⚡ Resumen semanal – SharePoint Breach, Spyware, IoT Hyjacks, DPRK Fraud, Crypto Drains y más

Algunos riesgos no violan el perímetro: llegan a través del software firmado, los currículums limpios o los proveedores sancionados que aún se esconden a la traza.

Esta semana, las amenazas más claras no fueron las más fuertes: fueron las más legítimas. En un entorno donde la identidad, la confianza y las herramientas están interconectadas, el camino de ataque más válido es a menudo el que parece pertenecer. Los equipos de seguridad ahora tienen el desafío de defender los sistemas no solo de las intrusiones, sino que la confianza se convierte en un armamento.

⚡ Amenaza de la semana

Ataques de Microsoft SharePoint rastreados a China -Las consecuencias de una juerga de ataque se dirigen a defectos en los servidores locales de Microsoft SharePoint continúan extendiéndose una semana a posteriori del descubrimiento de las hazañas de día cero, con más de 400 organizaciones a nivel mundial comprometidas. Los ataques se han atribuido a dos grupos de piratería chinos conocidos rastreados como Typhoon de tela (asimismo conocido como APT27), Violet Typhoon (asimismo conocido como APT31) y un supuesto actor de amenaza con sede en China, el codificado como Tormenta-2603 que ha utilizado el golpe al despliegue de ransomware Warlock. Los ataques aprovechan CVE-2025-49706, un defecto de falsificación y CVE-2025-49704, un error de ejecución de código remoto, colectivamente llamado Toolshell. Bloomberg informó que Microsoft está investigando si una filtración del Software de Protecciones Activas de Microsoft (MAPP), que proporciona golpe temprano a la información de vulnerabilidad a los proveedores de software de seguridad, puede deber llevado a la explotación del día cero. China ha incapaz las acusaciones de que estaba detrás de la campaña.

🔔 Noticiario principales

• Sanciones del Caudal de EE. UU. Compañía coreana por el esquema de trabajadores de TI – El Área de Control de Activos Extranjeros (OFAC) del Área de Caudal de los Estados Unidos sancionó a una empresa delantera norcoreana y tres personas asociadas por su billete en el esquema de trabajadores de tecnología de la información remota (TI) fraudulenta diseñado para originar ingresos ilícitos para Pyongyang. En un movimiento relacionado, Christina Marie Chapman, una agricultor de laptop en Arizona responsable de favorecer el esquema, fue sentenciada a la gayola durante ocho primaveras y medio, a posteriori de recibir $ 17 millones en fondos ilícitos para el régimen. En estos esquemas, los trabajadores de TI de Corea del Meta usan carteras admisiblemente elaboradas y cuidadosamente seleccionadas, completadas con perfiles completos de redes sociales, fotos mejoradas con AI y infartos profundos, y identidades robadas para aprobar verificaciones de historial y trabajos de tierras en varias empresas estadounidenses. Una vez contratados, toman la ayuda de facilitadores para tomar computadoras portátiles emitidas por la empresa y otros equipos, a los que luego pueden conectarse de forma remota, dando así la impresión de que están interiormente del país donde se encuentra la empresa. Los esfuerzos continuos operan con los objetivos broches de originar ingresos para el software nuclear del Reino Hermita y otros esfuerzos a través de salarios regulares, así como obtener un punto de apoyo interiormente de las redes corporativas con el fin de plantar malware para robar secretos y perjudicar a sus empleadores. “Las operaciones cibernéticas de la DPRK desafían el ejemplar de jugadas tradicional de estado-nación: fusionar el robo de criptomonedas, el espionaje y la codicia nuclear interiormente de un sistema autofinanciado impulsado por ganancias, cumplimiento y supervivencia”, dijo Sue Gordon, miembro de la Grupo Asesora de DTEX y ex directora directora de la inteligencia doméstico de Estados Unidos. “Reconocerlo como un sindicato de mafia corriente que desborna las líneas entre el delito cibernético y la artesanía. Este documentación retira el telón de su funcionamiento interno y psicología, revelando cuán profundamente integrados ya están interiormente de nuestra fuerza sindical, proporcionando el contexto necesario para anticipar su próximo movimiento”.
• SOCO404 y Koske Target mal configiadas las instancias de la abundancia para soltar mineros – Dos campañas de malware diferentes tienen vulnerabilidades y configuraciones erróneas en entornos en la abundancia para entregar mineros de criptomonedas. Estos grupos de actividad han sido nombrados en código SOCO404 y Koske. Mientras que SOCO404 se dirige a los sistemas Linux y Windows a implementar malware específico de plataforma, Koske es una amenaza centrada en Linux. Además hay evidencia que sugiere que Koske se ha desarrollado utilizando un maniquí de verbo magnate (LLM), dada la presencia de comentarios admisiblemente estructurados, flujo racional de mejor actos con hábitos de secuencia de comandos defensivos e imágenes sintéticas relacionadas con el panda para penetrar la carga útil del minero.
• Foro de XSS derribado y supuesto administrador arrestado – La policía anotó una trofeo significativa contra la posesiones del delito cibernético con la interrupción del popular Foro XSS y el arresto de su supuesto administrador. Dicho esto, es importante tener en cuenta que los derribos de foros similares han demostrado ser de corta duración, y los actores de amenaza a menudo se mudan a nuevas plataformas u otras alternativas, como los canales de telegrama. El ampliación se produce cuando Leakzone, un “foro de fuga y agrietamiento” autodenominado donde los usuarios anuncian y comparten bases de datos incumplidas, credenciales robadas y software pirateado, fue atrapado filtrando las direcciones IP de sus usuarios registrados en la web abierta.
• Coyote Trojan Exploits Windows UI Automation – El troyano bancario de Windows conocido como Coyote se ha convertido en la primera cepa de malware conocida en explotar el situación de accesibilidad de Windows llamado UI Automation (UIA) para cosechar información confidencial. Coyote, que se sabe que se dirige a los usuarios brasileños, viene con capacidades para registrar las pulsaciones de teclas, capturar capturas de pantalla y atender superposiciones encima de las páginas de inicio de sesión asociadas con las empresas financieras. El disección de Akamai descubrió que el malware invoca la API GetForeGroundwindow () Windows para extraer el título de la ventana activa y compararlo con una índice codificada de direcciones web que pertenecen a bancos específicos e intercambios de criptomonedas. “Si no se encuentra ninguna coincidencia, COYOTE usará UIA para analizar los medios infantiles de la UI de la ventana en un intento de identificar pestañas del navegador o barras de dirección”, dijo Akamai. “El contenido de estos medios de la interfaz de agraciado se remisión cruzada con la misma índice de direcciones de la primera comparación”.
• Cisco confirma exploits activos dirigidos a ISE -Cisco ha experto que un conjunto de fallas de seguridad en el motor de servicios de identidad (ISE) e ISE Passive Identity Connector (ISE-PIC) han estado bajo una explotación activa en la naturaleza. Los fallas, CVE-2025-20281, CVE-2025-20337 y CVE-2025-20282, permiten que un atacante ejecute el código injustificado en el sistema eficaz subyacente como los archivos arbitrarios o cargue los archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema eficaz subyacente como root. El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo efectivo, la identidad de los actores de amenaza que los explotan o la escalera de la actividad.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una modernización perdida o un error oculto, incluso un CVE sin parches puede rajar la puerta a daños graves. A continuación se muestran las vulnerabilidades de stop aventura de esta semana que hacen olas. Revise la índice, parche rápido y mantén un paso delante.

La índice de esta semana incluye: CVE-2025-54068 (Laravel LiveWire Framework), CVE-2025-34300 (Lighthouse Studio), CVE-2025-6704, CVE-2025-7624 (Sophos Firewall), CVE-2025-40599 (Sonicwall SMA 100), CVE-2025-2025, CVE-205655555555555525, CVE-2025, CVE-2025, CVE-205655555555525, CVE-2025, CVE-2025, CVE-4999999 (Sonicwall SMA 100), CVE-2025-2025, CVE-49999999 (Sonicwall SMA 100), CVE-2025- CVE-2025-50151 (Apache Jena), CVE-2025-22230, CVE-2025-22247 (Broadcom VMware Tools), CVE-2025-7783 (Form-Data), CVE-2025-34140, CVE-2025-34141, CVE-2025-34142, CVE-2025-2025-2025 (Hexagon ETQ Reliance), CVE-2025-8069 (AWS Client VPN para Windows), CVE-2025-7723, CVE-2025-7724 (TP-Link Vigi NVR), CVE-2025-7742 (LG INNOTEK LNV5110R), CVE-2025-24000 (Post SMTP), Post SMTP), CVE-2025-52449, CVE-2025-52452, CVE-2025-52453, CVE-2025-52454, CVE-2025-52455 (Salesforce Tableau Server) y CVE-2025-6241 (systrack).

📰 aproximadamente del mundo cibernético

• Google elimina los 1000 de los canales de YouTube vinculados para influir en OPS -Google eliminó casi 11,000 canales de YouTube y otras cuentas vinculadas a las campañas de propaganda vinculadas al estado de China, Rusia y más en el segundo trimestre de 2025. Eliminó más de 2,000 canales eliminados vinculados a Rusia, incluidos 20 canales de YouTube, 4 cuentas de ADS y 1 blog de blogger asociado con RT, una salida de medios de comunicación estatales rusas. El derribo asimismo incluyó más de 7.700 canales de YouTube vinculados a China, que compartió contenido en chino e inglés que promovió la República Popular de China, apoyó al presidente Xi Jinping y comentó sobre los asuntos exteriores de los Estados Unidos.
• La compañía de vigilancia evita las salvaguardas SS7 – Una compañía de vigilancia no identificada ha estado utilizando una nueva técnica de ataque para evitar las protecciones del protocolo del sistema 7 (SS7) y engañar a las compañías de telecomunicaciones para que revelen la ubicación de sus usuarios. El método de ataque, probablemente utilizado desde el cuarto trimestre de 2024, depende de la manipulación de la parte de la aplicación de la aplicación de capacidades de transacción (TCAP) a través de los comandos SS7 que se han codificado de tal guisa que sus contenidos no están analizados por los sistemas de protección o los firewalls en la red objetivo. “No tenemos ninguna información sobre cuán exitoso ha sido este método de ataque en todo el mundo, ya que su éxito es específico del proveedor/software, en superficie de ser una vulnerabilidad militar de protocolo, pero su uso como parte de una suite indica que ha tenido cierto valía”, dijeron los investigadores de ENEA Cathal Mc Daid y Martin Gallagher.
• Número de sitios de phishing dirigidos a picos de telegrama – Un nuevo documentación descubrió que el número de sitios de phishing dirigidos a los usuarios de telegramas aumentó a 12,500 en el segundo trimestre de 2025. En una variación del esquema, los estafadores crean una página de phishing que simula la página de inicio de sesión asociada con telegrama o fragmento, una plataforma en la plataforma tonelada que permite a los usuarios comprar y entregar Usernames de telegrama únicos y números de teléfono virtuales. Si las víctimas ingresan a sus credenciales y los códigos de confirmación, los atacantes secuestran las cuentas. El segundo círculo implica al atacante que se acerca a una víctima para comprar un regalo digital raro en Telegram por una gran cantidad. “Como plazo, el estafador envía tokens falsos”, dijo Bi.Zone. “A primera traza, son indistinguibles de los reales, pero no tienen un valía efectivo. Luego de la transferencia, la víctima queda sin un regalo y con una moneda digital falsa”. En un documentación relacionado, la Pelotón de Palo Stop Networks 42 dijo que identificaba 54,446 dominios que alojaban sitios de phishing en una campaña que se hace ocurrir por telegrama denominado telegram_acc_hijack. “Estas páginas recopilan las credenciales de inicio de sesión de Telegram enviadas y los códigos de golpe único en tiempo efectivo (OTP) para secuestrar cuentas de agraciado”, agregó la compañía.
• Ex empleado de la NCA sentenciado a 5.5 primaveras de prisión -Un ex funcionario de la Agencia Doméstico de Delitos del Reino Unido (NCA) fue sentenciado a cinco primaveras y medio de prisión a posteriori de robar una parte de la agencia incautada por la agencia como parte de una operación de aplicación de la ley dirigida al ahora desaparecido mercado de Silk Road de Silk Road. Paul Chowles, de 42 primaveras, fue identificado como el culpable a posteriori de que las autoridades recuperaron su iPhone, lo que lo vinculó a una cuenta utilizada para transferir bitcoin, así como el historial de búsqueda relevante del navegador relacionado con un servicio de intercambio de criptomonedas. “Interiormente de la NCA, Paul Chowles era considerado como cualquiera competente, técnicamente mental y muy consciente de la oscura web y las criptomonedas”, dijo Alex Johnson, fiscal diestro en la división de delitos peculiar del Servicio de Fiscalía de la Corona. “Aprovechó su posición trabajando en esta investigación alineando sus propios bolsillos mientras ideaba un plan que creía que aseguraría que la sospecha nunca caería sobre él. Una vez que había robado la criptomoneda, Paul Chowles buscó confundir las aguas y cubrir sus huellas al transferir el bitcoin a mezclar servicios para ayudar a ocultar el sendero del patrimonio”.
• Sanciones del Reino Unido 3 Unidades de Gru rusas para ataques cibernéticos sostenidos – El Reino Unido sancionó a tres unidades de la Agencia de Inteligencia Marcial Rusia (GRU) y 18 oficiales de inteligencia marcial para “soportar a parte una campaña sostenida de actividad cibernética maliciosa durante muchos primaveras” con el objetivo de “sembrar caos, división y desorden en Ucrania y en todo el mundo”. La pelotón de cobertura de sanciones 26165 (vinculada a Apt28), la pelotón 29155 (vinculada a Cadet Blizzard) y la Pelotón 74455 (vinculada a Sandworm), así como la iniciativa africana, una “factoría de contenido de redes sociales establecida y financiada por Rusia y empleando a los funcionarios de inteligencia rusos para soportar a parte operaciones de información en África occidental”.
• Prohibición de pagos de ransomware del Reino Unido para organismos públicos – El gobierno del Reino Unido ha propuesto una nueva constitución que prohibiría a las organizaciones del sector sabido y a la infraestructura doméstico crítica al retribuir a los operadores penales detrás de los ataques de ransomware, así como hacer cumplir los requisitos de informes obligatorios para que todas las víctimas informen a la policía de los ataques. “Los organismos y operadores del sector sabido de la infraestructura doméstico crítica, incluidos el NHS, los consejos locales y las escuelas, se les prohibiría retribuir demandas de rescate a los delincuentes bajo la medida”, dijo el gobierno. “La prohibición se dirigiría al maniquí de negocio que alimenta las actividades de los ciberdelincuentes y hace que los servicios vitales que el sabido depende de un objetivo menos atractivo para los grupos de ransomware”. Las empresas que no caen bajo el ámbito de la ley deberían advertir al gobierno sobre cualquier intención de retribuir un rescate. Un fracaso en descargar parches para atracar vulnerabilidades ampliamente explotadas podría conducir a multas diarias de £ 100,000 o 10 por ciento de la facturación en caso de que ocurra un robo digital.
• ¿Pensó que Lumma estaba fuera de servicio? ¡Piense de nuevo! – Las operaciones de Lumma Stealer se han recuperado a posteriori de un derribo de la ley de su infraestructura a principios de este año, con el malware distribuido a través de canales más discretos y tácticas de diversión más sigilosas. “La infraestructura de Lumma comenzó a aumentar nuevamente a las pocas semanas del derribo”, dijo Trend Micro. “Esta rápida recuperación destaca la resistor y adaptabilidad del clan frente a la interrupción”. Un cambio sobresaliente es la reducción en el pandeo de dominios utilizando los servicios de Cloudflare para ofuscar sus dominios maliciosos y hacer que la detección sea más desafiante, en superficie de cambiar a alternativas rusas como Selectel. “Este pivote decisivo sugiere un movimiento en dirección a los proveedores que podrían percibirse como menos receptivos a las solicitudes de aplicación de la ley, lo que complica aún más los esfuerzos para rastrear e interrumpir sus actividades”, agregó la compañía. Lumma Stealer es conocido por sus métodos de entrega diversos y en cambio, aprovechando publicaciones de redes sociales, GitHub, ClickFix y sitios falsos que distribuyen grietas y generadores de claves, como métodos de golpe original. El resurgimiento de la lumma es la parte del curso con operaciones cibercriminales modernas que a menudo pueden reanudar rápidamente la actividad incluso a posteriori de importantes interrupciones de la aplicación de la ley. En una revelación compartida con The Hacker News, ESET confirmó el resurgimiento de Lumma Stealer y que la actividad flagrante se ha acercado a niveles similares a los anteriores a la entusiasmo de aplicación de la ley. “Los operadores de robadores de Lumma continúan registrando docenas de nuevos dominios semanalmente, actividad que no se detuvo incluso a posteriori de la interrupción, pero cambió a resolverlos principalmente en servidores de nombres ubicados en Rusia”, dijo Jakub Tománek, analista de malware de Eset. “La almohadilla de código en sí ha mostrado cambios mínimos desde el intento de exterminio. Esto indica que el enfoque principal del clan ha sido restaurar las operaciones en superficie de innovar su ‘producto’ e introducir nuevas características”.

• El gobierno de los Estados Unidos advierte sobre el ransomware de enclavamiento -El gobierno de los Estados Unidos advirtió sobre los ataques de ransomware entrelazados dirigidos a empresas, infraestructura crítica y otras organizaciones en América del Meta y Europa desde finales de septiembre de 2024. Los ataques, diseñados para dirigirse a los sistemas de Windows y Linux, emplean descargas de conducción de sitios web legítimos comprometidos o Luros de estilo FileFix y Lures de estilo FileFix a la carga original. “Los actores luego usan varios métodos para el descubrimiento, el golpe a las credenciales y el movimiento colateral para ocupar a otros sistemas en la red”, dijo el gobierno de los Estados Unidos. “Los actores entrelazados emplean un maniquí de doble perturbación en el que los actores encriptan los sistemas a posteriori de exfiltrando datos, lo que aumenta la presión sobre las víctimas para retribuir el rescate para que los dos se descifren sus datos y eviten que se filtre”. Además parte de las herramientas del actor de amenaza son Cobalt Strike y un troyano de golpe remoto personalizado llamado Nodesnake Rat, y robos de información como Lumma Stealer y Berserk Stealer para cosechar credenciales para el movimiento colateral y la subida privilegiada.
• Apple notifica a los iraníes de los ataques de spyware – Apple notificó a más de una docena de iraníes en los últimos meses que sus iPhones habían sido atacados con el spyware del gobierno, según una estructura de derechos y seguridad digitales señal Miaan Group. Esto incluyó a las personas que tienen una larga historia de acción directa político. Además se notificó a los disidentes y un trabajador de tecnología. No está claro qué fabricante de spyware está detrás de estos ataques. Los ataques marcan el primer ejemplo conocido de herramientas mercenarias avanzadas que se usan tanto interiormente de Irán como contra los iraníes que viven en el extranjero.
• Servidores de Linux dirigidos por SVF Bot -Los servidores de Linux mal gestionados están siendo atacados por una campaña que ofrece un malware basado en Python llamado Bot SVF que alista máquinas infectadas en una botnet que puede realizar ataques distribuidos de privación de servicio (DDoS). “Cuando se ejecuta el bot SVF, puede autenticarse con el servidor Discord utilizando el sucesivo token BOT y luego ejecutar de acuerdo con los comandos del actor de amenaza”, dijo ASEC. “La mayoría de los comandos apoyados son para ataques DDoS, con L7 HTTP Flood y L4 UDP Flood son los principales tipos admitidos”.
• Empresas turcas atacadas por Snake Keylogger – Las organizaciones turcas son el objetivo de una nueva campaña de phishing que ofrece un robador de información llamado Snake Keylogger. La actividad, principalmente destacando los sectores de defensa y aeroespacial, implica la distribución de mensajes de correo electrónico falsos que se hacen ocurrir por industrias aeroespaciales turcas (TUSAş) en un intento de engañar a las víctimas para que abran archivos maliciosos bajo la apariencia de documentos contractuales. “Una vez ejecutado, el malware emplea mecanismos avanzados de persistencia, incluidos los comandos de PowerShell para sortear el defensor de Windows y las tareas programadas para la ejecución cibernética, para cosechar datos confidenciales, como credenciales, cookies e información financiera, desde una amplia viso de navegadores y clientes de correo electrónico”, dijo Malwation.
• El ex ingeniero se declara culpable de robo comercial -Un hombre del condado de Santa Clara y un ex ingeniero de una compañía del sur de California se declaró culpable de robar tecnologías secretas de comercio desarrolladas para su uso por el gobierno de los Estados Unidos para detectar lanzamientos de misiles nucleares, rastrear misiles balísticos e hipersónicos, y permitirnos aviones de combate para detectar y sortear los misiles de búsqueda de calor. Chenguang Gongo, de 59 primaveras, de San José, se declaró culpable de un cargo de robo de secretos comerciales. Sigue independiente con un bono de $ 1.75 millones. Gongo, un doble ciudadano de los Estados Unidos y China, transfirió más de 3.600 archivos de una compañía de investigación y ampliación del dominio de Los Ángeles, donde trabajó para dispositivos de almacenamiento personal durante su breve mandato con la compañía el año pasado. La compañía de víctimas contrató a Gongo en enero de 2023 como directivo de diseño de circuito integrado específico de la aplicación. Fue despedido tres meses a posteriori. Gongo, quien fue arrestado y marcado en febrero, está programado para la sentencia el 29 de septiembre de 2025. Se enfrenta hasta 10 primaveras de prisión.
• FBI emisas advertencia sobre el COM -La Oficina Federal de Investigación (FBI) advierte al sabido sobre un clan en estría llamado en la vida efectivo (IRL) com que proporciona violencia como servicio (VAA), incluidos tiroteos, secuestros, robos a mano armada, apuñalamientos, asalto físico y teja. “Los servicios se publican en estría con un desglose de precios para cada acto de violencia”, dijo el FBI. “Grupos que ofrecen VAA anuncian contratos en las plataformas de redes sociales para solicitar a las personas dispuestas a realizar el acto de violencia para la compensación monetaria”. Además se dice que el clan de amenazas anuncia servicios SWAT-for locación a través de aplicaciones de comunicación y plataformas de redes sociales. Se evalúa que IRL Com es uno de los tres subconjuntos de la Com (sigla de la comunidad), un creciente colectivo en estría que comprende principalmente de miles de personas de acento inglesa, muchos de los cuales son menores, y participan en una amplia viso de esfuerzos criminales. Las otras dos ramas son los hacker com, que está vinculado a DDoS y grupos de ransomware como servicio (RAAS), y perturbación Com, que implica principalmente la explotación de niños. En particular, el COM alpargata los grupos de amenazas rastreados como Lapsus $ y Spiders Spider. La Agencia Doméstico de Delitos Nacionales (NCA) emitió una advertencia similar a principios de marzo, llamando la atención sobre la tendencia de la COM de alistar a los adolescentes para cometer una variedad de actos criminales, desde fraude cibernético y ransomware hasta demasía sexual de niño.
• Agrupación de crimen organizado detrás de fraude a gran escalera interrumpido -Un clan criminal enormemente organizado involucrado en fraude a gran escalera en Europa occidental fue desmantelado en una operación coordinada dirigida por autoridades de Rumania y el Reino Unido. “La pandilla había viajado de Rumania a varios países de Europa occidental, principalmente el Reino Unido, y retiró grandes sumas de patrimonio de los cajeros automáticos”, dijo Europol. “Más tarde lavaron las ganancias invirtiendo en intereses raíces, empresas, receso y productos de opulencia, incluidos automóviles y joyas”. La operación ha llevado a dos coraje, 18 búsquedas en la casa y la incautación de intereses raíces, automóviles de opulencia, dispositivos electrónicos y efectivo. Los atacantes cometieron lo que se ha descrito como fraude de inversión de transacción (TRF), en el que se elimina la pantalla de un cajero involuntario y se inserta una maleable bancaria para solicitar fondos. Las transacciones fueron canceladas (o revertidas) antaño de dispensar los fondos, lo que les permitió alcanzar interiormente del cajero involuntario y tomar el efectivo antaño de que se retractara. Se estima que la pandilla ha saqueado aproximadamente de € 580,000 (aproximadamente de $ 681,000) utilizando este método. “Los perpetradores asimismo participaron en otras actividades criminales, incluida la descremada, forjando medios electrónicos de plazo y tarjetas de transporte, y realizando ataques de contenedor, un tipo de fraude de tarjetas realizado utilizando software diseñado para identificar números de tarjetas y originar ingresos ilícitos a través de pagos fraudulentos”, agregó Europol. El ampliación se produjo cuando una estudiante del Reino Unido de 21 primaveras, Ollie Holman, que diseñó y distribuyó 1,052 kits de phishing vinculados a £ 100 millones (aproximadamente $ 134 millones) en fraude, fue encarcelado por siete primaveras. Se estima que Holman recibió £ 300,000 al entregar los kits entre 2021 y 2023. Los kits de phishing se vendieron a través de Telegram. Holman anteriormente se declaró culpable de siete cargos, que incluyen alentar o asistir a la comisión de un delito, hacer o suministrar artículos para su uso en fraude y transferir, conseguir y poseer propiedades penales, según el servicio de creencia de la Corona.
• Endgame Gear reconoce el ataque de la cautiverio de suministro – El fabricante de periféricos de juegos Fingame Gear confirmó que los actores de amenaza no identificados comprometieron su sistema oficial de distribución de software para difundir malware XRED peligroso a clientes desprevenidos durante casi dos semanas a través de la página del producto OP1W 4K V2. La violación de seguridad ocurrió entre el 26 de junio y el 9 de julio de 2025. La compañía declaró que “el golpe a nuestros servidores de archivos no se vio comprometido, y no se trataron los datos del cliente o afectados en nuestros servidores en ningún momento, y que” este problema se aisló a la descarga de la página del producto OP1W 4K V2 solamente “.
• La nueva campaña dirigió a los usuarios de criptografía desde marzo de 2024 -Una nueva campaña de malware sofisticada y evasiva ha conseguido amparar desapercibidos y dirigirse a usuarios de criptomonedas a nivel mundial desde marzo de 2024. Apodado WeevilProxy, la actividad aprovecha las campañas de anuncios de Facebook que se enojaron como un software y plataformas de criptomonedas admisiblemente conocidos, como Binance, Bybit, Krren, revuelta, intercambiando visión, y otros, y otros, y otros, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos, los modernos. Finalmente, elimina los robos de información y los drenadores de criptomonedas. “Además hemos observado que el actor de amenaza propaga anuncios a través de Google Display Network desde abril a mayo de 2025, que se muestran en Internet en forma de imágenes/videos”, dijo WithSeecure. “Estos anuncios asimismo aparecen geográficamente encuadernados, por ejemplo, hemos observado tales anuncios dirigidos específicamente a Filipinas, Malasia, Tailandia, Vietnam, Bangladesh y Pakistán”.

• VMDetector Loader ofrece Formbook Malware – Se ha enfrentado una nueva variación del malware del cargador VMDetector de VMDetector integrado interiormente de los “datos de píxeles” de una imagen JPG aparentemente benigna que se entrega a través de correos electrónicos de phishing para implementar un robador de información llamado Formbook. La imagen JPG se recupera de Archive.org mediante scripts de Visual Basic presentes interiormente de los archivos con cremallera que se envían como archivos adjuntos a los mensajes de correo electrónico.
• Los actores de amenaza usan Mount Binary en ataques de hikVision -Se han descubierto ataques en el Wild Exploting CVE-2021-36260, un error de inyección de comandos que afecta las cámaras de hikVision, que aprovechan el defecto para valer una parte remota de NFS y ejecutar un archivo de ella. “El atacante le dice a Mount que haga que el NFS remoto compartiera,/SRV/NFS/Shared, en 87.121.84 (.) 34 acondicionado localmente como directorio ./b”, dijo Vulncheck.
• ¿Cómo se pueden armarse los conductores de Windows? -En un nuevo disección detallado, Security Joes ha destacado la amenaza que plantea los ataques en modo núcleo y cómo los ataques que abusan de los conductores vulnerables, llamado Tray Your Own Débil Driver (BYOVD), los atacantes pueden ser utilizados por los atacantes para explotar los conductores firmados pero a las protecciones de Kernel de derivación. “Adecuado a que los conductores se ejecutan en modo kernel, poseen altos privilegios y golpe sin restricciones a los medios del sistema”, dijo la compañía. “Esto los convierte en un objetivo de stop valía para los atacantes con el objetivo de aumentar los privilegios, deshabilitar los mecanismos de seguridad como las devoluciones de señal EDR y ganar un control total sobre el sistema”.
• La superficie de ataque de las organizaciones aumenta – Las organizaciones han creado más puntos de entrada para los atacantes. Según un documentación de Reliaquest, que encontró un aumento del 27% en los puertos expuestos entre la segunda fracción de 2024 y la primera fracción de 2025, un aumento del 35% en la tecnología operativa expuesta (OT) y un aumento en las vulnerabilidades en los sistemas de orientación pública, como PHP y WordPress. “Las vulnerabilidades en los activos públicos más del doble, aumentando de 3 por estructura en la segunda fracción de 2024 a 7 en la primera fracción de 2025”, dijo la compañía. “Desde finales de 2024 hasta principios de 2025, el número de claves de golpe expuestas para organizaciones en nuestra almohadilla de clientes se duplicó, creando el doble de la oportunidad para que los atacantes pasen desapercibidos”.
• Pasargad del Bandada iraní atacado durante el conflicto de junio -El bandada iraní conocido como Pasargad fue blanco como parte de un ataque cibernético durante la Erradicación de Irán-Israel en junio de 2025, lo que impacta el golpe a servicios cruciales. Una presunta operación israelí señal Sparrow depredador se atribuyó la responsabilidad del ataque a otro bandada iraní Sepah y el intercambio de criptomonedas más magnate del país, Nobitex.
• La interrupción de crowdstrike impactó a más de 750 hospitales estadounidenses – Un nuevo estudio realizado por un clan de académicos de la Universidad de California, San Diego, encontró que 759 hospitales estadounidenses experimentaron interrupciones en julio pasado correcto a una modernización defectuosa de CrowdStrike. “Se identificaron un total de 1098 servicios de red distintos con interrupciones, de los cuales 631 (57.5%) no pudieron clasificarse, 239 (21.8%) eran servicios directos orientados al paciente, 169 (15.4%) eran servicios operacionalmente relevantes y 58 (5.3%) fueron servicios relacionados con la investigación”, dijo el estudio.
• Los actores norcoreanos emplean señuelos de Nvidia -Los actores de amenaza de Corea del Meta detrás de la campaña contagiosa entrevista (asimismo conocida como DeceptedEgrelment) están aprovechando señuelos estilo ClickFix para engañar a los solicitantes de empleo desprevenidos para descargar una supuesta modernización relacionada con NVIDIA para atracar los problemas de cámara o micrófono al intentar proporcionar una evaluación de video. El ataque lleva a la ejecución de un script de Visual Basic que alabarda una carga útil de Python señal Pylangghost que roba credenciales y permite el golpe remoto a través de Meshagent.
• Variación ACRStealer distribuida en nuevos ataques – Los actores de amenaza están propagando una nueva variación de Acrstealer que incorpora nuevas características dirigidas a la diversión de detección y la obstrucción del disección. “El AcrStealer modificado usa la puerta del bóveda celeste para interrumpir la detección y el disección”, dijo Ahnlab. “Heaven’s Gate es una técnica utilizada para ejecutar el código X64 en los procesos WOW64 y se usa ampliamente para la diversión de disección y la evitación de detección”. La nueva traducción ha sido renombrada como Amatera Stealer, por punto de prueba. Se ofrece a la liquidación por $ 199 por mes a $ 1,499 por año.
• El clan AEZA cambia la infraestructura a posteriori de las sanciones de EE. UU. -A principios de este mes, el Área del Caudal de los Estados Unidos impuso sanciones contra el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia AEZA Group para ayudar a los actores de amenazas en sus actividades maliciosas, como ransomware, robo de datos y tráfico de drogas Darknet. Silent Push, en un nuevo disección, dijo que IP alpargata desde AS210644 de AEZA comenzó a portar a AS211522, un nuevo sistema autónomo operado por Hypercore Ltd., a partir del 20 de julio de 2025, en un intento por sortear la aplicación de sanciones y ejecutar bajo una nueva infraestructura.
• Solicitud de estafas de cotización Demostrar sofisticación -Los investigadores de ciberseguridad están llamando la atención sobre una estafa generalizada de solicitudes de cotización (RFQ) que emplea opciones de financiamiento neto comunes (neto 15, 30, 45) para robar una variedad de productos electrónicos y intereses de stop valía. “En las campañas de RFQ, el actor se comunica con un negocio para solicitar citas para varios productos o servicios”, dijo Proofpoint. “Las citas que reciben se pueden usar para hacer señuelos muy convincentes para cursar malware, enlaces de phishing e incluso compromiso de correo electrónico comercial adicional (BEC) y fraude de ingeniería social”. Por otra parte de utilizar el financiamiento suministrado por el proveedor y las identidades robadas de empleados reales para robar intereses físicos, estas estafas utilizan el correo electrónico y los formularios legítimos de solicitud de cotización en estría para asistir a posibles víctimas.

• Los juegos falsos distribuyen malware de robador – Una nueva campaña de malware está distribuyendo instaladores falsos para títulos de juegos independientes como Baruda Quest, Warstorm Fire y Dire Talon, promocionándolos a través de sitios web fraudulentos, canales de YouTube y Discord, a los usuarios innovadores para infectar sus máquinas con Staalers como Leet Stealer, RMC Stealer (una traducción modificada de Leet Stealer) y Sniffer Sniffer. Los orígenes de las familias de malware Leet y RMC se remontan a menos robador, lo que sugiere un condición compartido. Se cree que la campaña originalmente se dirigió a Brasil, antaño de expandirse en todo el mundo.
• La FCC de EE. UU. Quiere prohibir que las empresas usen equipos chinos al colocar cables submarinos – La Comisión Federal de Comunicaciones de los EE. UU. Dijo que planea emitir nuevas reglas que prohíban la tecnología china de los cables submarinos estadounidenses para proteger la infraestructura de telecomunicaciones submarinas de amenazas adversas extranjeras. “Hemos pasado una infraestructura de cable submarino amenazada en los últimos primaveras por adversarios extranjeros, como China”, dijo el presidente de la FCC, Brendan Carr. “Por lo tanto, estamos tomando medidas aquí para proteger nuestros cables submarinos contra la propiedad adversaria extranjera y el golpe, así como las amenazas cibernéticas y físicas”. En un documentación fresco, el futuro registrado dijo que el entorno de aventura para los cables submarinos ha “intensificado” y que la “amenaza de actividad maliciosa patrocinada por el estado dirigida a la infraestructura de cable submarino es probable que aumente aún más en medio de tensiones geopolíticas aumentadas”. La compañía de ciberseguridad asimismo citó una desidia de demasía, la desidia de heterogeneidad de rutas de cables y la capacidad de reparación limitada como algunos de los factores secreto que aumentan el aventura de impacto formal causado por el daño a los cables submarinos.
• China advierte a los ciudadanos de dispositivos traseros y amenazas de la cautiverio de suministro – El Empleo de Seguridad del Estado de China (MSS) ha emitido un aviso, advirtiendo sobre los puestos de traseros y los ataques de la cautiverio de suministro contra el software. La agencia de seguridad dijo que tales amenazas no solo corren el aventura de privacidad personal y robo de secretos corporativos, sino que asimismo afectan la seguridad doméstico. “Los riesgos de seguridad técnicos posibles en la puerta trasera asimismo se pueden someter fortaleciendo las medidas de protección técnica, como la formulación de estrategias de parches, desempolvar regularmente los sistemas operativos, confirmar regularmente los registros de dispositivos y monitorear el tráfico anormal”, dijo MSS, instando a las organizaciones a evitar software extranjero y, en su superficie, adoptar sistemas operativos nacionales. En un boletín separado, el MSS asimismo alegó que las agencias de inteligencia de espías en el extranjero pueden establecer traseros en sus sensores de observación oceánica para robar datos.
• Infraestructura del clan de piratería Nyashteam interrumpida -La compañía de seguridad cibernética con sede en Rusia F6 dijo que desmanteló una red de dominios operados por un equipo de piratería relativamente desconocido conocido como Nyashteam, que vende dos troyanos de golpe remoto diferentes conocidos como DCRAT (rata Darkcrystal) y WebRat a través de bots y sitios web de telegrama bajo el maniquí de malware-as-a-servicio (MAAS). El malware se distribuye utilizando YouTube y GitHub al pasarlos como trucos de entretenimiento o software pirateado. Además se cree que el clan brinda servicios de alojamiento para la infraestructura cibercriminal y los clientes de soporte a través de complementos, guías y herramientas de procesamiento de datos, que atraen tanto a los piratas informáticos y los ciberdelincuentes experimentados.
• Técnica de ataque de renderershock detallada -Los investigadores de ciberseguridad han detallado una organización de ataque de clic cero señal Rendershock que aprovecha los comportamientos de sistema eficaz confiable para soportar a parte el gratitud y entregar cargas bártulos sin requerir ninguna interacción del agraciado. “Al incorporar la dialéctica maliciosa en los metadatos, los desencadenantes de traza previa y los formatos de documentos, Renderershock capitaliza la conveniencia del sistema como un vector de ataque sin destacamento”, dijo Cyfirma. “Los sistemas empresariales modernos están creados para conveniencia, previsualizando automáticamente, indexación, sincronización y representación de archivos a través de puntos finales, plataformas en la abundancia y suites de productividad. Estos sistemas a menudo procesan archivos sin acciones de agraciado explícitas, confiando en que el proceso de representación es seguro. RenderShock explota estos explotaciones de ejecución pasiva: los componentes confiables que los archivos perseguidos no afligidos se sienten en el fondo”. “

🎥 seminarios web de ciberseguridad

• La IA está rompiendo la confianza, aquí está cómo salvarlo antaño de que sea demasiado tarde, descubra cómo los clientes están reaccionando a las experiencias digitales impulsadas por la IA en 2025. El documentación Auth0 Ciam Trends revela amenazas de identidad crecientes, nuevas expectativas de confianza y los costos ocultos de los inicios roto. Únase a este seminario web para educarse cómo la IA puede ser su anciano activo, o su anciano aventura.
• Python Devs: Su instalación de PIP podría ser una explosivo de malware: en 2025, la cautiverio de suministro de Python está bajo asedio, desde tiposquatos hasta bibliotecas de IA secuestradas. Una instalación de PIP incorrecta podría inyectar malware directamente en la producción. Esta sesión muestra cómo afirmar sus compilaciones con herramientas como Sigstore, SLSA y contenedores endurecidos. Deja de esperar que tus paquetes estén limpios, comience a confirmar.

🔧 Herramientas de ciberseguridad

• VENDETECT: es una utensilio de código destapado diseñada para detectar código copiado o proveedor en todos los repositorios, incluso cuando el código ha sido modificado. Creado para las evacuación de seguridad y cumplimiento del mundo efectivo, utiliza el disección semántico de huellas dactilares y control de versiones para identificar de dónde se copió el código, incluida la confirmación de fuente exacta. A diferencia de las herramientas de plagio académica, Vendetect está optimizado para entornos de ingeniería de software: atrapa funciones renombradas, comentarios despojados y formateo pasado, y ayuda a rastrear dependencias no respaladas, violaciones de licencias y vulnerabilidades heredadas a menudo encontradas durante las evaluaciones de seguridad.
• Telegram Channel Scraper: es una utensilio basada en Python diseñada para monitoreo reformista y resumen de datos de canales públicos de telegrama. Utiliza la biblioteca Telethon para rasar mensajes y medios, almacenando todo en bases de datos SQLite optimizadas. Construido para la eficiencia y la escalera, admite raspado en tiempo efectivo, descargas de medios paralelas y exportaciones de datos por lotes. Esto lo hace útil para investigadores, analistas y equipos de seguridad que necesitan golpe estructurado al contenido de telegrama para investigar o arrinconar, sin obedecer de raspado manual o plataformas de terceros.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

No confíes en tu navegador a ciegas – La mayoría de las personas piensan en su navegador como una utensilio para conectarse en estría, pero en ingenuidad, es una de las partes más expuestas de su dispositivo. Detrás de suceso, su navegador almacena en silencio nombres, correos electrónicos, empresas y, a veces, incluso información de plazo. Estos datos a menudo viven en archivos simples y sin acelerar que son fáciles de extraer si cualquiera apetito golpe regional, incluso brevemente.

Por ejemplo, en Chrome o Edge, los detalles personales de AutoFill se almacenan en un archivo llamado Web Data, que es una almohadilla de datos básica de SQLite que cualquier persona con golpe puede percibir. Esto significa que si su máquina está comprometida, incluso por un sinopsis simple, su identidad personal o incluso de trabajo puede ser robada en silencio. Los equipo rojo y los atacantes adoran este tipo de oro de gratitud.

No se detiene allí. Los navegadores asimismo mantienen cookies de sesión, almacenamiento regional y bases de datos del sitio que a menudo no se limpian, incluso a posteriori del cerradura de sesión. Estos datos pueden permitir a los atacantes secuestrar sus sesiones iniciadas o extraer información confidencial almacenada por aplicaciones web, incluidas las herramientas de la empresa. Incluso las extensiones del navegador, si son maliciosas o secuestradas, pueden espiar silenciosamente su actividad o inyectar código malo en las páginas en las que confía.

¿Otro punto débil? Extensiones del navegador. Incluso los complementos de aspecto lícito pueden tener amplios permisos, permitiéndoles percibir lo que escribe, rastrear su navegación o inyectar scripts. Si una extensión confiable se compromete en una modernización, puede convertirse en silencio en una utensilio de robo de datos. Esto sucede con más frecuencia de lo que la clan piensa.

Aquí le mostramos cómo someter el aventura:

• Aclarar el autofill, las cookies y los datos del sitio regularmente
• Deshabilitar el autofill por completo en las estaciones de trabajo
• Limite las extensiones: auditarlas utilizando herramientas como CRXCAVATOR o POLICÍA DE LA EXTENSIÓN
• Use el navegador DB para SQLite para inspeccionar archivos almacenados (datos web, cookies)
• Utilice herramientas como Bleachbit para purgar de forma segura las trazas

Los navegadores son plataformas de aplicaciones esencialmente livianas. Si no está auditando cómo almacenan datos y quién puede consentir a él, está dejando una gran brecha abierta, especialmente en máquinas compartidas o expuestas a puntos finales.

Conclusión

Las señales de esta semana son menos una conclusión y más una provocación: ¿qué más podríamos estar mal clasificando? ¿Qué datos familiares podrían volverse significativos bajo una lupa diferente? Si el adversario piensa en los sistemas, no en síntomas, nuestras defensas deben cambiar en consecuencia.

A veces, la mejor respuesta no es un parche: es un cambio de perspectiva. Hay valía en mirar dos veces donde otros han dejado de mirar por completo.