Días 0, espías de LinkedIn, criptodelitos, fallos de IoT y nuevas oleadas de malware

La agencia de inteligencia franquista del Reino Unido, MI5, ha preparado a los legisladores que los espías chinos están activamente contactándolos para “reclutarlos y cultivarlos” con lucrativas ofertas de trabajo en LinkedIn a través de cazatalentos o empresas tapadera. Se dice que los ciudadanos chinos utilizan perfiles de LinkedIn para realizar actividades de divulgación a gran escalera, supuestamente en nombre del Tarea de Seguridad del Estado de China. “Su objetivo es compilar información y sentar las bases para relaciones a holgado plazo, utilizando sitios de redes profesionales, agentes de contratación y consultores que actúan en su nombre”, dijo el presidente de la Cámara de los Comunes, Sir Lindsay Hoyle. Se considera que la actividad es “dirigida y generalizada”. Los objetivos incluían personal parlamentario, economistas, consultores de grupos de expertos y funcionarios gubernamentales. En una explicación compartida con la BBC, un portavoz de la embajada china en el Reino Unido dijo que las acusaciones de espionaje eran “pura invención” y acusó al Reino Unido de una “obra automontada”. El MI5 no es la única agencia de inteligencia que advierte sobre el potencial de las redes sociales para permitir el espionaje. En julio, Mike Burgess, director militar de la Estructura de Inteligencia de Seguridad de Australia (ASIO), dijo que una agencia de inteligencia extranjera intentó encontrar información sobre un tesina marcial australiano cultivando relaciones con personas que trabajaban en él.

La Comisión Europea dio a conocer una propuesta de cambios importantes al Reglamento Caudillo de Protección de Datos (GDPR) y a la Ley de IA de la Unión Europea. Bajo el nuevo paquete “ómnibus digital”, la UE pretende simplificar el Reglamento Caudillo de Protección de Datos (GDPR) y “aclarar la definición de datos personales” para permitir a las empresas procesar legalmente datos personales para la formación en IA sin el consentimiento previo de los usuarios por “interés cierto” y siempre y cuando no infrinjan ninguna ley. La medida ha sido criticada por complacer los intereses de las grandes tecnologías. Además modifica las reglas de consentimiento de cookies en los sitios web, permitiendo a los usuarios “indicar su consentimiento con un solo clic y recoger sus preferencias de cookies a través de la configuración central de preferencias en navegadores y sistemas operativos” en extensión de tener que confirmar su selección en cada sitio web que visitan. “En conjunto, estos cambios dan tanto a las autoridades estatales como a las empresas poderosas más espacio para compilar y procesar información personal con una supervisión limitada y una transparencia estrecha”, dijo European Digital Rights (eDRI). “La familia perderá salvaguardias sencillas y las comunidades minoritarias se enfrentarán a una exposición aún longevo a la elaboración de perfiles, decisiones automatizadas y seguimiento intrusivo”. Noyb, una ordenamiento austriaca de privacidad sin fines de utilidad, dijo que los cambios “no son ‘sustentar el nivel más stop de protección de datos personales’, sino protecciones enormemente menores para los europeos”.

Los actores de amenazas están aprovechando VPN maliciosas y extensiones de sitio de publicidad para los navegadores Google Chrome y Microsoft Edge para robar datos confidenciales. Las extensiones se instalaron colectivamente unas 31.000 veces. Las extensiones, una vez instaladas, podrían interceptar y redirigir cada página web visitada por los usuarios, compilar datos de navegación y una letanía de extensiones instaladas, modificar o deshabilitar otros proxy o herramientas de seguridad y enrutar el tráfico a través de servidores controlados por atacantes, dijo LayerX. Los nombres de algunas de las extensiones son VPN Professional: Proxy VPN ilimitado tirado, VPN ilimitado tirado, VPN-free.pro: VPN ilimitado tirado para una navegación segura, Bloqueador de anuncios: bloquea todos los anuncios y protege la privacidad y Detergente de anuncios para Facebook.

Un hombre de 45 abriles de Irvine, California, se declaró culpable de enjuagar al menos 25 millones de dólares robados en una estafa masiva de criptomonedas de 230 millones de dólares. Kunal Mehta (asimismo conocido como “Papá”, “El Contador” y “Shrek”) es el octavo pronunciado que se declara culpable por su décimo en este plan tras los cargos presentados por el Área de Conciencia en mayo de 2025. El plan utilizó ingeniería social para robar cientos de millones de dólares en criptomonedas de víctimas en todo Estados Unidos mediante elaboradas artimañas cometidas en ristra y mediante números de teléfono falsos entre octubre de 2023 y marzo de 2025, aproximadamente, según el Área de Conciencia de Estados Unidos. Las ganancias robadas se utilizaron para comprar artículos de suntuosidad, casas de arriendo, un equipo de guardias de seguridad privados y automóviles exóticos. “Mehta creó múltiples empresas espíritu en 2024 con el fin de enjuagar fondos a través de cuentas bancarias creadas para dar la apariencia de legalidad”, dijo el Área de Conciencia. “Para entregar los servicios de lavado de peculio de cripto a cable, Mehta recibió criptomonedas robadas del reunión, que ya habían lavado. Luego, Mehta transfirió la criptomoneda a asociados que la lavaron a través de sofisticadas técnicas de lavado de blockchain. Los fondos robados regresaron a las cuentas bancarias de la compañía espíritu de Mehta a través de transferencias electrónicas entrantes de compañías espíritu adicionales organizadas por otros en todo Estados Unidos”. Mehta asimismo entregó personalmente efectivo cuando lo solicitaron los miembros, al mismo tiempo que realizaba transferencias bancarias y facilitaba la adquisición de automóviles exóticos a cambio de una tarifa del 10%.

Investigadores de ciberseguridad han revelado detalles de una descompostura de seguridad crítica en el producto Identity Manager de Oracle Fusion Middleware (CVE-2025-61757, puntuación CVSS: 9,8) que permite a un atacante no autenticado con comunicación a la red a través de HTTP comprometer y tomar el control de sistemas susceptibles. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. “Este RCE de autenticación previa que encontramos asimismo habría podido violar login.us2.oraclecloud.com, ya que ejecutaba tanto OAM como OIM”, dijeron Adam Kues y Shubham Shah de Searchlight Cyber. “La vulnerabilidad que nuestro equipo descubrió sigue un patrón ascendiente en Java: los filtros diseñados para restringir la autenticación a menudo contienen fallas de omisión de autenticación fáciles de explotar. Las fallas lógicas en cómo Java interpreta los URI de solicitud son un regalo que continúa dando cuando se combina con parámetros de matriz”. Oracle abordó la vulnerabilidad el mes pasado.

Una descompostura de seguridad crítica en el relé inteligente Shelly Pro 4PM (CVE-2025-11243, puntuación CVSS: 8.3) que un atacante podría rendir para provocar un reinicio del dispositivo, limitando la capacidad de detectar un consumo de energía anormal o exponer circuitos a riesgos de seguridad no deseados. “Las entradas inesperadas a múltiples métodos JSON-RPC en Shelly Pro 4PM v1.4.4 pueden agotar los medios y provocar reinicios del dispositivo”, dijo Nozomi Networks. “Si adecuadamente el problema no permite la ejecución de código ni el robo de datos, se puede utilizar para provocar interrupciones sistemáticas y repetitivas, lo que afecta las rutinas de automatización y la visibilidad tanto en el contexto del hogar como del edificio”. Se recomienda a los usuarios que actualicen a la traducción 1.6.0 y eviten la exposición directa a Internet.

Keonne Rodríguez y William Lonergan Hill, cofundadores del servicio de mezcla de criptomonedas Samourai Wallet, fueron sentenciados a cinco y cuatro abriles de prisión, respectivamente, por su papel en entregar más de 237 millones de dólares en transacciones ilegales. Los dos acusados ​​se declararon culpables de los cargos de transmitir deliberadamente ganancias criminales en agosto de 2025. Los acusados, según los fiscales estadounidenses, diseñaron Samourai en torno a un servicio de mezcla de Bitcoin conocido como Whirlpool y Ricochet para ocultar la naturaleza de las transacciones ilícitas. “Más de 237 millones de dólares de ganancias criminales blanqueadas a través de Samourai provinieron, entre otras cosas, del tráfico de drogas, mercados de redes oscuras, intrusiones cibernéticas, fraudes, jurisdicciones sancionadas, esquemas de homicidio a sueldo y un sitio web de pornografía de niño”, dijo el Área de Conciencia de Estados Unidos.

Se identificó una descompostura de seguridad (CVE-2025-64756, puntuación CVSS: 7.5) en el indicador -c/–cmd de glob CLI que podría resultar en la inyección de comandos del sistema activo, lo que llevaría a la ejecución remota de código. “Cuando planeta -c “, los nombres de archivos coincidentes se pasan a un shell con shell: true, lo que permite que los metacaracteres del shell en los nombres de archivos activen la inyección de comandos y logren la ejecución de código gratuito bajo los privilegios de heredero o de la cuenta CI”, dijeron los mantenedores de glob en una alerta. Un atacante podría rendir la descompostura para ejecutar comandos arbitrarios, comprometiendo la máquina de un desarrollador o allanando el camino para el envenenamiento de la condena de suministro a través de paquetes maliciosos. La vulnerabilidad afecta a las versiones de Glob desde 10.2.0 hasta 11.0.3 Se ha parcheado en las versiones 10.5.0, 11.1.0 y 12.0.0. Según AISLE, que descubrió e informó la descompostura unido con Gyde04, “no se ve afectado si solo usa la API de la biblioteca glob (glob(), globSync(), iteradores asíncronos) sin invocar la utensilio CLI”.

Según CNN, un ciudadano ruso presuntamente afiliado al reunión de piratería informática Void Blizzard (asimismo conocido como Laundry Bear) ha sido arrestado en Phuket. Denis Obrezko, de 35 abriles, fue arrestado el 6 de noviembre de 2025, como parte de una operación conjunta entre la Oficina Federal de Investigaciones (FBI) de Estados Unidos y funcionarios tailandeses. Fue arrestado una semana a posteriori de ingresar al país en un revoloteo con destino a Phuket. A principios de mayo, Microsoft atribuyó a Void Blizzard a operaciones de espionaje dirigidas a organizaciones que son importantes para los objetivos del gobierno ruso, incluidas aquellas en el gobierno, la defensa, el transporte, los medios de comunicación, las organizaciones no gubernamentales (ONG) y los sectores de la salubridad en Europa y América del Ideal, desde al menos abril de 2024.

X ha revelado Chat, una puesta al día cifrada del servicio de correo directa de la plataforma con soporte para videollamadas y llamadas de voz, mensajes que desaparecen y uso compartido de archivos. En una publicación X, la plataforma de redes sociales dijo que los usuarios pueden cerrar capturas de pantalla y cobrar notificaciones de los intentos. X comenzó a implementar mensajes directos cifrados por primera vez en mayo de 2023 antiguamente de pausar la función el 29 de mayo de 2025 para realizar algunas mejoras. “Al ingresar al Chat por primera vez, se crea un par de claves públicas y privadas específicas para cada heredero”, dijo la compañía. “Se solicita a los usuarios que ingresen un PIN (que nunca sale del dispositivo), que se usa para sustentar la esencia privada almacenada de forma segura en la infraestructura de X. Esta esencia privada luego se puede recuperar desde cualquier dispositivo si el heredero conoce el PIN. Adicionalmente de los pares de claves pública y privada, hay una esencia por conversación que se usa para abreviar el contenido de los mensajes. Los pares de claves pública y privada se usan para trocar la esencia de conversación de forma segura entre los usuarios participantes”.

Se ha observado una nueva campaña de phishing que utiliza las invitaciones de usuarios invitados de Microsoft Entra para engañar a los destinatarios y hacer llamadas telefónicas a atacantes que se hacen suceder por soporte de Microsoft. La campaña de malware utiliza invitaciones de inquilinos de Microsoft Entra enviadas desde la dirección legítima invites@microsoft(.)com para evitar los filtros de correo electrónico y establecer confianza con los objetivos.

Un ciudadano ucraniano que se cree es un desarrollador del reunión de cibercrimen Jabber Zeus ha sido extraditado de Italia a los EE. UU. El hombre, Yuriy Igorevich Rybtsov, de 41 abriles, de Donetsk, supuestamente es MrICQ (asimismo conocido como John Doe #3), según un noticia del periodista de seguridad Brian Krebs. Se le acusa de resolver notificaciones de entidades recientemente comprometidas, así como de blanquear los ingresos ilícitos del plan. Otro miembro del reunión, Vyacheslav “Tank” Igorevich Penchukov, se declaró culpable de su papel en dos esquemas de malware diferentes, Zeus e IcedID, en febrero de 2024. Más tarde, ese mismo julio, fue sentenciado a 18 abriles y se le ordenó sufragar más de 73 millones de dólares en restitución a las víctimas. En declaraciones exclusivas a la BBC a principios de este mes, el hombre de 39 abriles se describió a sí mismo como un “tipo afable”. En un momento poliedro, abandonó el cibercrimen para iniciar una empresa de adquisición y liquidación de carbón, pero se vio atraído nuevamente por el atractivo del ransomware. Mientras tanto, asimismo aprende francés e inglés. Penchukov asimismo reconoció que los grupos rusos de cibercrimen trabajaban con servicios de seguridad, como el FSB. “No puedes hacer amigos en el cibercrimen, porque al día subsiguiente tus amigos serán arrestados y se convertirán en informantes”, dijo. “La paranoia es una amiga constante de los hackers”. En un noticia publicado este mes, la investigadora de Analyst1 Anastasia Sentsova dijo que “el Estado ruso se ha ensuciado las manos y ha creado varios grupos hacktivistas para apoyar su cruzada en Ucrania”.

Estados Unidos, el Reino Unido y Australia han sancionado al proveedor ruso de hosting a prueba de balas (BPH, por sus siglas en inglés) Media Land y a sus ejecutivos, incluido el director militar Aleksandr Volosovik (asimismo conocido como Yalishanda), por cumplimentar servicios a grupos de cibercrimen y ransomware como Evil Corp, LockBit, Black Puntada, BlackSuit y Play. La Oficina de Control de Activos Extranjeros (OFAC) del Área del Caudal de EE. UU. asimismo ha designado a Hypercore Ltd., una empresa pantalla de Aeza Group LLC (Aeza Group), unido con dos personas adicionales y dos entidades que han liderado, apoyado materialmente o actuado para Aeza Group, incluidos Maksim Vladimirovich Makarov, Ilya Vladislavovich Zakirov, Smart Digital Ideas DOO y Datavice MCHJ. “Estos proveedores de servicios de alojamiento llamados a prueba de balas, como Media Land, brindan a los ciberdelincuentes servicios esenciales para ayudarlos a atacar empresas en los Estados Unidos y en los países aliados”, dijo el Subsecretario del Caudal para Terrorismo e Inteligencia Financiera, John K. Hurley. Al mismo tiempo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una alerta para ayudar a los proveedores de servicios de Internet y a los defensores de la red a mitigar los riesgos que plantean los proveedores de BPH. “Estos proveedores permiten actividades maliciosas como ransomware, phishing, entrega de malware y ataques de denegación de servicio (DoS), lo que representa un aventura inminente y significativo para la resiliencia y seguridad de los sistemas y servicios críticos”, dijo CISA.

Investigadores de ciberseguridad han audaz una implementación en C# de PoolParty, una colección de técnicas de inyección de procesos que apuntan a grupos de subprocesos de Windows para evitar los sistemas de respuesta y detección de puntos finales (EDR). PoolParty fue detallado por primera vez por SafeBreach a finales de 2023. Su implementación en C#, cuyo nombre en código es SharpParty por Trustwave y Stroz Friedberg, permite utilizar las técnicas de PoolParty en herramientas que aprovechan las tareas de MSBuild en ristra en archivos XML.

Los investigadores de ciberseguridad han detallado un nuevo malware bandido de macOS llamado NovaStealer que puede filtrar archivos relacionados con billeteras, compilar datos de telemetría y reemplazar aplicaciones legítimas de Ledger/Trezor con copias manipuladas. “Un dropper desconocido exploración y ejecuta mdriversinstall.sh, que instala un pequeño orquestador de scripts en ~/.mdrivers y registra un LaunchAgent etiquetado como application.com.artificialintelligence”, dijo un investigador de seguridad que se hace atraer Bruce. “Este orquestador extrae scripts adicionales codificados en b64 del C2, los coloca en ~/.mdrivers/scripts y los ejecuta en sesiones de pantalla independientes en segundo plano. Admite actualizaciones y maneja el reinicio de sesiones de pantalla responsables”.