GhostAd Drain, ataques a macOS, botnets proxy, exploits en la nube y más de 12 historias

Un ciudadano lituano ha sido arrestado por su presunta billete en la infección de 2,8 millones de sistemas con malware que roba portapapeles disfrazado de la útil KMSAuto para activar ilegalmente software de Windows y Office. El hombre de 29 abriles ha sido extraditado de Georgia a Corea del Sur. “Desde abril de 2020 hasta enero de 2023, el hacker distribuyó 2,8 millones de copias en todo el mundo de malware disfrazado de un software ilegal de activación de licencias de Windows (KMSAuto)”, dijeron las autoridades surcoreanas. “A través de este malware, el hacker robó activos virtuales por valía de aproximadamente 1.700 millones de wones (1,2 millones de dólares) en 8.400 transacciones de usuarios de 3.100 direcciones de activos virtuales”. Se alega que el sospechoso utilizó KMSAuto como señuelo para engañar a las víctimas para que descargaran un ejecutable receloso que funcionaba como un malware clipper.

Se ha observado una nueva campaña de “explotación coordinada” dirigida a los servidores de Adobe ColdFusion durante el período navideño de Navidad de 2025. “El ataque parece ser un único actor de amenaza que opera desde una infraestructura con sede en Japón (CTG Server Limited)”, dijo GreyNoise. “Esta fuente fue responsable de ~98% del tráfico de ataques, explotando sistemáticamente más de 10 CVE de ColdFusion entre 2023 y 2024”. La actividad se originó a partir de 8 direcciones IP únicas y aprovechó más de 10 CVE diferentes (CVE-2023-26359, CVE-2023-38205, CVE-2023-44353, CVE-2023-38203, CVE-2023-38204, CVE-2023-29298, CVE-2023-29300, CVE-2023-26347, CVE-2024-20767 y CVE-2023-44352) dirigidas a EE. UU., España, India, Canadá, Pimiento, Alemania, Pakistán, Camboya, Ecuador y Francia. Algunas de las cargas efectos implementadas luego de la explotación permiten la ejecución directa de código, la cosecha de credenciales (accediendo a “/etc/passwd”) y búsquedas JNDI.

Kaspersky dijo que descubrió malware preinstalado en ciertos modelos de tabletas con Android. El malware lleva el nombre en código Keenadu. “Es una puerta trasera en libandroid_runtime.so”, dijo la empresa rusa de ciberseguridad. Si proporcionadamente la empresa aún no ha proporcionado detalles adicionales, las puertas traseras de este tipo pueden permitir el camino remoto para la filtración de datos, la ejecución de comandos y otras formas de post-explotación.

Reddit ha tomado la medida de prohibir r/ChatGPTJailbreak, una comunidad de más de 229.000 usuarios dedicados a encontrar soluciones alternativas y jailbreak para filtros de seguridad y barreras de seguridad erigidas por desarrolladores de grandes modelos de habla (LLM). Reddit dijo que “la comunidad fue prohibida por violar la Regla 8”, que se refiere a cualquier esfuerzo que pueda dañar el sitio o interferir con su uso ordinario. “No interrumpas el servicio de Reddit, no introduzcas código receloso en Reddit, no dificultes el uso de Reddit oportuno a tus acciones, no bloquees titulares patrocinados, no crees programas que violen cualquiera de nuestras otras reglas API ni ayudes a nadie a hacer un mal uso de Reddit de ninguna guisa”, establece la regla. La medida sigue a un mensaje de WIRED sobre cómo algunos usuarios de chatbot compartían instrucciones sobre cómo suscitar deepfakes no consensuados utilizando fotografías de mujeres completamente vestidas. Tras la prohibición, la comunidad resurgió en chatgptjailbreak.tech en una alternativa federada indicación Lemmy. Si proporcionadamente el subreddit surgió como un centro de equipos rojos para discutir los jailbreaks de IA, no hace desliz proponer que el contenido compartido en el foro tenía el potencial de desencadenar inyecciones indirectas, transmitido que los datos (cercano con todo lo demás presentado en la plataforma) impulsan Reddit Answers y sirven como un conjunto de datos en tiempo positivo para otros modelos que aprovechan las técnicas de procreación aumentada de recuperación (RAG) para incorporar nueva información. Este avance se produce mientras las inyecciones rápidas y los jailbreaks continúan afectando a los sistemas de inteligencia fabricado (IA), y los actores, tanto buenos como malos, exploran continuamente formas de eludir las protecciones implementadas para evitar el uso indebido. De hecho, un nuevo estudio del Laboratorio Icaro de Italia, la Universidad Sapienza de Roma y la Escuela de Estudios Avanzados Sant’Anna encontró que los mensajes poéticos contradictorios tienen una decano tasa de éxito de ataque (ASR) contra los LLM y hacen que eludan los mecanismos de seguridad contemporáneos diseñados para encerrar la producción de contenido manifiesto o dañino como material de exageración sexual inmaduro, discursos de odio e instrucciones sobre cómo confeccionar armas químicas y nucleares. “Cuando se presentaron indicaciones con la misma intención de tarea en forma poética en espacio de en prosa, la tasa de éxito del ataque (ASR) aumentó del 8,08% al 43,07%, en promedio, un aumento de cinco veces”, dijeron los investigadores.

La campaña de la dependencia de suministro conocida como GlassWorm ha resurgido por cuarta vez con tres extensiones sospechosas en el mercado Open VSX que están diseñadas exclusivamente para usuarios de macOS. Estas extensiones atrajeron 50.000 descargas. El objetivo principal de estas extensiones es apuntar a más de 50 carteras de extensiones de navegador y robar fondos. Los nombres de las extensiones son: studio-velte-distributor.pro-svelte-extension, cudra-production.vsce-prettier-pro y Puccin-development.full-access-catppuccin-pro-extension. Llamativamente ausentes están las técnicas invisibles Unicode y los binarios de Rust. “Esta vez, la carga útil está envuelta en oculto AES-256-CBC e incrustada en JavaScript compilado, pero el mecanismo central sigue siendo el mismo: recuperar el punto final C2 coetáneo de Solana y ejecutar lo que devuelve”, dijo Koi. “Lo nuevo es el objetivo: código diseñado para reemplazar las aplicaciones de billetera de hardware con versiones troyanizadas”. A partir del 29 de diciembre de 2025, los puntos finales del servidor C2 para las carteras troyanizadas devuelven archivos vacíos, lo que sugiere que la campaña aún está en crecimiento. El objetivo de Mac es intencional, ya que los dispositivos prevalecen en entornos de criptomonedas, Web3 y de inicio. El cambio se complementa con el uso de AppleScript para la ejecución sigilosa en espacio de PowerShell y LaunchAgents para la persistencia. El malware, por otra parte de esperar 15 minutos antiguamente de activar su comportamiento receloso, está diseñado para simplificar el robo de la almohadilla de datos de iCloud Keychain y de las credenciales de desarrollador, como tokens de GitHub, tokens npm y el contenido del directorio ~/.ssh.

Con Meta atrayendo el pesquisa por permitir que los estafadores se anuncien a través de su plataforma, un nuevo mensaje de Reuters encontró que la compañía intentó defenderse de la presión de los reguladores para tomar medidas enérgicas contra la amenaza haciendo que los anuncios fraudulentos y el contenido problemático “no se puedan encontrar” cuando las autoridades los buscan a través de su biblioteca de anuncios, al mismo tiempo que lanzó un “fuego graneado de aplicación de la ley” para resumir el grosor de anuncios ofensivos. “Para obtener un mejor rendimiento en esa prueba, el personal de Meta encontró una guisa de diligenciar lo que llamaron la ‘percepción de prevalencia’ de los anuncios fraudulentos devueltos por las búsquedas en la Biblioteca de anuncios, según muestran los documentos. Primero, identificaron las principales palabras secreto y nombres de celebridades que los usuarios de la Biblioteca de anuncios japonesa empleaban para encontrar los anuncios fraudulentos. Luego realizaron búsquedas idénticas repetidamente, eliminando anuncios que parecían fraudulentos de la biblioteca y de las plataformas de Meta”, informó Reuters. “La táctica eliminó con éxito algunos anuncios fraudulentos del tipo que los reguladores querrían eliminar. Pero igualmente sirvió para que los resultados de búsqueda que Meta creía que estaban viendo los reguladores parecieran más limpios de lo que se verían de otro modo”. El esfuerzo de honestidad de los resultados de búsqueda fue tan exitoso que los reguladores japoneses no aplicaron reglas que de otro modo habrían requerido realizar la identidad de todos sus anunciantes. Luego, la táctica se agregó a su “manual general común” para evitar el pesquisa regulatorio en otros mercados, incluidos Estados Unidos, Europa, India, Australia, Brasil y Tailandia, según documentos internos filtrados. Meta ha rechazado las afirmaciones, afirmando que el esfuerzo de honestidad igualmente ayuda a eliminar los anuncios de sus sistemas.

La plataforma descentralizada de propiedad intelectual Unleash Protocol dijo que “detectó actividad no autorizada” relacionada con sus contratos inteligentes que llevaron al retiro y transferencia de fondos de los usuarios por valía de aproximadamente $3,9 millones, según la empresa de seguridad blockchain PeckShield. “Nuestra investigación original indica que una dirección de propiedad externa obtuvo control funcionario a través del gobierno multifirma de Unleash y llevó a agarradera una puesta al día de acuerdo no autorizada”, dijo. “Esta puesta al día permitió retiros de activos que no fueron aprobados por el equipo de Unleash y ocurrieron fuera de nuestros procedimientos operativos y de gobernanza previstos”. Una vez retirados, los activos se conectaron utilizando infraestructura de terceros y se transfirieron a direcciones externas. El incidente se originó internamente del situación de permisos y gobernanza de Unleash Protocol, agregó la compañía. Los fondos robados se depositaron en el servicio de mezcla de criptomonedas Tornado Cash en forma de 1.337,1 ETH. Se recomienda a los usuarios que se abstengan de interactuar con los contratos de Unleash Protocol hasta nuevo aviso.

El Sección de Rectitud de Estados Unidos (DoJ) dijo que Disney acordó fertilizar una multa civil de 10 millones de dólares como parte de un acuerdo para resolver las acusaciones de la Comisión Federal de Comercio (FTC) de que el hércules del entretenimiento violó las leyes de privacidad de los niños en relación con su contenido de vídeo de YouTube. La FTC había argumentado que Disney no designó correctamente el contenido de vídeo de YouTube como dirigido a niños, lo que permitió a la empresa informar anuncios dirigidos en la plataforma y resumir ilegalmente su información sin previo aviso y consentimiento de los padres. La orden igualmente prohíbe a Disney intervenir en YouTube de una guisa que viole las leyes de privacidad inmaduro en los EE. UU. y le exige que cree un software que garantice que cumpla adecuadamente con COPPA en YouTube en el futuro.

Una nueva útil de cibercrimen indicación ErrTraffic permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de emergencia y engañar a los usuarios para que sigan instrucciones maliciosas. Hudson Rock, que detalló el conjunto de herramientas, dijo que “el paquete de software integral industrializa la implementación de señuelos ClickFix”. El servicio, anunciado por un actor de amenazas llamado “LenAI”, es una amenaza multiplataforma capaz de apuntar a Windows, macOS, Linux y Android para ofrecer cargas efectos personalizadas. El panel de control de ErrTraffic es una aplicación PHP autohospedada que incorpora exclusiones codificadas para los países de la Comunidad de Estados Independientes (CEI). Una vez configurado, un atacante puede conectar el panel a sitios web comprometidos mediante una sola diámetro de inyección de HTML. Esto les permite servir a los ladrones de información y troyanos bancarios de Android a través de instrucciones estilo ClickFix que pretenden solucionar el problema instalando una puesta al día del navegador, descargando una fuente del sistema o pegando poco en el símbolo del sistema.

Source Defense Research ha señalado una nueva campaña general de Magecart que secuestra los flujos de cuota y creación de cuentas. La actividad aprovecha cargas efectos modulares y localizadas dirigidas a servicios como Stripe, Mollie, PagSeguro, OnePay y PayPal. “Utiliza formularios de cuota falsos, iframes de phishing y skimming silencioso, por otra parte de trucos antiforenses (entradas ocultas, tarjetas basura válidas según Luhn)”. La actividad igualmente está diseñada para robar credenciales e información personal, lo que permite la apropiación de cuentas y la persistencia a desprendido plazo a través de camino de administrador no facultado. “Esto es Magecart evolucionando alrededor de (un) compromiso total de identidad”, dijo.

Las operaciones proxy hacktivistas se refieren a actividades en las que grupos cibernéticos no estatales, ideológicamente alineados, llevan a agarradera operaciones disruptivas que se alinean con los intereses geopolíticos estatales sin requerir patrocinio formal, comando y control o asignación directa de tareas. Estas actividades se basan principalmente en afirmaciones públicas, billete voluntaria y técnicas de víctima complejidad para imponer costos psicológicos, políticos y operativos a los adversarios, al tiempo que permiten que el Estado beneficiario disfrute de una carencia plausible. “El maniquí sigue una secuencia de activación consistente: eventos desencadenantes geopolíticos como sanciones, anuncios de auxilio marcial o escaladas diplomáticas son seguidos por una rápida movilización novelística en canales de comunicación hacktivistas, coordinación de voluntarios, actividad disruptiva dirigida (principalmente ataques DDoS, desfiguración e intrusiones simbólicas) y amplificación pública del impacto reclamado”, dijo CYFIRMA. “La actividad normalmente disminuye una vez que se logran los objetivos de señalización, lo que distingue estas operaciones de los delitos cibernéticos sostenidos o las campañas de espionaje”. El crecimiento se produce cuando las operaciones cibernéticas se han convertido en un componente integral para la consecución de objetivos geopolíticos estratégicos. Bajo el maniquí de Operaciones Hacktivistas por Proxy, los grupos cibernéticos ideológicamente alineados funcionan como instrumentos de presión negables sin control directo del Estado. Esto permite a los grupos hacktivistas aplicar fuerza disruptiva o dar forma a narrativas de una guisa que le dé al Estado una preeminencia estratégica sin aceptar una responsabilidad explícita.

En 2022, el gobierno chino impulsó una importante iniciativa indicación Xinchuang que apunta a la autosuficiencia tecnológica mediante la sustitución de hardware y software extranjeros por alternativas nacionales en sectores secreto como el gobierno y las finanzas, con el objetivo de construir un ecosistema de TI independiente y mitigar los riesgos geopolíticos. Según un nuevo mensaje de QiAnXin, el montón OceanLotus ha estado apuntando a plataformas nacionales de innovación de información y sistemas Windows utilizando señuelos de phishing que contienen archivos de escritorio, documentos PDF y archivos Java Archive (JAR) para descargar cargas efectos de la sucesivo etapa. A mediados de 2025, se observó que el actor de amenazas explotaba CVE-2023-52076 (puntuación CVSS: 8,5), una error de ejecución remota de código que afecta al visor de documentos Atril, para iniciar un archivo de escritorio que finalmente ejecuta un descargador de Python. “El troyano ELF animado por el montón OceanLotus en plataformas de innovación autóctonas tiene ligeras diferencias con los archivos ELF tradicionales de Linux”, afirmó QiAnXin. “Este troyano de innovación almacén logra un ataque de compatibilidad preciso poniendo a cero los tres bytes que siguen al número mágico del archivo ELF (utilizado para identificar el bitness, el endianness y la lectura). Esto da como resultado que los sistemas Linux tradicionales se nieguen a ejecutar el archivo oportuno a errores de formato, mientras que la plataforma de innovación almacén puede analizarlo y ejecutarlo normalmente. Este detalle cuidadosamente diseñado demuestra plenamente la comprensión profunda de OceanLotus del mecanismo activo subyacente de los sistemas de innovación locales nacionales”. OceanLotus igualmente implementa una puerta trasera pasiva dirigida a dispositivos de IoT, como enrutadores.

Los investigadores han descubierto que la eventual coherencia de AWS IAM crea una ventana de 4 segundos que los atacantes pueden beneficiarse, lo que les permite beneficiarse las claves de camino de AWS eliminadas. “La causa es la coherencia final en AWS Identity and Access Management y, si se maneja incorrectamente, los atacantes pueden aprovecharlo para tener camino a su entorno AWS, incluso luego de que los defensores crean que las credenciales han sido revocadas”, dijo OFFENSAI. “La naturaleza distribuida de la infraestructura de AWS significa que la empuje de credenciales, las capas de almacenamiento en distinción y los servicios de borde pueden crear ventanas breves donde las claves de camino revocadas siguen siendo temporalmente válidas. En síntesis, el atacante puede usar un conjunto de claves de camino eliminadas para crear una nueva, logrando así persistencia”. Para mitigar cualquier peligro potencial de seguridad, se recomienda a los clientes de AWS que eviten las claves de camino de IAM a desprendido plazo y, en su espacio, utilicen credenciales temporales o aprovechen las funciones y la unión de IAM para el camino programático a los servicios de AWS.

Una nueva red proxy indicación IPCola (“ipcola(.)com”) afirma ofrecer a la liquidación más de 1,6 millones de direcciones IP únicas que comprenden dispositivos IoT, de escritorio y móviles de más de 100 países. La mayoría de los dispositivos infectados se encuentran en India, Brasil, México y EE. UU. “IPCola es un proveedor de proxy que no pertenece a KYC, lo que permite a cualquiera registrarse en la plataforma, depositar criptomonedas y (…) comenzar a usar los servidores proxy sin restricciones”, dijo Synthient. “Como la mayoría de las plataformas, IPCola permite a los usuarios comprar proxies residenciales, de centros de datos y de ISP, cada uno con sus propios inconvenientes y ventajas”. Un estudio más detallado de la infraestructura ha revelado que el servicio funciona con GaGaNode, un servicio descentralizado de monetización de pancho de cuadrilla que permite a los usuarios y editores triunfar criptomonedas por su pancho de cuadrilla o monetizar el pancho de cuadrilla de otras personas. Los usuarios tienen la opción de ejecutar la aplicación GaGaNode independiente o integrar en sus aplicaciones un kit de crecimiento de software (SDK) que implementa la funcionalidad de proxy. Más importante aún, el SDK facilita la ejecución remota de código (RCE) en cualquier dispositivo que ejecute el SDK, lo que representa una ascenso importante de la amenaza. Se cree que una empresa china indicación NuoChen está detrás de IPCola y su lectura nada más china, InstaIP.

Se ha observado una campaña de adware a gran escalera para Android que agota silenciosamente los posibles e interfiere con el uso ordinario del teléfono a través de una actividad persistente en segundo plano. La campaña, denominada GhostAd, aprovecha una red de al menos 15 aplicaciones de Android en Google Play haciéndose ocurrir por utilidades inofensivas y herramientas de tirada de emoji. Estas aplicaciones se descargaron acumulativamente millones de veces, y una de ellas alcanzó el puesto número 2 en la categoría “Mejores herramientas gratuitas” de Google Play. Los nombres de algunas de las aplicaciones son Vivid Clean y GenMoji Studio. Desde entonces, todas estas aplicaciones se han eliminado de Google Play. “Detrás de sus alegres íconos, estas aplicaciones crearon un motor de publicidad de fondo persistente, uno que seguía funcionando incluso luego de que los usuarios cerraran o reiniciaran sus dispositivos, consumiendo silenciosamente fila y datos móviles”, dijo Check Point. Adicionalmente de permitir la ejecución persistente a través de un servicio en primer plano, el malware utiliza un JobScheduler para activar tareas de carga de anuncios cada vez que finaliza. Los ataques parecen concentrarse en Filipinas, Pakistán y Malasia. “GhostAd integra múltiples kits de crecimiento de software publicitario (SDK) legítimos, incluidos Pangle, Vungle, MBridge, AppLovin y BIGO, pero los utiliza de una guisa que viola las políticas de uso encajado”, dijo la compañía. “En espacio de esperar la interacción del becario, las aplicaciones cargan, ponen en huesito dulce y actualizan anuncios continuamente en segundo plano, utilizando rutinas de Kotlin para sustentar el ciclo. Este diseño genera silenciosamente impresiones de anuncios e ingresos, al mismo tiempo que agota los posibles del dispositivo”. En un crecimiento relacionado, DoubleVerify reveló detalles de un esquema de fraude con nombre en código SkyWalk que utiliza aplicaciones de juegos iOS aparentemente inocentes para cobrar a los anunciantes por impresiones de anuncios falsos. La operación utiliza un conjunto de juegos de iOS que muestran anuncios internamente de ventanas invisibles del navegador utilizando el situación móvil UniSkyWalking iOS. “Pero cuando un becario abre una, la aplicación igualmente abre secretamente sitios web ocultos en el dispositivo iOS del becario”, dijo DoubleVerify. “A medida que el becario juega ‘Sushi Party’ o ‘Bicycle Race’ en la aplicación, los sitios ocultos se ejecutan en segundo plano, sin ser detectados, publicando anuncios que nadie ve. Se informan las impresiones. Se confección a los anunciantes. Ningún humano ve ni un solo anuncio”.

Los piratas informáticos afiliados a Corea del Septentrión (igualmente conocida como RPDC) robaron más de 2.000 millones de dólares en criptomonedas en 2025, un aumento significativo con respecto a los aproximadamente 1.300 millones de dólares registrados en 2024. Esto incluye el atraco récord de 1.500 millones de dólares de Bybit en febrero de 2025. A pesar del aumento común de las criptomonedas robadas en 2025, la frecuencia positivo de los ataques realizados por piratas informáticos norcoreanos ha disminuido. Esta caída en el ritmo activo a raíz del hackeo de Bybit es probablemente un intento de centrarse en el lavado de la criptomoneda robada. Al mismo tiempo, las operaciones de robo de criptomonedas de Pyongyang dependen cada vez más de sus trabajadores de TI para conseguir empleos en bolsas de criptomonedas, custodios y empresas Web3. Si proporcionadamente el esfuerzo de Corea del Septentrión por infiltrar empresas occidentales con trabajadores de TI falsos es proporcionadamente conocido, 2025 puede tener sido la primera vez que el ejército de TI pasó de fijar puestos a hacerse ocurrir por reclutadores para criptomonedas y otros tipos de negocios Web3. Como parte de estos esfuerzos, los actores de amenazas ejecutan evaluaciones técnicas falsas que les otorgan camino no facultado a las máquinas de los desarrolladores y, en última instancia, roban credenciales y código fuente, dándoles camino remoto a las redes de destino. La amenaza generalizada que representa la amenaza de los trabajadores de TI fue ejemplificada recientemente por Amazon, que impidió que más de 1.800 agentes sospechosos de Corea del Septentrión se unieran a su fuerza gremial desde abril de 2024. “Hemos detectado un 27% más de aplicaciones afiliadas a la RPDC trimestre tras trimestre este año”, dijo el mes pasado el director de seguridad del hércules tecnológico, Stephen Schmidt. En un caso, Amazon dijo que atrapó a un trabajador de TI al identificar un “retraso infinitesimal en los comandos escritos”. El trabajador de TI fue contratado por un contratista de Amazon y seguidamente fue expulsado de sus sistemas a los pocos días. “Durante abriles, el régimen ha utilizado el robo de criptomonedas como un motor de ingresos para la proliferación de armas, la entretenimiento de sanciones y actividades desestabilizadoras”, dijo TRM Labs. “Lo que los últimos tres abriles dejan inequívocamente claro es que Corea del Septentrión es el cirujano cibernético más sofisticado y con decano motivación financiera en el ecosistema del robo de criptomonedas”.