Chrome 0 días, Ingressnightmare, Solar Bugs, DNS Tactics y más

Cada semana, determinado se desliza en algún ocupación, y los actores de amenaza se deslizan. Un entorno mal configurado, una vulnerabilidad pasada por suspensión o una útil de cúmulo demasiado concentrada se convierte en el punto de entrada consumado. Pero, ¿qué sucede cuando los cazadores se vuelven cazados? ¿O cuando el añoso malware resurge con nuevos trucos?

Pase detrás del telón con nosotros esta semana mientras exploramos las violaciones nacidas de los descuidos de rutina, y las grietas inesperadas que revelan en los sistemas en los que confiamos.

⚡ Amenaza de la semana

Google Patches explotó activamente Chrome 0 días -Google ha abordado un defecto de seguridad de entrada severidad en su navegador Chrome para Windows que ha sido explotado por actores desconocidos como parte de un ataque sofisticado dirigido a entidades rusas. Se dice que el defecto, CVE-2025-2783 (puntaje CVSS: 8.3), se combinó con otro exploit para salir de la caja de arena del navegador y ganar la ejecución del código remoto. Los ataques implicaron la distribución de enlaces especialmente elaborados a través de correos electrónicos de phishing que, cuando se hacen clic y se lanzan con Chrome, activaron la exploit. Desde entonces, se ha parcheado un defecto similar en Mozilla Firefox y Tor Browser (CVE-2025-2857), aunque no hay evidencia de que haya sido explotado.

🔔 Noticiero principales

• Fallas críticas descubiertas en el regulador Nginx Ingress para Kubernetes – Se ha revelado un conjunto de vulnerabilidades, colectivamente llamadas Ingressnightmare, en el regulador de Ingress Nginx para Kubernetes que podrían dar ocupación a una ejecución de código remoto no autenticado. El más severo de los cinco defectos es CVE-2025-1974 (puntaje CVSS: 9.8), que un atacante no autenticado con ataque a la red POD podría explotar para ganar la ejecución del código abusivo en el contexto del regulador Ingress-Nginx bajo ciertas condiciones. A posteriori de la divulgación responsable, las vulnerabilidades se han abordado en las versiones del regulador Nginx Ingress 1.12.1, 1.11.5 y 1.10.7.
• Sitio de fuga de datos de Blacklock expuesto – Los cazadores de amenazas han acabado infiltrarse en el sitio de fuga de datos asociado con un rama de ransomware llamado Blacklock, descubriendo información crucial sobre su modus operandi en el proceso. Gracias a una vulnerabilidad lugar de inclusión de archivos (LFI), la empresa de seguridad cibernética RESecurity dijo que pudo extraer archivos de configuración, credenciales, así como el historial de comandos ejecutados en el servidor. Se ha enfrentado que los actores de amenaza utilizan RClone para exfiltrar datos al servicio de almacenamiento de Mega Cloud. Se han creado hasta ocho cuentas en Mega para acumular y hacer una copia de seguridad de los datos de las víctimas. El mejora se produce cuando Kela reveló las posibles identidades del mundo positivo de Rey y Pryx, los jugadores secreto que impulsan las operaciones de ransomware Hellcat. Rey (asimismo conocido como Saif y Hikki-Chan) es probable de origen palestino y jordano, mientras que Pryx (asimismo conocido como Adem) se dice que es un hablante árabe involucrado en la cardado desde 2018. “Irónicamente, Irónicamente, Rey y Pryx, que se basaron en gran medida en los registros de información en sus operaciones, cayeron víctimas de sí mismos”, dijo Kela.
• 46 fallas en inversores solares de Sungrow, Growatt y SMA – Hasta 46 errores de seguridad han descubierto en productos de tres proveedores de inversores solares, Sungrow, Growatt y SMA que, si se explotan con éxito, podrían permitir a los atacantes confiscar el control de dispositivos y causar posibles apagones de energía. Las vulnerabilidades, llamadas colectivamente Sun: Down, “pueden ser explotadas para ejecutar comandos arbitrarios en dispositivos o la cúmulo del proveedor, hacerse cargo de las cuentas, obtener un punto de apoyo en la infraestructura del proveedor o tomar el control de los dispositivos de los propietarios de los inversores”.
• RedCurl vinculado al primer caso de ransomware -Se ha observado que RedCurl, un actor de amenaza conocido por sus ataques de espionaje corporativo desde finales de 2018, ofrece una grupo de ransomware personalizada llamamiento QWCrypt a través de una sofisticada condena de infecciones de varias etapas. Bitdefender, que marcó la actividad, dijo que la “desviación inusual” en tácticas plantea más preguntas que respuestas sobre sus motivaciones, lo que aumenta la posibilidad de que sea un rama de mercenarios cibernéticos o es una operación discreta diseñada para difundir ingresos consistentes.
• Hackers que usan Atlantis AIO para relleno de credenciales y ataques de fuerza bruta -Los actores de amenaza están haciendo uso de una útil de delitos electrónicos llamado Atlantis AIO Multi-Checker para automatizar los ataques de relleno de credenciales en más de 140 plataformas, lo que les permite probar millones de credenciales robadas en “rápida sucesión”. El software asimismo viene con capacidades para realizar ataques de fuerza bruta contra plataformas de correo electrónico y automatizar los procesos de recuperación de cuentas asociados con eBay y Yahoo.
• Weaver Ant no se detectó durante más de 4 abriles -Un supuesto rama de piratería con respaldo del estado chino llamado Weaver Ant logró permanecer bajo el radar posteriormente de que violó una importante compañía de telecomunicaciones ubicada en Asia. El ataque implicó la explotación de una configuración errónea en una aplicación pública para obtener ataque original y eliminar los proyectiles web para el ataque remoto persistente. Luego se utilizaron los proyectiles web para eliminar cargas aperos adicionales para entregar el movimiento fronterizo y soportar a extremidad actividades de examen. Durante el año pasado, los equipos de piratería chinos asimismo se han dirigido a un rama comercial en los Estados Unidos y un instituto de investigación en México para entregar Shadowpad y dos nuevas variantes de una puerta trasera conocida como Sparrowdoor. La actividad ha sido atribuida a un actor de amenaza rastreado como Famoussparrow.
• Morphing Meerkat usa DNS MX y DOH para distribuir el spam -Una operación de phishing como servicio (PHAAS) recientemente descubierta llamamiento Morphing Meerkat ha estado aprovechando los registros de intercambio de correo del Sistema de Nombres de Dominio (DNS) (MX) para determinar el proveedor de servicios de correo electrónico de la víctima y atender dinámicamente páginas de inicio de sesión falsas que se hacen ocurrir por 114 marcas. La plataforma asimismo utiliza el protocolo DNS-Over-HTTPS (DOH) para esquivar la detección al disparar una consulta DNS a Google o CloudFlare para encontrar los registros MX del dominio de correo electrónico de la víctima. Las credenciales capturadas en las páginas falsificadas se exfiltran mediante solicitudes de telegrama o AJAX a servidores externos. Se sabe que Morphing Meerkat ha estado activo desde al menos 2020. Cuenta con una infraestructura SMTP centralizada para distribuir miles de correos electrónicos de spam, con el 50% de los correos electrónicos rastreados originados de los servicios de Internet proporcionados por IOMART y HOSTPAPA.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión último en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La serie de esta semana incluye: CVE-2025-2783, CVE-2025-2476 (Google Chrome), CVE-2025-2857 (Mozilla Firefox, Tor Browser), CVE-2025-1974 (Kubernetes Nginx Compensador de ingress Windows), CVE-2025-2825 (Crushftp), CVE-2025-20229 (Splunk), CVE-2025-30232 (EXIM), CVE-2025-1716, CVE-2025-1889, CVE-2025-1944, CVE-2025-1945 (Picklescan) y CVE-20252529294 (KUBIOM Complemento de constructor de páginas).

📰 aproximadamente del mundo cibernético

• 23andMe archivos para la bancarrota – El negocio de pruebas genéticas 23andMe se declaró en bancarrota del Capítulo 11, amplificando las preocupaciones de que los registros de ADN y la información personal de sus 15 millones de clientes podrían estar a la liquidación. “Cualquier comprador deberá cumplir con la ley aplicable con respecto al tratamiento de los datos del cliente”, dijo la compañía en las preguntas frecuentes. El mejora ha llevado a la fiscal universal de California Rob Bonta a emitir una alerta de consumidor de privacidad, detallando los pasos que los usuarios pueden tomar para eliminar sus datos genéticos y destruir sus muestras. La Oficina del Comisionado de Información del Reino Unido dijo que está “monitoreando la situación de cerca”. Mientras que 23andMe señala que los datos genéticos se anonimizan y almacenan por separado de la información de identificación personal, su política de privacidad establece que la compañía retendrá la información genética, la aniversario de partida y el sexo de los usuarios según sea necesario para el cumplimiento de las obligaciones legales aplicables. En octubre de 2023, sufrió una gran violación de datos, exponiendo la información genética de más de seis millones de personas.
• Konni usa Asyncrat en una nueva campaña -Se ha observado el actor de amenaza de Konni vinculado a Corea del Ideal utilizando archivos de Windows Presente (LNK) que se disfrazan de archivos PDF para desencadenar una secuencia de infección en varias etapas que implica el uso de servicios de cúmulo legítimos como Dropbox y Google Drive para introducir cargas públicas intermedias que allanan el camino para la descarga y el despliegue de ASINCRAT. El rama de piratería obtiene su nombre del uso de una rata homónima llamamiento Konni Rat, que ofrece exfiltración de datos, ejecución de comandos y capacidades de persistencia. “La ejecución final de Asyncrat se ha cambiado para ejecutar recibiendo información del servidor C&C como argumento de ejecución”, dijo Enki. “Esto es más flexible que el método precursor para codificar la información del servidor C&C en código astuto, y cualquiera puede exprimir el código astuto construyendo un servidor separado”.
• FBI advierte sobre los convertidores de archivos falsos utilizados para presionar malware – Los vendedores ambulantes de malware están dirigidos a usuarios que buscan servicios y herramientas de convertidor de archivos gratuitos que les dan ataque a las máquinas de las víctimas. “Estos convertidores y herramientas de descarga harán la tarea anunciada, pero el archivo resultante puede contener malware oculto que brinda a los delincuentes ataque a la computadora de la víctima”, dijo la Oficina Federal de Investigación de los Estados Unidos (FBI). Las herramientas asimismo pueden rozar los archivos enviados para cualquier información confidencial, incluidas credenciales y detalles financieros.
• El nuevo robador de información de SvcStealer emerge en la naturaleza – Se ha detectado un nuevo Stealer de información llamado SVCStealer, escrito en Microsoft Visual C ++, en la propagación salvaje a través de campañas de phishing. Este malware vendimia datos confidenciales, como metadatos del sistema, archivos que coinciden con ciertas extensiones, en ejecución de procesos, software instalado y credenciales de usufructuario, así como información de billeteras de criptomonedas, aplicaciones de transporte y navegadores web.
• Meta comienza el despliegue de IA en Europa pero con limitaciones -Meta ha anunciado que su asistente imaginario con IA, Meta AI, finalmente se lanzará en Facebook, Instagram, WhatsApp y Messenger en la Unión Europea y el Reino Unido durante las próximas semanas. “Se ha llevado más tiempo de lo que nos hubiera gustado poner nuestra tecnología de IA en manos de personas en Europa mientras continuamos navegando por su arduo sistema regulatorio”, dijo la compañía. El divulgación europeo sigue el retroceso regulatorio y de privacidad sobre exprimir los datos de los usuarios para entrenar modelos de IA. El enfoque de Meta para despabilarse el consentimiento de los usuarios ha sido objeto de exploración por parte de la Comisión de Protección de Datos de Irlanda (DPC), el regulador de protección de datos líder de la compañía en el bando, lo que obliga a la compañía a detener el procesamiento de la información de los usuarios locales para capacitar a los modelos de IA. “El maniquí que impulsa estas características de Meta AI no fue capacitado en datos de primera parte de los usuarios de la UE”, dijo Meta a TechCrunch.
• Indohaxsec vinculado a DDoS y ataques de ransomware -Un colectivo hacktivista con sede en Indonesia denominado IndoHaxsec se ha relacionado con una serie de ataques distribuidos de denegación de servicio (DDoS) y ransomware contra numerosas entidades y organismos gubernamentales ubicados en Australia, India, Israel y Malasia utilizando una mezcla de herramientas disponibles y disponibles públicamente. El rama, que mantiene las cuentas de GitHub, Telegram y Social Media, surgió en octubre de 2024. Desde entonces, ha anunciado asociaciones con otros grupos hacktivistas como Noname057 (16). Se ha enfrentado que los ataques de ransomware usan un casillero llamado Exorlock, que se ha evaluado por una iteración precursor del rama cuando estaban activos bajo el nombre de Anonblackflag.
• Orion Framework allana el camino para los modelos de IA que preservan la privacidad – Un rama de investigadores académicos de la Universidad de Nueva York ha detallado a Orión, un situación que brinda apoyo para el secreto totalmente homomórfico (FHE) al formación profundo, lo que permite que los modelos de IA operen prácticamente y eficientemente en datos encriptados sin aprieto de descifrarlo primero. Orion “convierte modelos de formación profundo escritos en Pytorch en programas eficientes para el FHE”, dijo el equipo. “El situación asimismo optimiza los procesos relacionados con el secreto, lo que facilita la trámite del ruido acumulado y ejecuta los cálculos de formación profundo de modo apto”.
• El Tribunal de los Estados Unidos defiende la condena de Joseph Sullivan – El Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito confirmó por unanimidad la condena del ex director de seguridad de Uber, Joseph Sullivan, quien anteriormente fue responsable de no revelar una violación de los registros de clientes y conductores de 2016 a los reguladores e intentando encubrir el incidente. El tribunal dijo que el veredicto “subraya la importancia de la transparencia incluso en situaciones de fracaso, especialmente cuando tales fallas son objeto de investigación federal”.
• Rusia arresta a 3 personas empatadas en malware Mamont – Las autoridades rusas han arrestado a tres personas sospechosas de desarrollar un malware de Android conocido como Mamont. Los sospechosos, cuyos nombres no fueron revelados, fueron detenidos de la región de Saratov, informó el registro. A principios de enero, el Profesión de Asuntos Internos de Rusia reveló que el malware estaba siendo propagado en forma de archivos APK a través de Telegram con el objetivo final de robar información personal y financiera confidencial de los dispositivos de las víctimas. La compañía rusa de ciberseguridad Kaspersky dijo que asimismo descubrió a los actores de amenaza que utilizan nuevas tácticas de ingeniería social para distribuir el troyano bancario dirigido a dispositivos de Android en el país.
• 2 periodistas serbios dirigidos por Pegaso del Corro de NSO – Dos periodistas de investigación en Serbia, que trabajan para la Red de Informes de Investigación de Balcanes (BIRN), fueron atacados con Pegasus, un software de informador comercial desarrollado por NSO Group. Los dos periodistas recibieron mensajes sospechosos el mes pasado en la aplicación de transporte de Viber de un número serbio desconocido vinculado a Telekom Srbija, el cámara estatal de comunicaciones de tele Los mensajes contenían un enlace que, si se hizo clic, habrían llevado a la implementación de la útil de convento de información a través de un sitio de señuelo. Uno y otro periodistas no hicieron clic en el enlace. El mejora marca la tercera vez que Pegasus se ha utilizado contra la sociedad civil en Serbia en dos abriles. Las autoridades serbias asimismo han utilizado recientemente el software Cellebrite para desbloquear en secreto los teléfonos de los civiles para que puedan instalar otra marca de Spyware de cosecha propia con el nombre de Spyware Novispy.
• Iocontrol enfrentado lista a la liquidación -El malware adherido a Irán llamado IOControl, que está explícitamente diseñado para atacar entornos industriales, se ha incluido en la liquidación en Telegram e incumplimiento, según Flashpoint. El malware se atribuye a un rama de piratería llamado Cyber ​​AV3ngers. Además llamado OrpacRab, la sofisticada puerta trasera basada en Linux es capaz de vigilancia, movimiento fronterizo, exfiltración de datos, manipulación del sistema y control remoto.
• Advertencia de problemas del Reino Unido sobre grupos sádicos de daños en límite – La Agencia Doméstico de Crimen del Reino Unido (NCA) advirtió sobre una tendencia “profundamente preocupante” de las redes en límite llamamiento COM que ha recurrido a infligir daños y cometer varios tipos de actos criminales. “Estos foros o comunidades en límite (…) ven que los delincuentes colaboran o compiten para causar daño en un amplio espectro de criminalidad, tanto interiormente como fuera de límite, incluidos ciber, fraude, fanatismo, violencia peligroso y exceso sexual inmaduro”, dijo la NCA. Parte de este ecosistema del delito cibernético es el infame rama de arañas dispersas, conocido por sus técnicas avanzadas de ingeniería social para realizar ataques de molestia y ransomware. El mes pasado, Richard Ehiemere, de 21 abriles, miembro de la red del este de Londres, fue condenado por cargos de fraude y haciendo imágenes indecentes de niños. Parte de un rama llamado CVLT, se dice que los acusados ​​y otros miembros apuntan a niñas en plataformas de redes sociales como Discord y los persuaden para que envíen fotos íntimas de sí mismas. “Los miembros amenazaron con ‘DOX’ a sus víctimas, lo que implica revelar identidades del mundo positivo y anunciar otra información personal en límite, para obligarlos a cumplir con sus demandas”, dijo la NCA. “Las niñas se vieron obligadas a unirse a llamadas grupales, donde se les indicaría que llevaran a extremidad actos sexuales y actos de autolesiones para su audiencia. En casos severos, se alentó a las víctimas vulnerables a suicidarse en presencia de la cámara”. Un mes ayer de eso, Cameron Finnigan, de 19 abriles, fue encarcelado por alentar el suicidio, la posesión de imágenes indecentes de niños y dos cargos de daño criminal.
• El actor de amenaza desconocida registra más de 10 km de dominios para estafas de amordazos – Se han registrado más de 10,000 dominios con el mismo patrón de dominio para realizar varios tipos de estafas de phishing SMS. “Todos los nombres de dominio raíz comienzan con la condena: Com-“, dijo Palo Stop Networks Unit 42. “Entregado que el dominio de la raíz comienza con” com- “próximo a un subdominio, el dominio completo podría engañar a las víctimas potenciales para que realicen una inspección casual”. Las campañas están diseñadas para engañar a los usuarios para que revelen su información personal, incluida la información de plástico de crédito o débito y cuenta.
• Explotación del sistema de información y entretenimiento de automóviles para plantar spyware -Investigadores del rama NCC Alex Plaskett y McCaulay Hudson han demostrado un trío de exploits de día cero (CVE-2024-23928, CVE-2024-23929 y CVE-2024-23930) que podría estar armado para romper en el sistema Pioneer DMH-WT7600NEX, Ganing Shell Access e Instalir Software Malices Esto podría estar de moda para exfiltrar datos del sistema de información y entretenimiento para rastrear la ubicación, los contactos y el historial de llamadas de un individuo. Anteriormente, el dúo reveló múltiples vulnerabilidades en Phoenix Contact Charx Sec-3100, un regulador de cargadores de vehículos eléctricos (EV), que podría entregar la ascensión de privilegios y la ejecución de código remoto (CVE-2024-6788, CVE-2024-25994, CVE-2024-25995 y CVE-2024-25999)).

🎥 Seminario web diestro

• ¿Es ASPM el futuro de APPSEC, o solo otra tendencia? Únase a Amir Kaushansky de Palo Stop Networks para averiguarlo. En este seminario web tirado, aprenderá cómo la trámite de la postura de seguridad de aplicaciones (ASPM) ayuda a los equipos a arreglar las brechas de seguridad conectando el código y los datos de tiempo de ejecución. Vea cómo lleva todas sus herramientas de APPSEC a un solo ocupación, para que pueda detectar riesgos reales más rápido, automatizar políticas y disminuir la aprieto de soluciones de última hora. Si desea simplificar la seguridad y mantenerse por delante de las amenazas, esta sesión es para usted. Guarde su asiento ahora.
• AI está alimentando ataques, aprende cómo cerrarlos – La IA no es la amenaza futura, es el anciano desafío de hoy. Desde el phishing de Deepfake hasta el examen con IA, los atacantes se mueven más rápido de lo que las defensas heredadas pueden mantenerse al día. En esta sesión, Diana Shtiler de Zscaler comparte formas prácticas de usar Zero Trust para defenderse de las amenazas impulsadas por la IA, ayer de que lleguen a su perímetro.
• Las herramientas de IA están evitando sus controles, aquí se va a encontrar y detenerlos – No puedes proteger lo que no puedes ver. Las herramientas de IA Shadow se están extendiendo en silencio por los entornos SaaS, a menudo inadvertidos hasta que sea demasiado tarde. Únase a DVIR Sasson de Reco para una observación positivo en el uso de AI oculto, caminos de ataque sigilosos y cómo obtener visibilidad ayer de que las amenazas se conviertan en incidentes.

🔧 Herramientas de ciberseguridad

• NETBIRD – NetBird facilita la creación de redes privadas seguras sin configuraciones complejas. Conecta sus dispositivos con WireGuard, con túneles cifrados y sin aprieto de destapar puertos o configurar firewalls. Úselo en casa o trabaje, en la cúmulo, o autohospedado. Administre el ataque desde un ocupación con controles fáciles de usar. Rápido para instalar, posible de prosperar y funciona en cualquier ocupación.
• Dalfox: es una útil de código destapado rápida y flexible construida para pruebas modernas de XSS. Diseñado con la automatización en su núcleo, optimiza todo, desde el descomposición de parámetros hasta la demostración de vulnerabilidad, lo que lo convierte en un preferido para los investigadores de seguridad y los cazadores de recompensas de errores. Con soporte para múltiples modos de escaneo, técnicas de descubrimiento avanzadas y cargas aperos personalizables, Dalfox ofrece información profunda sobre las vulnerabilidades XSS reflejadas, almacenadas y basadas en DOM, al tiempo que proporciona un resultado detallado y atento para el desarrollador.

🔒 Consejo de la semana

Desactivar el autofill del navegador para campos sensibles – Autocomplante puede guardar tiempo, pero puede filtrar silenciosamente sus datos. Los atacantes pueden crear campos de formularios ocultos en sitios web maliciosos que su navegador llena sin saberlo con su correo electrónico, número de teléfono o incluso información de plástico de crédito, sin hacer clic en poco. Es una amenaza tranquila pero positivo, especialmente en los ataques de phishing.

Para mantenerse más seguro, deshabilite el enfoque involuntario para campos personales y sensibles en la configuración de su navegador. En Chrome, vaya a Configuración → Autocalencia y desactive las contraseñas, métodos de cuota y direcciones. En Firefox, diríjase a Configuración → Privacidad y seguridad, y desmarque todos los formularios y opciones de enfoque involuntario. Para Edge, vaya a Perfiles → Información personal y información de cuota, y apague los dos. En Safari, navegue a las preferencias → Autocompletar y anular la selección de cada categoría.

Para obtener aún más control, use un Administrador de contraseñas como BitWarden o KeepAssXC; solo se enfrentan solo cuando lo apruebe explícitamente. La conveniencia es excelente, pero no a costa de las filtraciones de datos silenciosos.

Conclusión

A menudo confiamos en herramientas, plataformas y rutinas, hasta que se convierten en las armas utilizadas contra nosotros.

Las historias de esta semana son un recordatorio de que los actores de amenaza no rompen las reglas: doblan las comodidades en las que confiamos. No se proxenetismo solo de sistemas de parcheo; Se proxenetismo de cuestionar suposiciones.