Secuestros de WhatsApp, fugas de MCP, reconocimiento de IA, explotación de React2Shell y 15 historias más

Las autoridades de la República Checa, Letonia, Lituania y Ucrania, unido con Eurojust, tomaron medidas contra una red criminal que operaba centros de llamadas en Dnipro, Ivano-Frankivsk y Kiev y que estafó a más de 400 víctimas en toda Europa por más de 10 millones de euros (11,7 millones de dólares). “El peña criminal creó una ordenamiento profesional con empleados que recibían un porcentaje de las ganancias por cada estafa realizada”, dijo Eurojust. “Los estafadores utilizaron diversas estafas, como hacerse producirse por agentes de policía para retirar boleto utilizando las tarjetas y los datos de sus víctimas, o pretender que las cuentas bancarias de sus víctimas habían sido pirateadas. Convencieron a sus víctimas para que transfirieran grandes sumas de boleto desde sus cuentas bancarias ‘comprometidas’ a cuentas bancarias ‘seguras’ controladas por la red. Igualmente atrajeron a las víctimas para que descargaran software de camino remoto e ingresaran sus datos bancarios, lo que permitió al peña criminal ingresar y controlar las cuentas bancarias de las víctimas”. Los centros de llamadas empleaban aproximadamente a 100 personas y fueron contratadas en la República Checa, Letonia, Lituania y otros países. Desempeñaban diferentes roles, desde hacer llamadas y falsificar certificados oficiales de la policía y los bancos hasta cobrar boleto en efectivo de sus víctimas. Los empleados que lograran obtener boleto de sus víctimas recibirían hasta el 7% de las ganancias para animarlos a continuar con la estafa. La empresa criminal todavía prometió bonificaciones en efectivo, coches o apartamentos en Kiev a los empleados que obtuvieran más de 100.000 euros. La operación condujo al arresto de 12 sospechosos el 9 de diciembre de 2025. Las autoridades todavía incautaron boleto en efectivo, 21 vehículos y diversas armas y municiones.

Según se informa, el gobierno del Reino Unido “alentará” a Apple y Google a evitar que los teléfonos muestren imágenes de desnudos, excepto cuando los usuarios verifiquen que son adultos. Según un nuevo mensaje de The Financial Times, el impulso para la detección de desnudez no será un requisito procesal “por ahora”, pero se dice que es parte de la logística del gobierno para topar la violencia contra las mujeres y las niñas. “El gobierno del Reino Unido quiere que las empresas de tecnología bloqueen imágenes explícitas en teléfonos y computadoras de forma predeterminada para proteger a los niños, y que los adultos tengan que corroborar su época para crear y ingresar a dicho contenido”, dice el mensaje. “Los ministros quieren que empresas como Apple y Google incorporen algoritmos de detección de desnudez en los sistemas operativos de sus dispositivos para evitar que los usuarios tomen fotografías o compartan imágenes de genitales a menos que sean verificados como adultos”.

Los operadores de acento rusa anuncian un nuevo bandido de información modular llamado SantaStealer en Telegram y foros clandestinos como Lolz. “El malware recopila y filtra documentos, credenciales, billeteras y datos confidenciales de una amplia serie de aplicaciones, y apunta a tratar completamente en la memoria para evitar la detección basada en archivos”, dijo Rapid7. “Los datos robados luego se comprimen, se dividen en fragmentos de 10 MB y se envían a un servidor C2 a través de HTTP sin transcribir”. SantaStealer utiliza 14 módulos distintos de sumario de datos, cada uno de los cuales se ejecuta en su propio hilo y extrae la información robada. Igualmente utiliza una DLL integrada para eludir las protecciones de criptográfico vinculadas a las aplicaciones de Chrome y compendiar las credenciales del navegador, incluidas contraseñas, cookies y tarjetas de crédito guardadas desde el navegador web. El malware, evaluado como un cambio de marca de BluelineStealer, está apto por $175 por mes para un plan principal y $300 por mes para un plan premium que permite a los clientes editar los retrasos de ejecución y habilitar la funcionalidad de clipper para sustituir las direcciones de billetera copiadas en el portapapeles con una controlada por el atacante para redirigir las transacciones. El actor de amenazas ha estado activo en Telegram desde al menos julio de 2025.

Los actores de amenazas que aprovechan los proveedores de Bulletproof Hosting (BPH) se mueven más rápido de lo que los defensores pueden replicar, a menudo migrando operaciones, volviendo a registrar dominios y restableciendo servicios pocas horas a posteriori de la asesinato, dijo Silent Push en un nuevo investigación íntegro de los servicios de BPH. “Sin conocimiento de dónde se desplaza esta infraestructura, los desmantelamientos carecen de la permanencia que necesitan”, afirmó Silent Push. “Y sin un cambio coordinado tanto en la presión regulatoria como en las acciones policiales dirigidas a estos proveedores, (…) Bulletproof Hosting como servicio seguirá prosperando, al igual que las operaciones maliciosas construidas sobre él”.

Un investigación de la infraestructura de comando y control (C2) de múltiples capas de DDoSia ha revelado un promedio de 6 servidores de control activos en un momento cedido. “Sin incautación, los servidores suelen tener una vida útil relativamente corta, con un promedio de 2,53 días”, dijo Censys. “Algunos servidores que hemos observado están activos durante más de una semana, pero la mayoría de los casos sólo los vemos durante menos de unas pocas horas”. DDoSia es una capacidad participativa de denegación de servicio distribuido (DDoS) creada por hacktivistas rusos en 2022, coincidiendo con los primeros días de la exterminio ruso-ucraniana. Es operado por el peña hacktivista prorruso NoName057(16), que fue eliminado a principios de julio. Desde entonces ha regresado. El objetivo de DDoSia se centra principalmente en Ucrania, los aliados europeos y los estados de la OTAN en los sectores estatal, marcial, de transporte, de servicios públicos, financiero y turístico.

Los actores de amenazas están utilizando una nueva técnica de ingeniería social para secuestrar cuentas de WhatsApp. El nuevo ataque GhostPairing atrae a las víctimas enviando mensajes desde cuentas comprometidas que contienen un enlace a una aspecto previa al estilo de Facebook. Al hacer clic en el enlace, la víctima accede a una página que imita a un espectador de Facebook y le pide que verifique antiguamente de que se pueda difundir el contenido. Como parte de este paso, se les pide que escaneen un código QR que vinculará el navegador de un atacante con la cuenta de WhatsApp de la víctima, otorgándole camino no competente a la cuenta de la víctima. “Para excederse de este flujo, un atacante abriría WhatsApp Web en su propio navegador, capturaría el código QR que se muestra allí y lo incrustaría en la página falsa del visor de Facebook. Luego se le pediría a la víctima que bahía WhatsApp, vaya a Dispositivos vinculados y escanee ese QR para ‘ver la foto'”, dijo Gen Digital. Alternativamente, se les indica que ingresen su número de teléfono en la página falsa, que luego reenvía ese número a la función legítima de “vincular dispositivo a través del número de teléfono” de WhatsApp. Una vez que WhatsApp genera un código matemático de emparejamiento, se retransmite a la página falsa, unido con instrucciones para ingresar el código en WhatsApp para confirmar el inicio de sesión. Los primeros avistamientos del ataque se detectaron en Chequia. El ataque, que abusa de la función legítima de vinculación de dispositivos en la plataforma, es una variación de una técnica que fue utilizada por actores patrocinados por el estado ruso para interceptar mensajes de Signal y WhatsApp a principios de este año. Para comprobar si hay signos de compromiso, los usuarios pueden navegar a Configuración -> Dispositivos vinculados.

Se ha observado a malos actores alojando videos en la plataforma rusa para compartir videos RuTube que anuncian trampas para Roblox, engañando a los usuarios para que hagan clic en enlaces que conducen a troyanos y malware bandido como Salat Stealer. Vale la pena señalar que tácticas similares se han generalizado en YouTube.

Microsoft ha anunciado que está desaprobando el criptográfico RC4 (Rivest Cipher 4) en Kerberos para acorazar la autenticación de Windows. A mediados de 2026, los títulos predeterminados del compensador de dominio se actualizarán para el Centro de distribución de claves Kerberos (KDC) en Windows Server 2008 y versiones posteriores para permitir solo el criptográfico AES-SHA1. RC4 estará deshabilitado de forma predeterminada y solo se usará en escenarios donde un administrador de dominio configura explícitamente una cuenta o el KDC para usarlo. “RC4, que alguna vez fue un factor principal de compatibilidad, es susceptible a ataques como Kerberoasting que pueden estar de moda para robar credenciales y comprometer redes”, dijo la compañía. “Es crucial dejar de usar RC4”. La audacia todavía se produce a posteriori de que el senador estadounidense Ron Wyden pidiera a la Comisión Federal de Comercio (FTC) de Estados Unidos que investigara a la empresa por el uso del criptográfico obsoleto.

La policía serbia detuvo a dos ciudadanos chinos por conducir con un receptor IMSI improvisado en su automóvil que funcionaba como una periodo cojín móvil falsa. Se alega que los dos enviaron mensajes SMS de phishing que engañaban a las personas para que visitaran sitios de phishing que se hacían producirse por operadores móviles, portales gubernamentales y grandes empresas para compendiar datos de tarjetas de plazo. Los datos capturados de las tarjetas fueron luego utilizados en el extranjero para fertilizar haberes y servicios. Los nombres de los detenidos no fueron revelados. Pero se sospecha que forman parte de un peña delictivo organizado.

Una nueva investigación de Bitsight ha opuesto aproximadamente 1.000 servidores Model Context Protocol (MCP) expuestos en Internet sin autorización y filtrando datos confidenciales. Algunas de ellas podrían permitir la trámite de un cluster de Kubernetes y sus pods, ingresar a una utensilio de Customer Relationship Management (CRM), remitir mensajes de WhatsApp e incluso conquistar la ejecución remota de código. “Si admisiblemente Anthropic fue el autor de la precisión MCP, no es su trabajo hacer cumplir cómo cada servidor maneja la autorización”, dijo Bitsight. “Adecuado a que la autorización es opcional, es comprensible omitirla al producirse de una demostración a una implementación en el mundo actual, lo que potencialmente expone herramientas o datos confidenciales. Muchos servidores MCP están diseñados para uso almacén, pero una vez que uno se expone a través de HTTP, la superficie de ataque se expande dramáticamente”. Para contrarrestar el peligro, es esencial que los usuarios no expongan los servidores MCP a menos que sea absolutamente necesario e implementen protecciones OAuth para la autorización. El ampliación se produce cuando la empresa de trámite de exposición Intruder reveló que un escaneo de aproximadamente 5 millones de aplicaciones de una sola página encontró más de 42.000 tokens expuestos en su código. Los tokens abarcan 334 tipos de secretos.

Se descubrió que una campaña de phishing que se hace producirse por el Unidad de Impuestos sobre la Renta de la India utiliza temas relacionados con supuestas irregularidades fiscales para crear una falsa sensación de emergencia y engañar a los usuarios para que hagan clic en enlaces maliciosos que implementan herramientas legítimas de camino remoto como LogMeIn Resolve (anteriormente GoTo Resolve) que otorgan a los atacantes control no competente sobre los sistemas comprometidos. “La campaña entregó una condena de malware de dos etapas que consiste en un cargador RAT basado en shellcode empaquetado en un archivo ZIP y un ejecutable de agencia remota fraudulento disfrazado de un actualizador GoTo Resolve”, dijo Raven AI. “Las defensas tradicionales de Secure Email Gateway no lograron detectar estos mensajes porque el remitente se autenticó correctamente, los archivos adjuntos estaban protegidos con contraseña y el contenido imitaba una comunicación estatal actual”.

La Oficina Central de Investigaciones (CBI) de la India dijo que desbarató una gran configuración de fraude cibernético que se estaba utilizando para remitir mensajes de phishing en todo el país con el objetivo de engañar a las personas con esquemas falsos como osadía digitales falsos, estafas de préstamos y fraudes de inversiones. Tres personas han sido arrestadas en relación con el caso de la Operación Chakra V. La investigación identificó una costado cibernética organizada que operaba desde la Región de la Caudal Doméstico (NCR) y el radio de Chandigarh y que logró obtener cerca de de 21.000 tarjetas SIM en violación de las normas del Unidad de Telecomunicaciones (DoT). “Esta costado proporcionaba servicios de SMS masivos a ciberdelincuentes”, afirmó el CBI. “Se descubrió que incluso los ciberdelincuentes extranjeros estaban utilizando este servicio para engañar a los ciudadanos indios. Estas tarjetas SIM eran controladas a través de una plataforma en orientación para remitir mensajes masivos. Los mensajes ofrecían préstamos falsos, oportunidades de inversión y otros beneficios financieros, con el objetivo de robar datos personales y bancarios de personas inocentes”. Por otra parte, la agencia todavía presentó cargos contra 17 personas, incluidos cuatro ciudadanos extranjeros y 58 empresas, en relación con una red transnacional organizada de fraude cibernético que opera en varios estados de la India. “Los ciberdelincuentes adoptaron un modus operandi enormemente estratificado y basado en la tecnología, que implica el uso de anuncios de Google, campañas masivas de SMS, sistemas de correo basados ​​en cajas SIM, infraestructura en la cúmulo, plataformas fintech y múltiples cuentas bancarias”, dijo el CBI. “Cada etapa de la operación, desde atraer a las víctimas hasta la monasterio y movimiento de fondos, fue estructurada deliberadamente para ocultar las identidades de los controladores reales y esquivar la detección por parte de las agencias policiales”.

StrikeReady Labs ha revelado detalles de una campaña de phishing que se ha dirigido al víscera rector de Transnistria con un archivo adjunto de correo electrónico de phishing de credenciales falsificando a la República de Moldavia de Pridnestrovia. El archivo adjunto HTML muestra un documento señuelo ininteligible unido con una ventana emergente que solicita a las víctimas que ingresen sus credenciales. La información ingresada se transmite a un servidor controlado por el atacante. Se cree que la campaña está activa desde al menos 2023. Otros objetivos probablemente incluyan entidades en Ucrania, Bosnia y Herzegovina, Macedonia, Montenegro, España, Lituania, Bulgaria y Moldavia.

Una nueva ola de ataques ClickFix ha explotado comprobaciones CAPTCHA falsas que engañan a los usuarios para que peguen en el cuadro de diálogo Ejecutar de Windows, que ejecuta la utensilio finger.exe para recuperar código PowerShell bellaco. Los ataques se han atribuido a grupos rastreados como KongTuke y SmartApeSG. El comando Finger, de décadas de caducidad, se utiliza para inquirir información sobre usuarios locales y remotos en sistemas Unix y Linux a través del protocolo Finger. Luego se agregó a los sistemas Windows. En otro ataque ClickFix detectado por Point Wild, notificaciones falsas del navegador solicitan a los usuarios que hagan clic en “Cómo solucionarlo” o copie y pegue un comando de PowerShell que conduce a la implementación del malware DarkGate a través de un archivo HTA bellaco.

Los actores de amenazas están abusando del servicio de integración de aplicaciones de Google para remitir correos electrónicos de phishing desde direcciones @google.com auténticas y eludir las comprobaciones SPF, DKIM y DMARC. La técnica, según xorlab, se está utilizando en la naturaleza para apuntar a organizaciones con señuelos muy convincentes que imitan nuevas alertas de inicio de sesión para cuentas de Google, engañándolas efectivamente para que hagan clic en enlaces sospechosos. “Para esquivar la detección, los atacantes utilizan cadenas de redireccionamiento de múltiples saltos que rebotan a través de múltiples servicios legítimos”, dijo la compañía. “Cada brinco utiliza infraestructura confiable (Google, Microsoft, AWS), lo que hace que el ataque sea difícil de detectar o aislar en cualquier punto. Independientemente del punto de entrada, las víctimas eventualmente llegan a la página de inicio de sesión de Microsoft 365, lo que revela el objetivo principal de los atacantes: las credenciales de M365”.

Cato Networks dijo que observó intentos de registro y explotación a gran escalera dirigidos a dispositivos Modbus, incluidas cajas de monitoreo de cadenas que controlan directamente la salida de los paneles solares. “En tales casos, un actor de amenazas con nadie más que una conexión a Internet y una utensilio gratuita podría emitir un simple comando, ‘APAGAR’, cortando la energía en un día brillante y sin nubes”, dijo la compañía. “Lo que antiguamente requería tiempo, paciencia y tiento manual ahora se puede ampliar y acelerar a través de la automatización. Con el aumento de las herramientas de inteligencia químico, los atacantes ahora pueden automatizar el registro y la explotación, reduciendo el tiempo necesario para ejecutar dichos ataques de días a solo minutos”.

Las consecuencias de React2Shell (CVE-2025-55182) han seguido propagándose a medida que múltiples actores de amenazas se han subido al carro de la explotación para distribuir una amplia serie de malware. La proliferación de exploits públicos y puertas traseras sigilosas se ha complementado con ataques de diversos orígenes y motivaciones, y la empresa de ciberseguridad S-RM reveló que la vulnerabilidad se utilizó como vector de camino auténtico en un ataque de ransomware Weaxor el 5 de diciembre de 2025. “Esto marca un cambio con respecto a la explotación reportada anteriormente”, dijo S-RM. “Esto indica que los actores de amenazas cuyo modus operandi implica la trastorno cibernética todavía están explotando con éxito esta vulnerabilidad, aunque en una escalera mucho pequeño y probablemente de forma automatizada”. Se considera que Weaxor es un cambio de marca del ransomware Mallox. El binario de ransomware se soltó y ejecutó en el sistema menos de un minuto a posteriori del camino auténtico, lo que indica que probablemente era parte de una campaña automatizada. Según la Pelotón 42 de Palo Detención Networks, más de 60 organizaciones se han pasado afectadas por incidentes que explotan la vulnerabilidad. Microsoft dijo que encontró “varios cientos de máquinas en un conjunto diverso de organizaciones” que fueron comprometidas a través de React2Shell.