Fallo de envenenamiento del DNS, atraco a la cadena de suministro, truco del malware Rust y aumento de nuevas RAT

Para entregar PureHVNC RAT se han utilizado correos electrónicos de phishing que contienen archivos adjuntos SVG dirigidos a personas colombianas de deje hispana con temas relacionados con la Fiscalía Normal de Colombia. “Los correos electrónicos incitan al beneficiario a descargar un ‘documento oficial’ del sistema de información contencioso, lo que inicia la dependencia de infección mediante la ejecución de un ejecutable Hijack Loader que conduce al troyano de golpe remoto (RAT) PureHVNC”, dijo IBM X-Force. La actividad se observó entre agosto y octubre de 2025. Los hallazgos son notables porque esta es la primera vez que se utiliza Hijack Loader en campañas dirigidas a la región, adicionalmente de usar el cargador para distribuir PureHVNC.

Peter Williams, de 39 abriles, ciudadano australiano, se declaró culpable en Estados Unidos en relación con la traspaso de secretos comerciales de su empleador a un corredor ruso de herramientas cibernéticas. Williams se declaró culpable de dos cargos de robo de secretos comerciales robados al contratista de defensa estadounidense L3Harris Trenchant entre 2022 y 2025. Esto incluía software centrado en la seguridad franquista que incluía al menos ocho componentes sensibles y protegidos de ciberexplotación que debían venderse exclusivamente al gobierno de Estados Unidos y a aliados selectos. “Williams vendió los secretos comerciales a un intermediario ruso de herramientas cibernéticas que se anuncia públicamente como revendedor de exploits cibernéticos a varios clientes, incluido el gobierno ruso”, dijo el Área de Conciencia de Estados Unidos. El imputado recibió un suscripción en criptomonedas por la traspaso de exploits de software y utilizó las ganancias ilícitas para comprar relojes de ostentación y otros artículos. Los cargos contra Williams salieron a la luz la semana pasada. Si adecuadamente el nombre del corredor de exploits no fue revelado, la evidencia apunta a Operation Zero, que anteriormente ofreció hasta $4 millones por exploits de Telegram y $20 millones por herramientas que podrían estilarse para ingresar a dispositivos Android y iPhone. Operation Zero se anuncia como la “única plataforma de transacción de vulnerabilidades de día cero con sede en Rusia”. A principios de agosto, otra startup con sede en los Emiratos Árabes Unidos indicación Advanced Security Solutions todavía anunció recompensas de hasta 20 millones de dólares por herramientas de piratería que podrían ayudar a los gobiernos a penetrar a cualquier teléfono inteligente con un mensaje de texto.

Europol ha destacado la urgente requisito de un enfoque coordinado y multifacético para mitigar la suplantación de identidad de llamadas transfronterizas. “La suplantación de identidad de llamadas impulsa el fraude financiero y permite estafas de ingeniería social, lo que provoca daños económicos y sociales sustanciales, con una pérdida estimada de 850 millones de euros anualmente en todo el mundo”, afirmó la agencia. “Los principales vectores de ataque son las llamadas telefónicas y los mensajes de texto, que permiten a actores maliciosos manipular la información que se muestra en el identificador de llamadas de un beneficiario, para mostrar un nombre o número embustero que parece cierto y digno de confianza”. La técnica, que representa aproximadamente el 64% de los casos de fraude reportados que involucran llamadas telefónicas y mensajes de texto, sustenta una amplia viso de esquemas de fraude en andana y estafas de ingeniería social, que cuestan aproximadamente 850 millones de euros (990 millones de dólares) en todo el mundo cada año.

Para mejorar la seguridad de los usuarios, Google dijo que cambiará la configuración predeterminada de Chrome para navegar sólo a sitios web que admitan HTTPS. “Habilitaremos la configuración ‘Usar siempre conexiones seguras’ en su reforma de sitios públicos de forma predeterminada en octubre de 2026, con el tiro de Chrome 154”, dijo el superhombre tecnológico. “Antiguamente de habilitarlo de forma predeterminada para todos los usuarios, en Chrome 147, que se lanzará en abril de 2026, habilitaremos Usar siempre conexiones seguras en su reforma de sitios públicos para los más de mil millones de usuarios que han optado por las protecciones de navegación segura mejorada en Chrome”. La configuración “Usar siempre conexiones seguras” se introdujo en Chrome en 2022, como una función opcional, y se activó de forma predeterminada en Chrome 141 para un pequeño porcentaje de usuarios.

Según SixMap, una evaluación de ciberseguridad de 21 proveedores de energía estadounidenses ha identificado 39.986 hosts con un total de 58.862 servicios expuestos a Internet. Aproximadamente el 7% de todos los servicios expuestos se ejecutan en puertos no normalizado, lo que crea puntos ciegos, ya que los productos tradicionales de dirección de exposición y dirección de superficies de ataque normalmente inspeccionan solo los 1000 a los 5000 puertos principales. La investigación todavía encontró que, en promedio, cada estructura tenía el 9% de sus hosts en el espacio IPv6, otra campo de acción de peligro potencial, ya que estos activos no son rastreados por las herramientas tradicionales de dirección de exposición. “Un total de 2.253 direcciones IP estaban en el espacio IPv6. Eso significa, en conjunto, más o menos del 6% de las direcciones IP se ejecutaban en IPv6 en las 21 empresas”, dijo SixMap. Es más, se identificaron un total de 5.756 servicios vulnerables con CVE en todas las exposiciones. “De los 5.756 CVE identificados por SixMap, 377 han sido explotados en estado salvaje”, añadió. “Entre los 377 CVE que se sabe que están explotados, 21 se encuentran en servicios vulnerables que se ejecutan en puertos no normalizado, lo que indica un nivel de peligro muy solemne”.

Avast ha enérgico un descifrador de balde para permitir a las víctimas del ransomware Midnight recuperar sus archivos de forma gratuita. Midnight ransomware normalmente agrega la extensión .Midnight o .endpoint a los archivos cifrados. Se considera que el ransomware se base en una traducción antedicho del ransomware Babuk. Avast dice que las “novedosas modificaciones criptográficas” realizadas en el código almohadilla de Babuk introdujeron debilidades que hicieron posible el descifrado.

Se ha observado que el actor de amenazas conocido como Cloud Atlas apunta al sector agrícola de Rusia utilizando señuelos vinculados a un próximo foro de la industria. La campaña de phishing, detectada este mes, implica el expedición de correos electrónicos que contienen documentos de Microsoft Word con trampas explosivas que, cuando se abren, activan un exploit para CVE-2017-11882 con el fin de entregar un cuentagotas responsable de iniciar la puerta trasera VBShower. Vale la pena señalar que el conjunto de hackers utilizó la misma error como pertrechos en 2023. Se considera que Cloud Atlas es un actor de amenazas en gran medida adaptable activo desde al menos 2014, al tiempo que aumenta su ritmo eficaz en 2025, particularmente contra objetivos en Rusia y Bielorrusia. A principios de enero, Positive Technologies detalló el uso de Cloud Atlas de servicios en la nubarrón como Google Sheets como comando y control (C2) para VBShower y otra puerta trasera basada en PowerShell indicación PowerShower. En los últimos meses, las organizaciones rusas todavía han sido atacadas por GOFFEE (todavía conocido como Paper Werewolf) y PhantomCore, y este postrer todavía lanzó una nueva puerta trasera Go denominada PhantomGoShell a través de correos electrónicos de phishing que comparte algunas similitudes con PhantomRAT y PhantomRShell. Algunas de las otras herramientas en el cantera del actor de amenazas son PhantomTaskShell (una puerta trasera de PowerShell), PhantomStealer (un usurero basado en Go) y PhantomProxyLite (una aparejo que configura un túnel SSH entre el host y el servidor C2). Se dice que el conjunto logró tomar el control de 181 sistemas en el país durante el transcurso de la campaña entre mediados de mayo y finales de julio de 2025. Positive Technologies evaluó que PhantomGoShell es el trabajo de miembros de deje rusa de las comunidades de juegos de Discord que pueden acontecer “recibido el código fuente de la puerta trasera y la orientación de un miembro con historial cibercriminales más establecidos” y que el conjunto es una rama poco calificada de PhantomCore.

Se han antagónico hasta 5.912 instancias vulnerables a CVE-2025-40778 (puntuación CVSS: 8,6), una error recientemente revelada en el solucionador BIND 9. “Un atacante fuera de ruta podría inyectar datos de direcciones falsificadas en la gusto de resolución al acelerar o falsificar respuestas”, dijo Censys. “Este envenenamiento de la gusto permite la redirección de clientes posteriores a la infraestructura controlada por el atacante sin desencadenar nuevas búsquedas”. Se ha puesto a disposición del divulgado un exploit de prueba de concepto (PoC) para la vulnerabilidad. Se recomienda poner al día a BIND 9 versiones 9.18.41, 9.20.15 y 9.21.14, restringir la recursividad a clientes confiables, habilitar la fuerza DNSSEC y monitorear los cachés.

Los investigadores de Synacktiv han demostrado que es posible crear un binario Rust de “dos caras” en Linux, que “ejecuta un software inofensivo la veterano parte del tiempo, pero ejecutará un código oculto diferente si se implementa en un host de destino específico”. En un nivel stop, el binario esquizofrénico sigue un proceso de cuatro pasos: (1) Extraer los UUID de partición de disco del host, que identifica de forma única el objetivo, (2) Derivar una secreto incrustada en el binario con los datos del host antedicho usando HKDF, produciendo una nueva secreto, (3) Descifrar los datos binarios incrustados cifrados “ocultos” a partir de la secreto derivada, y (4) Si el descifrado tiene éxito, ejecute el software “oculto” descifrado; de lo contrario, ejecute el software “regular”.

Los actores de amenazas están aprovechando una técnica inusual que explota caracteres invisibles incrustados en las líneas de asunto del correo electrónico para esquivar los filtros de seguridad automatizados. Este método de ataque utiliza codificación MIME combinada con guiones suaves Unicode para disfrazar intenciones maliciosas y parecer afectuoso para los lectores humanos. La técnica representa otra progreso en los ataques de phishing, en la que los delincuentes encuentran formas novedosas de eludir los mecanismos de filtrado de correo electrónico que se basan en la detección de palabras secreto y la coincidencia de patrones.

El Centro de Coordinación CERT (CERT/CC) ha revelado que la sintaxis del encabezado de los mensajes de correo electrónico se puede explotar para eludir protocolos de autenticación como SPF, DKIM y DMARC, lo que permite a los atacantes entregar correos electrónicos falsificados que parecen originarse en fuentes confiables. Específicamente, esto implica explotar de los campos De: y Remitente: para hacerse suceder por una dirección de correo electrónico con fines maliciosos. “Usando una sintaxis especializada, un atacante puede insertar múltiples direcciones en el campo De: del encabezado del correo”, dijo CERT/CC. “Muchos clientes de correo electrónico analizarán el campo De: para mostrar solo la última dirección de correo electrónico, por lo que el destinatario no sabrá que el correo electrónico supuestamente proviene de varias direcciones. De esta guisa, un atacante puede pretender ser cualquiera sencillo para el beneficiario”. Para mitigar la amenaza, se insta a los proveedores de servicios de correo electrónico a implementar medidas para avalar que los encabezados de correo electrónico salientes autenticados se verifiquen adecuadamente ayer de firmar o transmitir mensajes.

Las autoridades de Myanmar dijeron que habían demolido partes del parque KK mediante explosiones, semanas luego de que el ejército del país atacara a mediados de octubre de 2025 lo que se ha descrito como un importante centro de operaciones de ciberdelincuencia. Tailandia dijo que ha establecido refugios temporales para quienes han huido de Myanmar. Group-IB, que ha observado un aumento en las estafas de inversión realizadas a través de plataformas en andana en Vietnam, dijo que los actores de amenazas están utilizando compañías falsas, cuentas de mula e incluso documentos de identidad robados comprados en mercados clandestinos para tomar y mover los fondos de las víctimas, lo que les permite eludir los débiles controles de Conozca a su Cliente (KYC) o Conozca su Negocio (KYB). Las operaciones de estafa a menudo comprenden diferentes equipos con roles y responsabilidades claramente definidos: (1) Inteligencia objetivo, que identifica y perfila a las víctimas potenciales, (2) Promotores, que crean personajes convincentes en las redes sociales y atraen a las víctimas para que realicen inversiones en plataformas falsas, en algunos casos utilizando una aparejo generadora de chat para crear conversaciones inventadas, (3) Operadores de backend, que están a cargo de amparar la infraestructura, y (4) Gestores de pagos, que blanquean el producto del delito. “Existe una tendencia creciente en las estafas de inversión a utilizar chatbots para detectar objetivos y encaminar los depósitos o retiros”, dijo la empresa de ciberseguridad. “Las plataformas de estafa a menudo incluyen simuladores de chat para organizar conversaciones falsas y paneles de establecimiento para el control backend, lo que proporciona información sobre cómo los operadores gestionan las víctimas y la infraestructura”.

El conjunto de privacidad austriaco noyb ha presentado una denuncia penal contra la empresa de gratitud facial Clearview AI y su dirección, acusando a la controvertida empresa de gratitud facial de ignorar las multas del RGPD en Francia, Grecia, Italia y los Países Bajos, y de seguir operando a pesar de malquistar prohibiciones. En 2022, Austria descubrió que las prácticas de Clearview AI violaban el RGPD, pero no multó a la empresa ni le ordenó que dejara de procesar los datos. Clearview se ha enfrentado a un recuento por extraer miles de millones de fotografías de ciudadanos de la UE sin su permiso y utilizar los datos para un producto de gratitud facial vendido a las fuerzas del orden. “Clearview AI acumuló una almohadilla de datos entero de fotografías y datos biométricos, lo que hace posible identificar personas en segundos”, dijo Max Schrems de Nob. “Ese poder es extremadamente preocupante y socava la idea de una sociedad desenvuelto, donde la vigilancia es la excepción y no la regla”.

Se ha anunciado en la naturaleza una nueva RAT sigilosa indicación Atroposia con una toma de escritorio remota oculta; robo de portapapeles, credenciales y billeteras de criptomonedas; Secuestro de DNS; y capacidades de escaneo de vulnerabilidades locales, la última incorporación a una repertorio ya larga de kits de herramientas criminales “plug-and-play” disponibles para actores de amenazas poco calificados. El malware modular tiene un precio de aproximadamente 200 dólares al mes, 500 dólares cada tres meses o 900 dólares durante seis meses. “Su panel de control y su creador de complementos hacen que la aparejo sea sorprendentemente practicable de efectuar, lo que reduce la astucia necesaria para ejecutar ataques complejos”, dijo Varonis. “La asequibilidad y la interfaz practicable de usar de Atroposia la hacen accesible incluso para atacantes poco o carencia capacitados”. El surgimiento de Atroposia continúa la mercantilización del cibercrimen, armando a los actores de amenazas con una aparejo todo en uno para favorecer un amplio espectro de acciones maliciosas contra entornos empresariales.

Los actores de amenazas continúan aprovechando los señuelos de ingeniería social estilo ClickFix para distribuir cargadores para NetSupport RAT, lo que en última instancia conduce a la implementación del troyano. “NetSupport Manager es un RMM cierto que continúa siendo utilizado por actores de amenazas para el control remoto total o no calificado de máquinas comprometidas y se distribuye principalmente a través del vector de golpe auténtico ClickFix”, dijo eSentire. El expansión coincide con un aumento en las campañas de phishing que distribuyen versiones sin archivos de Remcos RAT. “Remcos se anuncia como software cierto que puede estilarse con fines de vigilancia y pruebas de penetración, pero se ha utilizado en numerosas campañas de piratería”, dijo CyberProof. “Una vez instalado, Remcos abre una puerta trasera en el dispositivo/computadora, otorgando golpe completo al beneficiario remoto”.

Usuarios de LinkedIn, tomen nota. La red de medios sociales profesionales propiedad de Microsoft anunció previamente cambios en sus términos de uso de datos hace varias semanas, señalando que a partir de la próxima semana comenzaría a utilizar datos de “miembros de la UE, el EEE, Suiza, Canadá y Hong Kong” para entrenar modelos de inteligencia químico (IA). “El 3 de noviembre de 2025, comenzaremos a utilizar algunos datos de los miembros en estas regiones para entrenar modelos de inteligencia químico que generen contenido que mejoren su experiencia y conecten mejor a nuestros miembros con las oportunidades”, dijo la compañía. “Esto puede incluir datos como detalles de su perfil y contenido divulgado que publique en LinkedIn; no incluye sus mensajes privados”.

Si adecuadamente más de 70 países firmaron formalmente un tratado de la ONU sobre cibercrimen para colaborar y acometer el cibercrimen, Estados Unidos ha sido una trascendente excepción. Según The Record, el Área de Estado dijo que Estados Unidos continúa revisando el tratado pero aún no lo ha firmado.

El suscripción de rescate promedio durante el tercer trimestre de 2025 fue de 376 941 dólares, una disminución del 66 % con respecto al segundo trimestre de 2025. El suscripción del rescate de los medios se situó en 140 000 dólares, lo que representa una caída del 65 % con respecto al trimestre antedicho. Las tasas de suscripción de rescate en secreto, exfiltración de datos y otras extorsiones cayeron a un insignificante histórico del 23% en el tercer trimestre de 2025, frente a un mayor del 85% en el primer trimestre de 2019. Esto indica que las grandes empresas se niegan cada vez más a satisfacer, lo que obliga a “los actores de ransomware a ser menos oportunistas y más creativos y específicos al nominar a sus víctimas”, dijo Coveware, y agregó que “la reducción de las ganancias está impulsando una veterano precisión. Los costos iniciales de ingreso para los actores aumentarán aumentan dramáticamente, lo que los obliga a apuntar a grandes empresas que pueden satisfacer un gran rescate”. Akira, Qilin, Lynx, ShinyHunters y KAWA4096 surgieron como algunas de las variantes de ransomware más frecuentes durante el período.

Las principales empresas energéticas estadounidenses están siendo suplantadas en ataques de phishing, y los actores de amenazas crean dominios falsos haciéndose suceder por Chevron, ConocoPhillips, PBF Energy y Phillips 66. Hunt.io dijo que registró más de 1.465 detecciones de phishing vinculadas a este sector en los últimos 12 meses. “Los atacantes se basaron en herramientas de clonación baratas (como HTTrack) para incomunicar cientos de sitios similares, muchos de los cuales permanecieron en andana durante meses sin ser detectados por el proveedor”, dijo la compañía.

El actor de amenazas rastreado por QiAnXin bajo el apodo de UTG-Q-010 se ha dirigido al sistema financiero de Hong Kong y a inversores de stop valía en el continente mediante ataques a la dependencia de suministro que están diseñados para “robar grandes sumas de boleto o manipular el mercado para obtener enormes ganancias”. Los ataques a la dependencia de suministro implican la distribución de paquetes de instalación troyanizados a través de los sitios web oficiales de las instituciones financieras con sede en Hong Kong Jinrong China (“jrjr(.)hk”) y Wanzhou Gold (“wzg(.)com”) que conducen a la implementación de AdaptixC2, un situación C2 de balde y de código hendido.