Pixel Zero-Click, Redis RCE, China C2, anuncios RAT, estafas criptográficas y más de 15 historias

Las entidades gubernamentales de Afganistán han sido objeto de una campaña de phishing denominada Operación Nomad Leopard que emplea documentos administrativos falsos como señuelos para distribuir una puerta trasera emplazamiento FALSECUB por medio de un archivo de imagen ISO alojado en GitHub. La campaña se detectó por primera vez a finales de diciembre de 2025. “El archivo ISO contiene tres archivos”, dijo Seqrite Lab. “El archivo LNK, Doc.pdf.lnk, es responsable de mostrar el PDF a la víctima y ejecutar la carga útil. El archivo PDF, doc.pdf, contiene el señuelo con temática oficial”. La carga útil final es un ejecutable de C++ que es capaz de percibir comandos de un servidor extranjero. La actividad no se ha atribuido a ningún país específico ni a ningún colección de piratas informáticos conocido. “La campaña parece estar dirigida por un actor de amenazas centrado regionalmente con un nivel de sofisticación de bajo a moderado”, añadió la empresa india de ciberseguridad.

El gobierno del Reino Unido advierte sobre la continua actividad maliciosa de grupos hacktivistas alineados con Rusia, como NoName057(16), que atacan infraestructuras críticas y organizaciones gubernamentales locales en el país con ataques de denegación de servicio (DoS). El objetivo final de estos ataques es desconectar sitios web e inhabilitar el entrada a servicios esenciales. “Aunque los ataques DoS suelen ser poco sofisticados, un ataque exitoso puede alterar sistemas completos, costando a las organizaciones mucho tiempo, mosca y resiliencia operativa al tener que analizarlos, defenderse y recuperarse de ellos”, dijo el Centro Doméstico de Seguridad Cibernética del Reino Unido (NCSC).

VirusTotal, propiedad de Google, ha revelado detalles de una campaña de robo de información que se zócalo en un ejecutable confiable para engañar al sistema eficaz para que cargue una carga útil DLL maliciosa (“CoreMessaging.dll”), una técnica emplazamiento carga supletorio de DLL, que conduce a la ejecución de ladrones de información de etapa secundaria diseñados para filtrar datos confidenciales. Tanto el ejecutable como la DLL se distribuyen a través de archivos ZIP que imitan a los instaladores de aplicaciones legítimas como Malwarebytes (por ejemplo, “malwarebytes-windows-github-io-6.98.5.zip”) y otros programas.

El investigador de SpecterOps, Daniel Mayer, ha publicado un archivo de objeto de baliza (BOF), un software compilado en C diseñado para ejecutarse en la memoria de un agente posterior a la explotación como Cobalt Strike Beacon, que interactúa con el subsistema de Windows para Linux (WSL) invocando directamente el servicio WSL COM, evitando por completo la creación de procesos para “wsl.exe” y permitiendo a los operadores enumerar todas las distribuciones WSL instaladas y ejecutar comandos arbitrarios en cualquier distribución WSL que encuentre el BOF.

Los investigadores de ciberseguridad han revelado una campaña maliciosa activa que utiliza anuncios colocados en sitios web legítimos para atraer a los usuarios a descargar herramientas de “conversión” para convertir imágenes o documentos. Estos servicios comparten una plantilla de sitio web similar y reciben nombres como Easy2Convert, ConvertyFile, Infinite Docs y PowerDoc. Si un legatario intenta descargar el software, se le redirige a otro dominio que verdaderamente aloja los archivos dropper de C#. “En primer plano, estas herramientas normalmente funcionan según lo prometido, por lo que los usuarios no sospechan”, dijo Nextron Systems. “Sin retención, en segundo plano se comportan casi de la misma forma: instalan troyanos persistentes de entrada remoto (RAT) que dan al atacante entrada continuo al sistema víctima”. Específicamente, el ejecutable está diseñado para establecer persistencia mediante una tarea programada, que apunta a la carga útil principal, una aplicación .NET que inicia la comunicación con un servidor remoto, ejecuta ensamblados .NET recibidos del servidor y envía los resultados mediante una solicitud HTTP POST.

Let’s Encrypt dijo que sus certificados TLS de corta duración con una vida útil de 6 días ya están disponibles de forma generalizada. Cada certificado tiene una validez de 160 horas desde el momento de su puesta en circulación. “Los certificados de corta duración son opcionales y no tenemos ningún plan para convertirlos en los predeterminados en este momento. Los suscriptores que han automatizado completamente su proceso de renovación deberían poder cambiar fácilmente a certificados de corta duración si lo desean, pero entendemos que no todos están en esa posición y, en militar, se sienten cómodos con esta vida útil significativamente más corta”, dijo Let’s Encrypt. Para solicitar uno, los operadores deben elegir el perfil “de corta duración” en su cliente ACME. Los certificados de corta duración son opcionales y no hay planes para convertirlos en los predeterminados en este momento, añadió la autoridad certificadora sin fines de interés.

Zendesk ha revelado que se están utilizando sistemas de soporte no seguros para remitir correos electrónicos no deseados. Los ataques aprovechan la capacidad de Zendesk para permitir que usuarios no verificados envíen tickets de soporte, que luego generan automáticamente correos electrónicos de confirmación que se envían a la dirección de correo electrónico ingresada por el atacante. Este sistema de respuesta automatizado se está utilizando como arsenal para convertir la plataforma de soporte en un transporte de entrega de spam mediante la creación de tickets falsos. “Estos correos electrónicos parecen contactos legítimos de empresas que utilizan Zendesk para comunicarse con sus clientes, y son una táctica de spam conocida como spam de retransmisión”, dijo el proveedor de dirección de relaciones con el cliente (CRM) en un aviso. La compañía lo describió como un “objetivo secundario potencial” que surge cuando Zendesk está configurado para permitir que usuarios no verificados envíen solicitudes, y agregó que está trabajando activamente para achicar el spam y precaver nuevas campañas de spam. Incluso instó a los clientes a eliminar marcadores de posición específicos de los activadores de primera respuesta y permitir que solo los usuarios agregados envíen tickets.

La Comisión Europea ha propuesto una nueva constitución sobre ciberseguridad que exige la aniquilación de proveedores de detención peligro para proteger las redes de telecomunicaciones y vigorizar las defensas contra los grupos de delitos cibernéticos y respaldados por el Estado que apuntan a infraestructuras críticas. “La nueva Ley de Ciberseguridad tiene como objetivo achicar los riesgos en la cautiverio de suministro de TIC de la UE por parte de proveedores de terceros países con problemas de ciberseguridad”, dijo la Comisión. “Establece un ámbito confiable de seguridad de la cautiverio de suministro de TIC basado en un enfoque armonizado, proporcionado y basado en el peligro. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los 18 sectores críticos de la UE, considerando igualmente los impactos económicos y la propuesta del mercado”. Incluso se retraso que la Ley de Ciberseguridad revisada garantice que los productos y servicios que llegan a los consumidores de ES sean probados en cuanto a seguridad de una forma más competente a través de un Situación Europeo de Certificación de Ciberseguridad (ECCF) renovado. La ley enmendada entrará en vigor inmediatamente a posteriori de su aprobación por el Parlamento Europeo y el Consejo de la UE. Una vez adoptada, los estados miembros tienen un año para implementar la directiva en su constitución doméstico.

La firma de inteligencia de amenazas GreyNoise ha descubierto una actividad de registro de complementos de WordPress a gran escalera destinada a enumerar sitios potencialmente vulnerables. El escaneo masivo, observado entre el 20 de octubre de 2025 y el 19 de enero de 2026, involucró 994 direcciones IP únicas en 145 ASN dirigidas a 706 complementos distintos de WordPress en más de 40.000 eventos de enumeración únicos. Los complementos más específicos son Post SMTP, Loginizer, LiteSpeed ​​Cache, SEO by Rank Math, Elementor y Duplicator. La actividad alcanzó un nuevo mayor el 7 de diciembre de 2025, cuando se registraron 6.550 sesiones únicas. Más del 95 % del aumento se debió a una única dirección IP: 112.134.208(.)214. Se recomienda a los usuarios de los complementos antaño mencionados que los mantengan actualizados.

El esquema Rust ha actualizado Crates.io para incluir una pestaña “Seguridad” en las páginas de cajas individuales. La pestaña muestra avisos de seguridad extraídos de la pulvínulo de datos RustSec y enumera qué versiones de una caja pueden tener vulnerabilidades conocidas. Este cambio brinda a los desarrolladores una forma factible de ver información de seguridad relevante antaño de pegar la caja como dependencia. “La pestaña muestra las vulnerabilidades conocidas de la caja yuxtapuesto con los rangos de versiones afectadas”, dijeron los encargados del mantenimiento. Otras mejoras incluyen soporte ampliado de Trusted Publishing, que ahora funciona con GitLab CI/CD por otra parte de GitHub Actions, y un nuevo modo de Trusted Publishing que, cuando está cobrador, desactiva la publicación tradicional basada en tokens API para achicar el peligro de publicaciones no autorizadas a partir de tokens API filtrados. Trusted Publishing igualmente se actualizó para aislar los activadores de acciones de GitHub pull_request_target y flowwork_run. “Estos desencadenantes han sido responsables de múltiples incidentes de seguridad en el ecosistema de GitHub Actions y no valen la pena valer el peligro”, dijo el equipo de Crates.io.

Un nuevo investigación de Hunt.io ha revelado que el espacio de Internet chino alberga más de 18.000 servidores activos de comando y control (C2 o C&C) en 48 proveedores diferentes durante los últimos tres meses. China Unicom alberga casi la parte de todos los servidores observados, seguidos por Alibaba Cloud y Tencent. Más de la parte de los servidores C2 (más o menos de 9.427 IP C2 únicas) se utilizan para controlar una botnet de IoT conocida como Mozi. Una parte de los servidores C2 restantes se utiliza para actividades relacionadas con Cobalt Strike (1204), VShell (830) y Mirai (703). “En todos los entornos de hosting chinos, un pequeño número de grandes proveedores de telecomunicaciones y de nubarrón representan la anciano parte de la actividad de comando y control observada, apoyando todo, desde malware primordial y botnets de IoT hasta operaciones de phishing y herramientas vinculadas al estado”, afirmó Hunt.io.

Un ex asesor informático de las Fuerzas Armadas de Suecia, de 33 primaveras, ha sido detenido bajo sospecha de acontecer información al servicio de inteligencia de Rusia, según la Fiscalía sueca. La presunta actividad criminal tuvo lado a lo generoso de 2025 y hasta el 4 de enero de 2026, pero las autoridades suecas sospechan que el espionaje puede acaecer estado en curso desde 2022, cuando Rusia lanzó su invasión a gran escalera de Ucrania. El sospechoso, que negó acaecer actuado mal, trabajó como asesor de TI para el ejército sueco de 2018 a 2022, según la AFP. Se dice que la investigación aún se encuentra en las primeras etapas. En febrero de 2021, un asesor tecnológico sueco de 47 primaveras fue dibujado de espionaje por supuestamente traicionar información sobre el fabricante de camiones Scania y Volvo Cars a un diplomático ruso durante varios primaveras. Fue sentenciado a tres primaveras de prisión ese mismo mes de septiembre.

Se han revelado vulnerabilidades críticas (desde CVE-2026-22236 hasta CVE-2026-22240) en la plataforma Bluvoyix de Bluspark Universal, una posibilidad basada en la nubarrón que se utiliza para ayudar a los transportistas a mandar los datos de su cautiverio de suministro, lo que podría acaecer permitido a un mal actor obtener control total de la plataforma y obtener a los datos de los clientes y de los envíos. Podrían acaecer cobrador el entrada a las cuentas de los clientes y realizar un seguimiento de los envíos de carga y componentes, así como igualmente acaecer permitido el entrada completo a la API de la plataforma sin penuria de autenticación. Esta lapso jurídica podría haberse utilizado como arsenal para crear cuentas de administrador para una explotación posterior. Desde entonces, las vulnerabilidades han sido reparadas, pero no antaño de un prolongado proceso de divulgación. El investigador de seguridad Eaton Zveare, que anteriormente descubrió agujeros de seguridad en plataformas utilizadas por empresas automotrices, dijo que “el entrada de administrador hizo posible ver, modificar e incluso revocar envíos de clientes que se remontan a 2007”.

Las estafas con criptomonedas recibieron al menos 14 mil millones de dólares en criptomonedas en 2025, un brinco con respecto a los 12 mil millones de dólares reportados el año precedente. El suscripción promedio por estafa extraído de las víctimas igualmente aumentó de $782 a $2,764. La inversión de detención rendimiento y la matanza de cerdos siguieron siendo las categorías más dominantes por grosor, incluso cuando las estafas de suplantación de identidad (que involucran a estafadores que se hacen acontecer por organizaciones legítimas como E-ZPass para manipular a las víctimas para que transfieran fondos) aumentaron un 1.400%. Según las tendencias históricas, se proyecta que la signo de 2025 supere los 17 mil millones de dólares a medida que se identifiquen más direcciones de billetera ilícitas en los próximos meses, dijo Chainalysis. Se ha descubierto que los estafadores aprovechan cada vez más la tecnología deepfake y el contenido generado por inteligencia sintético para crear imitaciones convincentes en estafas románticas y de inversión. “Las principales operaciones de estafa se industrializaron cada vez más, con una infraestructura sofisticada, que incluye herramientas de phishing como servicio, deepfakes generados por IA y redes profesionales de lavado de mosca”, dijo la compañía. “Las redes de matanza de cerdos en todo el sudeste oriental, que se basan en gran medida en las CMLN (redes chinas de lavado de mosca), generan miles de millones de dólares anualmente y dependen de estructuras de billeteras en capas, bolsas, empresas espantajo y canales bancarios informales para enjuagar fondos y convertir criptomonedas en activos del mundo actual, incluidos posesiones raíces y artículos de fastuosidad”.

Un colección de cinco ciudadanos venezolanos se declaró culpable o fue sentenciado por su décimo en un robo de premios en cajeros automáticos en varios estados entre el 14 y el 16 de septiembre de 2024, que utilizó malware sofisticado para robar miles de dólares en Georgia, Florida y Kentucky. El colección, Héctor Alejandro Alvarado Álvarez (20), César Benemérito Gil Sánchez (22), Javier Alejandro Suárez-Godoy (20), David Josfrangel Suárez-Sánchez (24) y Giobriel Alexander Valera-Astudillo (26), se dirigieron a varias instituciones financieras mediante la implementación de malware o accediendo al modo supervisor del cajero forzoso para activar retiros de efectivo. Los miembros del colección fueron captados por la cámara llevando a sitio los ataques y fueron identificados basándose en las huellas dactilares dejadas en los cajeros automáticos. Se enfrentan a hasta 30 primaveras de prisión, seguidos de la deportación inmediata.

Google Project Zero ha resuelto un exploit sin clic (Parte 1, Parte 2 y Parte 3) que puede comprometer los teléfonos inteligentes Android a través del decodificador de audio Dolby. El exploit es posible porque la aplicación Google Messages procesa automáticamente los archivos adjuntos de audio entrantes en segundo plano con fines de transcripción y los decodifica sin penuria de interacción del legatario. El exploit aprovecha CVE-2025-54957 para obtener la ejecución de código infundado en el contexto de mediacodec de un Google Pixel 9, y luego utiliza CVE-2025-36934, un uso a posteriori de la libertad en el compensador BigWave, para progresar privilegios de mediacodec al kernel en el dispositivo. “La inversión de tiempo necesaria para encontrar las vulnerabilidades necesarias fue pequeña en comparación con el impacto de este exploit, especialmente para la etapa de ascensión de privilegios”, dijo la investigadora Natalie Silvanovich. “El tiempo necesario para encontrar los errores de una cautiverio de exploits de 0 clics en Android puede casi con seguridad medirse en semanas-persona para un atacante con buenos bienes”. Si proporcionadamente Dolby solucionó la falta en octubre de 2025, Samsung fue el primer proveedor de dispositivos móviles en corregir la vulnerabilidad el mes subsiguiente. Los dispositivos Pixel no recibieron el parche hasta el 5 de enero de 2026. El 6 de enero de 2026 se envió un parche para la falta del compensador BigWave a los dispositivos Pixel.

Una campaña de publicidad maliciosa detectada por Sophos en septiembre de 2025 utilizó Google Ads para redirigir a las víctimas a sitios engañosos que promocionaban una aplicación de publicación de PDF troyanizada emplazamiento AppSuite PDF Editor. La aplicación, una vez instalada, parecía legítima para los usuarios, pero sigilosamente entregaba un carero de información denominado TamperedChef dirigido a dispositivos Windows. Se sabe que el colección de amenazas en desarrollo activa emplea tácticas como la ejecución retrasada, permaneciendo inactivo durante aproximadamente 56 días antaño de activar el comportamiento de robo de información para asegurar la persistencia. El período de tiempo se alinea con el ciclo peculiar de campañas publicitarias pagas de 30 a 60 días. Se considera que TamperedChef forma parte de una campaña más amplia conocida como EvilAI. Según los datos de telemetría recopilados por la empresa de ciberseguridad, más de 100 sistemas se vieron afectados por la campaña, y la mayoría de las víctimas se ubicaron en Alemania (~15%), el Reino Unido (~14%) y Francia (~9%). “Las víctimas de esta campaña abarcan una variedad de industrias, particularmente aquellas donde las operaciones dependen en gran medida de equipos técnicos especializados, posiblemente porque los usuarios de esas industrias frecuentemente buscan en orientación manuales de productos, un comportamiento que la campaña TamperedChef explota para distribuir software ladino”, dijo la compañía.

Se ha observado una nueva campaña de phishing que utiliza facturas farmacéuticas falsas para engañar a los destinatarios para que abran archivos ZIP que contienen JavaScript que, al ejecutarse, utiliza PowerShell para descargar una imagen PNG maliciosa alojada en Internet Archive. “Pero en existencia este no es un PNG unificado. Bueno, lo es, pero con extras”, dijo Swiss Post Cybersecurity. “Los atacantes incrustaron una carga útil codificada en Base64 a posteriori del fragmento IEND del PNG, que marca el final oficial de los datos de la imagen. El archivo aún se muestra como una imagen válida en cualquier visor. El malware actual se encuentra entre dos marcadores personalizados, BaseStart- y -BaseEnd”. La carga útil extraída entre estos marcadores se utiliza para iniciar un cargador de malware conocido como VMDetectLoader, que es responsable de la persistencia, las comprobaciones del entorno y el propagación de PureLogs Stealer, un carero de productos desarrollado por un actor de amenazas conocido como PureCoder. Vale la pena señalar que VMDetectLoader se ha utilizado anteriormente para entregar DCRat en ataques dirigidos a Colombia.

Se ha descubierto una operación de phishing de préstamos a gran escalera en Perú que abusa de ofertas de préstamos falsas para compendiar información personal y bancaria confidencial (datos de tarjetas bancarias, contraseñas de banca en orientación y un código PIN de 6 dígitos) de usuarios desprevenidos. La campaña se propaga a través de anuncios en las redes sociales. Los actores de amenazas detrás de la operación han creado aproximadamente 370 dominios únicos haciéndose acontecer por bancos en Perú, Colombia, El Salvador, Pimiento y Ecuador desde 2024. “Este phishing en particular se dirige a individuos a través de un proceso de solicitud de préstamo aparentemente cierto, diseñado para compendiar credenciales de tarjetas válidas y los códigos PIN correspondientes”, dijo Group-IB. “Estas credenciales se venden luego en el mercado molesto o se utilizan en otras actividades de phishing”. Tan pronto como se ingresan los detalles en los sitios falsos, un script que se ejecuta en segundo plano en la página web valida la información utilizando el cálculo de Luhn para asegurar que los detalles de la polímero de crédito y el número de identificación oficial ingresados ​​sean genuinos.

Un actor de amenazas identificado como Gusano-25012 está utilizando un instalador hipócrita de Notepad++ como señuelo para distribuir software proxy en ataques dirigidos a Corea del Sur. Los instaladores, escritos en C++ y alojados en GitHub, se promocionan a través de páginas publicitarias en sitios web que se hacen acontecer por portales de descarga de software crackeado o ilegal. “Estos instaladores eliminan el descargador de malware DPLoader. Una vez registrado en el Programador de tareas de Windows, DPLoader se ejecuta de forma persistente y recupera comandos de su servidor C&C. Todos los scripts de PowerShell observados hasta la vencimiento han incluido dialéctica para instalar varias herramientas Proxyware”, dijo AhnLab. “Adicionalmente, el atacante está cambiando activamente las técnicas para esquivar la detección, como inyectar Proxyware en el proceso del Explorador de Windows o beneficiarse cargadores basados ​​en Python”. El objetivo de estos ataques es instalar proxyware en la máquina de la víctima sin su conocimiento y monetizar su pancho de facción de Internet no utilizado vendiéndolo a terceros. Se estima que Gusano-25012 está activo desde al menos 2024 y distribuye múltiples tipos de proxyware, incluidos DigitalPulse, Honeygain e Infatica.