Herramientas de inteligencia artificial en malware, botnets, fallas de GDI, ataques electorales y más

Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parcheadas en la interfaz de dispositivo descriptivo de Windows (GDI) que podrían permitir la ejecución remota de código y la divulgación de información. Estos problemas (CVE-2025-30388, CVE-2025-53766 y CVE-2025-47984) implican un llegada a la memoria fuera de los límites activado a través de registros de metarchivo mejorado (EMF) y EMF+ mal formados que pueden causar corrupción de la memoria durante la representación de la imagen. Tienen su raíz en gdiplus.dll y gdi32full.dll, que procesan gráficos vectoriales, texto y operaciones de impresión. Microsoft los abordó en las actualizaciones del martes de parches de mayo, julio y agosto de 2025 en las versiones de gdiplus.dll 10.0.26100.3037 a 10.0.26100.4946 y gdi32full.dll interpretación 10.0.26100.4652. “Las vulnerabilidades de seguridad pueden persistir sin ser detectadas durante primaveras, y a menudo reaparecen adecuado a correcciones incompletas”, dijo Check Point. “Una vulnerabilidad de divulgación de información particular, a pesar de favor sido abordada formalmente con un parche de seguridad, permaneció activa durante primaveras adecuado a que el problema diferente recibió solo una opción parcial. Este ejemplo subraya un enigma sustancial para los investigadores: introducir una vulnerabilidad a menudo es casquivana, solucionarla puede ser difícil, y efectuar que una opción sea exhaustiva y efectiva es aún más desafiante”.

Tres ciudadanos chinos, Yan Peijian, de 39 primaveras, Huang Qinzheng, de 37, y Liu Yuqi, de 33, fueron declarados culpables y sentenciados a poco más de dos primaveras de prisión en Singapur por su billete en la piratería de sitios web y empresas de juegos de azar en el extranjero con el fin de hacer trampa durante el coyuntura y robar bases de datos de información de identificación personal para el comercio. Los tres individuos, parte de un corro de cinco ciudadanos chinos y un hombre de Singapur, fueron arrestados y acusados ​​originalmente en septiembre de 2024. “El líder del corro del sindicato encargó a los tres acusados ​​que investigaran sitios de interés en sondeo de vulnerabilidades del sistema, realizaran ataques de penetración y exfiltraran información personal de los sistemas comprometidos”, dijo la Policía de Singapur. “Investigaciones posteriores revelaron que el sindicato poseía datos de gobiernos extranjeros, incluidas comunicaciones confidenciales”. Todavía se descubrió que los tres acusados ​​estaban en posesión de herramientas como PlugX y “cientos de troyanos de llegada remoto diferentes” para realizar ciberataques. Según Channel News Asia, los tres hombres ingresaron al país con permisos de trabajo falsos en 2022 y trabajaron para un ciudadano de Ni-Vanuatu de 38 primaveras llamado Xu Liangbiao. Les pagaron cerca de de 3 millones de dólares por su trabajo. Se dice que Xu, el supuesto líder, abandonó Singapur en agosto de 2023. Se desconoce su paradero coetáneo.

Check Point ha demostrado una forma mediante la cual ChatGPT se puede utilizar para el prospección de malware y cambiar la peso cuando se manejo de desmantelar troyanos sofisticados como XLoader, que está diseñado de tal forma que su código se descifra solo en tiempo de ejecución y está protegido por múltiples capas de secreto. Específicamente, la investigación encontró que el prospección petrificado basado en la abundancia con ChatGPT se puede combinar con el Protocolo de contexto maniquí (MCP) para la linaje de claves en tiempo de ejecución y la fuerza de depuración en vivo. “El uso de la IA no elimina la carestia de experiencia humana”, afirmó el investigador de seguridad Alexey Bukhteyev. “Las protecciones más sofisticadas de XLoader, como la dialéctica de derivación de claves dispersas y el secreto de funciones multicapa, aún requieren prospección manual y ajustes específicos. Pero el trabajo pesado de clasificación, deofuscación y secuencias de comandos ahora se puede acelerar dramáticamente. Lo que antaño tomaba días ahora se puede comprimir en horas”.

El malware conocido como RondoDox ha sido testimonio de un aumento del 650 % en los vectores de explotación, expandiéndose desde un hornacina de DVR dirigido a empresas. Esto incluye más de 15 nuevos vectores de explotación dirigidos a dispositivos LB-LINK, Oracle WebLogic Server, PHPUnit, D-Link, NETGEAR, Linksys, Tenda, TP-Link, así como una nueva infraestructura de comando y control (C2) en IP residencial comprometida. Una vez eliminado, el malware procede a eliminar la competencia eliminando el malware existente, como XMRig y otras botnets, desactivando SELinux y AppArmor y ejecutando la carga útil principal que es compatible con la edificio del sistema.

El Área de Seguridad Doméstico de Estados Unidos (DHS) ha propuesto una mejora a las regulaciones existentes que rigen el uso y compendio de información biométrica. La agencia ha presentado requisitos para un “sistema sólido para la compendio, el almacenamiento y el uso de datos biométricos relacionados con la adjudicación de beneficios de inmigración y otras solicitudes y el desempeño de otras funciones necesarias para tener la llave de la despensa y hacer cumplir las leyes de inmigración y naturalización”. Como parte del plan, cualquier individuo que presente o esté asociado con una solicitud de beneficios u otra solicitud o compendio de información, incluidos ciudadanos estadounidenses, nacionales de EE. UU. y residentes permanentes legales, debe presentar datos biométricos, independientemente de su época, a menos que el DHS exima el requisito. La agencia dijo que el uso de datos biométricos para la demostración y diligencia de la identidad ayudará a los esfuerzos del DHS para combatir la manejo, confirmar los resultados de las verificaciones biográficas de historial penales y disuadir el fraude. El DHS recibirá comentarios sobre la propuesta hasta el 2 de enero de 2026.

Los investigadores de ciberseguridad han descubierto una nueva infraestructura de ataque a gran escalera denominada TruffleNet que se plinto en la utensilio de código destapado TruffleHog, que se utiliza para probar sistemáticamente las credenciales comprometidas y realizar reconocimientos en los entornos de Amazon Web Services (AWS). “En un incidente que involucró múltiples credenciales comprometidas, registramos actividad de más de 800 hosts únicos en 57 redes distintas de Clase C”, dijo Fortinet. “Esta infraestructura se caracterizó por el uso de TruffleHog, una popular utensilio de escaneo de secretos de código destapado, y por configuraciones consistentes, incluidos puertos abiertos y la presencia de Portainer”, una interfaz de adjudicatario de agencia de código destapado para Docker y Kubernetes que simplifica la implementación y orquestación de contenedores. En estas actividades, los actores de amenazas realizan llamadas a las API GetCallerIdentity y GetSendQuota para probar si las credenciales son válidas y abusan del Servicio de correo electrónico simple (SES). Si perfectamente Fortinet no observó acciones de seguimiento, se evalúa que los ataques se originan en una infraestructura posiblemente escalonada, con algunos nodos dedicados al registro y otros reservados para etapas posteriores del ataque. Por otra parte de la actividad de registro de TruffleNet, igualmente se observa el exageración de los ataques SES for Business Email Compromise (BEC). Actualmente no se sabe si están directamente conectados entre sí. El ampliación se produce cuando Fortinet reveló que los adversarios motivados financieramente están apuntando a una amplia viso de sectores pero confiando en los mismos métodos de desaparecido complejidad y suspensión rendimiento, generalmente obteniendo llegada auténtico a través de credenciales comprometidas, servicios remotos externos como VPN y explotación de aplicaciones públicas. Estos ataques a menudo se caracterizan por el uso de herramientas legítimas de llegada remoto para una persistencia secundaria y su conveniencia para la filtración de datos a su infraestructura.

PRODAFT ha revelado que el actor de amenazas con motivación financiera conocido como FIN7 (igualmente conocido como Savage Ladybug) ha implementado desde 2022 una “puerta trasera basada en SSH específica de Windows al empaquetar un conjunto de herramientas OpenSSH autónomo y un instalador llamado install.bat”. La puerta trasera proporciona a los atacantes llegada remoto persistente y exfiltración de archivos confiable mediante un túnel SSH inverso de salida y SFTP.

La empresa de infraestructura web Cloudflare dijo que la Comisión Electoral Central (CEC) de Moldavia experimentó importantes ataques cibernéticos en los días previos a las elecciones al Parlamento del país el 28 de septiembre. La CEC igualmente fue testimonio de una “serie de ataques concentrados y de gran cuerpo (DDoS) estratégicamente programados a lo abundante del día” del día de las elecciones. Los ataques igualmente se dirigieron a otros sitios web relacionados con las elecciones, la sociedad civil y las informativo. “Estos patrones de ataque reflejaron aquellos contra la autoridad electoral, lo que sugiere un esfuerzo coordinado para interrumpir tanto los procesos electorales oficiales como los canales de información pública en los que confían los votantes”, dijo, y agregó que mitigó más de 898 millones de solicitudes maliciosas dirigidas a la CCA durante un período de 12 horas entre las 09:06:00 UTC y las 21:34:00 UTC.

Se ha observado que el actor de amenazas rastreado como Silent Lynx (igualmente conocido como Cavalry Werewolf, Comrade Saiga, ShadowSilk, SturgeonPhisher y Tomiris) apunta a entidades gubernamentales, misiones diplomáticas, empresas mineras y empresas de transporte. En una campaña, el adversario destacó organizaciones involucradas en la diplomacia entre Azerbaiyán y Rusia, utilizando señuelos de phishing relacionados con la cumbre de la CEI celebrada en Dushanbe a mediados de octubre de 2025 para entregar el shell inverso Ligolo-ng de código destapado y un cargador llamado Silent Loader que es responsable de ejecutar un script de PowerShell para conectarse a un servidor remoto. Todavía se implementó un implante de C++ llamado Laplas que está diseñado para conectarse a un servidor foráneo y admitir comandos adicionales para su ejecución a través de “cmd.exe”. Otra carga útil a destacar es SilentSweeper, una puerta trasera .NET que extrae y ejecuta un script de PowerShell que actúa como un shell inverso. La segunda campaña, por otro flanco, tenía como objetivo las relaciones entre China y Asia Central para distribuir un archivo RAR que condujo al despliegue de SilentSweeper. La actividad ha sido denominada Operación Peek-a-Baku por Seqrite Labs. Doctor Web, en un prospección independiente, informó que investigó un ataque de phishing realizado por un actor de amenazas dirigido a una ordenamiento estatal de la Alianza de Rusia para proporcionar puertas traseras inversas con el objetivo de compilar información confidencial y datos de configuración de la red.

Las organizaciones europeas presenciaron un aumento del 13 % en el ransomware durante el año pasado, siendo las entidades del Reino Unido, Alemania, Italia, Francia y España las más afectadas. Una revisión de los sitios de filtración de datos durante el período comprendido entre septiembre de 2024 y agosto de 2025 ha revelado que el número de víctimas europeas ha aumentado anualmente a 1.380. Los sectores más afectados fueron la manufactura, los servicios profesionales, la tecnología, la industria, la ingeniería y el comercio minorista. Desde enero de 2024, más de 2.100 víctimas en toda Europa han sido nombradas en sitios de filtración de perturbación, de las cuales el 92% involucra secreto de archivos y robo de datos. Akira (167), LockBit (162), RansomHub (141), INC, Lynx y Sinobi fueron los grupos de ransomware de anciano éxito durante el período. CrowdStrike dijo que igualmente está viendo un aumento en las ofertas de violencia como servicio en todo el continente con el objetivo de afianzar grandes pagos, incluido el robo físico de criptomonedas. Los ciberdelincuentes conectados a The Com, un colectivo informal de jóvenes hackers de palabra inglesa, y un corro afiliado a Rusia llamado Renaissance Spider han coordinado ataques físicos, secuestros e incendios provocados a través de redes basadas en Telegram. Todavía se dice que Renaissance Spider, que ha estado activo desde octubre de 2017, envió por correo electrónico amenazas de granada falsas a entidades europeas, probablemente con el objetivo de socavar el apoyo a Ucrania. Desde enero de 2024 se han producido 17 ataques de este tipo, de los cuales 13 tuvieron ocupación en Francia.

Los investigadores de ciberseguridad han descubierto aplicaciones que utilizan la marca de servicios establecidos como ChatGPT y DALL-E de OpenAI y WhatsApp. Mientras que la aplicación falsa DALL-E para Android (“com.openai.dalle3umagic”) se utiliza para gestar tráfico publicitario, la aplicación contenedora ChatGPT se conecta a API OpenAI legítimas mientras se identifica como una “interfaz no oficial” para el chatbot de inteligencia químico. Aunque no es del todo maliciosa, la suplantación de identidad sin transparencia puede exponer a los usuarios a riesgos de seguridad no deseados. La aplicación falsificada de WhatsApp, convocatoria WhatsApp Plus, se hace advenir por una interpretación mejorada de la plataforma de correo, pero contiene cargas avíos sigilosas que pueden compilar contactos, mensajes SMS y registros de llamadas. “La avalancha de aplicaciones clonadas refleja un problema más profundo: la confianza en la marca se ha convertido en un vector de explotación”, afirmó Appknox. “A medida que la IA y las herramientas de correo dominan el panorama digital, los malos actores están aprendiendo que imitar la credibilidad suele ser más rentable que crear nuevo malware desde cero”.

Los actores de amenazas continúan lanzando campañas de phishing posteriormente de su compromiso auténtico aprovechando las cuentas de correo electrónico internas comprometidas para ampliar su luces tanto adentro de la ordenamiento comprometida como externamente a las entidades asociadas. “Las siguientes campañas de phishing estaban orientadas principalmente a la casa recoleta de credenciales”, dijo Cisco Talos. “De cara al futuro, a medida que mejoren las defensas contra los ataques de phishing, los adversarios buscarán formas de mejorar la licitud de estos correos electrónicos, lo que probablemente conducirá a un anciano uso de cuentas comprometidas posteriormente de la explotación”.

Se ha descubierto que campañas de phishing recientes en el este y sudeste de Asia aprovechan señuelos de archivos ZIP multilingües y plantillas web compartidas para dirigirse a organizaciones gubernamentales y financieras. “Estas operaciones se caracterizan por plantillas web multilingües, incentivos específicos de la región y mecanismos de entrega de carga útil adaptables, lo que demuestra un cambio claro alrededor de una infraestructura escalable e impulsada por la automatización”, dijo Hunt.io. “Desde China y Taiwán hasta Japón y el sudeste oriental, los adversarios han reutilizado continuamente plantillas, nombres de archivos y patrones de alojamiento para sostener sus operaciones mientras evaden la detección convencional. La válido superposición en las estructuras de dominio, títulos de páginas web y dialéctica de secuencias de comandos indica un conjunto de herramientas compartido o un constructor centralizado diseñado para automatizar la entrega de carga útil a escalera. Esta investigación vincula múltiples grupos a un conjunto de herramientas de phishing unificado utilizado en toda Asia”.

Las autoridades de Dinamarca han iniciado una investigación tras descubrir que los autobuses eléctricos fabricados por la empresa china Yutong tenían llegada remoto a los sistemas de control de los vehículos y permitían desactivarlos de forma remota. Esto ha generado preocupaciones de seguridad de que la hueco jurídica podría explotarse para afectar a los autobuses mientras están en tránsito. “Las pruebas revelaron riesgos contra los que ahora estamos tomando medidas”, afirmó Bernt Reitan Jenssen, director ejecutante de la autoridad noruega de transporte divulgado Ruter. “Las autoridades nacionales y locales han sido informadas y deben ayudar con medidas adicionales a nivel doméstico”.

Cloudflare ha eliminado los dominios asociados con la enorme botnet AISURU de sus principales rankings de dominios. Según el periodista de seguridad Brian Krebs, los operadores de AISURU están utilizando la botnet para mejorar la clasificación de sus dominios maliciosos, al mismo tiempo que atacan el servicio del sistema de nombres de dominio (DNS) de la empresa.

Un tribunal de China condenó a homicidio a cinco miembros de un sindicato criminal de Myanmar por su papel en la diligencia de complejos de estafa a escalera industrial cerca de la frontera con China. Las sentencias de homicidio fueron impuestas al superior del sindicato Bai Suocheng y su hijo Bai Yingcang, así como a Yang Liqiang, Hu Xiaojiang y Chen Guangyi. Otros cinco fueron condenados a cautiverio perpetua. En total, 21 miembros y asociados del sindicato fueron condenados por fraude, homicidio, lesiones y otros delitos. Según Xinhua, los acusados ​​administraban 41 parques industriales para favorecer las telecomunicaciones y el fraude en itinerario a escalera. La dura ratificación es la última de una serie de medidas que los gobiernos de todo el mundo han adoptivo para combatir el aumento de los centros de estafa cibernéticos en el Sudeste Oriental, donde miles de personas son traficadas con el pretexto de empleos perfectamente remunerados y son atrapadas, abusadas y obligadas a defraudar a otros en operaciones criminales por valencia de miles de millones. En septiembre de 2025, 11 miembros de la comunidad criminal Ming arrestados durante una represión transfronteriza en 2023 fueron condenados a homicidio.

Una operación policial coordinada contra un esquema masivo de fraude con tarjetas de crédito denominado Chargeback ha llevado al arresto de 18 sospechosos. Los detenidos son ciudadanos alemanes, lituanos, holandeses, austriacos, daneses, estadounidenses y canadienses. “Se sospecha que los presuntos autores han creado un intrincado plan de suscripciones online falsas a servicios de citas, pornografía y streaming, entre otros, que se pagaban con polímero de crédito”, afirmó Eurojust. “Entre los arrestados se encuentran cinco directivos de cuatro proveedores de servicios de suscripción alemanes. Los perpetradores mantenían deliberadamente los pagos mensuales con polímero de crédito en sus cuentas por debajo del mayor de 50 euros para evitar despertar sospechas entre las víctimas sobre los elevados importes de las transferencias.” Se estima que la estafa ilícita defraudó al menos 300 millones de euros a más de 4,3 millones de usuarios de tarjetas de crédito con 19 millones de cuentas en 193 países entre 2016 y 2021. El valencia total de los intentos de fraude contra usuarios de tarjetas asciende a más de 750 millones de euros. Europol dijo que los sospechosos utilizaron numerosas empresas espantajo, principalmente registradas en el Reino Unido y Chipre, para ocultar sus actividades.