Intrusiones APT, Malware de IA, exploits de clic cero, secuestros de navegador y más

Si esto hubiera sido un gimnasia de seguridad, cierto habría dicho que iba demasiado allí. Pero no fue un gimnasia, era vivo. El llegada? Todo parecía habitual. Las herramientas? Manejable de encontrar. La detección? Llegó demasiado tarde.

Así es como ocurren los ataques ahora: descuidados, convincentes y rápidos. Los defensores ya no solo persiguen a los piratas informáticos, ya que luchan por creer en lo que sus sistemas les dicen.

El problema no es muy pocas alertas. Es demasiado, sin un significado claro. Una cosa está clara: si su defensa todavía dilación signos obvios, no está protegiendo carencia. Solo estás viendo que sucede.

Este prontuario destaca los momentos que importaron, y por qué valen su atención.

⚡ Amenaza de la semana

APT41 explota el calendario de Google para comando y control -El actor de amenaza patrocinado por el estado chino conocido como APT41 desplegó un malware llamado ToughProgress que utiliza el calendario de Google para el comando y el control (C2). Google dijo que observó los ataques de phishing de aguijada en octubre de 2024 y que el malware fue alojado en un sitio web del gobierno comprometido no especificado. HardProgress está diseñado para descubrir y escribir eventos con un calendario de Google controlado por el atacante y extraer los comandos especificados en ellos para la ejecución posterior. Los resultados de la ejecución se escriben a otro evento de calendario desde donde los atacantes pueden entrar a ellos. La campaña atacó a varias otras entidades gubernamentales, aunque la compañía no reveló quién fue señalado.

🔔 Telediario principales

• La nueva operación de aplicación de la ley derriba a AvCheck (.) Net -Las autoridades en los Estados Unidos, en asociación con Finlandia y los Países Bajos, han incautado cuatro dominios e infraestructura asociada que ofrecían herramientas contra el antivirus (CAV) y los servicios de cripting a otros actores de amenazas para ayudar a su malware a permanecer sin ser detectado del software de seguridad. Estos incluyen AvCheck (.) Net, Cryptor (.) Biz y Crypt (.) Guru. “Los dominios incautados ofrecían servicios a los ciberdelincuentes, incluidas las herramientas contra el antivirus (CAV)”, dijo el Sección de Honradez de los Estados Unidos. “Cuando se usan juntos, los servicios de Cav y Crypting permiten a los delincuentes ofuscarse de malware, lo que lo hace indetectable y habilitando el llegada no facultado a los sistemas informáticos”. Las autoridades dijeron que la incautación de Avcheck fue posible explotando los errores de los administradores. “Los administradores no proporcionaron la seguridad que prometieron”, dijeron las autoridades en un aviso, afirmando que asimismo han confiscado una pulvínulo de datos que contiene nombres de legatario, direcciones de correo electrónico, información de suscripción y más.
• Microsoft, las agencias de seguridad holandesas levantan el velo en Void Blizzard – Un comunidad de piratas informáticos previamente desconocidos con presuntos lazos con el Kremlin fue responsable de un ciberataque el año pasado en la policía holandesa y asimismo ha atacado a otras naciones occidentales que brindan apoyo marcial a Ucrania. “Lavry Bear ha conseguido volatilizarse con éxito por debajo del radar empleando métodos de ataque simples y vectores de ataque que involucran herramientas que estén disponibles en las computadoras de las víctimas y, por lo tanto, son difíciles para las organizaciones detectar y distinguir de otros actores de amenaza rusos conocidos”, dijo el gobierno de los Países Bajos. La existencia del comunidad salió a la luz posteriormente de investigar la violación de la policía doméstico holandesa de septiembre de 2024, durante la cual el comunidad obtuvo llegada a una cuenta perteneciente a un empleado mediante el uso de una cookie de sesión robada y, a través de ella, lograron obtener la información de contacto relacionada con el trabajo de otros empleados de la policía. Mientras que las técnicas de ataque siguen el obra de jugadas cibernéticas, la orientación es muy específica con una inventario de víctimas que se superpone con otros espías cibernéticos vinculados a Rusia. Los hallazgos muestran que los Estados miembros de Ucrania y la OTAN continúan siendo terrenos de caza principales para los grupos de amenazas rusas.
• Eddiestealer omite el oculto de la aplicación de Chrome para robar datos del navegador -Se está propagando un nuevo robador de información basado en el óxido llamado EddeStealer a través de páginas de demostración Captcha falsas que engañan a los usuarios para ejecutar los comandos de PowerShell. El robador es sobresaliente por su capacidad para evitar el oculto unido a la aplicación de Chromium para obtener llegada a datos confidenciales no cifrados, como las cookies. Lo hace implementando un plan de código destapado llamado Chromekatz en Rust. Eddiestealer no es el único robador que hace esfuerzos para dejar de flanco las nuevas defensas introducidas por Google. Otro malware de Stealer conocido como Katz Stealer emplea la inyección de DLL para obtener la esencia de oculto utilizada para afirmar las cookies y contraseñas en los navegadores basados ​​en el cromo. Una tercera grupo de malware de robador denominado Zerocrumb, audaz públicamente en GitHub, logra el mismo objetivo al “hacerse acaecer por una instancia de Chrome utilizando el hueco transacto, lo que nos permite usar la interfaz de Ielevator COM para descifrar la esencia unida a la aplicación”. Esta esencia se usa en última instancia para descifrar y entrar a las cookies del navegador.
• La Lamia de la Tierra se dirige a Brasil, India y al sudeste oriental -Un actor de amenaza vinculado a China conocido como Earth Lamia ha sido vinculado a un conjunto más amplio de ataques dirigidos a organizaciones en Brasil, India y el sudeste de Asia desde 2023. El comunidad de piratería, que se superpone con Ref0657, STAC6451 y CL-STA-0048, hace uso de diversas fallas en los servidores expuestos a Internet, incluyendo la capacidad de inicio de SAP de SAP recientemente divulgada a la capacidad de obtener vulneras de SAP, a la capacidad de obtener vulneras de SAP recientemente descritas a la capacidad de obtener vulneras de SAP recientemente descritas a las vulneras de la vulneridad recientemente divulgada, a los accesorios iniciales, a la capacidad de obtener vulneras de SAP recientemente divulgadas, a la capacidad de obtener vulneras de SAP recientemente divulgadas a las vulneras de los centros. e implementar herramientas de explotación posteriores como Cobalt Strike, Vshell y Brute Ratel C4. Algunos de los ataques asimismo han estudioso un PulsePack con nombre en código de Backdoor .Net previamente invisible para establecer la comunicación con un servidor remoto y cargar complementos diferentes para realizar sus objetivos. El crecimiento se produjo cuando el gobierno checo dijo que los piratas informáticos chinos irrumpieron en uno de los sistemas no clasificados del ocupación ya en 2022 y permanecieron sin ser detectados internamente de las redes de infraestructura crítica. El gobierno checo entregó una advertencia puntiaguda a China, atribuyendo públicamente la intrusión en las redes del Tarea de Relaciones Exteriores a APT31, una dispositivo de piratería cibernética vinculada al Tarea de Seguridad del Estado de Beijing.
• Connectwise dice que el supuesto actor del estado-nación apuntó a sus sistemas -Connectwise, el desarrollador de Software de llegada remoto y software de soporte Screenconnect, ha revelado que fue víctima de un ataque cibernético que, según dijo, fue perpetrado por un actor de amenaza de estado-nación. Reveló que ha contratado los servicios de Google Mandiant para investigar la violación y que se vio afectado un “número muy pequeño de clientes de screenconnect”. La actividad, dijo, está vinculada a la explotación de CVE-2025-3935, una vulnerabilidad de incorporación severidad en las versiones ScreenConnect 25.2.3 y anteriores que podrían explotarse para los ataques de inyección de código ViewState utilizando claves de la máquina ASP.NET divulgadas públicamente. La técnica de ataque fue revelada en febrero por Microsoft como explotada activamente por los malos actores para inyectar código solapado y entregar el entorno de Godzilla posteriormente de la explotación. Si admisiblemente Microsoft no atribuyó los ataques a un actor o comunidad específico, Godzilla ha sido vinculado a los piratas informáticos con unidos al estado.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión pequeño en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La inventario de esta semana incluye: CVE-2025-3935 (ConnectWise SCRENCONNECT), CVE-2025-47577 (TI WooCommerce Wishlist Plugin), CVE-2025-2760, CVE-2025-2761 (GIMP), CVE-2025-0072 (ARM MALI GPU), CVE-2025-2722222, CVE-2025-0072 (ARM MALI), CVE-2025-27522222, CVE-CVE-2025-0072 (ARM MALI), CVE-2025-2025-2722222, CVE. CVE-2025-27463, CVE-2025-27464 (Citrix Xenserver VM Herramientas para Windows), CVE-2025-4793 (registro de cursos en renglón de Phpgurukul), CVE-2025-47933 (CD de Argo), CVE-2025-46701 (apache Tomcat CGI Servlet), CVE-202552555252525 (Icinga 2), CVE-2025-48827, CVE-2025-48828 (vBulletin), CVE-2025-41438, CVE-2025-46352 (Consilium Safety CS5000 Fire Panel), CVE-2025-1907 (Instantel Micromate), CVE-2025-26383 (Johnson Controls iSTAR Configuration Utilidad), CVE-2018-1285 (Rockwell Automation FactoryTalk Historian Thingworx), CVE-2025-26147 (Denodo Scheduler), CVE-2025-24916 y CVE-2025-24917 (maestro de red tenable).

📰 rodeando del mundo cibernético

• La divulgación obligatoria de suscripción de ransomware comienza en Australia – Australia se convirtió en el primer país del mundo en exigir a las víctimas de ataques de ransomware para declararle al gobierno cualquier suscripción de perjuicio realizado en su nombre a los ciberdelincuentes. La ley, inicialmente propuesta el año pasado, solo se aplica a las organizaciones con una facturación anual veterano que AU $ 3 millones ($ 1.93 millones) próximo con un comunidad más pequeño de entidades específicas que trabajan internamente de los sectores de infraestructura crítica. Se dilación que el borde de facturación capture solo el 6.5% de todas las empresas registradas en Australia, que comprende aproximadamente la parte de la riqueza del país. Las organizaciones aplicables deben informar cualquier suscripción de ransomware que realicen a la utensilio de informes de la Dirección de señales de Australia (ASD) internamente de las 72 horas posteriores a la realización del suscripción o con el consciente de que se ha realizado el suscripción de ransomware. El documentación debe incluir la venidero información: el monto del suscripción del ransomware debido y pagado y el método de provisión que se exigió y utilizado. Los requisitos no se aplican a los organismos del sector manifiesto. El incumplimiento puede provocar sanciones civiles.
• X está deteniendo DMS cifrados – X dijo que está deteniendo la función DMS cifrada para hacer algunas mejoras bajo el capó. La función se lanzó originalmente en mayo de 2023. “A partir de hoy, detendremos la función DMS encriptada mientras trabajamos para hacer algunas mejoras”, dijo la compañía en una publicación en X. “Todavía podrá entrar a sus DM cifrados, pero no podrá dirigir otras nuevas”. Hasta ahora, los DM cifrados han estado disponibles solo en mensajes entre usuarios verificados que son mutuos o que previamente se han aceptado DM entre sí. No mencionó cuándo la función estará habitable nuevamente.
• Intentos de explotación detectados contra fallas de vbulletina -Dos fallas de seguridad críticas recientemente reveladas en el software del foro de código destapado Vbulletin han estado bajo explotación activa en la naturaleza. Los fallas, rastreados como CVE-2025-48827 (puntaje CVSS: 10.0) y CVE-2025-48828 (puntuación CVSS: 9.0), permiten a los usuarios no autorenticados a invocar los métodos de controladores de API protegidos cuando se ejecutan en Php 8.1 o posterior, y ejecutan el código de PHP arbitraria mediante el código de los condicionales protegidos en los plantillas de los plantillas. Se dice que los fallas, descubiertos por el investigador Egidio Romano y revelados el 23 de mayo de 2025, fueron reparados en silencio en abril de 2024. Según Ryan Dewhurst de Kevintel, las vulnerabilidades han pasado intentos de explotación de direcciones IP basadas en Polonia.
• China acusa a Taiwán de atacar a la compañía tecnológica – Las autoridades chinas han inculpado a un comunidad de piratas informáticos supuestamente respaldados por el gobernador Partido Progresivo Demócrata (DPP) de Taiwán de admitir a límite un ataque cibernético contra una compañía de tecnología tópico y dirigirse a una infraestructura sensible en todo el continente, informó los medios de comunicación estatales Universal Times. Las autoridades afirmaron que el comunidad de piratería orquestó ataques contra casi 1,000 redes sensibles, incluidos los sistemas militares, de energía y estatal. “Los piratas informáticos desplegaron correos electrónicos de phishing, explotaron vulnerabilidades públicas, realizaron ataques de contraseña de fuerza bruta y usaron programas de caballos troyanos de bajo jerarquía para admitir a límite los ataques”, dijo la policía de la ciudad de Guangzhou. En una manifiesto a Reuters, la Oficina de Seguridad Franquista de Taiwán ha incapaz las acusaciones, acusando al Partido Comunista Chino de “manipular información inexacta para confundir al mundo exógeno” y cambiar la falta.
• El programador del hospital ruso obtiene 14 primaveras para acaecer datos de soldados a Ucrania -Un tribunal ruso condenó a Alexander Levchishina, un ex programador del hospital de 37 primaveras, a 14 primaveras en una colonia penal de incorporación seguridad por presuntamente filtrar datos personales de soldados rusos a Ucrania. Se dice que copió los registros médicos electrónicos del personal marcial ruso de su computadora en el emplazamiento de trabajo en un hospital en la ciudad de Bratsk en abril de 2022. Luego envió los datos a los Servicios de Inteligencia Ucrania para informar en un canal de telegrama operado por agentes ucranianos. Levchishin fue arrestado en julio de 2023. Incluso ha sido multado con 50,000 rublos (rodeando de $ 627) y prohibido trabajar en ciertos campos durante cuatro primaveras posteriormente de cumplir su sentencia. A principios de este mes, un estudiante de tecnología rusa de 18 primaveras, que fue detenido en enero de 2024, por presuntamente ayudar a los piratas informáticos ucranianos a admitir a límite ataques cibernéticos contra Rusia, fue sentenciado a seis primaveras en una colonia penal.
• Apple Safari permite el robo de credenciales a través del ataque BITM usando API de pantalla completa -Una afición en el navegador web Safari de Apple podría permitir a los actores de amenaza beneficiarse la técnica de navegador de pantalla completa en el medio (BITM) para robar credenciales de cuentas de usuarios desprevenidos. Al atropellar de la API de pantalla completa, que instruye a cualquier contenido en una página web para ingresar al modo de visualización de pantalla completa del navegador, los malos actores pueden explotar el lapso para engañar a las víctimas para que escriban datos confidenciales en una ventana del navegador remoto controlado por el atacante simplemente haciendo clic en un enlace. “Si admisiblemente el ataque funciona en todos los navegadores, los ataques de BITM de pantalla completa son particularmente convincentes en los navegadores Safari correcto a la equivocación de señales visuales claras cuando se van a pantalla completa”, dijo Squarex. “En los navegadores basados ​​en Firefox y Chromium como Chrome y Edge, hay un requisito de correo cada vez que se activa la pantalla completa. Cuando se alcahuetería del navegador Safari, no existe un requisito de correo cuando el método SoldFulLScreen () se claridad. La única señal de que Safari proporciona al ingresar al modo Fullscreen de forma completa es una señal de` `aguijada ”, lo que es más importante y más importante, la señal de Safari que proporciona a Safari a la mayoría de los Safari que es más importante que se asocia con Safars. pantalla completa “. En respuesta a los hallazgos, Apple dijo: “Luego de investigar más, hemos determinado que no hay implicaciones de seguridad porque cualquier sitio web, una vez en pantalla completa, ya puede controlar y cambiar completamente su apariencia. Ya tenemos una animación para indicar cambios”.
• Los actores de amenaza instalan herramientas del cliente de DB para la exfiltración de datos – Se ha observado que los piratas informáticos instalan herramientas legítimas de clientes de DB como DBeaver, Navicat y SQLCMD directamente en sistemas específicos para exfiltrar los datos en un esfuerzo por evitar la detección. “Estos comportamientos son fáciles de disfrazar como los de un administrador razonable, haciéndolos difíciles de detectar”, dijo Ahnlab. “Las huellas de la fuga solo se pueden confirmar a través de algunos registros del sistema, registros locales de herramientas del cliente y registros de ejecución de los servidores SQL”.
• FTC golpea a GoDaddy con orden que exige un software de seguridad sólido – La Comisión Federal de Comercio de EE. UU. (FTC) finalizó una orden que requiere que el registrador de dominios popular y la empresa de alojamiento web de la web GoDaddy aseguren sus servicios para resolver los cargos de “prácticas de seguridad irrazonables” que condujeron a varias infracciones de datos desde 2019 y 2022. Godaddy no ha admitido ningún error, ni ha sido multado. Se le ha organizado a la Compañía implementar al menos un método de autenticación de múltiples factores, contratar a un asesor de terceros independiente para realizar revisiones bienales de su software de seguridad de la información e informar cualquier nueva infracción al gobierno de los Estados Unidos internamente de los 10 días.
• Empleado del gobierno de los Estados Unidos arrestado por supuestamente tratar de filtrar secretos al gobierno extranjero -Nathan Vilas Laatsch, un diestro en TI de 28 primaveras empleado por la Agencia de Inteligencia de Defensa (DIA), fue arrestado el 29 de mayo de 2025 por presuntamente intentar transmitir información de defensa doméstico a un oficial o agente de un gobierno extranjero. Laatsch se convirtió en un empleado civil de la DIA en 2019 y trabajó con la división de amenazas privilegiadas. Incluso se dice que tenía una autorización de seguridad de suspensión secreto. El Sección de Honradez de los Estados Unidos (DOJ) dijo que la Oficina Federal de Investigación (FBI) lanzó una operación en marzo de 2025 posteriormente de percibir un consejo que un individuo no relacionado ofreció proporcionar información clasificada a un gobierno extranjero acogedor. “Luego de múltiples comunicaciones con un agente del FBI, que supuestamente creía que Laatsch era un funcionario del gobierno extranjero, Laatsch comenzó a transcribir información clasificada a un bloc de notas en su escritorio y, en el transcurso de aproximadamente tres días, exfiló repetidamente la información de su espacio de trabajo”, dijo el DOJ. “Laatsch luego confirmó al agente del FBI que estaba preparado para transmitir la información”. Laatsch, según el Sección de Honradez, acordó ceder la información clasificada en un parque manifiesto en el boreal de Virginia. El inculpado, luego, buscó información del gobierno extranjero, incluso expresando interés en obtener ciudadanía con el país con el que creía que estaba conspirando a cambio de proporcionar información clasificada adicional. Pero asimismo señaló que “no se oponía a otra compensación”. Laatsch finalmente fue arrestado la semana pasada posteriormente de resistir a un emplazamiento preestablecido con el agente encubierto del FBI para transmitir múltiples documentos clasificados al país extranjero.
• Pakistán arresta a 21 en relación con el servicio de malware de Heartsender -Las autoridades en Pakistán han arrestado a 21 personas acusadas de un corazón de operación (asimismo conocido como los manipuladores), un servicio ilícito que vendió kits de herramientas de phishing y herramientas que habilitan el fraude. La propuesta de delitos electrónicos, que salió a la luz por primera vez en 2020, sufrió un gran trastazo a principios de enero, cuando las agencias de aplicación de la ley de EE. UU. Y holandeses desmantelaron 39 dominios y servidores asociados vinculados a los corazones como parte de un bloqueador cardíaco de Operación Codenamenada. Doma -Domaols reveló el año pasado que el comunidad tenía una presencia física en Pakistán, incluidos Lahore, Fatehpur, Karachi y Faisalabad. According to Dawn, among those arrested included Rameez Shahzad (aka Saim Raza), the alleged ringleader of the criminal enterprise, as well as Muhammad Aslam (Rameez’s father), Atif Hussain, Muhammad Umar Irshad, Yasir Ali, Syed Saim Ali Shah, Muhammad Nowsherwan, Burhanul Haq, Adnan Munawar, Abdul Moiz, Hussnain Haider, Bilal Ahmad, Dilbar Hussain, Muhammad Adeel Akram, Awais Rasool, Usama Farooq, Usama Mehmood y Hamad Nawaz.
• Lumma Stealer permanece activo a pesar del derribo – A pesar de un esfuerzo coordinado para derrocar la infraestructura detrás del Infente de Lumma, el malware continúa operando. Si admisiblemente parece favor un “daño de reputación significativo”, se dice que los operadores están realizando esfuerzos activamente para restablecer el negocio, por punto de control. El desarrollador de Lumma Stealer reveló que las agencias de aplicación de la ley pudieron infiltrarse en su servidor principal explotando una vulnerabilidad desconocida en el regulador de llegada remoto Dell (IDRAC) integrado y limpiando el servidor y sus copias de seguridad. Incluso se cree que las autoridades crearon una página de inicio de sesión de phishing para las credenciales de cosecha y las huellas digitales de los clientes de Lumma, por otra parte de favor plantado un fragmento de JavaScript en el servidor del tablero que intentó entrar a las cámaras web de los clientes. Desde entonces, los actores de amenaza de Lumma han dicho que “todo ha sido restaurado y que estamos trabajando normalmente”. Encima, la información robada de computadoras comprometidas continúa apareciendo a la traspaso en el propio mercado de telegramas de Lumma, así como en otros mercados rusos. Con Lumma Down, pero no completamente extinguido, el éxito de la interrupción puede necesitar en última instancia de las tácticas psicológicas adoptadas por las autoridades para inculcar la desconfianza entre sus clientes.
• Surge el nuevo malware Android Ghostspy – Los investigadores de ciberseguridad han detallado un nuevo malware Android llamado Ghostspy que permite el keylogging, la captura de pantalla, la disco de audio y el video de fondo, el robo de registros de llamadas y el registro de llamadas, el seguimiento de la ubicación GPS y la ejecución de comandos remotos. La infección comienza con una aplicación de cuentagotas que armaba los servicios de accesibilidad y la automatización de la interfaz de legatario para colocar e instalar una carga útil secundaria que contiene las funciones de casa recoleta de información. “Abusa las API administradas del dispositivo para obstinarse profundamente en el sistema y emplea tácticas anti-Unstall, incluido el secuestro de diálogo del sistema y la ofuscación de superposición de pantalla completa, lo que lo hace extremadamente persistente y casi ficticio de eliminar a través de medios convencionales”, dijo Cyfirma. “Críticamente, el malware asimismo evita la protección de la pantalla de la aplicación bancaria utilizando un método de reconstrucción de apariencia osamenta, que vendimia el diseño completo de la interfaz de legatario de aplicaciones protegidas. Esto permite a los atacantes extraer datos confidenciales de interfaces que generalmente bloquean las capturas de pantalla o el intercambio de pantalla”. Hay evidencia que sugiere que el malware es el trabajo de un actor de amenaza brasileña, basado en los canales de Telegram y YouTube establecidos por ellos.
• Zanubis evoluciona para centrarse en los bancos en Perú -Hablando de malware de Android, Kaspersky ha trazado la cambio del troyano de la banca Android Zanubis como una amenaza multifacética. Es conocido por su objetivo de bancos y entidades financieras en Perú desde agosto de 2022. “El principal vector de infección de Zanubis está suplantando aplicaciones legítimas de Android peruano y luego engaña al legatario para que permita los permisos de accesibilidad”, dijo el tendero de seguridad ruso. “Una vez que se otorgan estos permisos, el malware apetencia capacidades extensas que permiten a sus operadores robar los datos y las credenciales bancarias del legatario, así como realizar acciones remotas y controlar el dispositivo sin el conocimiento del legatario”. Se ha enemigo que las nuevas versiones del malware mejoran su exfiltración de datos y la funcionalidad de control remoto, por otra parte de refinar sus métodos de ofuscación, juntar características, cambiar entre algoritmos de oculto, cambiar objetivos, configurar a sí mismo como la aplicación de correo predeterminada para cosechar contraseñas de un solo tiempo (OTTP) y modificar técnicas de ingeniería de ingeniería social a las tasas de infección. El troyano se disfraza de aplicaciones legítimas de una compañía en el sector energético y un cárcel que no fue atacado previamente por presuntos actores de amenaza peruana. “Estas actualizaciones a menudo están alineadas con campañas recurrentes, lo que sugiere un esfuerzo deliberado para amparar el malware relevante y efectivo”, agregó.
• Los intentos de pestillo del maniquí O3 de OpenAI – El maniquí OpenAI O3 saboteó su mecanismo de acabado para evitar ser apagados incluso cuando se instruyó explícitamente que lo hiciera, reveló Palisade Research. El maniquí encontró formas inventivas de lograrlo, incluso alterando el comando Kill utilizado por el script de pestillo para afirmar “interceptado” o “acabado en su emplazamiento”. Gemini 2.5 Pro de Google cumplió con las instrucciones. “A medida que las empresas desarrollan sistemas de IA capaces de proceder sin supervisión humana, estos comportamientos se vuelven significativamente más preocupantes”, dijo Palisade.
• Stalkerware Apps Spyzie, Cocospy y Spyic se desconectan -Tres aplicaciones Stalkerware “casi idénticas pero de marca”, Cocospy, Spyic y Spyzie, se han oscurecido y los sitios web que las anuncian han desaparecido. El crecimiento se produce meses posteriormente de que se identificó una rotura de seguridad global en todos ellos, lo que permite a cualquiera entrar a los datos personales de cualquier dispositivo con una de las aplicaciones instaladas. Las aplicaciones esencialmente permitieron que la persona que plantara la utensilio obtenga llegada a los mensajes de las víctimas, fotos, registros de llamadas y datos de ubicación en tiempo vivo sin su conocimiento o consentimiento. Según TechCrunch, se han violado al menos 25 operaciones de Stalkerware desde 2017, de las cuales 10 de ellas se han cerrado. En mayo pasado, un spyware llamado Pctattletale dijo que estaba “fuera del negocio y completamente hecho” posteriormente de una violación de datos. La aplicación, que capturó sigilosamente y continuamente capturas de pantalla de los sistemas de reserva de hoteles, sufrió un defecto de seguridad que permitió que las capturas de pantalla estuvieran disponibles para cualquier persona en Internet, no solo sus usuarios previstos. Luego, a principios de febrero, otra tienda de Variston Spyware Spyware española cerró.
• UTG-Q-015 se dirige a los sitios web gubernamentales y empresariales — A threat actor called UTG-Q-015 has been observed leveraging N-day security flaws (CVE-2021-38647, CVE-2017-9805, and CVE-2017-12611) to infiltrate government and enterprise websites in March 2025, as well as single out blockchain websites and financial institutions using puddle mounting and instant messaging phishing tactics to deliver backdoors y otras cargas avíos maliciosas. La actividad se ha atribuido a un actor del sudeste oriental que proporciona servicios de penetración e inteligencia a las empresas de la región. Otra campaña de espionaje que se origina en el sudeste oriental se ha atribuido a lo que se ha descrito como un “nuevo comunidad de oceánicos”, que se dice que utilizó fallas de día cero en el software terminal para apuntar a los sectores militares, de energía y aeroespaciales de China.
• TCC Bypass en la aplicación MacOS de Cursor divulgada -Se ha identificado una vulnerabilidad de seguridad en Cursor, un editor de código popular de inteligencia sintético (IA) para MacOS, que permite al software solapado eludir las protecciones de seguridad incorporadas de Apple y entrar a los datos del legatario confidenciales sin una autorización adecuada. La vulnerabilidad, en pocas palabras, permite sortear el entorno de transparencia, consentimiento y control (TCC) de Apple. “El problema es que la aplicación permite el fusible de runasnode”, dijo el investigador de Afine Karol Mazurek. “Cuando está habilitada, la aplicación se puede ejecutar como un proceso genérico de nodo.js. Esto permite que el malware inyecte un código solapado que herede los permisos de TCC de la aplicación”. Luego de la divulgación responsable, Cursor ha obvio que el problema “cae fuera de su maniquí de amenaza” y que no tiene planes de solucionarlo.
• La rotura de seguridad en encantador permite el llegada a datos confidenciales – A principios de este año, encantador, la popular aplicación de codificación VIBE, se encontró que era susceptible a Vibescamming, permitiendo a cualquiera crear páginas de estafa perfectas, alojarlas e incluso configurar los paneles de empresa para rastrear los datos robados. Ahora, una nueva investigación ha revelado que el servicio no ha podido invadir un “defecto de seguridad crítico” que permite a los atacantes remotos no autenticados descubrir o escribir en tablas de pulvínulo de datos arbitrarias de los sitios generados. Esto incluía nombres, direcciones de correo electrónico, información financiera y claves secretas de API. La vulnerabilidad (CVE-2025-48757, Puntuación CVSS: 9.3), según el investigador de la inventario Matt Palmer, reside en las políticas de implementación de Level Security (RLS) por parte de Loveable. “Las aplicaciones desarrolladas con su plataforma a menudo carecen de configuraciones seguras de RLS, lo que permite a los actores no autorizados entrar a datos confidenciales de los usuarios e inyectar datos maliciosos”, dijo Palmer en una publicación sobre X. Lovable respondió: “Todavía no estamos donde queremos estar en términos de seguridad y estamos comprometidos a seguir mejorando la postura de seguridad para todos los usuarios adorables”.
• Tácticas de Cyber ​​Toufan expuestas -Los investigadores de ciberseguridad han detallado el obra de jugadas de operación de un actor de amenaza iraní llamado Cyber ​​Toufan, que previamente ha atacado a los usuarios con sede en Israel con el limpiaparador Pokyblight patentado. Caracterizado como un comunidad de amenazas pro-palestina en la renglón de la prostitúa, Cyber ​​Toufan se ha asumido la responsabilidad de más de 100 infracciones entre sectores, incluidos el gobierno, la defensa, las finanzas e infraestructura crítica, dijo Op Innovate. “Cada caso siguió un patrón consistente: llegada original a través de credenciales débiles o reutilizadas sin MFA, movimiento pegado sigiloso en toda la red y campañas de fuga de datos coordinadas distribuidas públicamente a través de Telegram”, dijeron los investigadores Matan Matalon y Filip DiMitrov. “A diferencia de los APT tradicionales que dependen de los sofisticados días cero, estos actores explotan la mala higiene de seguridad, convirtiendo la negligencia básica en su vector de ataque primario”.

🎥 seminarios web de ciberseguridad

• El peligro oculto internamente de cada agente de IA, y cómo los piratas informáticos lo están explotando → Los agentes de IA no pueden ejecutar sin llegada, pero las cuentas de servicio y las claves API que usan a menudo no se vean y no se aseguran. Estas identidades invisibles se están convirtiendo en un objetivo principal para los atacantes. Únase a Jonathan Sander de Astrix Security para descubrir los riesgos ocultos detrás de la IA y estudiar a bloquearlos antiguamente de que sea demasiado tarde. No espere una violación: asegure su IA de adentro en torno a exterior.
• Sus aplicaciones de confianza se están siendo armadas, así es como detectarla → Los atacantes ya no necesitan entrar, se mezclan. Usando “Proceder en sitios de confianza” (lotes) tácticas, explotan aplicaciones y servicios populares para esconderse a la apariencia. Únase a los expertos en caza de amenazas de Zscaler, Acuarela Liang y Jessica Lee, para una inmersión profunda en cómo se descubren los ataques de sigilo en la cúmulo de seguridad más espacioso del mundo. Aprenda las herramientas, las técnicas y los casos del mundo vivo detrás de la diversión moderna, y cómo detectar lo que probablemente equivocación su pila de seguridad. Si defiende sistemas empresariales, este es su plan para detectar lo que otros pasan por suspensión.

🔧 Herramientas de ciberseguridad

• RedTeamTP: este kit de herramientas optimiza la implementación de la infraestructura del equipo rojo utilizando acciones de GitHub. Apoya las configuraciones de Cobalt Strike, Mythic y Phishing en AWS, Azure y Digitalocean, engendramiento de configuración, aprovisionamiento y desmontaje a través de flujos de trabajo repetibles y seguros.
• Cloudrec: es una plataforma CSPM de código múltiple de código destapado que ayuda a afirmar entornos en la cúmulo a través del descubrimiento de activos automatizado, la detección de riesgos en tiempo vivo y las políticas basadas en OPA personalizables. Admite AWS, GCP, Alibaba Cloud y más, con una edificio flexible y escalable.

🔒 Consejo de la semana

Use modelos AI para desafiar sus supuestos de seguridad → Herramientas de IA como Openi’s O3 no son solo para escribir código, ahora pueden ayudar a detectar errores serios, incluidas las vulnerabilidades que incluso los expertos pueden perderse. En un caso vivo, O3 ayudó a descubrir un defecto oculto en el código del núcleo de Linux analizando cómo diferentes hilos podrían entrar al mismo objeto en el momento inexacto, poco que es tratable acaecer por suspensión.

Cómo aplicar esto: al revisar el código o los sistemas, intente darle a un maniquí de IA una función específica, algunos referencias sobre cómo se usa, y haga preguntas como:

• ¿Qué podría salir mal si dos usuarios interactúan al mismo tiempo?
• ¿Podría este objeto eliminarse mientras aún está en uso?
• ¿Se manejan correctamente todos los casos de rotura?

Por qué funciona: incluso los equipos de seguridad experimentados hacen suposiciones, sobre el momento, la razonamiento o la estructura, que los atacantes no lo harán. AI no asume. Explora todos los caminos, incluidos los improbables donde se esconden las amenazas reales.

Use AI para pensar de forma diferente, y puede atrapar puntos débiles antiguamente de que cierto más lo haga.

Conclusión

Las herramientas pueden seguir cambiando, pero el desafío central sigue siendo: retener sobre qué interpretar y cuándo. A medida que surgen nuevas amenazas y las familiares resurgen de forma inesperada, la claridad se convierte en su defensa más aguda.

Use estas ideas para cuestionar suposiciones, refrescar planes y blindar los puntos débiles que no siempre aparecen en los paneles. La buena seguridad no se alcahuetería solo de mantenerse a la vanguardia, se alcahuetería de mantenerse afilado.