Herramientas de piratería de 0 días, AI, Flips de bits DDR5, gusano NPM y más

El panorama de seguridad ahora se mueve a un ritmo que ningún ciclo de parche puede coincidir. Los atacantes no esperan actualizaciones trimestrales o soluciones mensuales: se adaptan en cuestión de horas, combinando nuevas técnicas con defectos viejos y olvidados para crear nuevas aperturas. Una vulnerabilidad cerrada ayer puede convertirse en el plan para la violación del mañana.

El sinopsis de esta semana explora las tendencias que impulsan esa rotación constante: cómo los actores de amenaza reutilizan tácticas comprobadas de guisa inesperada, cómo las tecnologías emergentes amplían la superficie de ataque y qué los defensores pueden memorizar antaño del próximo pivote.

Siga leyendo para ver no solo lo que sucedió, sino lo que significa, así que puede mantenerse a la vanguardia en oficio de guerrear para ponerse al día.

⚡ Amenaza de la semana

Google Patches explotó activamente Chrome 0 días – Google publicó actualizaciones de seguridad para el navegador web Chrome para tocar cuatro vulnerabilidades, incluida una que dijo que ha sido explotada en la naturaleza. La vulnerabilidad del día cero, CVE-2025-10585, se ha descrito como un problema de confusión de tipo en el motor V8 JavaScript y WebAssembly. La compañía no compartió ningún detalle adicional sobre cómo se está abusando de la vulnerabilidad en los ataques del mundo vivo, por quién o la escalera de tales esfuerzos. “Google es consciente de que existe un exploit para CVE-2025-10585 en la naturaleza”, reconoció. CVE-2025-10585 es la sexta vulnerabilidad del día cero en Chrome que se ha explotado o demostrado activamente como una prueba de concepto (POC) desde el manifestación del año.

🔔 Noticiero principales

• La aparejo de prueba de pluma de aldeanos con IA presenta 11,000 descargas de Pypi -Una nueva aparejo de prueba de penetración de inteligencia químico (AI) llamamiento Villager ha corto casi 11,000 descargas en el Índice de paquetes de Python (PYPI) solo dos meses a posteriori del extensión. La rápida asimilación de lo que parece ser una aparejo legítima se hace eco de la trayectoria de Cobalt Strike, Sliver y Brute Ratel C4 (BRC4), que se crearon para uso genuino, pero que desde entonces se han convertido en algunas de las herramientas favoritas entre los cibercriminales. La libramiento de aldeano asimismo ha planteado preocupaciones sobre el atropello de doble uso, y los actores de amenazas potencialmente lo utilizan para ejecutar intrusiones avanzadas con velocidad y eficiencia.
• Ataque de Rowhammer contra DDR5 RAM de SK Hynix – Los investigadores han ideado una nueva técnica para desencadenar volteos de bits Rowhammer interiormente de las células de memoria de los módulos DDR5 RAM, que se creía que estaban protegidos contra tales ataques. El ataque permite la modificación de la memoria controlada, lo que lleva a las exploits de ascenso de privilegios o la fuga de datos confidenciales almacenados en regiones de memoria restringidas. “Nuestros esfuerzos de ingeniería inversa muestran que los patrones de Rowhammer significativamente más largos son necesarios hoy en día para evitar estas nuevas protecciones”, dijeron los investigadores. “Para activar las fletas de bits de Rowhammer, tales patrones deben permanecer en sincronización con miles de comandos de aggiornamento, lo cual es un desafío. Nuestro nuevo ataque de Rowhammer, llamado Phoenix, resincroniza estos largos patrones según sea necesario para activar los primeros volteos de bits DDR5 en dispositivos con protecciones de TRR tan avanzadas”.
• Miembros de araña dispersos arrestados – Las autoridades de aplicación de la ley en el Reino Unido arrestaron a dos miembros adolescentes del clan de piratería de arañas dispersas en relación con su supuesta décimo en un ataque cibernético de agosto de 2024 dirigido al transporte para Londres (TFL), la agencia de transporte manifiesto de la ciudad. Thalha Jubair (asimismo conocida como EarthTostar, Brad, Austin y @autistic), de 19 primaveras, del este de Londres, y Owen Flowers, de 18 primaveras, de Walsall, West Midlands fueron arrestados en sus direcciones de casa. Paralelamente, el Área de Rectitud de los Estados Unidos (DOJ) reveló una queja que cobró a Jubair de conspiraciones para cometer fraude informático, fraude electrónico y lavado de peculio en relación con al menos 120 intrusiones de la red informática y trastornar a 47 entidades estadounidenses de mayo de 2022 a septiembre de 2025. Víctimas de los ataques de ransomware pagó al menos $ 115,000,000 en pagos. In a related but separate announcement, the Los Angeles Metropolitan Police Department said a teenage male surrendered by himself on September 17, 2025, for allegedly attacking multiple Las Vegas casino properties between August and October 2023. The juvenile suspect has been charged with three counts of Obtaining and Using Personal Identifying Information of Another Person to Harm or Impersonate Person, one count of extortion, one count of Conspiracy to Commit Extortion, and one count of Actos ilegales con respecto a las computadoras. Los osadía se produjeron cuando 15 grupos de delitos electrónicos conocidos, incluidos Sptered Spider, Shinyhunters y Lapsus $, anunciaron que están cerrando sus operaciones. El anuncio colectivo se publicó sobre incumplimiento, donde los grupos afirmaron que habían rematado sus objetivos de exponer las debilidades en la infraestructura digital en oficio de beneficiarse a través de la trastorno. Si correctamente es muy posible que algunos de los miembros hayan decidido dar un paso detrás y disfrutar de sus ganancias, no impide que los grupos de imitación se levanten y tomen sus lugares, o incluso para que los actores de amenaza resurgan bajo una marca diferente.
• Gameredon y Turla se unen a las manos para machucar Ucrania – El clan de piratas informáticos rusos conocido como Turla ha llevado a sitio algunas de las hazañas de piratería más innovadoras en la historia del espionaje cibernético, incluido el secuestro de operaciones de otros piratas informáticos para proteger su propia extirpación de datos. Incluso cuando operan en su zona casero, han prohijado métodos igualmente notables, como utilizar su control de los proveedores de servicios de Internet de Rusia para plantar directamente el software informador en las computadoras de sus objetivos en Moscú. El postrer enfoque implica emplear el entrada obtenido por el clan FSB Gamaredon para apuntar selectivamente objetivos de detención valencia con una puerta trasera conocida como Kazuar. El crecimiento marca los primeros casos conocidos de colaboración entre Gamaredón y Turla.
• Microsoft y Cloud Flaster Desmontar Raccoono365 Phas -La dispositivo de delitos digitales de Microsoft dijo que se asoció con Cloudflare para coordinar la incautación de 338 dominios utilizados por Raccoono365, un clan de amenazas motivado financieramente que estaba detrás de un Phishing-As-A-Seservice (PHAAS) Toolkit utilizado para robar más de 5,000 Credentiales de Microsoft 365 de 94 países de julio de 2024. Raccoono365 a la Subcatina a otros. Maniquí, permitiéndoles totalizar phishing y convento de credenciales ataques a escalera con poca o ninguna experiencia técnica. Un plan de 30 días cuesta $ 355, y un plan de 90 días tiene un precio de $ 999. Cloudflare dijo que prohibió todos los dominios identificados, colocó páginas intersticiales de “advertencia PHISH” frente a ellos, terminó los scripts de trabajadores asociados y suspendió las cuentas de los usuarios.
• Registro de lustaje de auto-replicación de NPM -Otro ataque de la prisión de suministro de software alcanzó el registro de NPM, esta vez infectando varios paquetes con un larva autorreplicante que búsqueda secretos en las máquinas de desarrolladores utilizando el escáner de credenciales de Trufflehog y los transmite a un servidor extranjero bajo el control del atacante. El ataque es capaz de apuntar a los sistemas Windows y Linux. Se estima que el incidente ha afectado más de 500 paquetes.

️‍🔥 tendencias cves

Los piratas informáticos no esperan. Explotan vulnerabilidades recientemente reveladas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de rotura. Una CVE sin parpadear es todo lo que se necesita para desplegar la puerta a un compromiso a gran escalera. A continuación se presentan las vulnerabilidades más críticas de esta semana, que hacen olas en toda la industria. Revise la tira, priorice el parche y obstrucción la ventana de oportunidad antaño que los atacantes.

La tira de esta semana incluye: CVE-2025-10585 (Google Chrome), CVE-2025-55241 (Microsoft Azure Entra), CVE-2025-10035 (transferencia de archivos administrados de Fortra Goanywhere), CVE-2025-58434 (Flowise), CVE-2025-58364, CVE-2025-58060 (Linix), Linux), Linux), Linux), Linux), CVEUX (LINAUX), LINAUX (LINAI CVE-2025-8699 (KioSoft), CVE-2025-5821 (heredero de Case Theme), CVE-2025-41248, CVE-2025-41249 (Spring Framework), CVE-2025-38501 (Linux Kernel KSMBD), CVE-2025-9242 (Watch Guguard FireBox), CVe-20252525252525252525252525252 (TP-Link), CVE-2025-5115, CVE-2025-59474 (Jenkins), CVE-2025-59340 (HubSpot Jinjava), CVE-2025-58321 (DelTa Electronics Dialink), CVE-2023-49564 (Nokia CloudBand. Traversal (LVE-2025-0257) y de autenticación de derpinaciones de la ascenso de privilegios locales (LVE-2025-0264) en las webos de LG para televisores inteligentes.

📰 aproximadamente del mundo cibernético

• La gran fuga de firewall de China -El gran firewall de China (GFW) sufrió su violación de datos internos más espacioso a posteriori de que los actores desconocidos publicaron un caudal de 600 GB de material confidencial, incluido el código fuente, registros de trabajo, archivos de configuración y comunicaciones internas. Los datos parecen provenir de los servidores de Gedge Networks y el laboratorio de descomposición de flujo masivo y efectivo (MESA) en el Instituto de Ingeniería de la Información, Entidad de Ciencias de China. Los esfuerzos de detalles de datos filtrados para realizar una inspección profunda de paquetes, monitoreo de Internet móvil en tiempo vivo, instrucciones sobre cómo resistir a sitio un control granular sobre el tráfico de datos y las reglas de censura adaptadas a diferentes regiones. InterSeclab asimismo argumenta que los datos indican que las autoridades chinas pueden delimitar a los internautas, y agregó que las contribuciones de Gedge al gran firewall pueden ser copias de los electrodomésticos hechos por los proveedores Greynoise y Fortinet. El crecimiento se produjo cuando Gedge Networks ha sido afectado para exportar tecnología para construir firewalls nacionales de censura. Los gobiernos de Kazajstán, Etiopía, Pakistán y Myanmar han comprado e instalado equipos de la compañía. “La compañía no solo brinda servicios a los gobiernos locales en Xinjiang, Jiangsu y Fujian, sino que asimismo exporta la censura y la tecnología de vigilancia a países como Myanmar, Pakistán, Etiopía y Kazakhstan bajo el situación ‘Belt and Road'”, dijo el gran referencia de Firewall.
• Los centros de estafa cibernética probablemente cambian a jurisdicciones vulnerables – Los grupos criminales transnacionales parecen estar mudando a los centros de estafa cibernética a países vulnerables a través de la inversión criminal en el extranjero directo (IED). La Oficina de las Naciones Unidas sobre Drogas y Crimen (DNUC) advirtió que había antagónico “indicaciones de actividad del centro de estafas, incluidas tarjetas SIM y dispositivos de Internet satelitales” en un hotel en la región administrativa exclusivo de Oecusse-Ambeno (RAEOA). “Con la creciente conciencia y la comprensión de los centros de estafa y la actividad criminal relacionada, la presión de la aplicación de la ley se ha intensificado en todo el sudeste oriental, lo que dificulta que los grupos de delitos organizados operen en áreas tradicionales de puntos de entrada”, aconsejó Undoc. “Como resultado, los sindicatos crean activamente vías para expandir las operaciones a nuevas jurisdicciones con experiencia limitada en respuestas de los centros de estafas, incluido Timor-Leste”.
• Las campañas de phishing decen herramientas RMM – Se han observado campañas de phishing que eliminan las herramientas de monitoreo y diligencia remota (RMM) ITARIAN (asimismo conocido como Comodo), PDQ, SimpleHelp y Atera, utilizando una variedad de señuelos de ingeniería social, como actualizaciones falsas de navegadores, invitaciones de reuniones, invitaciones de fiesta y formularios de gobierno falsos. “Los adversarios a menudo usan herramientas RMM de una guisa sigilosa y efectiva para retener el control sobre los sistemas comprometidos sin originar alarmas inmediatas”, dijo Red Canary de propiedad de ZScaler. “Las acciones de la tecla ejercicio permiten al adversario modificar sus comportamientos para que se mezclen con la actividad del administrador habitual, lo que complica las oportunidades de detección”. Incluso se ha antagónico que los ataques que despliegan a Itarian aprovechan el entrada para entregar cargador de secuestro y malware Deerstealer.
• Los archivos adjuntos de SVG en los correos electrónicos de phishing entregan ratas – Los actores de amenazas continúan aprovechando los archivos adjuntos de archivos SVG en correos electrónicos de phishing para entregar Xworm y REMCO a través de scripts de lotes de Windows. “Estas campañas a menudo comienzan con un archivo postal, típicamente alojado en plataformas de aspecto confiable como IMGKIT, y están diseñados para aparecer como contenido genuino para atraer la interacción del heredero”, dijo Seqrite Labs. Tras la extirpación, el archivo zip contiene un script de murceguillo en extremo ofuscado que sirve como la etapa original de la prisión de infección. Estos archivos BAT utilizan técnicas avanzadas para evitar la detección estática y son responsables de ejecutar cargadores basados ​​en PowerShell que inyectan la carga útil de RAT directamente en la memoria “.
• Buterat Backdoor detallada – Se ha identificado que una puerta trasera de Windows conocida como Buterat se distribuye a través de campañas de phishing, archivos adjuntos maliciosos o descargas de software troyanizadas para confiscar el control de puntos finales infectados de forma remota, implementar cargas enseres adicionales e exfiltrar información confidencial. “Una vez ejecutado, disfraza sus procesos bajo tareas legítimas del sistema, modifica las claves de registro de persistencia y utiliza canales de comunicación cifrados u ofuscados para evitar la detección basada en la red”, dijo Point Wild.
• Mac.C Stealer vuelve a marca a MacSync -El robador de información centrado en MacOS conocido como STALER MAC.C ha sido renombrado a MacSync, pero sigue el mismo maniquí de malware como servicio (MAAS). “El antiguo plan se arriesgaba a fallecer por desatiendo de tiempo y fondos, por lo que se compró y se desarrollará aún más sin pensar en las dificultades pasadas”, dijeron los actores de amenaza en una entrevista con el investigador de seguridad G0NJXA. “MacSync Stealer es un robador confiable con una amplia funcionalidad que enfatiza la simplicidad y la efectividad. Textualmente, puede comenzar a usarlo inmediatamente a posteriori de la transacción”. Según MacPaw Moonlock Lab, MacSync incluye un agente basado en GO totalmente realizado que actúa como puerta trasera, ampliando su funcionalidad mucho más allá de la exfiltración de datos básicos. “Esto hace que MacSync sea uno de los primeros casos conocidos de un robador de macOS con capacidades modulares de comando y control remotas”, dijo la compañía. Amos, que asimismo se actualizó en julio de 2025 con su propia puerta trasera, se pedestal en componentes basados ​​en C y curl para la comunicación C2. Por el contrario, el enfoque de MacSync es más sigiloso, ya que utiliza la biblioteca nativa NET/HTTP para solicitudes HTTPS. Se han detectado infecciones de MacSync en Europa y América del Septentrión, con la viejo actividad que se origina en Ucrania, Estados Unidos, Alemania y el Reino Unido
• Google alabarda Vaultgemma – Google ha osado Vaultgemma, un maniquí de estilo espacioso (LLM) diseñado para perdurar los datos confidenciales privados durante la capacitación. El maniquí utiliza técnicas de privacidad diferencial para evitar que los puntos de datos individuales se expusen agregando ruido calibrado, lo que lo hace más seguro para manejar información confidencial en la atención médica, las finanzas y los sectores gubernamentales. “Vaultgemma representa un importante paso delante en el alucinación alrededor de la construcción de IA que es poderosa y privada por diseño”, dijo Google. “Si correctamente todavía existe una brecha de utilidad entre los modelos entrenados con DP y no tratados con DP, creemos que esta brecha se puede aminorar sistemáticamente con más investigación sobre el diseño del mecanismo para el entrenamiento DP”. El mes pasado, el gigantesco tecnológico lanzó un nuevo método de enseñanza activo para curar datos de suscripción calidad que reduce los requisitos de datos de capacitación para ajustar LLM por órdenes de magnitud. “El proceso se puede aplicar a conjuntos de datos de cientos de miles de millones de ejemplos para identificar iterativamente los ejemplos para los cuales la anotación sería más valiosa y luego usar las etiquetas expertas resultantes para ajustar”, señaló. “La capacidad de capacitar a los modelos con solo un puñado de ejemplos es especialmente valiosa para manejar los paisajes que cambian rápidamente de dominios como la seguridad de los ADS”.
• Indonesia dirigida por la campaña de malware móvil -Un clan de amenazas de acento china ha estado explotando el Fondo de Pensiones del Estado de Indonesia, Taspen, para editar una sofisticada campaña de malware móvil dirigida a las personas mayores y permitir el robo de datos de espectro completo y el fraude financiero. El ataque utiliza un sitio de phishing que imita a Taspen para engañar a los usuarios para que descarguen el archivo APK pillo. Los usuarios están dirigidos a estos enlaces a través de campañas de envenenamiento de SEO. “Disfrazado de una aplicación oficial, el spyware roba credenciales bancarias, OTP e incluso datos biométricos, lo que permite el fraude a gran escalera”, dijo Cloudsek. “Más allá de la pérdida financiera, el ataque erosiona la confianza pública, amenaza la transformación digital de Indonesia y establece un precedente peligroso para los ataques de fondos de pensiones en el sudeste oriental”. Los artefactos técnicos que se encuentran interiormente de la red de distribución del malware y los canales de comunicación, incluidos los mensajes de error y los comentarios de los desarrolladores escritos en chino simplificado, sugieren fuertemente la décimo de un clan de actores de amenazas de acento china correctamente organizada.
• Luno Botnet combina las características de minería de secreto y DDOS -Una nueva campaña de Botnet de Linux denominado Luno tiene minería combinada de criptomonedas, ejecución de comandos remotos y capacidades modulares de ataque DDoS que se dirigen a plataformas de gozne, lo que sugiere monetización a amplio plazo y flexibilidad operativa. Se anuncia a través del mundo Domain Main.botnet (.). El malware inicia hilos de vigilancia que monitorean continuamente el proceso principal y lo respaldan bajo un nombre disfrazado si termina. It’s also designed to ignore termination signals (SIGSEGV, SIGTERM, SIGINT, SIGHUP, and SIGPIPE) to protect itself from easy termination while disguising itself as bash.” “Unlike conventional crypto miners or DDoS botnets, LunoC2 exhibits process masquerading, binary replacement, and a self-update system, suggesting the malware is designed as a long-term criminal infrastructure aparejo “, dijo Cyble.
• Usuarios de Apple MacOS atacados por Odyssey Stealer – Los actores de amenaza están explotando un sitio de descarga fingido de los equipos de Microsoft para entregar el Odyssey MacOS Stealer a través de la táctica de ingeniería social de ClickFix. “Una vez ejecutado, el malware vendimia credenciales, cookies, notas de Apple y billeteras criptográficas, exfiltrando los datos a un servidor C2 antaño de certificar la persistencia a través de launchdaemons e incluso reemplazar a Ledger Live con una interpretación troyanizada”, dijo Cloudsek.
• La disminución de autenticación de Fido demostró – Un nuevo ataque de Fido degra contra Microsoft Entra ID puede engañar a los usuarios para que se autenticen con métodos de inicio de sesión más débiles, haciéndolos susceptibles al shishing y el secuestro de sesiones. Los métodos de autenticación más débiles son vulnerables a los ataques de phishing adversario en el medio (AITM) que emplean herramientas como EvilGinx, lo que permite a los atacantes capturar cookies de sesión válidas y secuestrar las cuentas. El ataque, ideado por Proofpoint, emplea un Phishlet personalizado interiormente del situación EvilGinx AITM para falsificar a un agente de usuarios de navegador que carece de soporte FIDO. Específicamente, esto implica falsificar Safari en Windows, que no es compatible con la autenticación basada en FIDO en Microsoft Entra ID. “Esta brecha aparentemente insignificante en la funcionalidad puede ser aprovechada por los atacantes”, dijo la compañía. “Un actor de amenaza puede ajustar el AITM para falsificar un agente de usuarios no compatible, que no es agradecido por una implementación de FIDO. Luego, el heredero se vería obligado a autenticarse a través de un método menos seguro. Este comportamiento, observado en las plataformas de Microsoft, es una medida de seguridad faltante”. Esto hace que el sistema de autenticación se retire a un método de demostración menos seguro, como OTP, lo que permite que el proxy de AITM intercepte las credenciales y tokens de un heredero. Para evitar este tipo de ataque, se recomienda a los clientes implementar métodos de autenticación resistentes a phishing, pegado con la aplicación de entrada condicional.
• Canadá cierra el comercio – La Existente Policía Montada de Canadá (RCMP) cerró el intercambio de criptomonedas Tradeogre y incautó más de $ 40 millones que se cree que se originan en actividades criminales, marcando la primera vez que una plataforma de intercambio de criptomonedas ha sido desmantelada por la aplicación de la ley canadiense. La RCMP dijo que la plataforma violó las leyes canadienses al no registrarse en el Centro de Exploración de Transacciones Financieras e Informes de Canadá (FINTRAC) como un negocio de servicios de peculio y que tiene razones para creer que la mayoría de los fondos transaccados en Tradeogre provenían de fuentes penales “. El servicio se había desconectado a fines de julio de 2025.
• Windows SCM para el movimiento fronterizo – Los investigadores de seguridad cibernética han demostrado una técnica de movimiento fronterizo sigiloso que utiliza Windows Service Control Manager (SCM) para ejecutar comandos en PC remotas discretamente. “Los atacantes pueden ejecutar cargas enseres maliciosas sin dejar caer un archivo en el disco modificando de forma remota las configuraciones de servicios a través de API incorporadas, como Chogerserviceconfiga”, dijo Trellix. “Este tipo de movimiento fronterizo sin archivo es extremadamente difícil de detectar con soluciones de seguridad tradicionales que solo monitorean puntos finales o archivos. Los atacantes pueden usar credenciales legítimas, evitar escribir en el disco y combinarse con un comportamiento burócrata ordinario, haciendo que sus acciones parezcan benignas”.

• Fallas de seguridad en dispositivos ICS Novakon -Se han descubierto media docena de fallas de seguridad (desde CVE-2025-9962 hasta CVE-2025-9966) en los productos del sistema de control industrial (ICS) realizados por Novakon, con sede en Taiwán, que podrían permitir la ejecución del código remoto con privilegios raíz, recuperar y manipular archivos del sistema, y ​​explotar de los servicios y procesos débilmente protegidos. Cedido que la compañía no ha osado parches, se aconseja a los usuarios que restringan el entrada de la red al dispositivo y deshabiliten la configuración de Ethernet si se utilizan puertos serie para la comunicación PLC.
• EE. UU. Suena desasosiego en las radios ocultas en dispositivos solares -El Área Federal de Carreteras del Área de Transporte de EE. UU. Alertó a las agencias de carreteras y las empresas de infraestructura de que “la infraestructura de carreteras con energía solar, incluidos los cargadores, las estaciones meteorológicas de la carretera y las cámaras de tráfico, deben escanearse para la presencia de dispositivos deshonestos, como radios ocultos, interiormente de las baterías e inversiones interiormente de las baterías”, según un referencia de Reuters de Reuters de Reuters de Reuters, planteando nuevas preocupaciones de la prisión de suministro. La nota no especificó de dónde se habían importado los productos que contenían equipos indocumentados. El peligro subraya la penuria de que los proveedores proporcionen poco similar a una nota de software de materiales (SBOM) para inventariar los componentes de hardware en su equipo para mejorar la visibilidad.
• Sanciones de Nueva Zelanda hackers rusos – Nueva Zelanda ha impuesto sanciones a los piratas informáticos de inteligencia marcial rusos acusados ​​de ataques cibernéticos en Ucrania, incluidos miembros de una notoria dispositivo de piratería previamente vinculada a campañas destructivas de malware. La Dispositivo 29155 de sanciones de Rusia de la Agencia de Inteligencia GRU de Rusia, que asimismo se rastrea como Cadet Blizzard y Ember Bear.
• Darkcloud Stealer se dirige a organizaciones financieras – Las empresas financieras son el objetivo de una campaña de malware que distribuye Darkcloud Stealer desde agosto de 2025 a través de correos electrónicos de phishing con archivos adjuntos de rar maliciosos. “Las muestras observadas se programaron para dirigir a los usuarios de Windows y programadas para robar credenciales de inicio de sesión de clientes de correo electrónico, clientes FTP y datos de navegadores”, dijo Cyberproof. “Los operadores de Darkcloud asimismo se ven utilizando el cargador Darkcloud incrustado en un archivo JPG, que se descarga usando PowerShell en la prisión de ataque”. Contenido interiormente del archivo hay un archivo VBE que, cuando se ejecuta, descarga la imagen JPG, que luego se desempaqueta para iniciar el cargador Darkcloud .NET DLL.
• Maniquí de reutilización del espacio de nombres para las cadenas de suministro de IA – Los investigadores de ciberseguridad demostraron una técnica llamamiento reutilización del espacio de nombres de maniquí que explota un defecto fundamental en la prisión de suministro de IA para obtener la ejecución de código remoto (RCE) y capacidades adicionales en plataformas principales como Azure AI Foundry de Microsoft, la IA Vértice de Google y la cara de ataque. “La reutilización del espacio de nombres del maniquí ocurre cuando los catálogos del maniquí de proveedor de la abundancia o el código recuperan un maniquí eliminado o transferido por su nombre”, dijo Palo Suspensión Networks Unit 42. “Al retornar a registrar un espacio de nombres dejado y distraer su camino flamante, los actores maliciosos pueden dirigirse a las tuberías que implementan modelos basados ​​exclusivamente en su nombre. Esto potencialmente permite a los atacantes desplegar modelos maliciosos y obtener capacidades de ejecución de código, entre otros impactos”. Una consecuencia severa de esta amenaza es que los desarrolladores que confían en los catálogos de modelos de confianza de los principales servicios de IA en la abundancia podrían desplegar modelos maliciosos, sin saberlo, originalmente alojados en la cara abrazada sin interactuar directamente con la cara abrazada. Para mitigar los riesgos asociados con la reutilización del espacio de nombres del maniquí, se recomienda fijar el maniquí usado a una confirmación específica, clonar el maniquí y almacenarlo en una ubicación confiable y tratar referencias de modelos como cualquier otra dependencia sujeta a políticas y revisión.

• NUEVO VOIDEPROXY PAHAS DAILLADO -Se ha pasado un nuevo phishing como servicio (PHAAS) llamado VoidProxy en la naturaleza utilizando técnicas adversas en el medio (AITM) para interceptar la autenticación fluye en tiempo vivo, capturando credenciales, códigos de MFA y tokens de sesión establecidos durante el evento de inicio de sesión. “VoidProxy es un servicio novedoso y en extremo evasivo utilizado por los atacantes para apuntar a las cuentas de Microsoft y Google”, dijo Okta. “El servicio asimismo es capaz de redirigir cuentas protegidas por proveedores de inicio de sesión único de terceros (SSO) como Okta a páginas de phishing de segunda etapa”. Las campañas que se basan en el kit de phishing han aplicado las cuentas comprometidas de los proveedores de servicios de correo electrónico legítimos (ESP), como el contacto constante, la campaña activa (PostmarkApp), y NotifyVisitors, para evitar los filtros de spam y mandar mensajes de correo electrónico que engañan a los usuarios para proporcionar sus credenciales haciendo clic en enlaces que están acortados utilizando cortes de url como TininUrl. Antiguamente de la carga de los sitios de aterrizaje de phishing, se le presenta al heredero un desafío Cloudflare Captcha para determinar si la solicitud es de un heredero interactivo o un bot. Los sitios maliciosos se alojan en dominios desechables de bajo costo en .icu, .sbs, .cfd, .xyz, .top y .home, que están protegidos por Cloudflare para ocultar sus direcciones IP reales.
• Sidewinder golpea a Nepal con malware Android -El actor de amenaza persistente descubierta Sidewinder capitalizó las recientes protestas de Gen-Z en Nepal a entidades gubernamentales de Phish e infectas con Android y malware de Windows disfrazados de servicios de emergencia legítimos. El malware, diseñado para desviar datos confidenciales, se distribuye a través de sitios web de phishing que falsifica el servicio de emergencia nepalés o un portal de ayuda de emergencia. En un crecimiento relacionado, el actor de amenaza conocido como Rattlesnake (asimismo conocido como APT-C-24) se ha observado utilizando archivos de Windows Shortcut (LNK) como cargas enseres para ejecutar scripts maliciosos en URL remotas. “Estos scripts son una ofuscación compleja de múltiples capas y complejas, lo que eventualmente carga los componentes de ataque de ejecución en la memoria para ganar el control remoto del host de destino”. Otra campaña, atribuida a Patchwork, ha aplicado los señuelos de phishing de alabarda para distribuir la rata cuásar, el asíncrata y el situación mítico posterior a la explotación en ataques dirigidos a Pakistán.
• Flaw de complemento de WordPress bajo ataque activo -Los actores de amenaza están explotando una vulnerabilidad (CVE-2025-5821, puntaje CVSS: 9.8) En caso de heredero del tema, un complemento de WordPress incluido con varios temas comerciales de WordPress. “Esta vulnerabilidad hace posible que un atacante no autenticado obtenga entrada a cualquier cuenta en un sitio, incluidas las cuentas utilizadas para dirigir el sitio, si el atacante sabe o puede encontrar la dirección de correo electrónico asociada”, dijo Wordfence. El complemento se instala en más de 12,000 sitios web. El 13 de agosto de 2025 se lanzó un parche para la rotura con actividad de explotación a partir del 22 de agosto.
• Utensilio de conversión de extensión de Google para hojas de CSE -Google ha puesto a disposición una aparejo de conversión para convertir los archivos de sábanas de Google descifrados encriptados utilizando el secreto del costado del cliente en un archivo de Microsoft Excel. Actualmente, el secreto del costado del cliente está acondicionado en Google Drive, Docs, Gmail, Calendar y Meet.
• Servicio de Defensa de Israel Ordenar la incautación de las billeteras de criptográfico IRGC – El Servicio de Defensa de Israel anunció que estaba ordenando la incautación de 187 billeteras de criptomonedas que supuestamente pertenecen al Cuerpo de la Cuidado Revolucionaria Islámica de Irán (IRGC), alegando que se “utilizan para la perpetración de un delito terrorista reservado”. Estas direcciones han recibido colectivamente $ 1.5 mil millones en el USDT Stablecoin de Tether, aunque actualmente no se sabe si todas las transacciones están directamente vinculadas al IRGC, ya que la firma de descomposición de blockchain Ellíptico dijo que “algunas de las direcciones pueden estar controladas por servicios de criptiográficas y podrían ser parte de la infraestructura de la billetera utilizada para entregar las transacciones para muchos clientes”.
• Europol agrega profesor universitario gachupin a la tira más buscada -Europol colocó a Enrique Arias Gil (asimismo conocido como Desinformador Ruso), 37, ex profesor universitario gachupin, en su tira más buscada por acusaciones de ayudar al clan de piratas informáticos pro-rusos Noname057 (16), según la Policía Franquista de España. En un mensaje en su canal de telegrama, Arias Gil exigió que la policía española abandonara el caso interiormente de las 10 horas o arriesgue la libramiento de supuesto Kompromat en altos funcionarios. Noname057 (16) ha llamado al movimiento una caza de brujas.
• La opción OP pro-Kremlin establece nuevos sitios -La operación de influencia ajuste rusa conocida como Copycop, o Storm-1516, se ha vinculado a una nueva infraestructura desde marzo de 2025. Esto incluye “200 nuevos sitios web de medios ficticios dirigidos a los Estados Unidos, Francia y Canadá, encima de los sitios web que se hacen ocurrir por marcas de medios y partidos políticos y movimientos en France, Canadá y Armenia”. Además se dice que la red estableció una red regionalizada de sitios web que se hacen ocurrir por una ordenamiento ficticia de demostración de hechos que publica contenido en lenguajes turcos, ucranianos y swahilíes, dijo el futuro registrado. En total, el clan ha establecido más de 300 sitios web desde el manifestación del año. Es probable que estos sitios web sea operado por John Mark Dougan con el apoyo del Centro de Expertos de Geopolítica (CGE) con sede en Moscú y la Dirección Principal del Estado Viejo de las Fuerzas Armadas de la Coalición Rusa (GRU). “Los objetivos de influencia central de Copycop siguen erosionando el apoyo manifiesto para Ucrania y socavando los procesos democráticos y los líderes políticos en los países occidentales que apoyan a Ucrania”, dijo la compañía.
• Pixie Dust Wi-Fi Hack de una plazo de decrepitud todavía afecta a muchos dispositivos -Muchos modelos de enrutadores actuales todavía son susceptibles a un ataque Wi-Fi de 10 primaveras llamado Pixie Dust, que se reveló por primera vez en 2014. El ataque permite a los actores de amenaza recuperar el PIN protegido de Wi-Fi de un enrutador (WPS) y entrar a su red Wi-Fi mediante la explotación de debilidades en el mecanismo de coexistentes secreto en el protocolo WPS. Según un estudio de Netrise, se han antagónico que 24 dispositivos, incluidos enrutadores, extensores de rango, puntos de entrada y productos híbridos de Wi-Fi/Powerline, que abarcan seis proveedores, son vulnerables a la exploit. “Al momento de escribir este artículo, 13 dispositivos siguen siendo apoyados activamente pero sin parches”, dijo la compañía. “Otros siete llegaron a su fin de la vida sin percibir soluciones”.
• Tiktok elimina la operación de influencia de Tailandia – Tiktok dijo que eliminó varias redes de operaciones de influencia en julio de 2025 que atacó el discurso político en Tailandia, Ucrania, Azerbaiyán e Israel y Palestina, así como la pleito entre Rusia y Ucrania. La red más espacioso, que comprende 398 cuentas, operó desde Tailandia y se dirigió a audiencias de acento china. “Los individuos detrás de esta red crearon cuentas no auténticas para amplificar las narrativas del dominio chino y las ineficiencias occidentales”, dijo Tiktok. “Se descubrió que la red usaba contenido generado por IA, que a menudo incorporaba varios personajes animales, como comentarios sobre eventos globales”.
• GitHub anuncia soporte de intercambio de claves SSH posterior al quantum -GitHub anunció que está agregando un nuevo cálculo de intercambio de claves SSH posterior al quantum SSH, conocido alternativamente como sntrup761x25519 sha512 y sntrup761x25519-ha512@openssh.com, a sus puntos de finalización SSH para entrar a los datos GIT. Esto es parte de los esfuerzos para contrarrestar la amenaza de ataques de descifrado futuros una vez que las computadoras cuánticas se vuelven ampliamente disponibles. “Esto solo afecta el entrada a SSH y no afecta el entrada HTTPS en rotundo”, dijo Github. “Siquiera afecta a GitHub Enterprise Cloud con la residencia de datos en la región de los Estados Unidos”. El nuevo cálculo se habilitó el 17 de septiembre de 2025 para Github.com y Github Enterprise Cloud con residencia de datos. Además se calma que se incluya en GitHub Enterprise Server 3.19.
• Consumer Reports insta a Microsoft a extender la momento coto de octubre de 2025 -Consumer Reports pidió a Microsoft que extienda la momento coto del 14 de octubre de 2025 que cortará las actualizaciones de seguridad gratuitas para las computadoras de Windows 10, afirmando que la medida “corre el peligro de dañar al consumidor y cooptar a la máquina para perpetuar los ataques contra otras entidades, arriesgando la seguridad doméstico”. Rodeando del 46.2 por ciento de las personas en todo el mundo todavía usan Windows 10 a agosto de 2025.
• China anuncia requisitos de violación de datos más estrictos – El gobierno chino requerirá que los operadores críticos de infraestructura reporten violaciones de seguridad interiormente de una hora de detección. La nueva momento coto requiere que todos los incidentes graves se informen a las autoridades relevantes en 60 minutos, o en el caso de eventos “particularmente importantes”, 30 minutos. Empresas que no informan tales incidentes corren el peligro de confrontar sanciones. Las nuevas reglas de informes entrarán en vigencia a partir del 1 de noviembre de 2025, según la Empresa del Ciberespacio de China (CAC). “Si el cirujano de la red informa incidentes de seguridad de la red tardíos, omitidos, reportados falsamente o ocultos, causando importantes consecuencias dañinas, el cirujano de la red y las personas responsables relevantes serán castigadas de acuerdo con la ley”, advirtió Beijing.
• ¿Posibles lazos entre Belsen Group y Zerosevengroup? – La compañía de ciberseguridad Kela sugirió una posible conexión entre el clan Belsen y Zerosevengroup, dos entidades cibercriminales con vínculos con Yemen que surgieron en enero de 2025 y julio de 2024, respectivamente. Entreambos grupos son conocidos por filtrar y monetizar datos robados, así como compartir similitudes en el estilo de escritura y el formato posterior. “Si correctamente estas superposiciones no son concluyentes, sugieren una posible conexión”, dijo.
• Smokeloader regresa con nuevos cambios – Smokeloader, que fue interrumpido como parte de la Operación Finjame en mayo de 2024, ha resurgido con una nueva interpretación en julio de 2025 con un protocolo de red modificado que rompe la compatibilidad con versiones anteriores. La nueva transformación está siendo rastreada por Zscaler Agranicidad como interpretación 2025. Además detectado a principios de febrero es una transformación llamamiento Alpha de la Lectura 2025 que incluía correcciones de errores que causaron la degradación del rendimiento. “Smokeloader consta de dos componentes principales: un stager y un módulo principal”, dijo Zscaler. “El Stager tiene dos propósitos principales: descomposición de obstáculos, detectar entornos virtuales (y terminar si está presente) e inyectar el módulo principal Smokeloader en Explorer.exe. El módulo principal realiza la viejo parte de la funcionalidad maliciosa, incluida el establecimiento de la persistencia, la báscula del servidor C2 y la ejecución de tareas y complementos”. La función principal del cargador es descargar y ejecutar malware en la segunda etapa. Además puede usar complementos opcionales para realizar tareas como robar datos, editar ataques de denegación distribuida de servicios y minería de criptomoneda.
• Subsidios de inicio de saquillo de los proveedores de spyware de la UE – Un nuevo referencia de SEGUIR the Money encontró casos de spyware y compañías de vigilancia que utilizan subsidios de inicio de la UE para crear herramientas de piratería que luego se utilizan contra los ciudadanos de la UE. “Los beneficiarios incluyen algunos grandes nombres en el mercado, como la Alianza Intellexa, Cy4Gate, Verint Systems y Cognyte, pegado con empresas europeas más pequeñas”, dijo el referencia.
• Pypi invalida los tokens robados en el ataque de Ghostaction – Los mantenedores del Índice de paquetes de Python (PYPI) dijeron que invalidaron a todos los tokens PYPI robados de Repos de Github por una influencia maliciosa el 5 de septiembre en un ataque de prisión de suministro conocido como Ghostaction. Nadie de los tokens fue abusado de cargar malware en el registro, y los mantenedores de proyectos impactados han sido notificados. Se recomienda a los usuarios que confían en las acciones de GitHub para divulgar en PYPI que reemplace los tokens de larga duración con editores confiables y revisen el historial de cuentas para cualquier actividad sospechosa.
• Reino Unido MI6 alabarda Silent Courier – El Servicio de Inteligencia Extranjera del Reino Unido, MI6, lanzó Silent Courier, un portal en semirrecta (“MI6govukbfxe5PZXQW3OTZD2T4NHI7V6X4DLJWBA3JMScZOZCOLX2VQD.ONION”) organizado en la web oscura diseñada para permitir que los posibles espantos de Rusia y en otro oficio se comuniquen con la inteligencia del Reino Unido. La idea es enganchar espías “en cualquier parte del mundo con entrada a información confidencial relacionada con el terrorismo o la actividad de inteligencia hostil”.
• Nuevos robadores de información detectados – Cyble, Cyfirma y Point Wild compartieron detalles sobre tres nuevas familias de robador de información llamadas Maranhão Stealer, Xillenstealer y Raven, respectivamente.
• Cepas de ransomware nuevas y emergentes detectadas – Algunas de las operaciones de ransomware nacientes que se han documentado en las últimas semanas incluyen Blacklock, Blacknevas, Bqtlock, Crypto24, Cybervolk, Exten, Gagakick, Caballero, Jackpot, Killsec, Lockbeast, Nezha, Obscura y Yurei. En particular, el clan de ransomware Crypto24 se ha observado utilizando una interpretación personalizada de la aparejo RealblindingEDR de código despejado para deshabilitar el software de seguridad que se ejecuta en hosts infectados antaño de implementar el casillero. “La interpretación personalizada del actor de amenaza emplea una diversión descubierta, probablemente a través de impulsores vulnerables desconocidos, mostrando una profunda experiencia técnica y un refinamiento de herramientas en curso”, dijo Trend Micro. “La capacidad del clan para perdurar la persistencia antaño del secreto refleja la paciencia y la planificación estratégica poco popular en el ransomware de los productos básicos”.

🎥 seminarios web de ciberseguridad

• AI + flujos de trabajo humanos: su plan simple para la automatización segura: La IA puede acelerar su trabajo, pero solo si lo usa sabiamente. En este seminario web, Thomas Kinsella, cofundador y director de clientes de Tines, mostrará cómo los mejores equipos mezclan habilidades humanas, pasos basados ​​en reglas y herramientas de IA para construir flujos de trabajo que sean claros, seguros y fáciles de auditar. Te irás sabiendo dónde se adapta mejor a la IA y cómo evitar las trampas comunes de la sobreingeniería.
• Desterrar violaciones costosas: un plan práctico para la seguridad de contraseña más musculoso: Las contraseñas siguen siendo la forma más dócil para que los atacantes se interpongan, y el dolor de capital más duro para los equipos de TI. Este Halloween, únase al software de Hacker News and Specops para descubrir historias reales de incumplimiento de contraseña, vea por qué las reglas de contraseña antiguas fallan y vea una demostración en vivo de herramientas que bloquean las credenciales robadas en tiempo vivo. Se irá con un plan claro y simple para proteger a su empresa, satisfacer las evacuación de cumplimiento y terminar los problemas de contraseña para siempre, sin dificultar la vida de los usuarios.
• Vea todos los riesgos desde el código hasta la abundancia, antaño de que los hackers detecten la brecha: Las aplicaciones modernas se mueven rápidamente, desde los cambios en el código hasta la implementación de la abundancia, pero las brechas ocultas en la visibilidad dan a los atacantes espacio para atacar. Únase a nosotros para ver cómo el mapeo de código a abundancia une a los desarrolladores, devops y equipos de seguridad en una visión clara del peligro. Aprenderá a detectar vulnerabilidades, secretos y configuraciones erróneas temprano, vincularlas con la exposición vivo en tiempo de ejecución y cortar el ruido para que los equipos puedan solucionar problemas más rápido y con confianza.
• Selle cada espacio: pasos prácticos para estrechar los paquetes y los contenedores de Python: Los proyectos de Python enfrentan mayores riesgos de seguridad que nunca en 2025: paquetes maliciosos, secuestros de reposio e imágenes saco vulnerables pueden desplegar la puerta a los atacantes. Únase a nosotros para memorizar formas simples y probadas de proteger su prisión de suministro de Python. Mostraremos ejemplos reales de ataques recientes, demostramos las últimas herramientas de escaneo y firma, y ​​compartiremos los pasos que puede tomar ahora para estrechar su código, contenedores y dependencias con confianza.

🔧 Herramientas de ciberseguridad

• Escáner de malware NPM: Es una aparejo de semirrecta de comandos que le ayuda a detectar paquetes NPM peligrosos o sospechosos antaño de alcanzar la producción. Escanea repositorios de GitHub o proyectos locales, verifica cada archivo de paquete. Json y marca malware conocido o dependencias de peligro utilizando una saco de datos incorporada. Diseñado para la velocidad y los resultados claros, brinda a los desarrolladores y equipos de seguridad una guisa dócil de perdurar seguros sus proyectos JavaScript sin una configuración adicional.
• Vmdragonslayer: Es un situación de investigación creado para descubrir y analizar binarios protegidos por la ofuscación supuesto basada en máquina. Combina técnicas como seguimiento dinámico de mancha, ejecución simbólica, coincidencia de patrones y enseñanza mecánico para acelerar la ingeniería inversa que normalmente lleva semanas o meses. Con integraciones para herramientas como Ghidra, Ida Pro y Ninja binaria, ayuda a los investigadores a detectar protectores basados ​​en VM y comprender entornos de malware complejos y personalizados a través de descomposición estructurados y automatizados.

Descargo de responsabilidad: las herramientas que se presentan aquí se proporcionan estrictamente para fines educativos y de investigación. No se han sometido a auditorías de seguridad completas, y su comportamiento puede introducir riesgos si se usan mal. Antiguamente de comprobar, revise cuidadosamente el código fuente, pruebe solo en entornos controlados y aplique las salvaguardas apropiadas. Siempre asegúrese de que su uso se alinee con las pautas éticas, los requisitos legales y las políticas organizacionales.

🔒 Consejo de la semana

Coge torres de celdas falsas antaño de que te atrapen – Simuladores del sitio de células, asimismo conocidos como receptores IMSI o “rayas”, torres de celdas reales meditales para interceptar llamadas o realizar dispositivos. Están apareciendo en más lugares y pueden recolectar en silencio los datos de los teléfonos cercanos.

Use herramientas de detección de código despejado para monitorear su entorno. Rayhunter, creado por Electronic Frontier Foundation, se ejecuta en puntos de entrada móviles de bajo costo y observa el tráfico de control entre su dispositivo y la red de celdas. Marca un comportamiento sospechoso, como las rebajas 2G forzadas o los identificadores de torre falsos, sin husmear sus datos personales.

Otras opciones para explorar:

• Snoopsnitch (Android): utiliza los diagnósticos de radiodifusión de su teléfono para advertir sobre torres falsas.
• Catcher Spy Cell: detecta a los receptores IMSI al monitorear los cambios inusuales en la red.
• STINGRAY Detector Apps & SDR Projects: para usuarios avanzados con radios definidos por software.

Vinencia rápida: Configure una de estas herramientas durante eventos, protestas o cuando alucinación en áreas de detención peligro. Incluso si no es un profesional de seguridad, estas herramientas le brindan una advertencia temprana visible cuando cierto intenta espiar el tráfico móvil.

Pro Move: Combine el monitoreo de la red móvil con conceptos básicos fuertes: use mensajes cifrados de extremo a extremo (como señal) y mantenga actualizado el sistema eficaz de su teléfono. Esta defensa en capas hace que sea mucho más difícil para los atacantes compilar datos enseres, incluso si están cerca.

Conclusión

El panorama de amenazas no se reducirá, pero eso no significa que sea impotente. La conciencia es apalancamiento: le permite parchear más rápido, cuestionar suposiciones y detectar puntos débiles antaño de que se conviertan en incidentes. Tenga en cuenta estos conclusiones, compártalos con su equipo y convierta las lecciones de hoy en superioridad de mañana.

El panorama de amenazas no se reducirá, pero eso no significa que sea impotente. La conciencia es apalancamiento: le permite parchear más rápido, cuestionar suposiciones y detectar puntos débiles antaño de que se conviertan en incidentes. Tenga en cuenta estos conclusiones, compártalos con su equipo y convierta las lecciones de hoy en superioridad de mañana.