Hack de Wi-Fi, gusano npm, robo de DeFi, ataques de phishing y 15 historias más

Un exploit crítico dirigido al agrupación yETH de Yearn Finance en Ethereum ha sido explotado por actores de amenazas desconocidos, lo que resultó en el robo de aproximadamente $9 millones del protocolo. Se dice que el ataque abusó de una rotura en la forma en que el protocolo administra su contabilidad interna, derivada del hecho de que un elegancia que contenía títulos calculados para dosificar en tarifas de gas nunca se borró cuando el agrupación se vació por completo. “El atacante logró esto acuñando una cantidad astronómica de tokens – 235 septillones de yETH (un número de 41 dígitos) – mientras depositaba solo 16 wei, con un valía vecino de $0,0000000000000000045”, dijo Check Point. “Esto representa uno de los exploits más eficientes en términos de renta en la historia de DeFi”.

Fortinet dijo que descubrió 151 nuevas muestras de BPFDoor y tres de Symbiote que explotan los filtros de paquetes Berkeley extendidos (eBPF) para mejorar el sigilo a través del soporte IPv6, el tráfico UDP y el brinco dinámico de puertos para la comunicación estafa de comando y control (C2). En el caso de Symbiote, las instrucciones de BPF muestran que la nueva modificación solo acepta paquetes IPv4 o IPv6 para los protocolos TCP, UDP y SCTP en puertos no estereotipado 54778, 58870, 59666, 54879, 57987, 64322, 45677 y 63227. Al ascender a BPFDoor, se han antagónico los artefactos recientemente identificados. para albergar IPv4 e IPv6, así como cambiar a un mecanismo de paquete mágico completamente diferente. “Los autores de malware están mejorando sus filtros BPF para aumentar sus posibilidades de evitar la detección. Symbiote utiliza brinco de puerto en puertos UDP altos y BPFDoor implementa soporte IPv6”, dijo la investigadora de seguridad Axelle Apvrille.

Microsoft dijo que detectó y bloqueó el 26 de noviembre de 2025 una campaña de phishing de gran bombeo de un actor de amenazas llamado Storm-0900. “La campaña utilizó multas de estacionamiento y resultados de pruebas médicas y hizo narración al Día de Actividad de Gracias para dar credibilidad y sujetar las sospechas de los destinatarios”, dijo. “La campaña constaba de decenas de miles de correos electrónicos y estaba dirigida principalmente a usuarios de Estados Unidos”. Las URL redirigían a una página de inicio controlada por un atacante que primero requería que los usuarios resolvieran un CAPTCHA deslizante haciendo clic y arrastrando un control deslizante, seguido de ClickFix, que engañaba a los usuarios para que ejecutaran un script de PowerShell astuto con el pretexto de completar un paso de demostración. El objetivo final de los ataques era entregar un malware modular conocido como XWorm que permite el llegada remoto, el robo de datos y la implementación de cargas enseres adicionales. “Storm-0900 es un actor de amenazas prolífico que, cuando está activo, asta campañas de phishing todas las semanas”, dijo Microsoft.

Se ha observado una nueva campaña de phishing que distribuye correos electrónicos falsos que afirman ser sobre una subvención por logros profesionales y que los atrae con supuestas subvenciones monetarias. “Incluye un ZIP protegido con contraseña y detalles personalizados para que parezca auténtico, instando a la víctima a destapar el ‘paquete digital seguro’ adjunto para pedir el premio, configurando la esclavitud de phishing y malware de credenciales que sigue”, dijo Trustwave. El archivo ZIP contiene una página HTML diseñada para realizar phishing de sus credenciales de correo web y exfiltrarlas a un bot de Telegram. Luego, se utiliza una imagen SVG maliciosa para activar una esclavitud PowerShell ClickFix que instala Stealerium infostealer para solucionar un supuesto problema con Google Chrome.

Una nueva ola de actividad de phishing lanzazo vinculada al conjunto de intrusión del ilación Rusia COLDRIVER se ha dirigido a la estructura sin fines de beneficio Reporteros sin Fronteras (RSF), que fue designada como entidad “indeseable” por el Kremlin en agosto de 2025. El ataque, observado en marzo de 2025, se originó en una dirección de Proton Mail, instando a los objetivos a revisar un documento astuto compartiendo un enlace que probablemente redireccionaba a una URL de Proton Drive que aloja un archivo PDF. En otro caso dirigido a una víctima diferente, el PDF se adjuntó al mensaje de correo electrónico. “El archivo recuperado es un señuelo distintivo de Calisto: muestra un ícono y un mensaje que afirma que el PDF está encriptado, indicando al agraciado que haga clic en un enlace para abrirlo en Proton Drive”, dijo Sekoia. “Cuando el agraciado hace clic en el enlace, primero es redirigido a un redirector Calisto alojado en un sitio web comprometido, que luego lo reenvía al kit de phishing del actor de la amenaza”. El redirector es un script PHP implementado en sitios web comprometidos, que en última instancia lleva a las víctimas a una página de phishing de adversario en el medio (AiTM) que puede capturar sus credenciales de Proton. Desde entonces, Proton eliminó las cuentas controladas por el atacante.

Google ha ampliado la protección contra estafas durante llamadas en Android a Cash App y JPMorganChase en EE. UU., luego de probar la función en el Reino Unido, Brasil e India. “Cuando inicias una aplicación financiera participante mientras compartes la pantalla y estás en una llamamiento telefónica con un número que no está guardado en tus contactos, tu dispositivo Android te advertirá automáticamente sobre los peligros potenciales y te dará la opción de finalizar la llamamiento y dejar de compartir la pantalla con solo un toque”, dijo Google. “La advertencia incluye un período de pausa de 30 segundos antiguamente de que puedas continuar, lo que ayuda a romper el ‘hechizo’ de la ingeniería social del estafador, interrumpiendo la falsa sensación de necesidad y pánico comúnmente utilizada para manipularte y cometer una estafa”. La función es compatible con dispositivos Android 11+.

Un empaquetador previamente no documentado para malware de Windows llamado TangleCrypt se utilizó en un ataque de ransomware Qilin en septiembre de 2025 para ocultar cargas enseres maliciosas como el diabólico STONESTOP EDR mediante el uso del regulador ABYSSWORKER como parte de un ataque de “traiga su propio regulador frágil” (BYOVD) para finalizar por la fuerza los productos de seguridad instalados en el dispositivo. “La carga útil se almacena adentro de los posibles PE a través de múltiples capas de codificación base64, compresión LZ78 y criptográfico XOR”, dijo WithSecure. “El cargador admite dos métodos para divulgar la carga útil: en el mismo proceso o en un proceso secundario. El método estimado se define mediante una esclavitud adjunta a la carga útil incrustada. Para dificultar el examen y la detección, utiliza algunas técnicas comunes como el criptográfico de cadenas y la resolución dinámica de importación, pero se descubrió que todas ellas son relativamente simples de evitar. Aunque el empaquetador tiene un diseño interesante en genérico, identificamos varias fallas en la implementación del cargador que pueden causar que la carga útil falle o muestre otro comportamiento inesperado”.

Let’s Encrypt ha anunciado oficialmente planes para sujetar el período mayor de validez de sus certificados SSL/TLS de 90 días a 45 días. La transición, que se completará en 2028, se alinea con cambios más amplios de la industria exigidos por los requisitos básicos de CA/Browser Forum. “Achicar la duración de la validez de los certificados ayuda a mejorar la seguridad de Internet, al amojonar el calibre del compromiso y hacer que las tecnologías de revocación de certificados sean más eficientes”, dijo Let’s Encrypt. “Asimismo estamos reduciendo el período de reutilización de la autorización, que es el tiempo luego de validar el control de dominio que permitimos que se emitan certificados para ese dominio. Actualmente es de 30 días, que se reducirá a 7 horas para 2028”.

Se ha publicado en el mercado oficial de VS Code una extensión maliciosa de Visual Studio Code (VS Code) llamamiento “prettier-vscode-plus”, haciéndose acontecer por el formateador auténtico de Prettier. El ataque comienza con un cuentagotas de Visual Basic Script que está diseñado para ejecutar un script de PowerShell integrado para recuperar las cargas enseres de la próximo etapa. “La extensión sirvió como punto de entrada para una esclavitud de malware de varias etapas, comenzando con el cargador Anivia, que descifraba y ejecutaba cargas adicionales en la memoria”, dijo Hunt.io. “OctoRAT, la carga útil de la tercera etapa lanzazo por el cargador Anivia, proporcionó llegada remoto completo, incluidos más de 70 comandos para vigilancia, robo de archivos, control de escritorio remoto, persistencia, subida de privilegios y acoso”. Algunos aspectos del ataque fueron revelados el mes pasado por Checkmarx.

Las agencias de inteligencia y ciberseguridad de Australia, Canadá, Alemania, los Países Bajos, Nueva Zelanda, el Reino Unido y los EE. UU. han publicado nuevas directrices para la integración segura de la Inteligencia Industrial (IA) en entornos de Tecnología Operacional (OT). Los principios esencia incluyen educar al personal sobre los riesgos de la IA y sus impactos, evaluar casos de negocios, implementar marcos de gobernanza para avalar el cumplimiento normativo y apoyar la supervisión, teniendo en cuenta la seguridad y la protección. “Ese tipo de coordinación es poco popular y señala la importancia de este tema”, dijo Floris Dankaart, regente principal de productos de detección y respuesta extendida administrada en NCC Group. “Igualmente importante es que la mayoría de las directrices sobre IA abordan TI, no OT (los sistemas que mantienen en funcionamiento las redes eléctricas, el tratamiento de agua y los procesos industriales). Es reconfortante y necesario ver a los reguladores cachear los riesgos específicos de OT y proporcionar principios viables para integrar la IA de forma segura en estos entornos”.

El gobierno indio ha revelado que las autoridades locales han detectado suplantación de GPS y interferencias en ocho aeropuertos importantes, incluidos los de Delhi, Kolkata, Amritsar, Mumbai, Hyderabad, Bangalore y Chennai. Sin requisa, el ministro de Aviación Civil, Ram Mohan Naidu Kinjarapu, no proporcionó ningún detalle sobre el origen de la suplantación y/o interferencia, pero señaló que los incidentes no causaron ningún daño. “Para mejorar la seguridad cibernética contra amenazas globales, la AAI (Autoridad de Aeropuertos de la India) está implementando soluciones avanzadas de seguridad cibernética para redes e infraestructura de TI”, dijo Naidu.

El segundo ataque a la esclavitud de suministro de Shai-Hulud dirigido al registro npm expuso cerca de de 400.000 secretos brutos únicos luego de comprometer más de 800 paquetes y imprimir datos robados en 30.000 repositorios de GitHub. De estos, sólo cerca de del 2,5% están verificados. “El vector de infección dominante es el paquete @postman/tunnel-agent-0.6.7, con @asyncapi/specs-6.8.3 identificado como el segundo más frecuente”, dijo Wiz. “Estos dos paquetes representan más del 60% del total de infecciones. Se cree que PostHog, que proporcionó una necropsia detallada del incidente, es el ‘paciente cero’ de la campaña. El ataque surgió de una rotura en la configuración del flujo de trabajo CI/CD que permitió que el código astuto de una solicitud de cuna se ejecutara con suficientes privilegios para capturar secretos de detención valía. “En este punto, se confirma que el vector de llegada auténtico en este incidente fue el desmán de pull_request_target a través de una solicitud PWN”, agregó Wiz. Se ha descubierto que el rata autorreplicante roba credenciales de la nubarrón y las utiliza para “ceder a servicios de dependencia de secretos nativos de la nubarrón”, adicionalmente de liberar código destructivo que poso los datos del agraciado si el rata no logra propagarse más.

Michael Clapsis, un australiano de 44 primaveras, ha sido condenado a más de siete primaveras de prisión por configurar puntos de llegada Wi-Fi falsos para robar datos personales. El perceptible, perceptible en junio de 2024, operó puntos de llegada Wi-Fi gratuitos falsos en los aeropuertos de Perth, Melbourne y Adelaide durante múltiples vuelos nacionales y en el trabajo. Implementó redes gemelas malvadas para redirigir a los usuarios a páginas de phishing y capturar credenciales, utilizando seguidamente la información para ceder a cuentas personales y compendiar fotografías y videos íntimos de mujeres. Clapsis incluso hackeó a su empleador en abril de 2024 y accedió a correos electrónicos entre su caudillo y la policía luego de su arresto. La investigación se inició ese mes luego de que un empleado de la aerolínea descubriera una red Wi-Fi sospechosa durante un revoloteo franquista. “El hombre utilizó un dispositivo de llegada inalámbrico portátil, a veces conocido como Wi-Fi Pineapple, para escuchar pasivamente las solicitudes de escarbado del dispositivo”, dijo la Policía Federal Australiana (AFP). “Al detectar una solicitud, Wi-Fi Pineapple crea instantáneamente una red coincidente con el mismo nombre, engañando al dispositivo haciéndole creer que es una red confiable. Luego, el dispositivo se conectará automáticamente”.

Las autoridades de Corea del Sur arrestaron a cuatro personas, que se cree que trabajaban de forma independiente, por piratear colectivamente más de 120.000 cámaras de protocolo de Internet. Se dice que tres de los sospechosos tomaron las imágenes grabadas en casas privadas e instalaciones comerciales, incluida una clínica ginecológica, y crearon cientos de materiales de explotación sexual para venderlos en un sitio para adultos extranjero (denominado “Sitio C”). Adicionalmente, tres personas que compraron dicho contenido ilegal en el sitio web ya han sido arrestadas y enfrentan hasta tres primaveras de prisión.

Un escaneo de cerca de de 5,6 millones de repositorios públicos en GitLab ha revelado más de 17.000 secretos activos verificados, según TruffleHog. Las credenciales de Google Cloud Platform (GCP) fueron el tipo de secreto más filtrado en los repositorios de GitLab, seguido de MongoDB, Telegram bots, OpenAI, OpenWeather, SendGrid y Amazon Web Services. Los 17.430 secretos filtrados pertenecían a 2.804 dominios únicos, y el secreto válido más antiguo se remonta al 16 de diciembre de 2009.

Se ha observado que la alianza cibercriminal conocida como Scattered LAPSUS$ Hunters persigue los servidores de Zendesk en un esfuerzo por robar datos corporativos que pueden utilizar para operaciones de rescate. ReliaQuest dijo que detectó más de 40 dominios con errores tipográficos y suplantaciones que imitaban entornos de Zendesk. “Algunos de los dominios albergan páginas de phishing con portales falsos de inicio de sesión único (SSO) diseñados para robar credenciales y engañar a los usuarios”, dijo. “Asimismo tenemos evidencia que sugiere que se están enviando tickets fraudulentos directamente a portales legítimos de Zendesk operados por organizaciones que utilizan la plataforma para servicio al cliente. Estos envíos falsos están diseñados para apuntar al personal de soporte y amparo técnica, infectándolos con troyanos de llegada remoto (RAT) y otros tipos de malware”. Si acertadamente los patrones de infraestructura apuntan al evidente agrupación de delitos cibernéticos, ReliaQuest dijo que no se pueden descartar imitadores inspirados por el éxito del agrupación.

Cato Networks ha demostrado que es posible utilizar Claude Skills de Anthropic, que permite a los usuarios crear y compartir módulos de código personalizados que amplían las capacidades del chatbot de IA, para ejecutar un ataque de ransomware MedusaLocker. La prueba muestra “cómo una tacto confiable podría desencadenar un comportamiento actual de ransomware de un extremo a otro en el mismo contexto de aprobación”, dijo la compañía. “Conveniente a que las habilidades se pueden compartir independientemente a través de repositorios públicos y canales sociales, una tacto de ‘productividad’ convincente podría propagarse fácilmente a través de la ingeniería social, convirtiendo una característica diseñada para ampliar las capacidades de su IA en un vector de entrega de malware”. Sin requisa, Anthropic respondió a la prueba de concepto (PoC) afirmando que la función es por diseño, agregando que “las habilidades están diseñadas intencionalmente para ejecutar código” y que a los usuarios se les pregunta y advierte explícitamente antiguamente de ejecutar una tacto. Cato Networks ha argumentado que la principal preocupación viaje en torno a encomendar en la tacto. “Una vez que se aprueba una tacto, obtiene permisos persistentes para adivinar/escribir archivos, descargar o ejecutar código adicional y destapar conexiones salientes, todo sin más indicaciones ni visibilidad”, señaló. “Esto crea una brecha de consentimiento: los usuarios aprueban lo que ven, pero los ayudantes ocultos aún pueden realizar acciones sensibles detrás de suceso”.

Se ha observado que un cargador .NET utiliza técnicas esteganográficas para distribuir varios troyanos de llegada remoto como Radiofuente RAT y LokiBot. El cargador, según Splunk, se disfraza de documento comercial auténtico para engañar a los usuarios para que descompriman y abran el archivo. Una vez iniciado, descifra y carga un módulo adicional directamente en el espacio de memoria asignado al proceso. LokiBot “se dirige principalmente a Windows (y variantes posteriores de Android), recopilando credenciales de navegadores y aplicaciones, billeteras de criptomonedas y pulsaciones de teclas, y puede proporcionar puertas traseras para más cargas enseres”, dijo Splunk.

Deep Instinct ha analizado un binario de 64 bits vinculado a un agrupación de hackers conocido como Nimbus Manticore. Está compilado utilizando Microsoft Visual C/C++ y Microsoft Linker. El malware, adicionalmente de presentar capacidades avanzadas para cargar dinámicamente componentes adicionales en tiempo de ejecución y ocultarse de las herramientas de examen suspenso, intenta moverse lateralmente a través de la red y obtener llegada elevado. “Este malware no se contenta con permanecer en una sola máquina comprometida”, dijo la compañía. “Quiere expandirse, obtener llegada funcionario y posicionarse para conseguir el mayor impacto en toda su infraestructura”.

Se ha descubierto que los actores de amenazas se hacen acontecer por personal de TI en ataques de ingeniería social a través de Microsoft Teams para acercarse a las víctimas y engañarlas para que instalen Quick Assist luego de proporcionar sus credenciales en un enlace de phishing compartido en la plataforma de correo. Asimismo se ejecutaron comandos para realizar inspección, comando y control (C2) y exfiltración de datos, así como eliminar lo que parece ser un chorizo de información compilado en Python. Sin requisa, el aspecto más extraordinario del ataque es que aprovecha la función de llegada de invitados de Teams para despachar invitaciones. “El 4 de noviembre de 2025, se observó actividad sospechosa en el entorno de un cliente a través de la función ‘Chatear con cualquier persona’ de Microsoft Teams, que permite despachar mensajes directos con usuarios externos a través de direcciones de correo electrónico”, dijo CyberProof. “Un agraciado foráneo (mostafa.s@dhic.edu(.)por ejemplo) se puso en contacto con el agraciado en Teams, afirmando ser del soporte de TI”.

Se ha utilizado un software de descarga de C++ llamado Matanbuchus en campañas que distribuyen el chorizo de información Rhadamanthys y NetSupport RAT. Observado por primera vez en 2020, el malware está diseñado principalmente para descargar y ejecutar cargas enseres de segunda etapa. La lectura 3.0 de Matanbuchus se identificó en estado salvaje en julio de 2025. “En la lectura 3.0, el desarrollador de malware añadió Protocol Buffers (Protobufs) para serializar los datos de comunicación de la red”, dijo Zscaler. “Matanbuchus implementa una serie de técnicas de ofuscación para evitar la detección, como sumar código basura, cadenas cifradas y resolver funciones API de Windows mediante hash. Las funciones antianálisis adicionales incluyen una plazo de vencimiento codificada que evita que Matanbuchus se ejecute indefinidamente y establece persistencia a través del código shell descargado que crea una tarea programada”.