Malware de IA, fallas de los robots de voz, lavado de criptomonedas, ataques de IoT y 20 historias más

Se ha observado que los actores de amenazas detrás de la botnet ShadowV2 basada en Mirai infectan dispositivos de IoT en industrias y continentes. Se dice que la campaña estuvo activa solo durante la interrupción de Amazon Web Services (AWS) a fines de octubre de 2025. Se evalúa que la actividad fue “probablemente una prueba realizada en preparación para futuros ataques”, según Fortinet. La botnet aprovechó varias fallas, incluidas CVE-2009-2765 (DDWRT), CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915 (D-Link), CVE-2023-52163 (DigiEver), CVE-2024-3721 (TBK) y CVE-2024-53375 (TP-Link), para alistar equipos susceptibles en un ejército zombi de dispositivos IoT. Una explotación exitosa es seguida por la ejecución de un script de descarga que entrega el malware ShadowV2 para ataques DDoS posteriores. “Los dispositivos IoT siguen siendo un vínculo débil en el panorama más amplio de la ciberseguridad”, afirmó la compañía. “La cambio de ShadowV2 sugiere un cambio táctico en el comportamiento de los actores de amenazas en dirección a entornos de IoT”. No es sólo ShadowV2. Otra botnet DDoS emplazamiento RondoDox, asimismo basada en Mirai, ha utilizado más de una docena de exploits para atacar dispositivos IoT. “Los atacantes no sólo están motivados para apuntar a dispositivos IoT vulnerables, sino asimismo, si tienen éxito, tomarán el control de dispositivos previamente infectados para agregarlos a sus propias botnets”, dijo F5.

Singapur ordenó a Apple y Google que bloqueen o filtren mensajes en iMessage y la aplicación Messages para Android compatible con RCS que se hacen acontecer por agencias gubernamentales, lo que exige que la compañía implemente nuevas protecciones contra la suplantación de identidad a partir de diciembre de 2025 como parte de los esfuerzos para frenar el aumento de las estafas en ruta. Según Straits Times, Apple ha recibido una directiva en virtud de la Ley de Daños Penales en Cuerda, que exige al coloso tecnológico evitar que las cuentas de iMessage y los chats grupales utilicen nombres que imiten a las agencias gubernamentales de Singapur o la identificación del remitente “gov.sg”.

Los desarrolladores detrás del tesina Tor están preparando una importante aggiornamento emplazamiento Counter Galois Onion (CGO), que reemplaza el antiguo método de enigmático de retransmisión utilizado en la red de anonimato. “Se apoyo en un tipo de construcción emplazamiento Permutación pseudoaleatoria robusta (RPRP): esencialmente, es un diseño para un enigmático de pedrusco orondo que resiste la maleabilidad en una dirección (para la operación de enigmático, pero no para la operación de descifrado)”, dijo el Tesina Tor. “Si implementamos esto para que los clientes siempre descifren y los retransmisores siempre cifren, entonces tendremos un enigmático resistente al etiquetado a un costo último que un SPRP (permutación pseudoaleatoria cachas) completo”. Las actualizaciones tienen como objetivo aumentar el costo de los ataques activos a lo amplio de un circuito, como los ataques de etiquetado y de interceptación de tráfico, así como evitar que los malos actores manipulen el tráfico enigmático, añadir secreto en dirección a delante y hacer que la red sea más resistente.

Kaspersky dijo que identificó casi 6,4 millones de ataques de phishing, dirigidos a usuarios de tiendas en ruta, sistemas de suscripción y bancos en los primeros diez meses de 2025. “Hasta el 48,2% de estos ataques fueron dirigidos a compradores en ruta”, dijo, y agregó que “detectó más de 2 millones de ataques de phishing relacionados con juegos en ruta” y “bloqueó más de 146.000 mensajes de spam con temas del Black Friday en las dos primeras semanas de noviembre”.

ESET ha revelado detalles de un nuevo conjunto de herramientas denominado QuietEnvelope que está desarrollado específicamente para apuntar al sistema de protección de correo electrónico MailGates de los servidores de correo electrónico OpenFind. El conjunto de herramientas comprende scripts Perl y tres puertas traseras sigilosas, entre otros archivos diversos. “Los scripts Perl son los principales responsables de implementar tres puertas traseras pasivas como un módulo de kernel cargable (LKM), un módulo Apache y un código shell inyectado”, dijo ESET. “Juntos, permiten a los atacantes tener entrada remoto a un servidor comprometido”. El componente LKM (“smtp_backdoor”) monitorea el tráfico TCP de ingreso en el puerto 6400 y se activa cuando los paquetes contienen la dependencia mágica EXEC_OPENFIND para ejecutar el comando. “El módulo Apache demora el comando, que se ejecuta a través de popen, en el encabezado HTTP personalizado OpenfindMaster”, añadió. “La tercera puerta trasera se inyecta en un proceso mgsmtpd en ejecución. Es capaz de recuperar el contenido del archivo y ejecutar comandos. De forma predeterminada, asegura con 250 OK, lo que sugiere que la puerta trasera está conectada al código que tal vez sea responsable de crear la respuesta SMTP”. Se cree que la utensilio es obra de un actor de amenazas desconocido patrocinado por el estado, dada su sofisticación y su capacidad para integrarse. ESET dijo que encontró cadenas de depuración escritas en chino simplificado, que se utiliza principalmente en China continental.

Una búsqueda en Bing de “belay” lleva al sitio web “belaysolutions(.)com”, que se dice que ha sido comprometido con JavaScript pillo que realiza una redirección silenciosa a “belaysolutions(.)link” que aloja una carga útil RAR de doble extensión disfrazada de PDF. Al aclarar la carga útil original, se explota MSC EvilTwin (CVE-2025-26633) para inyectar código en mmc.exe, lo que en última instancia conduce a la implementación de un cargador ejecutable que es capaz de instalar puertas traseras o ladrones. “Cuando se ejecuta, mmc.exe resuelve las rutas MUI que cargan el complemento pillo en extensión del verdadero, activando comandos integrados del TaskPad con una carga útil codificada de PowerShell”, dijo Zscaler. “Decodificado mediante -EncodedCommand, este script descarga UnRAR(.)exe y un RAR protegido con contraseña, extrae la futuro etapa, demora brevemente y luego Invoke-Expression en el script extraído”. El segundo script muestra un PDF señuelo y descarga y ejecuta el binario del cargador. La naturaleza exacta de la carga útil no está clara conveniente al hecho de que la infraestructura de comando y control (C2) no asegura. La dependencia de ataques se ha atribuido a un montón APT en línea con Rusia conocido como Water Gamayun (asimismo conocido como EncryptHub).

El Reino Unido ha expuesto a dos empresas, Smart y TGR, que blanqueaban peculio procedente de delitos cibernéticos, tráfico de drogas, contrabando de armas y delitos de inmigración a cambio de una tarifa, para crear criptomonedas “limpias” que el Estado ruso podría utilizar para esquivar sanciones internacionales. La Agencia Doméstico contra el Crimen (NCA) dijo que las dos entidades adquirieron un tira en Kirguistán para hacerse acontecer por operaciones legítimas. Se sabe que la red opera en al menos 28 ciudades y pueblos del Reino Unido. “Smart y TGR colaboraron para sumergir peculio de grupos criminales transnacionales involucrados en delitos cibernéticos, contrabando de drogas y armas de fuego”, dijo la NCA. “Todavía ayudaron a sus clientes rusos a eludir ilegalmente las restricciones financieras para trastornar peculio en el Reino Unido, amenazando la integridad de nuestra crematística”.

Microsoft dijo que actualizó Defender para Office 365 para ayudar a los equipos de seguridad a eliminar las entradas del calendario creadas automáticamente por Outlook durante la entrega de correo electrónico. Si aceptablemente las acciones de remediación como Mover a la carpeta no deseada, Eliminar, Asesinato temporal y Asesinato completa se pueden utilizar para eliminar las amenazas de correo electrónico de las bandejas de entrada de los usuarios, las acciones no tocaron la entrada del calendario creada por la invitación innovador. “Con esta aggiornamento, estamos dando el primer paso para cerrar esa brecha”, dijo la compañía. “La aniquilación completa ahora asimismo eliminará la entrada del calendario asociada a cualquier correo electrónico de invitación a una reunión. Esto garantiza que las amenazas se erradicarán por completo, no solo de la bandeja de entrada sino asimismo del calendario, lo que reduce el peligro de interacción del sucesor con contenido pillo”.

Los reguladores de datos en Tailandia han colocado a TIDC Worldverse, que presenta en el país la startup fundada por Sam Altman, Tools for Humanity, que detenga la colección de datos biométricos del iris a cambio de pagos en criptomonedas de World (anteriormente Worldcoin). Todavía exigió la aniquilación de los datos biométricos ya recopilados de 1,2 millones de ciudadanos tailandeses. El tesina ha sido testificador de prohibiciones similares en Brasil, Filipinas, Indonesia y Kenia.

Timur Kilin, un patrón tecnológico y entendido en ciberseguridad de 21 primaveras, fue arrestado en Moscú pronunciado de traición a finales de la semana pasada. Si aceptablemente se desconocen los detalles del caso, se sospecha que Kilin pudo favor atraído la atención de las autoridades a posteriori de murmurar la aplicación de transporte respaldada por el estado Max y la fuero gubernativo contra el cibercrimen.

Los actores de amenazas asociados con Smishing Triad han ampliado su enfoque para apuntar a Egipto mediante la creación de dominios maliciosos que se hacen acontecer por los principales proveedores de servicios egipcios, incluidos Fawry, Egypt Post y Careem. The Smishing Triad es un montón cibercriminal de palabra china que se especializa en campañas de smishing a gran escalera en todo el mundo utilizando un kit de phishing llamado Panda. “Más allá de la suplantación del servicio estadounidense, el kit de smishing ofrece una amplia tonalidad de plantillas internacionales, incluidas aquellas que imitan a ISP destacados como Du (EAU)”, dijo Dark Atlas. “Estas plantillas están diseñadas para compilar PII de víctimas en diferentes regiones, ampliando significativamente el radio universal de la campaña”. Recientemente, Google presentó una demanda civil en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York (SDNY) contra una plataforma masiva de phishing como servicio (PhaaS) emplazamiento Lighthouse que ha atrapado a más de 1 millón de usuarios en 120 países. Lighthouse es uno de los servicios PhaaS utilizados por Smishing Triad. Los kits PhaaS son distribuidos principalmente a través de Telegram por un actor de amenazas llamado Wang Duo Yu (@wangduoyu8).

Mozilla ha anunciado planes para cerrar Instructor Plus, un servicio que permitía eliminar datos de los usuarios de los portales de intermediarios de datos. El servicio finalizará el 17 de diciembre de 2025. Se ofreció a través de una asociación con Onerep, una controvertida compañía cuyo director ejecutante bielorruso, Dimitiri Shelest, fue sorprendido administrando servicios de motor de búsqueda para docenas de personas desde 2010. “El servicio de monitoreo de balde de Mozilla Instructor continuará brindando alertas en tiempo verdadero y guías paso a paso para mitigar los riesgos de una violación de datos”, dijo Mozilla.

Un nuevo actor de amenazas llamado NetMedved se dirige a empresas rusas con correos electrónicos de phishing que contienen archivos ZIP que incluyen un archivo LNK disfrazado de solicitud de adquisición, conexo con otros documentos señuelo. Al aclarar el archivo LNK se desencadena una secuencia de infección de varias etapas que elimina NetSupport RAT. La actividad, según Positive Technologies, se observó a mediados de octubre de 2025. El avance se produce cuando F6 detalla nuevos ataques montados por VasyGrek (asimismo conocido como Fluffy Wolf), un actor de delitos electrónicos de palabra rusa conocido por atacar a empresas rusas desde 2016 para entregar troyanos de entrada remoto (RAT) y malware saqueador. El postrer conjunto de ataques registrados entre agosto y noviembre de 2025 implicó el uso del ransomware Pay2Key, así como malware desarrollado por PureCoder, incluidos PureCrypter, PureHVNC y PureLogs Stealer.

Los actores de amenazas están utilizando sitios web legítimos comprometidos con inyecciones de JavaScript maliciosas para ofrecer a los visitantes comprobaciones CAPTCHA falsas que contienen una carga útil codificada en Base64 para mostrar un señuelo ClickFix que es apropiado para el sistema eficaz mediante el uso de la técnica EtherHiding. Esto implica ocultar cargas efectos de JavaScript intermedias en la dependencia de bloques y utilizar cuatro contratos inteligentes implementados en Binance Smart Chain (BSC) para avalar que la víctima no sea un bot y dirigirla a un pacto específico del sistema eficaz (SO). Sin requisa, el JavaScript específico del sistema eficaz se entrega solo a posteriori de una emplazamiento a un pacto de puerta que asegura “sí” u otro valencia. “Esta puerta proporciona al atacante un indicador de función controlado remotamente”, dijo Censys. “Al alterar el estado de la dependencia, el cámara puede habilitar o deshabilitar selectivamente la entrega para víctimas específicas, acelerar la ejecución o deshabilitar temporalmente toda la campaña”. Las cargas efectos distribuidas a lo amplio de las cadenas incluyen ladrones comunes como AMOS y Vidar. Todavía se ha descubierto que ataques similares de compromiso oculto muestran verificaciones CAPTCHA falsificadas que aprovechan la táctica ClickFix para eliminar a Lumma Stealer, según NCC Group.

Microsoft dijo que el conjunto de herramientas PhaaS conocido como Tycoon 2FA (asimismo conocido como Storm-1747) se ha convertido en la plataforma más prolífica observada por la compañía este año. Solo en octubre de 2025, Microsoft Defender para Office 365 bloqueó más de 13 millones de correos electrónicos maliciosos vinculados a Tycoon 2FA. “Más del 44% de todos los ataques de phishing controlados por CAPTCHA bloqueados por Microsoft se atribuyeron a Tycoon 2FA”, dijo. “Tycoon2FA asimismo estuvo directamente relacionado con casi el 25% de todos los ataques de phishing con códigos QR detectados en octubre”. Descubierto por primera vez en 2023, Tycoon 2FA ha evolucionado hasta convertirse en una potente utensilio que aprovecha técnicas de Adversario en el Medio (AitM) en tiempo verdadero para capturar credenciales, robar tokens de sesión y códigos de un solo uso. “La plataforma ofrece páginas de phishing de ingreso fidelidad para Microsoft 365, Gmail y Outlook, y se ha convertido en una utensilio preferida entre los actores de amenazas conveniente a su maniquí eficaz de muerto barrera basado en suscripción”, dijo CYFIRMA.

Una nueva traducción de Xillen Stealer ha introducido funciones avanzadas para esquivar los sistemas de detección basados ​​en IA imitando a usuarios legítimos y ajustando el uso de CPU y memoria para imitar aplicaciones normales. Su objetivo principal es robar credenciales, criptomonedas y datos confidenciales en navegadores, administradores de contraseñas y entornos de cúmulo. Se comercializa en Telegram por entre $ 99 y $ 599 por mes. La última traducción asimismo incluye código para utilizar IA para detectar objetivos de detención valencia en función de indicadores ponderados y palabras secreto relevantes definidas en un diccionario. Estos incluyen billeteras de criptomonedas, datos bancarios, cuentas premium, cuentas de desarrolladores y correos electrónicos comerciales, conexo con indicadores de ubicación que incluyen países de detención valencia como EE. UU., Reino Unido, Alemania y Japón, y otros países y centros financieros amigables con las criptomonedas. Si aceptablemente sus autores, Xillen Killers, no implementan completamente la función, el avance muestra cómo los actores de amenazas podrían rendir la IA en futuras campañas, dijo Darktrace.

La Comisión Federal de Comunicaciones (FCC) ha eliminado un conjunto de reglas de ciberseguridad de telecomunicaciones introducidas a posteriori de que saliera a la luz la campaña de espionaje Salt Typhoon el año pasado para evitar que piratas informáticos patrocinados por el estado violaran a los operadores estadounidenses. El veredicto entró en vigor en enero de 2025. El cambio de rumbo se produce a posteriori de lo que la FCC dijo que eran “esfuerzos extensos, urgentes y coordinados” de los operadores para mitigar los riesgos operativos y proteger mejor a los consumidores. La movimiento sigue a “un compromiso de meses con proveedores de servicios de comunicaciones donde han demostrado una postura de seguridad cibernética fortalecida a posteriori del tifón de sal”, agregó la agencia, agregando que ha “tomado una serie de acciones para proteger las redes de comunicaciones y mejorar su postura de seguridad para mejorar el proceso de investigación de la agencia sobre las interrupciones de las redes de comunicaciones que resultan de incidentes cibernéticos”. Esto incluyó el establecimiento de un Consejo de Seguridad Doméstico y la admisión de reglas para chocar los riesgos de ciberseguridad en la infraestructura de comunicaciones críticas sin “imponer requisitos inflexibles y ambiguos”. Sin requisa, el anuncio de la FCC no ofrece detalles sobre cómo se monitorearán o aplicarán esas mejoras.

Dos adolescentes británicos que fueron acusados ​​de delitos relacionados con la Ley de uso indebido de ordenadores por un ciberataque a Transport for London (TfL) el año pasado se declararon inocentes durante una comparecencia en presencia de el tribunal la semana pasada. Thalha Jubair, de 19 primaveras, y Owen Flowers, de 18, fueron arrestados en sus casas en el este de Londres y Walsall, respectivamente, por agentes de la Agencia Doméstico contra el Crimen (NCA) en septiembre de 2025.

Se ha revelado una vulnerabilidad de seguridad en la API Retell AI, que crea agentes de voz de IA que tienen permisos y funcionalidades excesivos. Esto se debe a la desatiendo de barreras de seguridad suficientes que hacen que su maniquí de jerigonza excelso (LLM) entregue resultados no deseados. Un atacante podría rendir este comportamiento para organizar campañas de ingeniería social, phishing y desinformación a gran escalera. “La vulnerabilidad apunta a la facilidad de implementación y personalización de Retell AI para realizar ataques escalables de phishing/ingeniería social”, dijo el Centro de Coordinación CERT (CERT/CC). “Los atacantes pueden favorecer capital disponibles públicamente, así como algunas instrucciones a la API de Retell AI para crear llamadas falsas automatizadas y de gran barriguita. Estas llamadas falsas podrían conducir a acciones no autorizadas, violaciones de seguridad, fugas de datos y otras formas de manipulación”. El problema sigue sin solucionarse.

Un nuevo disección de Kaspersky ha revelado que la web oscura sigue actuando como un mercado gremial paralelo con sus propias reglas, prácticas de contratación y expectativas salariales, al mismo tiempo que está influenciada por las fuerzas económicas actuales. “La mayoría de los solicitantes de empleo no especifican un campo profesional, y el 69% expresa su voluntad de aceptar cualquier trabajo acondicionado”, dijo la empresa. “Al mismo tiempo, están representadas una amplia tonalidad de roles, especialmente en TI. Los desarrolladores, los probadores de penetración y los blanqueadores de peculio siguen siendo los especialistas más demandados, mientras que los ingenieros inversos obtienen los salarios promedio más altos. Todavía observamos una presencia significativa de adolescentes en el mercado, muchos de los cuales buscan ganancias pequeñas y rápidas y, a menudo, ya están familiarizados con esquemas fraudulentos”.

AhnLab dijo que descubrió un malware APK para Android (“com.golfpang.golfpanggolfpang”) que se hacía acontecer por un célebre servicio de entrega coreano, mientras tomaba medidas para esquivar los controles de seguridad utilizando técnicas de ofuscación y empaquetado. Los datos robados por el malware se filtran a un sitio verdadero violado que se utiliza para C2. “Cuando se inicia la aplicación, solicita los permisos necesarios para realizar comportamientos maliciosos por parte del sucesor”, dijo AhnLab. En un avance similar, un software pillo disfrazado de SteamCleaner se propaga a través de sitios web que anuncian software crackeado para entregar un script Node.js capaz de comunicarse con un servidor C2 periódicamente y ejecutar comandos emitidos por el atacante. Si aceptablemente no se sabe qué comandos se envían a través del canal C2, AhnLab dijo que la actividad podría conducir a la instalación de proxyware y otras cargas efectos. Los instaladores falsificados están alojados en repositorios de GitHub administrados por el actor de amenazas.

El Director Común de Seguridad, Mike Burgess, cabecilla de la Estructura de Inteligencia de Seguridad de Australia (ASIO), reveló que los actores de amenazas que operan en nombre del gobierno y el ejército de China investigaron la red de telecomunicaciones y la infraestructura secreto del país. Burgess advirtió que los regímenes autoritarios “están cada vez más dispuestos a perturbar o destruir infraestructura crítica” mediante el boicot cibernético. Se estima que el espionaje le habrá costado al país 12.500 millones de dólares australianos (8.100 millones de dólares) en 2024. Sin requisa, China ha desestimado los comentarios, afirmando que “difundieron narrativas falsas y provocaron deliberadamente una confrontación”.

Alice Guo, una mujer china de 35 primaveras que se hizo acontecer por regional y fue elegida alcaldesa de la ciudad de Bamban en 2022, fue condenada a dependencia perpetua a posteriori de ser declarada culpable de tráfico de personas por su papel en la papeleo de un enorme engorroso de estafa cibernética que operaba en casinos en ruta, conocido localmente como Philippine Offshore Gaming Operations (Pogo). Guo, conexo con otras tres personas, fue sentenciado a dependencia perpetua y una multa de 2 millones de pesos (33.832 dólares).

Los actores de amenazas han trabajador múltiples vulnerabilidades en Microsoft Windows para filtrar hashes NTLM y aumentar sus esfuerzos posteriores a la explotación. Estos incluyen CVE-2024-43451, del que han abusado BlindEagle y Head Mare, CVE-2025-24054, que ha sido abusado en ataques de phishing dirigidos a Rusia para entregar Warzone RAT, y CVE-2025-33073, que ha sido abusado en “actividad sospechosa” contra un objetivo secreto perteneciente al sector financiero en Uzbekistán. En este ataque, el actor de la amenaza aprovechó la descompostura para confirmar si tenía privilegios suficientes para ejecutar código usando archivos por lotes que ejecutaban comandos de registro, establecían persistencia, volcaban la memoria LSASS e intentaban sin éxito moverse lateralmente al memorial compartido chupatintas de otro host. No se detectó más actividad. “Si aceptablemente Microsoft ha anunciado planes para eliminarlo gradualmente, la presencia generalizada del protocolo en sistemas heredados y redes empresariales lo mantiene relevante y inerme”, dijo Kaspersky. “Los actores de amenazas están aprovechando activamente las fallas recientemente reveladas para refinar los ataques de retransmisión de credenciales, subir privilegios y moverse lateralmente adentro de las redes, lo que subraya que NTLM todavía representa un importante problema de seguridad”.