Fallo de RustFS, operaciones iraníes, WebUI RCE, fugas en la nube y 12 historias más

La empresa de ciberseguridad Resecurity reveló que atrajo deliberadamente a una trampa a actores de amenazas que afirmaban estar asociados con Scattered LAPSUS$ Hunters (SLH), luego de que el familia afirmara en Telegram que había pirateado la empresa y robado datos internos y de clientes. La compañía dijo que creó una cuenta trampa llena de datos falsos diseñados para parecerse a datos comerciales del mundo vivo y plantó una cuenta falsa en un mercado clandestino para credenciales comprometidas luego de que descubrió a un actor de amenazas que intentaba realizar actividades maliciosas dirigidas a sus posibles en noviembre de 2025 al sondear varios servicios y aplicaciones de ataque sabido. Igualmente se dice que el actor de amenazas apuntó a uno de sus empleados que no tenía datos confidenciales ni ataque privilegiado. “Esto llevó a que el actor de la amenaza iniciara sesión exitosamente en una de las aplicaciones emuladas que contenía datos sintéticos”, dijo. “Si perfectamente el inicio de sesión exitoso podría acontecer permitido al actor obtener ataque no competente y cometer un delito, todavía nos proporcionó pruebas sólidas de su actividad. Entre el 12 y el 24 de diciembre, el actor de amenazas realizó más de 188.000 solicitudes intentando volcar datos sintéticos”. A partir del 4 de enero de 2025, el familia eliminó la publicación que anunciaba el hackeo de su canal de Telegram. Resecurity dijo que el gimnasia todavía les permitió identificar al actor de amenazas y vincular una de sus cuentas activas de Gmail a un número de teléfono de EE. UU. y una cuenta de Yahoo. Independientemente del revés, los nuevos hallazgos de CYFIRMA indican que el colectivo poco unido ha resurgido con una decano actividad de sustitución, buscando intermediarios de ataque auténtico, colaboradores internos y credenciales corporativas. “Las discusiones en las salas de chat hacen relato repetidamente a marcas de amenazas heredadas como LizardSquad, aunque estas menciones no están verificadas y probablemente sean parte de una táctica de intimidación o de inflación de la reputación en punto de una prueba de una alianza formal”, dijo.

Los actores de amenazas están explotando una falta conocida en GeoServer, CVE-2024-36401, para distribuir un minero de criptomonedas XMRig mediante comandos de PowerShell. “Encima, el mismo actor amenazador todavía está distribuyendo un minero de monedas a los servidores WegLogic”, dijo AhnLab. “Parece que están instalando CoinMiner cuando escanean los sistemas expuestos al mundo extranjero y encuentran servicios vulnerables”. Otros dos actores de amenazas todavía se han beneficiario del demasía de la falta para entregar el minero AnyDesk para ataque remoto y un descargador de malware personalizado denominado “systemd” desde un servidor forastero cuya función exacta aún se desconoce. “Los actores de amenazas se dirigen a entornos donde está instalado GeoServer y están instalando varios mineros de monedas”, dijo la compañía. “El actor de la amenaza puede utilizar NetCat, que se instala próximo con el minero de monedas, para instalar otro malware o robar información del sistema”.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó 245 vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en 2025, a medida que la cojín de datos creció a 1.484 fallas de software y hardware con parada peligro de ataques cibernéticos, un aumento de cerca de del 20 % con respecto al año antecedente. En comparación, se agregaron 187 vulnerabilidades en 2023 y 185 en 2024. De las 245 fallas, 24 fueron explotadas por grupos de ransomware. Microsoft, Apple, Cisco, Fortinet, Google Chromium, Ivanti, Linux Kernel, Citrix, D-Link, Oracle y SonicWall representaron 105 del total de vulnerabilidades agregadas al catálogo. Según Cyble, la vulnerabilidad más antigua agregada al catálogo KEV en 2025 fue CVE-2007-0671, una vulnerabilidad de ejecución remota de código de Microsoft Office Excel. La vulnerabilidad más antigua del catálogo es CVE-2002-0367, una vulnerabilidad de ascenso de privilegios en el subsistema de depuración “smss.exe” de Windows NT y Windows 2000 que se sabe que se utiliza en ataques de ransomware.

Se ordenó a OpenAI que entregara 20 millones de registros anonimizados de ChatGPT en un caso consolidado de derechos de autor de IA en los EE. UU. luego de que no logró convencer a un mediador federal para que desestimara la orden de un magistrado, la compañía dijo que las preocupaciones de privacidad no se sopesaron lo suficiente. La demanda de parada perfil, que tiene como demandantes a importantes editores de informativo como el New York Times y el Chicago Tribune, se centra en el argumento central de que los datos que impulsan ChatGPT han incluido millones de obras protegidas por derechos de autor de las organizaciones de informativo sin consentimiento ni suscripción. OpenAI ha insistido en que el entrenamiento de IA es un uso verdadero, añadiendo que “los datos que estamos haciendo accesibles para cumplir con esta orden han pasado por un proceso de desidentificación destinado a eliminar o disfrazar la PII y otra información privada, y se proporcionan bajo estrictos controles de ataque diseñados para evitar que el Times copie e imprima datos que no sean directamente relevantes para este caso”. Los demandantes de las informativo todavía han alegado que OpenAI destruyó “datos de registro de salida relevantes” al no cesar temporalmente sus prácticas de matanza tan pronto como comenzó el querella en un manifiesto esfuerzo por eludir reclamaciones de derechos de autor.

La Oficina de Seguridad Doméstico de Taiwán dijo que los ataques de China al sector energético del país se multiplicaron por diez en 2025 en comparación con el año antecedente. Los atacantes se dirigieron a infraestructuras críticas en nueve sectores secreto y el número total de incidentes cibernéticos relacionados con China creció un 6%. El NSB registró un total de 960.620.609 intentos de intrusión cibernética dirigidas a la infraestructura crítica de Taiwán, supuestamente provenientes del ejército cibernético de China en 2025. “En promedio, el ejército cibernético de China lanzó 2,63 millones de intentos de intrusión por día contra la infraestructura crítica de Taiwán en nueve sectores primarios, a entender, agencia y agencias, energía, comunicaciones y transmisión, transporte, rescate de emergencia y hospitales, posibles hídricos, finanzas, parques científicos y parques industriales, así como comida”, dijo el NSB. Los sectores de energía y rescate de emergencia/hospitales experimentaron el aumento interanual más significativo de ataques cibernéticos por parte de actores de amenazas chinos. Los ataques se han atribuido a cinco grupos de hackers chinos, a entender, BlackTech (Canary Typhoon, Circuit Panda y Earth Hundu), Flax Typhoon (todavía conocido como Ethereal Panda y Storm-0919), HoneyMyte (todavía conocido como Bronze President, Mustang Panda y Twill Typhoon), APT41 (todavía conocido como Brass Typhoon, Bronze Atlas, Double Dragon, Leopard Typhoon y Wicked Panda) y UNC3886, que se dice que han investigado equipos de red y sistemas de control industrial de Las empresas energéticas de Taiwán plantarán malware. “China ha integrado plenamente capacidades militares, de inteligencia, industriales y tecnológicas en los sectores sabido y privado para mejorar la profundidad de la intrusión y el sigilo activo de sus ciberataques externos a través de una amplia gradación de tácticas y técnicas de ciberataque”, dijo NSB. Igualmente se dice que el ejército cibernético de China aprovechó las vulnerabilidades en los sitios web y sistemas de los principales hospitales de Taiwán para editar ransomware y realizar ataques de adversario en el medio (AitM) contra empresas de comunicaciones para robar datos confidenciales.

Microsoft dijo que está cancelando indefinidamente planes anteriores para imponer un periferia de tasa de destinatarios externos en el compartimiento de correo en Exchange Online para combatir el demasía y evitar el uso indebido del servicio para spam masivo y otras actividades de correo electrónico maliciosas. “El periferia de tasa para destinatarios y el periferia de tasa para destinatarios externos a nivel de inquilino mencionados en los límites de Exchange Online permanecen sin cambios tras este anuncio”, dijo la compañía. El hércules tecnológico anunció por primera vez el periferia en abril de 2024, afirmando que comenzaría a aplicar un periferia de tasa de destinatarios externos de 2000 destinatarios en 24 horas, a partir de abril de 2026.

Bryan Fleming, fundador de pcTattletale, se declaró culpable de trabajar stalkerware desde su casa en el estado estadounidense de Michigan. En mayo de 2024, la empresa de software agente con sede en EE. UU. dijo que estaba “quebrada y completamente cerrada” luego de que un hacker desconocido desfigurara su sitio web y publicara gigabytes de datos en su página de inicio. La aplicación, que capturaba de forma fraude capturas de pantalla de los sistemas de reserva de hoteles, padecía un arbitraje de seguridad que permitía que las capturas de pantalla estuvieran disponibles para cualquier persona en Internet. La infracción afectó a más de 138.000 usuarios que se habían registrado en el servicio. Las Investigaciones de Seguridad Doméstico de EE. UU. (HSI) dijeron que comenzaron a investigar a pcTattletale en junio de 2021 por “espiar subrepticiamente a cónyuges y parejas”. Si perfectamente la útil aparentemente se comercializó como un software de control parental y monitoreo de empleados, pcTattletale todavía promovió su capacidad para espiar a cónyuges y parejas de hecho mediante el seguimiento de cada clic y toque en la pantalla. Fleming incluso tenía un canal de YouTube para promocionar el software agente. Se prórroga que sea sentenciado a finales de este año. Este acontecimiento marca un raro caso de procesamiento penal para proveedores de stalkerware, que a menudo operan abiertamente con impunidad. La antecedente condena por software agente en Estados Unidos se produjo en 2014, cuando un ciudadano danés, Hammad Akbar, se declaró culpable de trabajar el software agente StealthGenie.

Se ha revelado una vulnerabilidad de seguridad crítica en RustFS que surge de la implementación de la autenticación gRPC utilizando un token invariable codificado que se expone públicamente en el repositorio de código fuente, codificado tanto en el flanco del cliente como en el servidor, no configurable sin mecanismo para la rotación del token y mundialmente válido en todas las implementaciones de RustFS. “Cualquier atacante con ataque de red al puerto gRPC puede autenticarse utilizando este token conocido públicamente y ejecutar operaciones privilegiadas, incluida la destrucción de datos, la manipulación de políticas y los cambios de configuración del clúster”, dijo RustFS. La vulnerabilidad, que no tiene un identificador CVE, tiene una puntuación CVSS de 9,8. Afecta a las versiones alpha.13 a alpha.77 y se parchó en 1.0.0-alpha.78, rejonazo el 30 de diciembre de 2025.

Se ha utilizado un empaquetador y cargador de Windows llamado pkr_mtsi en campañas de envenenamiento de SEO y publicidad maliciosa a gran escalera para distribuir instaladores troyanizados para software verdadero como PuTTY, Rufus y Microsoft Teams, lo que permite el ataque auténtico y la entrega flexible de cargas aperos de seguimiento. Está acondicionado tanto en formato ejecutable (EXE) como en formato de biblioteca de vínculos dinámicos (DLL). “En campañas observadas, pkr_mtsi se ha utilizado para entregar un conjunto diverso de familias de malware, incluidas Oyster, Vidar Stealer, Vanguard Stealer, Supper y más, lo que subraya su papel como un cargador de propósito caudillo en punto de un contenedor de carga útil única”, dijo ReversingLabs. Observado por primera vez en abril de 2025, el empaquetador ha sido declarante de una trayectoria evolutiva constante en los meses intermedios, agregando capas de ofuscación cada vez más sofisticadas, técnicas antianálisis y antidepuración, y estrategias evasivas de resolución API.

Se ha revelado una falta de seguridad de incorporación peligro en Open WebUI en las versiones 0.6.34 y anteriores (CVE-2025-64496, puntuación CVSS: 7.3) que afecta la función Conexiones directas, que permite a los usuarios conectarse a servidores maniquí de IA externos (por ejemplo, la API de OpenAI). “Si un actor de amenazas engaña a un adjudicatario para que se conecte a un servidor solapado, puede provocar un ataque de apropiación de cuenta”, dijo Cato Networks. “Si el adjudicatario todavía tiene autorizado el permiso workspace.tools, puede conducir a la ejecución remota de código (RCE). Lo que significa que un actor de amenazas puede controlar el sistema que ejecuta Open WebUI”. El problema se solucionó en la lectura 0.6.35 rejonazo el 7 de noviembre de 2025. El ataque requiere que la víctima habilite las conexiones directas (deshabilitadas de forma predeterminada) y agregue la URL del maniquí solapado del atacante. En esencia, la falta surge de una falta de confianza entre servidores maniquí que no son de confianza y la sesión del navegador del adjudicatario. Un servidor hostil puede despachar un mensaje de eventos enviado por el servidor diseñado que desencadena la ejecución de código JavaScript en el navegador. Esto permite a un atacante robar tokens de autenticación almacenados en localStorage. Una vez obtenidos, esos tokens otorgan ataque completo a la cuenta Open WebUI de la víctima. Se pueden exponer los chats, los documentos cargados y las claves API.

El familia de estado-nación iraní conocido como MuddyWater ha estado realizando ataques de phishing diseñados para ofrecer puertas traseras conocidas como Phoenix y UDPGangster a través de archivos ejecutables disfrazados de PDF y archivos DOC con código de macro. Uno y otro implantes vienen equipados con capacidades de ejecución de comandos y carga/descarga de archivos. “Vale la pena señalar que MuddyWater ha limitado gradualmente el uso de programas de control remoto ya preparados, como RMM, y en su punto desarrolló e implementó una variedad de puertas traseras dedicadas para implementar la penetración en objetivos específicos”, dijo el Centro de Inteligencia de Amenazas 360. “El contenido disfrazado de la muestra es israelí, azerbaiyano e inglés, y la muestra todavía es cargada por Israel, Azerbaiyán y otras regiones, lo que está en consonancia con el objetivo del ataque de la ordenamiento MuddyWater”.

La plataforma de intercambio de archivos ownCloud ha ducho a los usuarios que habiliten la autenticación multifactor (MFA) para cercar intentos maliciosos que utilizan credenciales comprometidas para robar sus datos. La alerta se produce a raíz de un referencia de Hudson Rock, que señaló a un actor de amenazas llamado Zestix (todavía conocido como Sentap) por subastar datos extraídos de los portales corporativos de intercambio de archivos de unas 50 grandes empresas globales. “A diferencia de los ataques que implican un sofisticado secuestro de cookies o la omisión de sesiones, la campaña Zestix destaca una supervisión mucho más sencilla, pero igualmente devastadora: la desaparición de autenticación multifactor (2FA)”, dijo Hudson Rock. Los ataques siguen un flujo de trabajo perfectamente engrasado: un empleado descarga inadvertidamente un archivo solapado que conduce a la implementación de malware para robar información. Una vez que la información robada está acondicionado para la traspaso en foros de la red oscura, el actor de la amenaza utiliza los nombres de adjudicatario y contraseñas válidos extraídos de los registros del timador para iniciar sesión en los populares servicios de intercambio de archivos en la abundancia ShareFile, Nextcloud y OwnCloud aprovechando las protecciones MFA que faltan. Se cree que Zestix ha estado activo en foros cerrados en ruso desde finales de 2024, motivado principalmente por ganancias financieras mediante la traspaso de ataque a cambio de pagos de Bitcoin. Considerado de origen iraní, el corredor de ataque auténtico ha demostrado vínculos con un familia de ransomware llamado FunkSec.

ANY.RUN ha publicado un esquema técnico de un sofisticado troyano de ataque remoto llamado GravityRAT que ha estado apuntando activamente a organizaciones y entidades gubernamentales desde 2016. Un malware multiplataforma, está equipado para cosechar datos confidenciales, incluidas las copias de seguridad de WhatsApp en dispositivos Android, y cuenta con una amplia gradación de funciones antianálisis, incluida la demostración de versiones de BIOS, la búsqueda de artefactos del hipervisor, el conteo de núcleos de CPU y la consulta de la temperatura de la CPU a través del Instrumental de agencia de Windows (WMI). “Esta demostración de temperatura es particularmente efectiva porque la mayoría de los hipervisores, incluidos Hyper-V, VMware Fusion, VirtualBox, KVM y Xen, no admiten el monitoreo de temperatura, lo que hace que devuelvan mensajes de error que revelan inmediatamente la presencia de un entorno imaginario”, dijo ANY.RUN. El uso de GravityRAT se atribuye principalmente a un actor de amenazas de origen paquistaní rastreado como Transparent Tribe. En Windows, a menudo se propaga a través de correos electrónicos de phishing que contienen documentos de Office maliciosos con macros o exploits. En Android, se hace tener lugar por una plataforma de transporte y se distribuye a través de sitios de terceros o ingeniería social. “El RAT opera a través de una infección de múltiples etapas y una bloque de comando y control”, agregó ANY.RUN. “GravityRAT implementa una bloque modular donde diferentes componentes manejan funciones específicas”.

Las autoridades camboyanas arrestaron y extraditaron a China a Chen Zhi, el supuesto cerebro detrás de una de las redes de estafa transnacional más grandes de Asia. Chen, de 38 primaveras, es el fundador y presidente de Prince Group. Estaba entre los tres ciudadanos chinos arrestados el 6 de enero de 2026. Su patria camboyana fue “revocada por un Verdadero Decreto” el mes pasado. En octubre de 2025, el Área de Ecuanimidad de EE. UU. (DoJ) reveló una imputación contra Prince Group y Chen (in absentia) por trabajar compuestos ilegales de estafa de trabajo forzoso en todo el Sudeste Oriental para transigir a promontorio esquemas de fraude con criptomonedas, todavía conocidos como cebo romántico o matanza de cerdos. En tales incidentes, los estafadores comienzan estableciendo relaciones falsas con usuarios desprevenidos antiguamente de convencerlos de que inviertan sus fondos en plataformas de criptomonedas falsas. A pesar de la escalera industrial de la operación, quienes llevan a promontorio las estafas a menudo son ciudadanos extranjeros objeto de alcahuetería, que son atrapados y obligados a cometer fraudes en linde bajo amenaza de tortura. Los gobiernos de Reino Unido y Estados Unidos todavía han sancionado a Prince Group, designándolo como una ordenamiento criminal transnacional. En un comunicado de noviembre de 2025, Prince Group dijo que “rechaza categóricamente” las acusaciones. El Ocupación de Seguridad Pública de China describió el arresto de Chen como “otro gran logro de la cooperación policial entre China y Camboya”. Mao Ning, portavoz del Ocupación de Asuntos Exteriores de China, dijo que “desde hace congruo tiempo, China ha estado trabajando activamente con países, incluida Camboya, para concluir con los delitos de apuestas en linde y fraude de telecomunicaciones con resultados notables”. Beijing todavía ha trabajado con Tailandia y Myanmar para liberar a miles de personas de los complejos fraudulentos. A pesar de las medidas represivas en curso, la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC) ha dicho que las redes criminales que dirigen los centros de estafa están evolucionando a una escalera sin precedentes. Las víctimas de estafas en todo el mundo perdieron entre 18.000 y 37.000 millones de dólares en 2023, según estimaciones de la ONUDD.

La cantidad de kits de herramientas de phishing como servicio (PhaaS) se duplicó durante 2025, y el 90% de las campañas de phishing de gran barriguita aprovecharon dichas herramientas en 2025, según un investigación de Barracuda. Algunos de los jugadores notables de PhaaS fueron Sneaky 2FA, CoGUI, Cephas, Whisper 2FA y GhostFrame. Estos kits incorporan medidas antianálisis avanzadas, omisión de MFA y despliegue sigiloso que dificultan la detección mediante medidas tradicionales. La principal superioridad de los kits PhaaS es que reducen la barrera de entrada, lo que permite incluso a atacantes con poca experiencia técnica contar campañas de phishing dirigidas a gran escalera con un reducido esfuerzo. Los temas de phishing más comunes observados durante el año fueron pagos falsos, mensajes financieros, legales, de firma digital y relacionados con posibles humanos diseñados para engañar a los usuarios para que hagan clic en un enlace, escaneen un código QR o abran un archivo adjunto. Entre las técnicas novedosas utilizadas por los kits de phishing se encuentran ofuscaciones para ocultar las URL de la detección e inspección, CAPTCHA para decano autenticidad, códigos QR maliciosos, demasía de plataformas en linde legítimas y confiables y ClickFix, entre otras.

Se han revelado dos fallas de seguridad de incorporación peligro en Zed IDE que exponen a los usuarios a la ejecución de código infundado al cargar o interactuar con un repositorio de código fuente creado con fines malintencionados. “Zed cargó automáticamente la configuración de MCP (Protocolo de contexto maniquí) desde el espacio de trabajo sin requerir confirmación del adjudicatario”, dijo Mindguard sobre CVE-2025-68433 (puntuación CVSS: 7,8). “Un plan solapado podría usar esto para aclarar herramientas MCP que ejecutan código infundado en el sistema del desarrollador sin permiso patente”. La segunda vulnerabilidad (CVE-2025-68432, puntuación CVSS: 7,8) tiene que ver con que el IDE confía implícitamente en las configuraciones del Protocolo de servidor de idiomas (LSP) proporcionadas por el plan, lo que potencialmente abre la puerta a la ejecución de comandos arbitrarios cuando un adjudicatario abre cualquier archivo de código fuente en el repositorio. Tras la divulgación responsable el 14 de noviembre de 2025, Zed lanzó la lectura 0.218.2-pre para solucionar los problemas el mes pasado.