electrónico en Bulgaria por medio de un archivo de acceso directo de Windows (LNK) distribuido a través de archivos ZIP. El archivo LNK luego inicia un proceso de varios pasos que instala una extensión de navegador malicioso en los navegadores web para robar información de la tarjeta de crédito. “Los atacantes emplean cargas útiles de JavaScript cuidadosamente elaboradas, engañan a archivos manifiestos y vBscripts ofuscados para mantener la persistencia en las sesiones y evadir la detección”, dijo Fortinet.
• Ataques basados ​​en la identidad en ascenso -Los atacantes dependen en gran medida de los puntos de acceso habilitados para credenciales para infiltrarse en redes y alimentar sus operaciones, en lugar de utilizar métodos más complejos como explotar vulnerabilidades o implementar malware, según Cisco Talos. Se sabe que las pandillas de ransomware, en particular, utilizan credenciales robadas pero válidas adquiridas de los corredores de acceso inicial (IBAB) como un medio de acceso inicial en redes corporativas. Los IBIS, a su vez, aprovechan los robos de información comercialmente disponibles como Lumma para capturar las credenciales de los usuarios. Esto también se ve exacerbado por el hecho de que muchos usuarios reciclan contraseñas en múltiples servicios, creando un “efecto de riesgo de riesgo” cuando se roban sus credenciales. Según el tráfico observado entre septiembre y noviembre de 2024, el 41% de los inicios de sesión exitosos en los sitios web protegidos por CloudFlare implican contraseñas comprometidas, según la compañía de infraestructura web. Además, las credenciales de VPN válidas podrían abusarse para obtener acceso sin restricciones a sistemas sensibles, a menudo con privilegios elevados que reflejan los de empleados o administradores legítimos. El uso de credenciales legítimas por parte de los actores de amenaza evita por completo las barreras de seguridad, dándoles una “ruta directa para infiltrarse en redes, robar datos e implementar ransomware sin detectar”. “Los ataques basados ​​en la identidad son atractivos para los actores de amenaza porque pueden permitir que un adversario realice una variedad de operaciones maliciosas, a menudo con un esfuerzo mínimo o sin cumplir con mucha resistencia desde el punto de vista de la seguridad”, dijo la compañía. “Esto se debe en gran parte a que la actividad es difícil de detectar porque emana de cuentas de usuarios aparentemente legítimas”. Los datos recopilados por la compañía muestran que las aplicaciones de gestión de identidad y acceso (IAM) se dirigieron con mayor frecuencia en los ataques de MFA, lo que representa el 24% de todos los ataques dirigidos a la autenticación multifactor (MFA).
• Oilrig ligado a Irán se dirige a las entidades iraquíes -El grupo de piratería iraní conocido como OilRig (también conocido como APT34) se ha atribuido a una serie de ataques cibernéticos contra entidades estatales iraquíes desde 2024 que implican el uso de señuelos de phishing de lanza para desplegar una puerta de cama que pueda ejecutar comandos, recopilar información del host y cargar/descargar archivos. La puerta trasera utiliza HTTP y correo electrónico para comunicaciones C2. “El primero envía en secreto instrucciones de control basadas en el valor característico del contenido del cuerpo, y el segundo utiliza una gran cantidad de buzones de gobierno oficiales iraquí comprometidos para la comunicación por correo electrónico”, dijo Amenazbook.
• Fallas de seguridad en Pytorch Lightning – Se han revelado cinco vulnerabilidades de deserialización en las versiones de Pytorch Lightning 2.4.0 y anteriormente que podrían explotarse para ejecutar código malicioso al cargar modelos de aprendizaje automático de fuentes desconocidas o no confiables. “Estas vulnerabilidades surgen del uso inseguro de Torch.Load (), que se utiliza para deserializar puntos de control de modelos, configuraciones y, a veces, metadatos”, dijo el Centro de Coordinación CERT (CERT/CC). “Un usuario podría cargar sin saberlo un archivo malicioso de ubicaciones locales o remotas que contienen código integrado que se ejecuta dentro del contexto del sistema, lo que puede conducir al compromiso completo del sistema”. CERT/CC dijo que los problemas siguen sin parches, lo que requiere que los usuarios verifiquen que los archivos se carguen son de fuentes confiables y con firmas válidas.
• La empresa rusa ofrece $ 4 millones para exploits de telegrama -Operation Zero, una firma de adquisición de exploit rusa, dice que está dispuesta a pagar hasta $ 4 millones por exploits de cadena completa dirigida al popular servicio de mensajería Telegram. En una publicación compartida en X, la plataforma de compra de vulnerabilidades de día cero dijo que pagará hasta $ 500,000 por exploits que pueden lograr una ejecución de código remoto de 1 clic (RCE) y $ 1.5 millones para aquellos que pueden ser armados para lograr RCE sin interacción del usuario (es decir, cero, con clic cero). “En el alcance hay exploits para Android, iOS, Windows. Los precios dependen de las limitaciones de los días cero y los privilegios obtenidos”, dijo la Operación Zero. Los corredores de explotar a menudo desarrollan o adquieren vulnerabilidades de seguridad en los sistemas y aplicaciones operativos populares y luego los vuelvan a vender por un precio más alto a los clientes de interés. Para la operación cero para soltar el telegrama tiene sentido, dado que la aplicación de mensajería es popular entre los usuarios en Rusia y Ucrania. Un portavoz de Telegram le dijo a TechCrunch que la plataforma de mensajería “nunca ha sido vulnerable” a una exploit de clic cero. El desarrollo se produce cuando surgieron detalles sobre un defecto de día cero en el cliente macOS de Telegram que podría explotarse para lograr RCE. A principios del mes pasado, el investigador de seguridad 0x6RSS también reveló una versión actualizada de la falla de EvilVideo en Telegram (CVE-2024-7014), que evita las mitigaciones existentes a través de archivos .htm. “Un archivo con una extensión ‘.htm’ se disfraza de video y se envía a través de la API de Telegram, y aunque el usuario espera un video, el código JavaScript dentro del HTML realmente se ejecuta”, dijo el investigador. El nuevo exploit ha sido el nombre en código Evilloader.
• ¿Cuáles son las contraseñas más comunes en los ataques RDP? – Son 123456, 1234, contraseña1, 12345, p@ssword, contraseña, contraseña123, bienvenido1, 12345678 y AA123456, según SpecOPS, basado en un análisis de 15 millones de contraseñas utilizadas para atacar los puertos RDP. “Los atacantes están atentos a los servidores RDP expuestos, ya que estos pueden ser objetivos fáciles para los ataques de fuerza bruta”, dijo la compañía. “Además, los atacantes pueden realizar ataques de pulverización de contraseña en los servidores RDP y probar credenciales violadas conocidas en servidores expuestos”.

🎥 Seminario web experto

• Shadow Ai ya está dentro de sus aplicaciones: aprende a bloquearlo – Las herramientas de IA están inundando su entorno, y la mayoría de los equipos de seguridad no pueden ver la mitad de ellos. Shadow AI se está conectando silenciosamente a sistemas críticos como Salesforce, creando riesgos ocultos que las defensas tradicionales pierden. Únase a DVIR Sasson, director de investigación de seguridad en Reco, para descubrir dónde se esconden las amenazas de IA dentro de sus aplicaciones SaaS, historias de ataque de mundo real y cómo los principales equipos están detectando y cerrando Rogue AI antes de causar daños reales.
• Asegure cada paso del ciclo de vida de identidad, antes de que los atacantes lo exploten -Los atacantes de hoy están utilizando profundos y ingeniería social impulsados ​​por la IA para evitar las débiles defensas de identidad. Asegurar todo el viaje de identidad, desde la inscripción hasta el acceso diario a la recuperación, ahora es esencial. Únase más allá de la identidad y el Nametag para aprender cómo las empresas están bloqueando las adquisiciones de cuentas, asegurando el acceso con MFA y confianza de dispositivos resistentes a phishing, y defendiendo contra las amenazas de IA con Deepfake Defense ™.

🔧 Herramientas de ciberseguridad

• Goresolver – Malware de Golang es difícil de revertir – Ofcuscadores como Garble Hide Funciones críticas. Goresolver, la herramienta de código abierto de Volexity, utiliza la similitud de gráfico de flujo de control para recuperar los nombres de funciones ocultas y revelar estructuras de paquetes automáticamente. Integrado con Ida Pro y Ghidra, convierte los binarios opacos en código legible más rápido. Disponible ahora en Github.
• MATANO-Es un lago de datos de seguridad nativo de nube sin servidor construido para AWS, lo que brinda a los equipos de seguridad control total sobre sus registros sin bloqueo de proveedores. Normaliza los datos de seguridad no estructurados en tiempo real, se integra con más de 50 fuentes de la caja, admite detecciones como código en Python y transforma registros utilizando scripting VRL potente, todos almacenados en formatos abiertos como Apache Iceberg y ECS. Consulte sus datos con herramientas como Athena o Snowflake, escriba detecciones en tiempo real y reduzca los costos de SIEM mientras mantiene la propiedad de su análisis de seguridad.

🔒 Consejo de la semana

Detectar amenazas temprano al rastrear las conexiones por primera vez – La mayoría de los atacantes dejan su primera pista real no con malware, sino cuando inician sesión por primera vez, desde una nueva IP, dispositivo o ubicación. Atrapar los eventos de acceso “por primera vez” es una de las formas más rápidas de detectar las violaciones temprano, antes de que los atacantes se mezclen con el tráfico diario. Concéntrese en sistemas críticos: VPN, portales de administración, paneles de nubes y cuentas de servicio.

Puede automatizar esto fácilmente con herramientas gratuitas como Wazuh (detecta nuevos dispositivos e IP), Osquery (consultas desconocidas) o GrayLog (construye alertas para conexiones desconocidas). Configuraciones más avanzadas como Microsoft Sentinel o Crowdstrike Falcon Free también ofrecen detección de “primera vista” a escala. Las reglas simples, como alertar cuando una cuenta de administrador inicia sesión desde un país nuevo o un dispositivo inesperado accede a datos confidenciales, pueden desencadenar alarmas tempranas sin esperar las firmas de malware.

Pro Move: Basel hay sus usuarios “conocidos”, IP y dispositivos, luego marcar cualquier cosa nueva. Puntos de bonificación Si combina esto con Honeytokens (credenciales falsas) para atrapar a los intrusos investigando activamente su red. Recuerde: los atacantes pueden robar credenciales, evitar MFA o ocultar malware, pero no pueden fingir nunca haber conectado antes.

Conclusión

En la ciberseguridad, las amenazas que nos preocupan con mayor frecuencia no son las más fuertes: son las que nunca vemos venir. Un defecto de API silencioso. Una credencial olvidada. Un paquete con malware que instaló el mes pasado sin pensarlo dos veces.

Las historias de esta semana son un recordatorio: el riesgo real vive en los puntos ciegos.

Mantente curiosidad. Mantente escéptico. Tu próxima violación no tocará primero.