Lazarus llega a Web3, Intel/AMD TEE agrietados, herramienta de fuga de la Dark Web y más

Los ciberataques son cada vez más inteligentes y difíciles de detener. Esta semana, los piratas informáticos utilizaron herramientas furtivas, engañaron a sistemas confiables y rápidamente aprovecharon nuevos problemas de seguridad, algunos escasamente horas posteriormente de acaecer sido descubiertos. Ningún sistema era completamente seguro.

Desde espionaje y estafas de empleos falsos hasta ransomware potente y phishing engañoso, los ataques vinieron de todos lados. Incluso se pusieron a prueba las copias de seguridad cifradas y las áreas seguras.

Continúe leyendo para conocer la nómina completa de las telediario cibernéticas más importantes de esta semana, claramente explicadas y fáciles de seguir.

⚡ Amenaza de la semana

Defecto de Motex Lanscope explotado para eliminar Gokcpdoor — Un supuesto actor chino de ciberespionaje conocido como Tick ha sido atribuido a una campaña objetivo que aprovechó una falta de seguridad crítica recientemente revelada en Motex Lanscope Endpoint Manager (CVE-2025-61932, puntuación CVSS: 9,3) para infiltrarse en las redes objetivo e implementar una puerta trasera señal Gokcpdoor. Sophos, que reveló detalles de la actividad, dijo que estaba “limitada a sectores alineados con sus objetivos de inteligencia”.

🔔 Parte destacadas

• El ataque de canal anexo TEE.Fail extrae secretos de los enclaves seguros Intel y AMD DDR5 — Se ha descubierto que un ataque de canal anexo físico de bajo costo rompe las garantías de confidencialidad y seguridad que ofrecen los modernos entornos de ejecución confiable (TEE) de Intel y AMD, permitiendo la procedencia completa de claves criptográficas y la subversión de mecanismos de certificación seguros. El ataque, cuyo nombre en código TEE.fail, explota el criptográfico determinista y la interposición de bus DDR5 para eludir con éxito las protecciones en SGX y TDX de Intel, así como en SEV-SNP de AMD, al espiar transacciones de memoria utilizando una configuración de analizador metódico casero construida por menos de $1,000. Dicho esto, el ataque requiere llegada físico al objetivo, así como privilegios de nivel raíz para modificar el compensador Kernel.
• Hackers rusos atacan a Ucrania con tácticas sigilosas — Presuntos piratas informáticos rusos violaron las redes ucranianas este verano utilizando herramientas administrativas ordinarias para robar datos y advenir desapercibidos, según descubrieron los investigadores. Según un referencia de Symantec, propiedad de Broadcom, y Carbon Black, los atacantes se dirigieron a una gran empresa ucraniana de servicios empresariales y a una agencia del gobierno específico en dos incidentes separados a principios de este año. Lo que hace que estos ataques sean notables es que los piratas informáticos implementaron poco malware personalizado y, en cambio, confiaron en gran medida en tácticas de radicar de la tierra, es proponer, utilizar software cierto ya presente en las redes de las víctimas, para padecer a lugar sus acciones maliciosas. Las organizaciones objetivo no fueron nombradas y aún no está claro qué información, si es que hubo alguna, fue robada.
• Corea del Ártico apunta al sector Web3 con GhostCall y GhostHire – El actor de amenazas BlueNoroff, afiliado a Corea del Ártico, asimismo conocido con los seudónimo APT38 y TA444, ha resurgido con dos nuevas campañas denominadas GhostCall y GhostHire, dirigidas a ejecutivos, desarrolladores Web3 y profesionales de blockchain. Las campañas se basan en ingeniería social a través de plataformas como Telegram y LinkedIn para dirigir invitaciones a reuniones falsas e iniciar cadenas de malware de varias etapas para comprometer los hosts de Windows, Linux y macOS. GhostCall marca un gran brinco en el sigilo operante en comparación con operaciones anteriores de BlueNoroff, ya que los atacantes dependen de múltiples capas de preparación para eludir la detección. La operación GhostHire adopta un enfoque diferente y se dirige a los desarrolladores Web3 mediante ofertas de trabajo falsas y pruebas de contratación. BlueNoroff es un subgrupo motivado financieramente del Peña Lazarus, la dispositivo cibernética patrocinada por el estado de Corea del Ártico vinculada a la Oficina Militar de Agradecimiento (RGB), y se cree que opera la campaña de larga duración SnatchCrypto. Se considera que GhostCall y GhostHire son las últimas extensiones de esta campaña. Se dice que la logística del actor de amenazas ha evolucionado más allá del robo de criptomonedas y credenciales de navegador hasta la adquisición integral de datos en una variedad de activos. “Estos datos recopilados se explotan no sólo contra el objetivo auténtico sino asimismo para entregar ataques posteriores, lo que permite al actor ejecutar ataques a la dependencia de suministro y rendir las relaciones de confianza establecidas para impactar a una gradación más amplia de usuarios”, dijo Kaspersky.
• El nuevo malware bancario para Android Herodotus imita el comportamiento humano — Los investigadores han descubierto un nuevo malware bancario para Android llamado Herodotus que evade la detección imitando el comportamiento humano cuando controla de forma remota los dispositivos infectados. El malware es anunciado por un hacker poco conocido que se pasión K1R0. Herodotus funciona como muchos troyanos bancarios modernos para Android. Los operadores lo distribuyen a través de mensajes SMS que engañan a los usuarios para que descarguen una aplicación maliciosa. Una vez instalado, el malware dilación a que se fiordo una aplicación específica y luego superpone una pantalla falsa que imita la interfaz bancaria o de plazo actual para robar credenciales. Además intercepta mensajes SMS entrantes para capturar contraseñas de un solo uso y aprovecha las funciones de accesibilidad de Android para estudiar lo que se muestra en la pantalla del dispositivo. Lo que hace que Herodotus sea inusual, dijo ThreatFabric, es que intenta “humanizar” las acciones que realizan los atacantes durante el control remoto. En división de pegar todos los detalles robados en los campos del formulario a la vez (un comportamiento que se puede marcar fácilmente como automatizado), el malware escribe cada carácter por separado con pausas aleatorias de aproximadamente 0,3 a 3 segundos entre pulsaciones de teclas, imitando cómo escribiría una persona actual.
• Qilin Ransomware utiliza cifradores de Linux en ataques a Windows — Se ha observado que los actores del ransomware Qilin aprovechan el subsistema de Windows para Linux (WSL) para iniciar cifrados de Linux en Windows en un intento de evitar la detección. Qilin, que surgió a mediados de 2022, ha atacado a más de 700 víctimas en 62 países este año. La tasa sostenida de víctimas reclamadas en su sitio de filtración de datos subraya la posición de Qilin como una de las operaciones de ransomware más activas y perniciosas del mundo. En nuevos ataques detectados por Trend Micro, se ha manido a los afiliados de Qilin utilizando WinSCP para transferir el criptográfico ELF de Linux a dispositivos comprometidos, que luego se inicia a través del software de compañía remota Splashtop. Esto se logra habilitando o instalando WSL en el host, lo que les permite ejecutar archivos binarios de Linux de forma nativa en Windows sin la menester de una máquina potencial.

‎️‍🔥 CVE de tendencia

Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para obtener un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención en toda la industria. Revíselos, priorice sus correcciones y obturación la brecha ayer de que los atacantes se aprovechen.

La nómina de esta semana incluye: CVE-2025-55315 (QNAP NetBak PC Agent), CVE-2025-10680 (OpenVPN), CVE-2025-55752, CVE-2025-55754 (Apache Tomcat), CVE-2025-52665 (Ubiquiti UniFi Access), CVE-2025-12044, CVE-2025-11621 (HashiCorp Vault), CVE-2025-43995 (Dell Storage Manager), CVE-2025-5842 (Sistema maquinal de medición de tanques Veeder-Root TLS4B), CVE-2025-24893 (XWiki), CVE-2025-62725 (Docker Redactar), CVE-2025-12080 (Mensajes de Google para Wear OS), CVE-2025-12450 (complemento LiteSpeed Cache), CVE-2025-11705 (complemento de seguridad antimalware y cortafuegos de fuerza bruta), CVE-2025-55680 (compensador de minifiltro de archivos en la nubarrón de Microsoft), CVE-2025-6325, CVE-2025-6327 (complemento King Addons para Elementor), CVE-2025-49401 (complemento Quiz y Survey Master), CVE-2025-54603 (Claroty Secure Remote Access) y CVE-2025-10932 (Progress MOVEit Transfer).

📰 En torno a del mundo cibernético

• Canadá advierte sobre ataques hacktivistas dirigidos a infraestructura crítica — El Centro Canadiense de Seguridad Cibernética ha emitido una alerta de ataques organizados por hacktivistas dirigidos a sistemas de control industrial (ICS) expuestos a Internet. “Un incidente afectó a una instalación de agua, alterando los títulos de presión del agua y resultando en un servicio degradado para su comunidad”, dijo el Cyber ​​Center. “Otro involucró a una compañía canadiense de petróleo y gas, donde se manipuló un contador de tanque automatizado (ATG), lo que provocó falsas alarmas. Un tercero involucró un silo de secado de granos en una cortijo canadiense, donde se manipularon los niveles de temperatura y humedad, lo que resultó en condiciones potencialmente inseguras si no se detecta a tiempo”. Se recomienda a las organizaciones que garanticen que todos los servicios estén adecuadamente inventariados, documentados y protegidos.
• Kinsing explota el defecto de Apache ActiveMQ – El actor de amenazas conocido como Kinsing está explotando CVE-2023-46604, una falta conocida en Apache ActiveMQ, para realizar ataques de criptojacking en sistemas Linux y Windows. El extremo conjunto de ataques, observado por AhnLab, se destaca por el despliegue de una puerta trasera .NET señal Sharpire, cercano con XMRig y Stager. “Sharpire es una puerta trasera .NET que soporta PowerShell Empire”, dijo la compañía de ciberseguridad de Corea del Sur. “Durante el proceso de tomar el control del sistema infectado, el actor de amenazas utiliza CobaltStrike, Meterpreter y PowerShell Empire juntos”. Vale la pena señalar que se descubrió que Kinsing explotaba la misma falta luego de su divulgación pública en 2023.
• 2 fallas en 8 sistemas informáticos confidenciales — Se han revelado dos fallas de seguridad (CVE-2025-59054 y CVE-2025-58356) en ocho sistemas informáticos confidenciales diferentes (Oasis Protocol, Phala Network, Flashbots TDX, Fortanix Salmiac, Edgeless Constellation, Edgeless Contrast y Cosmian VM) que utilizan Linux Unified Key Setup traducción 2 (LUKS2) para el criptográfico de disco. Se ha introducido una mitigación parcial en la traducción 2.8.1 de cryptsetup. “Utilizando estas vulnerabilidades, un actor zorro con llegada a los discos de almacenamiento puede extraer todos los datos confidenciales almacenados en ese disco y puede modificar el contenido del disco arbitrariamente”, dijo el investigador de Trail of Bits, Tjaden Hess. “Las vulnerabilidades son causadas por encabezados de metadatos maleables que permiten a un atacante engañar a un entorno de ejecución confiable para que cifre datos secretos con un criptográfico ignorante”. Dicho esto, la explotación de este problema requiere llegada de escritura a discos cifrados. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.
• Los piratas informáticos abusan de LinkedIn para atacar a los ejecutivos financieros — Los piratas informáticos están abusando de LinkedIn para atacar a los ejecutivos financieros con ataques de phishing de mensajes directos que se hacen advenir por invitaciones a juntas ejecutivas con el objetivo de robar sus credenciales de Microsoft. Los mensajes contienen una URL maliciosa, al hacer clic se activa una dependencia de redireccionamiento que lleva a las víctimas a una página de destino falsa que les indica que inicien sesión con las credenciales de su cuenta de Microsoft para ver un documento. La página de phishing asimismo implementa protección contra bots como Cloudflare Turnstile para rodear escáneres automatizados. “Dirigir señuelos de phishing a través de aplicaciones de redes sociales como LinkedIn es una excelente forma de lograr a los empleados en un división donde esperan que personas ajenas a su estructura se comuniquen con ellos”, dijo Push Security. “Al evitar por completo el tradicional punto de control de phishing (correo electrónico), los atacantes reducen significativamente el peligro de interceptación”.
• WhatsApp agrega soporte para copias de seguridad cifradas con esencia de llegada – WhatsApp ha anunciado una nueva forma de penetrar a copias de seguridad cifradas con soporte de esencia de llegada. “Las claves de llegada le permitirán utilizar su huella digital, su rostro o su código de obstrucción de pantalla para resumir las copias de seguridad de sus chats en división de tener que memorizar una contraseña o una engorrosa esencia de criptográfico de 64 dígitos”, dijo WhatsApp. “Ahora, con solo un toque o un vistazo, la misma seguridad que protege tus chats y llamadas personales en WhatsApp se aplica a las copias de seguridad de tus chats para que siempre estén seguras, accesibles y privadas”. Se dilación que el cambio se implemente gradualmente durante las próximas semanas y meses. Las claves de llegada son un método de autenticación sin contraseña basado en el habitual industrial FIDO. Están diseñados para reemplazar las contraseñas con claves criptográficas almacenadas en el dispositivo del beneficiario y protegidas mediante métodos biométricos o de obstrucción del dispositivo. WhatsApp lanzó soporte para claves de llegada en Android en octubre de 2023 y para iOS en abril de 2024.
• 12 extensiones de código VS maliciosas marcadas — Los investigadores de ciberseguridad han identificado un conjunto de 12 componentes maliciosos en el mercado de extensiones de Visual Studio Code (VS Code) que vienen con capacidades para robar información confidencial o instalar una puerta trasera que establece una conexión persistente con una dirección de servidor controlada por un atacante y ejecuta código infundado en el host del beneficiario. “El malware en los complementos IDE es un canal de ataque a la dependencia de suministro que los equipos de seguridad empresarial deben tomar en serio”, afirmó HelixGuard. El explicación se produce cuando Aikido informó que los actores de amenazas detrás de la campaña GlassWorm dirigida al mercado de extensiones VS Code y Open VSX se han mudado a GitHub, empleando el mismo truco de esteganografía Unicode para ocultar sus cargas maliciosas internamente de proyectos JavaScript. La compañía de seguridad de la dependencia de suministro dijo que el uso de código zorro oculto inyectado con caracteres invisibles del Dominio de uso privado (PUA) de Unicode se observó por primera vez en un conjunto de paquetes npm maliciosos en marzo de 2025. “Estos incidentes resaltan la menester de una decano conciencia sobre el uso indebido de Unicode, especialmente los peligros de los caracteres invisibles del Dominio de uso privado”, dijo el investigador de seguridad Ilyas Makari. “Los desarrolladores sólo pueden defenderse de lo que pueden ver y, en este momento, la mayoría de las herramientas no los muestran lo suficiente. Ni la interfaz web de GitHub ni VS Code mostraron ninguna señal de que poco andaba mal”.
• Observatorio de incumplimiento de datos de emisiones de protones — La empresa suiza Proton, centrada en la privacidad, ha atrevido Data Breach Observatory como una forma de escanear la web oscura en rastreo de fugas de datos confidenciales de empresas. Dijo que se han filtrado más de 306,1 millones de registros de 794 filtraciones, siendo el comercio minorista, la tecnología y los medios los sectores más afectados. “Las pequeñas y medianas empresas (empresas con entre 1 y 249 empleados) representaron el 70,5% de las infracciones denunciadas”, afirmó la empresa. “Las empresas más grandes (entre 250 y 999 empleados) representaron el 13,5 % de las filtraciones de datos, y las organizaciones empresariales de más de 1000 empleados representaron el 15,9 % restante. Las PYMES son objetivos perfectos para los piratas informáticos, porque si aceptablemente pueden ofrecer un día de plazo último que una estructura empresarial, son mucho más fáciles de violar porque tienen menos protecciones de seguridad implementadas”.
• Rusia arresta a tres personas en relación con el chorizo de información de Meduza — Las autoridades rusas arrestaron a tres personas que se cree que crearon y vendieron el chorizo de información Meduza. Los sospechosos fueron arrestados la semana pasada en el ámbito metropolitana de Moscú, según el Tarea del Interior de Rusia. Las autoridades dijeron que confiscaron equipos informáticos, teléfonos y tarjetas bancarias durante las redadas en las casas de los sospechosos. La portavoz del Tarea, Irina Volk, dijo que el malware se utilizó en ataques contra al menos una red oficial en la región de Astracán. En un referencia publicado en septiembre pasado, la firma de seguridad rusa BI.ZONE dijo que Meduza fue utilizado en múltiples ataques dirigidos a organizaciones rusas el año pasado.
• Doméstico ucraniano extraditado a Estados Unidos por ataques de Conti – Un ciudadano ucraniano que se cree que es miembro de la operación de ransomware Conti ha sido extraditado a los EE. UU. “Desde rodeando de 2020 y hasta aproximadamente junio de 2022, Oleksii Oleksiyovych Lytvynenko, de 43 primaveras, de Cork, Irlanda, conspiró con otros para implementar el ransomware Conti para dañar a las víctimas y robar sus datos”, dijo el Sección de Jurisprudencia de EE. UU. “Lytvynenko controló los datos robados de numerosas víctimas de Conti y estuvo involucrado en las notas de rescate implementadas en los sistemas de las víctimas”. Lytvynenko fue arrestado por las autoridades irlandesas en julio de 2023. Está pronunciado de conspiración para fraude informático y conspiración para fraude electrónico. Si es manifiesto culpable, enfrenta una pena máxima de 5 primaveras de prisión por conspiración de fraude informático y 20 primaveras de prisión por conspiración de fraude electrónico. Según estimaciones, Conti se utilizó para atacar a más de 1.000 víctimas en todo el mundo, lo que generó al menos 150 millones de dólares en pagos de rescate a partir de enero de 2022. Si aceptablemente el clan cerró la marca “Conti” en 2022, sus miembros se dividieron en grupos más pequeños y se trasladaron a otras operaciones de ransomware o perjuicio. Cuatro de los presuntos cómplices de Lytvynenko, Maksim Galochkin, Maksim Rudenskiy, Mikhail Mikhailovich Tsarev y Andrey Yuryevich Zhuykov, fueron acusados ​​en 2023.
• La FCC eliminará los requisitos de ciberseguridad para las empresas de telecomunicaciones de EE. UU. – La Comisión Federal de Comunicaciones (FCC) de EE. UU. dijo que votará el próximo mes para eliminar los nuevos requisitos de ciberseguridad para los proveedores de telecomunicaciones. “Tras un amplio compromiso de la FCC con los operadores, el artículo anuncia los pasos sustanciales que los proveedores han tomado para vigorizar sus defensas de ciberseguridad”, dijo Brendan Carr, presidente de la FCC.
• Dinamarca se retira del control de chat de la UE — El gobierno danés retiró formalmente su código de control de chat posteriormente de que la controvertida propuesta no lograra obtener el apoyo mayoritario entre los miembros del sillar de la UE. El gobierno germano, el 8 de octubre, anunció que no apoyaría el plan. Si aceptablemente Chat Control se presentó como una forma de combatir la amenaza que surge del material de atropello sexual de niño (CSAM), los críticos de la propuesta dijeron que exigiría el escaneo de todas las comunicaciones digitales privadas, incluidos mensajes y fotografías encriptados, lo que amenazaría la privacidad y seguridad de todos los ciudadanos de la región.
• Polonia arresta a 11 personas por realizar estafa de inversiones — Las autoridades polacas arrestaron a 11 sospechosos que dirigían un plan de estafa de inversiones que dependía de centros de llamadas ubicados en el extranjero para engañar a los ciudadanos polacos para que invirtieran su cuartos en sitios web de inversión falsos. La pandilla supuestamente ganó más de 20 millones de dólares con al menos 1.500 víctimas.
• 4 nuevas RAT usan Discord para C2 — Los investigadores de ciberseguridad han arrojado luz sobre cuatro nuevos troyanos de llegada remoto (RAT) que utilizan la plataforma Discord para comando y control (C2). Esto incluye UwUdisRAT, STD RAT, Minecraft RAT y Propionanilida RAT. “Minecraft RAT (…) es operado por un clan de actores de amenazas que se autodenominan ‘STD Group'”, dijo ReversingLabs. “Además operan una serie de RAT muy estrechamente relacionadas que utilizan Discord como mecanismo C2. Las RAT están tan estrechamente relacionadas que pueden ser la misma colchoneta de código, pero con un nuevo nombre”. Propionanilida RAT, por otro banda, cuenta con un empaquetador llamado Proplock o STD Crypter para descifrar e iniciar la funcionalidad Discord RAT.
• Debilidades de seguridad en los sitios de Tata Motors — Se han descubierto una serie de problemas de seguridad en sitios de Tata Motors como E-Dukaan, FleetEdge y cvtestdrive.tatamotors(.)com, incluidas claves API de Azuga expuestas, dos claves de AWS y una cuenta de “puerta trasera” integrada que otorga llegada no competente a más de 70 TB de información e infraestructura confidencial en cientos de depósitos, compromete su sistema de trámite de flotas de prueba y obtiene llegada de administrador a una cuenta de Tableau administrada por el conglomerado. Tras la divulgación responsable por parte del investigador de seguridad Eaton Zveare en agosto de 2023 en coordinación con el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In), los problemas finalmente se solucionaron a principios de enero de 2024. En los últimos meses, Zveare asimismo ha demostrado métodos para irrumpir en los sitios web internos de Intel e identificó fallas en la plataforma centralizada de distribuidores de un fabricante de automóviles incógnito de las que se podría acaecer abusado para obtener un control total sobre los sistemas de más de 1.000 concesionarios de automóviles en los EE. UU. mediante la creación de un cuenta de administrador doméstico. El investigador asimismo identificó un defecto de seguridad a nivel API en una plataforma no especificada que otorgaba la capacidad de penetrar a comandos para iniciar y detener generadores de energía. Si aceptablemente el problema se solucionó en octubre de 2023, la plataforma ya no está activa.
• Tangerine Turkey utiliza scripts por lotes y Visual Basic para eliminar criptomineros — Se descubrió que una campaña de minería de criptomonedas denominada Tangerine Turkey aprovecha archivos por lotes y scripts de Visual Basic para vencer persistencia, evitar defensas e implementar mineros XMRig en los entornos de las víctimas. Desde su aparición a finales de 2024, se considera que la campaña ha ampliado su talento y se dirige a organizaciones de forma indiscriminada en múltiples industrias y geografías. “El llegada auténtico a la campaña de malware Tangerine Turkey se logra a través de un dispositivo USB infectado”, dijo Cybereason. “El ataque comienza cuando wscript.exe ejecuta un VB Script zorro sito en la dispositivo extraíble. Al rendir binarios tradicionales como wscript.exe y printui.exe, así como modificaciones de registro y directorios señuelo, el malware puede evitar las defensas tradicionales y proseguir la persistencia”.
  
• Hezi Rash apunta a sitios globales en una campaña hacktivista — Un nuevo actor de amenazas con motivación ideológica conocido como Hezi Rash (que significa Fuerza Negra) ha sido vinculado a aproximadamente 350 ataques distribuidos de denegación de servicio (DDoS) dirigidos a países percibidos como hostiles a las comunidades kurdas o musulmanas entre agosto y octubre de 2025. Fundado en 2023, el clan hacktivista nacionalista kurdo se ha descrito a sí mismo como un colectivo digital que defiende a la sociedad kurda contra las amenazas cibernéticas, según Check Point, mientras impulsa una mezcla de nacionalismo. religión y acción directa en sus mensajes. Se cree que el actor de amenazas está utilizando herramientas y servicios de actores de amenazas más establecidos, como EliteStress, una plataforma DDoS como servicio (DaaS) vinculada a Keymous+, KillNet y Project DDoSia y Abyssal DDoS v3. “Si aceptablemente el impacto técnico de estos ataques, como las interrupciones temporales de los sitios web, es evidente, las consecuencias comerciales más amplias siguen sin estar claras”, afirmó Check Point. “Los ataques parecen ser de la ‘variedad habitual’, centrándose en la perturbación más que en una explotación sofisticada”. La divulgación sigue a un referencia de Radware, que destaca un aumento en la actividad DDoS reclamada entre el 6 y el 8 de octubre de 2025 por parte de grupos hacktivistas dirigidos a Israel. Algunos de los grupos participantes esencia incluyen Sylhet Gang, Keymous+, Arabian Ghosts y NoName057(16). “Sólo el 7 de octubre, se registraron más de 50 denuncias de ataques cibernéticos contra objetivos israelíes”, dijo Radware. “El número promedio semanal de ataques denunciados aumentó a casi tres veces el promedio en comparación con las semanas anteriores al 7 de octubre. Esta válido ascensión subraya cómo las campañas hacktivistas continúan utilizando aniversarios simbólicos para amplificar su visibilidad y coordinar la actividad completo”.
• Campañas de phishing distribuyen Lampion Stealer — Se ha detectado a un clan de amenazas brasileño empleando señuelos de recibos de transferencias bancarias que contienen archivos ZIP para eliminar el chorizo de Lampion mediante páginas de estilo ClickFix presentes internamente de las páginas HTML presentes en el archivo. El troyano bancario ha estado activo desde al menos 2019. “El primer cambio fue rodeando de mediados de septiembre de 2024, cuando los TA comenzaron a usar archivos adjuntos ZIP en división de enlaces a un ZIP; el segundo cambio fue rodeando de mediados de diciembre de 2024 con la preámbulo de los señuelos ClickFix como una nueva técnica de ingeniería social; el extremo cambio fue a fines de junio de 2025, donde se agregaron capacidades de persistencia a la primera etapa”, dijo Bitsight. El comando ejecutado posteriormente de ClickFix allana el camino para tres VB Scripts diferentes que finalmente implementan el componente chorizo de DLL del malware.
  
• MITRE aguijada ATT&CK v18 — MITRE Corporation ha atrevido una traducción actualizada del ámbito ATT&CK (v18), que actualiza las detecciones con dos nuevos objetos: Estrategias de detección para detectar técnicas de atacantes específicas y Exploración que proporcionan una deducción de detección de amenazas específica de la plataforma. “En el frente móvil, hay cobertura del atropello patrocinado por el estado de dispositivos vinculados a Signal/WhatsApp y técnicas mejoradas de casa recoleta de cuentas”, dijo MITRE. “Y en ICS, los objetos de Activos nuevos y actualizados amplían la gradación de equipos industriales y escenarios de ataque que ATT&CK puede representar, incluidas conexiones mejoradas a través de terminología específica del sector a través de Activos Relacionados”.

🎥 Seminarios web sobre ciberseguridad

• Deje de ahogarse en listas de vulnerabilidades: descubra la reducción dinámica de la superficie de ataque: ¿está cansado de demasiados problemas de seguridad y no tiene suficiente tiempo para solucionarlos? Únase a The Hacker News y Bitdefender para obtener más información sobre la reducción dinámica de la superficie de ataque (DASR), una nueva forma de cerrar rápidamente las brechas de seguridad mediante herramientas inteligentes y automatización. Vea cómo Bitdefender PHASR ayuda a los equipos a mantenerse seguros, sujetar riesgos y rodear amenazas ayer de que causen daño.
• Protección de la infraestructura de la nubarrón: estrategias para equilibrar la agilidad, el cumplimiento y la seguridad: a medida que más empresas migran a la nubarrón, proseguir seguros los datos y el llegada se vuelve más difícil. En este seminario web, los expertos compartirán consejos fáciles de seguir para proteger los sistemas en la nubarrón, establecer el llegada de los usuarios y mantenerse al tanto de las reglas globales, todo sin parar su negocio. Aprenderá pasos reales que puede seguir de inmediato para proseguir su nubarrón segura y que su equipo avance rápidamente.

🔧 Herramientas de ciberseguridad

• runZeroHound: un nuevo y práctico conjunto de herramientas de código rajado de runZero que convierte los datos de sus activos en “gráficos de ataques” visuales para que pueda ver exactamente cómo las amenazas podrían moverse a través de su red. Con esto en la mano, detectarás caminos peligrosos, cerrarás las brechas más rápido y te adelantarás a lo que los atacantes podrían intentar a continuación.
• DroidRun: es una aparejo de prueba de seguridad que ayuda a investigadores y analistas a ejecutar y monitorear de forma segura malware de Android en un entorno de espacio marginado. Está diseñado para entregar la observación de cómo se comportan las aplicaciones maliciosas sin poner en peligro su sistema. Valentísimo para disección dinámicos, admite la automatización y brinda información detallada sobre la actividad del malware.

Descargo de responsabilidad: estas herramientas son sólo para uso educativo y de investigación. No se han sometido a pruebas de seguridad completas y podrían presentar riesgos si se usan incorrectamente. Revise el código ayer de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.

🔒 Consejo de la semana

Por qué la reducción de la superficie de ataque es más importante que nunca ¿Qué pasa si su decano peligro no es un nuevo día cero, sino poco que ya se encuentra en silencio internamente de su sistema?

Esta semana, la atención se centra en la reducción de la superficie de ataque (ASR), una logística que rápidamente se está convirtiendo en poco imprescindible, no poco agradable de tener. A medida que las empresas crean más aplicaciones, API y cuentas en la nubarrón, los piratas informáticos encuentran formas fáciles de penetrar a lo que ya está expuesto. Piense en subdominios olvidados, puertos no utilizados, cuentas de beneficiario antiguas. Cuanto más tengas, más tendrán con qué trabajar.

¿La buena notificación? Las herramientas de código rajado están aumentando. FácilEASM ayuda a mapear lo que está en vivo en la web. Exploración de la superficie de ataque de Microsoftr muestra qué cambios posteriormente de las actualizaciones o instalaciones. ASRGEN le permite probar reglas inteligentes en Windows Defender para eliminar comportamientos riesgosos ayer de que sean explotados.

Ésta es la verdad: no es necesario dejar de construir rápidamente, sólo hay que hacerlo de forma inteligente. Achicar la superficie de ataque no frena la innovación. Lo protege.

No espere una alerta. Toma el control ayer de que lo hagan los atacantes. Mapéelo. Córtalo. Ciérralo.

Conclusión

¿La gran advertencia de esta semana? Las amenazas cibernéticas no siempre parecen amenazas. Pueden esconderse en aplicaciones normales, sitios web confiables o incluso ofertas de trabajo. Ya no se comercio sólo de detener los virus: se comercio de detectar trucos, comportarse con ligereza y pensar en el futuro. Cada clic, aggiornamento e inicio de sesión son importantes.

La ciberseguridad no es una decisión única. Es un pericia periódico.