Alertas de software espía, ataques de Mirai, fugas de Docker, rootkit ValleyRAT y 20 historias más

Una nueva variable de la botnet Mirai denominada Broadside ha estado explotando una vulnerabilidad de alcance crítica en TBK DVR (CVE-2024-3721) en ataques dirigidos al sector de la abastecimiento marítima. “A diferencia de las variantes anteriores de Mirai, Broadside emplea un protocolo C2 personalizado, una firma única de ‘encabezado mágico’ y un módulo reformista de ‘enjuiciador, miembros y verdugón’ para exclusividad”, dijo Cydome. “Técnicamente, difiere del Mirai normalizado al utilizar sockets del kernel Netlink para un monitoreo sigiloso de procesos impulsado por eventos (reemplazando ruidosos sondeos del sistema de archivos) y empleando polimorfismo de carga útil para escamotear defensas estáticas”. Específicamente, intenta sostener el control exclusivo sobre el host finalizando otros procesos que coincidan con patrones de ruta específicos, no superen las comprobaciones internas o ya hayan sido clasificados como hostiles. Broadside va más allá de los ataques de denegación de servicio, ya que intenta compilar archivos de credenciales del sistema (/etc/passwd y /etc/shadow) con el objetivo de establecer un punto de apoyo importante en los dispositivos comprometidos. Mirai es una formidable botnet que ha generado varias variantes desde que se filtró su código fuente en 2016.

El Centro Franquista de Seguridad Cibernética del Reino Unido dijo que las inyecciones rápidas, que se refieren a fallas en aplicaciones de inteligencia químico generativa (GenAI) que les permiten analizar instrucciones maliciosas para ocasionar contenido que de otro modo no sería posible, “nunca se mitigarán adecuadamente” y que es importante crear conciencia sobre la clase de vulnerabilidad, así como diseñar sistemas que “limiten las acciones del sistema, en emplazamiento de simplemente intentar evitar que el contenido astuto llegue al LLM”.

El Comunidad de Trabajo Eficaz (OTF) de Europol, GRIMM, arrestó a 193 personas y desarticuló redes criminales que han impulsado el crecimiento de la violencia como servicio (VaaS). El camarilla de trabajo se lanzó en abril de 2025 para combatir la amenaza, que implica alistar perpetradores jóvenes e inexpertos para cometer actos violentos. “Estos individuos son preparados o coaccionados para cometer una variedad de crímenes violentos, desde actos de intimidación y tortura hasta crimen”, dijo Europol. Se alega que muchos de los delincuentes involucrados en los esquemas son miembros de The Com, un colectivo poco unido compuesto principalmente por angloparlantes que están involucrados en ataques cibernéticos, intercambios de tarjetas SIM, trastorno y violencia física.

Las autoridades polacas arrestaron a tres ciudadanos ucranianos por supuestamente intentar dañar los sistemas informáticos del país utilizando equipos de piratería especializados posteriormente de que su transporte fuera detenido e inspeccionado. Han sido acusados ​​de estafa, fraude informático y de adquisición de equipos y software informáticos adaptados para cometer delitos, incluido el daño a datos informáticos de distinto importancia para la defensa del país. “Los agentes registraron minuciosamente el interior del transporte. Encontraron instrumentos sospechosos que podrían incluso utilizarse para interferir con los sistemas informáticos estratégicos del país, irrumpiendo en las redes informáticas y de telecomunicaciones”, dijeron las autoridades. “Durante la investigación, los agentes confiscaron un detector de dispositivo agente, equipo reformista de piratería Flipper, antenas, computadoras portátiles, una gran cantidad de tarjetas SIM, enrutadores, discos duros portátiles y cámaras”. Los tres hombres, de entre 39 y 43 abriles, afirmaron ser informáticos y “estaban visiblemente nerviosos”, pero no dieron razones de por qué llevaban tales herramientas en primer emplazamiento, y fingieron no entender lo que se les decía, dijeron las autoridades.

La Policía Franquista de España ha arrestado a un supuesto hacker de 19 abriles en Barcelona, ​​por presuntamente robar e intentar traicionar 64 millones de registros obtenidos de infracciones en nueve empresas. Se dice que el procesado utilizó seis cuentas en partidura y cinco seudónimos para publicitar y traicionar las bases de datos robadas. El adolescente enfrenta cargos relacionados con billete en delitos cibernéticos, llegada no competente y divulgación de datos privados y violaciones de la privacidad. “El ciberdelincuente accedió a nueve empresas diferentes donde obtuvo millones de registros personales privados que luego vendió online”, alegaron las autoridades. En un acontecimiento relacionado, funcionarios de la policía ucraniana anunciaron el arresto de un ciberdelincuente de 22 abriles que utilizó un malware personalizado que creó de forma independiente para piratear automáticamente cuentas de usuarios en redes sociales y otras plataformas. Luego, las cuentas comprometidas se vendieron en foros de piratas informáticos. La mayoría de las víctimas residían en Estados Unidos y varios países europeos. El residente de Bukovyn todavía está procesado de dirigir una hacienda de robots con más de 5.000 perfiles en varias redes sociales para implementar diversos esquemas y transacciones encubiertas.

La policía rusa dijo que desmanteló una empresa criminal que robó millones a clientes bancarios en el país utilizando malware creado en NFCGate, una útil legítima de código amplio cada vez más explotada por ciberdelincuentes en todo el mundo. Con ese fin, se arrestó a tres sospechosos por distribuir malware con capacidad NFC a través de WhatsApp y Telegram, disfrazándolo de software de bancos legítimos. Primero se contactó a las víctimas por teléfono y se las convenció para que instalaran una aplicación bancaria fraudulenta. Durante el proceso de “autorización” falsa, se les indicó que colocaran su polímero bancaria en la parte posterior de su teléfono inteligente e ingresaran su PIN, un paso que permitió a los atacantes compilar las credenciales de la polímero y retirar fondos de cajeros automáticos en cualquier parte del país sin la billete del titular de la polímero. Las pérdidas preliminares superan los 200 millones de rublos (unos 2,6 millones de dólares).

Según Bitdefender, la defecto de seguridad de React recientemente revelada (React2Shell, todavía conocida como CVE-2025-55182) ha sido objeto de una explotación generalizada, incluso dirigida a dispositivos domésticos inteligentes. Estos incluyen enchufes inteligentes, teléfonos inteligentes, dispositivos NAS, sistemas de vigilancia, enrutadores, placas de expansión y televisores inteligentes. Se ha descubierto que estos ataques generan cargas aperos de botnets Mirai y RondoDox. Se ha detectado una importante actividad de investigación en Polonia, Estados Unidos, Países Bajos, Irlanda, Francia, Hong Kong, Singapur, China y Panamá. Esto indica una “amplia billete integral en la explotación oportunista”, dijo la empresa. La firma de inteligencia de amenazas GreyNoise dijo que observó 362 direcciones IP únicas en ~80 países que intentaban ser explotadas al 8 de diciembre de 2025. “Las cargas aperos observadas se dividen en distintos grupos: mineros, botnets de plataforma dual, actores VPN enmascarados por OPSEC y clústeres de solo examen”, agregó.

Investigadores de ciberseguridad han descubierto una puerta trasera de Linux no documentada anteriormente citación GhostPenguin. Una puerta trasera de subprocesos múltiples escrita en C++ que puede compilar información del sistema, incluida la dirección IP, la puerta de enlace, la lectura del sistema eficaz, el nombre de host y el nombre de afortunado, y enviarla a un servidor de comando y control (C&C) durante una etapa de registro. “Luego recibe y ejecuta comandos del servidor C&C. Los comandos admitidos permiten que el malware proporcione un shell remoto a través de ‘/bin/sh’ y realice varias operaciones de archivos y directorios, incluida la creación, matanza, cambio de nombre, lección y escritura de archivos, modificación de marcas de tiempo de archivos y búsqueda de archivos por extensión”, dijo Trend Micro. “Toda la comunicación C&C se produce a través del puerto UDP 53”. El descubrimiento se produce cuando Elastic detalló una nueva técnica de enlace de llamadas al sistema citación FlipSwitch que se diseñó posteriormente de los cambios fundamentales introducidos en el kernel de Linux 6.9 para permitir que el malware oculte su presencia en los hosts infectados. “Las técnicas tradicionales de rootkit se basaban en la manipulación directa de la tabla de llamadas al sistema, pero los núcleos modernos han pasado a un mecanismo de emisión basado en declaraciones de cambio”, dijo el investigador de seguridad Remco Sprooten. “En emplazamiento de modificar la tabla de llamadas al sistema, localiza y parchea instrucciones de citación específicas en el interior de la función de despacho del kernel. Este enfoque permite un enlace preciso y confiable, y todos los cambios se revierten por completo cuando se descarga el módulo”.

Evan Tangeman, un residente de California de 22 abriles, se declaró culpable de los cargos de conspiración RICO posteriormente de ser procesado de comprar casas y colar 3,5 millones de dólares en nombre de una manada criminal que robó criptomonedas mediante esquemas de ingeniería social. “La empresa comenzó a más tardar en octubre de 2023 y continuó al menos hasta mayo de 2025. Surgió a partir de relaciones desarrolladas en plataformas de juegos en partidura y estaba formada por personas con sede en California, Connecticut, Nueva York, Florida y el extranjero”, dijo el Área de Honestidad (DoJ). “Tangeman era un encalador de mosca para el camarilla que todavía incluía piratas informáticos de bases de datos, organizadores, identificadores de objetivos, personas que llamaban y ladrones residenciales que tenían como objetivo carteras de moneda posible de hardware”. Los miembros del camarilla fueron acusados ​​previamente de robar más de 263 millones de dólares en criptomonedas de una víctima en Washington, DC.

Apple y Google han enviado una nueva ronda de notificaciones de software agente a usuarios de casi 80 países, según un documentación de Reuters. Actualmente no hay detalles sobre qué tipo de software agente fueron atacados las víctimas. Ninguna de las empresas proporcionó información sobre la cantidad de usuarios atacados o quién creían que estaba detrás de los esfuerzos de vigilancia.

La Comisión Europea ha cedido su sello de aprobación a una propuesta Meta para dar a los usuarios de Instagram y Facebook la opción de compartir menos datos personales y ver menos anuncios personalizados. La nueva opción entrará en vigor en enero de 2026. “Meta brindará a los usuarios la opción efectiva entre dar su consentimiento para compartir todos sus datos y ver publicidad totalmente personalizada, y optar por compartir menos datos personales para una experiencia con publicidad personalizada más limitada”, dijo la Comisión. La medida se produce posteriormente de que el titán de las redes sociales fuera multado con 200 millones de euros en abril de 2025 (entonces 227 millones de dólares) por violar la Ley de Mercados Digitales (DMA) del coalición por la opción binaria que ofrece a los usuarios de la UE de retribuir para penetrar a versiones sin publicidad de las plataformas o aceptar ser rastreados a cambio de anuncios dirigidos. En una publicación la semana pasada, la estructura austriaca sin fines de interés None of Your Business (noyb) publicó una indagación que decía “cuando hay una opción de ‘plazo’, ‘consentimiento’ y ‘publicidad, pero sin seguimiento’, (…) 7 de cada 10 personas eligen la opción ‘publicidad, pero sin seguimiento'”.

El Centro Franquista de Seguridad Cibernética (NCSC) de Nueva Zelanda dijo que está notificando a más o menos de 26.000 usuarios que han sido infectados con Lumma Stealer, en lo que describió como la primera divulgación pública a gran escalera. “El software astuto está diseñado para robar información confidencial, como direcciones de correo electrónico y contraseñas, de dispositivos normalmente con fines de fraude o robo de identidad”, dijo. “El uso de Lumma Stealer y otros programas maliciosos similares por parte de ciberdelincuentes es un problema internacional constante”.

Notepad++ ha atrevido la lectura 8.8.9 para corregir una defecto crítica en el editor de texto y código fuente de código amplio para Windows. Este error, según el investigador de seguridad Kevin Beaumont, estaba siendo explotado por actores de amenazas en China para secuestrar el tráfico de WinGUp (el actualizador de Notepad++), redirigirlo a servidores maliciosos y luego engañar a las personas para que descargaran malware. “Verifique el certificado y la firma en el instalador de puesta al día descargado”, se lee en las notas de la lectura 8.8.9. “La revisión de los informes llevó a la identificación de una amor en la forma en que el actualizador valida la integridad y autenticidad del archivo de puesta al día descargado”, dijeron los mantenedores de Notepad++. “En caso de que un atacante pueda interceptar el tráfico de red entre el cliente del actualizador y la infraestructura de puesta al día de Notepad++, un atacante puede rendir esta amor para solicitar al actualizador que descargue y ejecute un binario no deseado (en emplazamiento del binario de puesta al día oficial de Notepad++)”.

Un nuevo documentación de Kaspersky que examina más de 800 canales de Telegram bloqueados que existieron entre 2021 y 2024 ha revelado que “la vida útil media de un canal de Telegram en la sombra aumentó de cinco meses en 2021-2022 a nueve meses en 2023-2024”. La aplicación de correo todavía parece estar bloqueando cada vez más canales centrados en delitos cibernéticos desde octubre de 2024, lo que llevó a los actores de amenazas a portar a otras plataformas.

El Reino Unido ha impuesto nuevas sanciones contra varias organizaciones rusas y chinas acusadas de socavar a Poniente mediante ciberataques y operaciones de influencia. Las acciones tienen como objetivo dos entidades chinas, I-Soon y el Integrity Technology Group (todavía conocido como Flax Typhoon), así como un canal de Telegram, Ryber y su copropietario, Mikhail Zvinchuk, una estructura citación Pravfond que se cree que es una frontispicio para el GRU, y el Centro de Experiencia Geopolítica, un camarilla de expertos con sede en Moscú fundado por Aleksandr Dugin. “I-Soon e Integrity Tech son ejemplos de la amenaza que representa la industria cibernética en China, que incluye compañías de seguridad de la información, intermediarios de datos (que recopilan y venden datos personales) y ‘hackers contratados'”, dijo el gobierno del Reino Unido. “Algunas de estas empresas proporcionan servicios cibernéticos a los servicios de inteligencia chinos”.

Un nuevo investigación de Sonatype ha revelado que más o menos del 13% de todas las descargas de Log4j en 2025 serán susceptibles a Log4Shell. “Solo en 2025, hubo casi 300 millones de descargas totales de Log4j”, dijo la empresa de seguridad de la condena de suministro. “De ellas, más o menos del 13% (aproximadamente 40 millones de descargas) todavía eran versiones vulnerables. Regalado que las alternativas seguras han estado disponibles durante casi cuatro abriles, cada una de esas descargas vulnerables representa un peligro que podría haberse evitado”. China, Estados Unidos, India, Japón, Brasil, Alemania, Reino Unido, Canadá, Corea del Sur y Francia representaron una gran parte de las descargas vulnerables.

Según se informa, el gobierno indio está revisando una propuesta de la industria de las telecomunicaciones para presionar a las empresas de teléfonos inteligentes a habilitar el rastreo de ubicación por secuaz que siempre está activado para una mejor vigilancia, sin opción para que los usuarios lo desactiven, reveló Reuters. La idea es obtener ubicaciones precisas cuando se realizan solicitudes legales a las empresas de telecomunicaciones durante las investigaciones, añadió la agencia de noticiero. Apple, Google y Samsung se han opuesto a la medida. Perdón Internacional ha calificado el plan de “profundamente preocupante”.

Se ha observado un “pico concentrado” que comprende más de 7.000 direcciones IP al intentar iniciar sesión en los portales GlobalProtect de Palo Detención Networks. La actividad, que se originó en la infraestructura operada por 3xK GmbH, se observó el 2 de diciembre de 2025. GreyNoise dijo que la ola de diciembre comparte tres huellas dactilares de clientes idénticas con una ola antedicho observada entre finales de septiembre y mediados de octubre. La firma de inteligencia de amenazas dijo que todavía registró un aumento en el escaneo contra los puntos finales de la API de SonicWall SonicOS un día posteriormente. Ambas oleadas de ataques se han atribuido al mismo actor de amenazas.

Un nuevo investigación de Sonatype ha revelado que más o menos del 13% de todas las descargas de Log4j en 2025 serán susceptibles a Log4Shell. “Solo en 2025, hubo casi 300 millones de descargas totales de Log4j”, dijo la empresa de seguridad de la condena de suministro. “De ellas, más o menos del 13% (aproximadamente 40 millones de descargas) todavía eran versiones vulnerables. Regalado que las alternativas seguras han estado disponibles durante casi cuatro abriles, cada una de esas descargas vulnerables representa un peligro que podría haberse evitado”. China, Estados Unidos, India, Japón, Brasil, Alemania, Reino Unido, Canadá, Corea del Sur y Francia representaron una gran parte de las descargas vulnerables.

Según se informa, el gobierno indio está revisando una propuesta de la industria de las telecomunicaciones para presionar a las empresas de teléfonos inteligentes a habilitar el rastreo de ubicación por secuaz que siempre está activado para una mejor vigilancia, sin opción para que los usuarios lo desactiven, reveló Reuters. La idea es obtener ubicaciones precisas cuando se realizan solicitudes legales a las empresas de telecomunicaciones durante las investigaciones, añadió la agencia de noticiero. Apple, Google y Samsung se han opuesto a la medida. Perdón Internacional ha calificado el plan de “profundamente preocupante”.

Se ha observado un “pico concentrado” que comprende más de 7.000 direcciones IP al intentar iniciar sesión en los portales GlobalProtect de Palo Detención Networks. La actividad, que se originó en la infraestructura operada por 3xK GmbH, se observó el 2 de diciembre de 2025. GreyNoise dijo que la ola de diciembre comparte tres huellas dactilares de clientes idénticas con una ola antedicho observada entre finales de septiembre y mediados de octubre. La firma de inteligencia de amenazas dijo que todavía registró un aumento en el escaneo contra los puntos finales de la API de SonicWall SonicOS un día posteriormente. Ambas oleadas de ataques se han atribuido al mismo actor de amenazas.

Investigadores de ciberseguridad han despierto sobre una nueva campaña que utiliza un torrente traidor para la película protagonizada por Leonardo DiCaprio, One Battle After Another, como plataforma de impulso para una compleja condena de infección que gancho el malware Agent Tesla. “En emplazamiento del archivo de vídeo esperado, los usuarios, sin saberlo, descargan una compilación de scripts de PowerShell y archivos de imágenes que se integran en un agente de comando y control (C2) residente en la memoria, todavía conocido como troyano (RAT – Troyano de llegada remoto) bajo el nombre de Agente Tesla”, dijo Bitdefender. “Este tipo de malware está diseñado con un único propósito: proporcionar a los atacantes llegada ilimitado al ordenador Windows de la víctima”. El ataque es parte de una tendencia creciente de damasquinar malware en archivos multimedia falsos. A principios de mayo, se utilizó un señuelo para Mission: Impossible – The Final Reckoning para difundir Lumma Stealer.

Un nuevo estudio de Flare ha descubierto que más de 10.000 imágenes de contenedores Docker Hub exponen credenciales a sistemas de producción, bases de datos CI/CD o claves de modelos de jerga grandes (LLM). “El 42% de las imágenes expuestas contenían cinco o más secretos cada una, lo que significa que un solo contenedor podría desbloquear todo un entorno de aglomeración, un canal de CI/CD y una saco de datos”, dijo la compañía. “Las claves del maniquí AI LLM fueron las credenciales filtradas con más frecuencia, con casi 4000 expuestas, lo que revela cuán rápido la asimilación de la IA ha superado los controles de seguridad”. La exposición representa riesgos graves, ya que permite el llegada completo a entornos de aglomeración, repositorios Git, sistemas CI/CD, integraciones de pagos y otros componentes centrales de la infraestructura.

Se han identificado hasta 19 extensiones de Microsoft Visual Studio Code (VS Code) en el Marketplace oficial, y la mayoría de ellas incorporan un archivo astuto que se hace tener lugar por una imagen PNG. La campaña, activa desde febrero de 2025, fue descubierta la semana pasada. “Los archivos maliciosos abusaron de un paquete npm oficial (la ruta es absoluta) para evitar la detección y crearon un archivo que contenía binarios maliciosos que se hacían tener lugar por una imagen: un archivo con una extensión PNG”, dijo el investigador de ReversingLabs, Petar Kirhmajer. “Para esta última campaña, el actor de amenazas lo modificó agregando algunos archivos maliciosos. Sin bloqueo, es importante tener en cuenta que estos cambios en el paquete solo están disponibles cuando se instala localmente a través de las 19 extensiones maliciosas, y en verdad no son parte del paquete alojado en npm”. El impacto neto es que el paquete armado se utiliza para editar el ataque tan pronto como se utiliza una de las extensiones maliciosas y se inicia VS Code. El objetivo principal del código astuto es decodificar lo que parece ser un archivo PNG (“banner.png”), pero, en verdad, es un archivo que contiene dos archivos binarios que se ejecutan utilizando el binario “cmstp.exe” que vive de la tierra (LOLBin) mediante un cuentagotas de JavaScript. “Uno de estos binarios es responsable de cerrar LOLBin emulando la pulsación de una tecla, mientras que el otro binario es un troyano Rust más complicado”, dijo ReversingLabs. Desde entonces, Microsoft eliminó las extensiones del Marketplace.

Check Point Research dijo que pudo realizar ingeniería inversa en la puerta trasera ValleyRAT (todavía conocida como Winos o Winos4.0) y sus complementos al examinar un constructor filtrado públicamente y su estructura de expansión. “El investigación revela las habilidades avanzadas de los desarrolladores detrás de ValleyRAT, lo que demuestra un profundo conocimiento del kernel de Windows y de las partes internas del modo de afortunado, y patrones de codificación consistentes que sugieren un equipo pequeño y especializado”, dijo la compañía de ciberseguridad. “El ‘Complemento de regulador’ contiene un rootkit integrado en modo kernel que, en algunos casos, conserva firmas válidas y sigue siendo cargable en sistemas Windows 11 completamente actualizados, sin tener lugar por las funciones de protección integradas”. Específicamente, el complemento facilita la instalación sigilosa de controladores, la inyección de código shell en modo de afortunado a través de APC y la matanza forzada de controladores AV/EDR. El rootkit se sostén en el tesina de código amplio Hidden, adecuado públicamente. Uno de los otros complementos es un módulo de inicio de sesión diseñado para cargar componentes adicionales desde un servidor extranjero. ValleyRAT se atribuye a un camarilla chino de cibercrimen conocido como Silver Fox. Aproximadamente 6000 muestras relacionadas con ValleyRAT se detectaron en la naturaleza entre noviembre de 2024 y noviembre de 2025, encima de 30 variantes distintas del constructor ValleyRAT y 12 variantes del regulador de rootkit.

En una nueva campaña, los actores de amenazas están abusando de la capacidad de compartir chats en OpenAI ChatGPT y Grok para mostrarlos en los resultados de búsqueda, ya sea mediante publicidad maliciosa o envenenamiento por optimización de motores de búsqueda (SEO), para engañar a los usuarios para que instalen ladrones como AMOS Stealer cuando buscan “el sonido no funciona en macOS”, “apañar espacio en disco en macOS” o ChatGPT Atlas en motores de búsqueda como Google. Las sesiones de chat se comparten bajo la apariencia de guías de instalación o alternativa de problemas e incluyen instrucciones estilo ClickFix para iniciar el terminal y pegar un comando para tocar los problemas que enfrenta el afortunado. “Los atacantes están armando sistemáticamente múltiples plataformas de IA con envenenamiento de SEO, y que no están aislados en una sola plataforma, página o consulta de IA, lo que garantiza que las víctimas encuentren instrucciones envenenadas independientemente de en qué útil confíen”, dijo Huntress. “En cambio, múltiples conversaciones estilo IA están surgiendo orgánicamente a través de términos de búsqueda normalizado, cada una de las cuales apunta a las víctimas alrededor de el mismo saqueador de macOS de varias etapas”. El expansión se produce cuando los actores de amenazas utilizan plataformas como itch.io y Patreon para distribuir Lumma Stealer. “Las cuentas Itch.io recién creadas hacen spam con comentarios en diferentes juegos legítimos, con mensajes de texto con plantillas que muestran enlaces de Patreon a supuestas actualizaciones del gozne”, dijo G DATA. Estos enlaces dirigen a archivos ZIP que contienen un ejecutable astuto que se compila con nexe y ejecuta seis niveles de comprobaciones antianálisis antaño de eliminar el malware saqueador.