Nuevos RCE, caídas de Darknet, errores del kernel y más de 25 historias más

La Oficina Federal de Investigaciones (FBI) de Estados Unidos se ha manager del afamado foro sobre ciberdelincuencia RAMP. Los visitantes del sitio Tor del foro y su dominio clearnet, ramp4u(.)io, ahora son recibidos por un cartel de incautación que dice que “se han tomado medidas en coordinación con la Oficina del Fiscal Federal para el Distrito Sur de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Unidad de Ecuanimidad”. En el foro XSS, el flagrante administrador de RAMP, Stallman, confirmó la asesinato y afirmó: “Este evento ha destruido primaveras de mi trabajo para crear el foro más tirado del mundo, y aunque esperaba que este día nunca llegara, en mi corazón siempre supe que era posible”. RAMP se lanzó en julio de 2021 posteriormente de que Exploit y XSS prohibieran la promoción de operaciones de ransomware. Fue establecido por un agraciado llamado Orange, quien desde entonces ha sido descubierto como Mikhail Pavlovich Matveev (además conocido como Wazawaka, m1x, Boriselcin y Uhodiransomwar). “Según se informa, grupos como Nova y DragonForce están cambiando su actividad con destino a Rehub, lo que ilustra la capacidad del clandestino para reconstituirse rápidamente en espacios alternativos”, dijo Tammy Harper, investigadora senior de inteligencia de amenazas en Flare.io. “Estas transiciones son a menudo caóticas y abren nuevos riesgos para los actores de amenazas: pérdida de reputación, inestabilidad del depósito de señal, exposición operativa e infiltración durante la lucha por restablecer la confianza”.

Una nueva demanda presentada contra Meta en Estados Unidos alega que el cíclope de las redes sociales ha hecho afirmaciones falsas sobre la privacidad y seguridad de WhatsApp. La demanda afirma que Meta y WhatsApp “almacenan, analizan y pueden lograr a prácticamente todas las comunicaciones supuestamente ‘privadas’ de los usuarios de WhatsApp” y acusan a la empresa de defraudar a los usuarios de WhatsApp. En una confesión compartida con Bloomberg, Meta calificó la demanda como frívola y dijo que la compañía “impondrá sanciones contra los abogados de los demandantes”. Will Cathcart, director de WhatsApp en Meta, dijo: “WhatsApp no ​​puede descifrar los mensajes porque las claves de enigmático están almacenadas en su teléfono y no tenemos llegada a ellas. Esta es una demanda sin mérito y que rastreo titulares presentada por la misma firma que defiende a NSO posteriormente de que su software infiltrado atacara a periodistas y funcionarios gubernamentales”. Los denunciantes afirman que WhatsApp tiene un equipo interno con llegada ilimitado a comunicaciones cifradas, que puede otorgar llegada a solicitudes de datos. Estas solicitudes se envían al equipo de ingeniería de Meta, que luego otorga llegada a los mensajes de un agraciado, a menudo sin cómputo, como se establece en la demanda. Estas acusaciones van más allá de escenarios en los que se envían hasta cinco mensajes recientes a WhatsApp para su revisión cuando un agraciado denuncia a otro agraciado en un chat individual o grupal. El quid del debate es si la seguridad de WhatsApp es un sitio técnico que no se puede forzar o un sitio de política que los empleados pueden aclarar. WhatsApp ha subrayado que los mensajes son privados y que “cualquier afirmación en contrario es falsa”.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado una registro auténtico de categorías de productos de hardware y software que admiten o se demora que admitan los estándares de criptografía poscuántica (PQC). La supervisión cubre servicios en la montón, software web y de colaboración, seguridad de terminales y hardware y software de redes. La registro tiene como objetivo indicar a las organizaciones a la hora de dar forma a sus estrategias de migración de PQC y evaluar futuras inversiones tecnológicas. “La venida de la computación cuántica plantea una amenaza existente y urgente a la confidencialidad, la integridad y la accesibilidad de los datos confidenciales, especialmente los sistemas que dependen de la criptografía de esencia pública”, afirmó Madhu Gottumukkala, director momentáneo de CISA. “Para adelantarse a estos riesgos emergentes, las organizaciones deben priorizar la adquisición de tecnologías compatibles con PQC. Esta registro de categorías de productos ayudará a las organizaciones a realizar esa transición crítica”. Las agencias gubernamentales y las empresas del sector privado se están preparando para la amenaza que representa la venida de una computadora cuántica criptográficamente relevante (CRQC), que la comunidad de seguridad cree que podrá descifrar algunas formas de enigmático clásico. Todavía existe la preocupación de que los actores de amenazas puedan estar recopilando datos cifrados ahora con la esperanza de lograr a ellos una vez que se desarrolle una máquina de descifrado de códigos cuánticos, una táctica de vigilancia conocida como recoger ahora, descifrar posteriormente (HNDL).

Más de 20 vulnerabilidades de seguridad (desde CVE-2025-59090 hasta CVE-2025-59109) descubiertas en los sistemas de control de llegada físico de Dormakaba podrían acontecer permitido a los piratas informáticos aclarar puertas de forma remota en las principales organizaciones. Las fallas incluían credenciales codificadas y claves de enigmático, contraseñas débiles, descuido de autenticación, reproducción de contraseñas inseguras, ascensión de privilegios locales, exposición de datos, reconvención de rutas e inyección de comandos. “Estas fallas permiten a un atacante aclarar puertas arbitrarias de numerosas maneras, reconfigurar controladores y periféricos conectados sin autenticación previa, y mucho más”, dijo SEC Consult. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.

Una nueva campaña de phishing está aprovechando correos electrónicos falsos con temas de contratación que se hacen advenir por empleadores y empresas de personal conocidos, afirmando que ofrecen trabajos fáciles, entrevistas rápidas y trabajo flexible. “Los mensajes aparecen en varios idiomas, incluidos inglés, castellano, italiano y francés, a menudo adaptados a la ubicación del destinatario”, dijo Bitdefender. “Los principales objetivos incluyen personas en Estados Unidos, Reino Unido, Francia, Italia y España”. Al hacer clic en un enlace de confirmación en el mensaje, los destinatarios acceden a una página falsa que recopila credenciales, recopila datos confidenciales o redirige a contenido malvado.

Una novedosa campaña ha explotado la confianza asociada con los dominios *.vercel.app para eludir los filtros de correo electrónico y engañar a los usuarios con señuelos de temática financiera, como facturas vencidas y documentos de emisión, como parte de una campaña de phishing observada desde noviembre de 2025 hasta enero de 2026. La actividad, que además emplea un mecanismo de entrega controlado por Telegram diseñado para filtrar investigadores de seguridad y entornos sandbox automatizados, está diseñada para ofrecer una utensilio legítima de llegada remoto emplazamiento GoTo Resolve, según Pasión de montón. CyberArmor documentó por primera vez los detalles de la campaña en junio de 2025.

Con iOS 26.3, Apple está agregando una nueva configuración de “acotar ubicación precisa” que reduce los datos de ubicación disponibles para las redes celulares para aumentar la privacidad del agraciado. “La configuración de confín de ubicación precisa progreso la privacidad de su ubicación al estrechar la precisión de los datos de ubicación disponibles para las redes celulares”, dijo Apple. “Con esta configuración activada, parte de la información habitable para las redes celulares es limitada. Como resultado, es posible que solo puedan determinar una ubicación menos precisa, por ejemplo, el vecindario donde se encuentra su dispositivo, en empleo de una ubicación más precisa (como una dirección postal)”. Según un nuevo documento de soporte, los modelos de iPhone de proveedores de red compatibles ofrecerán esta función. Se demora que la función esté habitable en Alemania (Telekom), el Reino Unido (EE, BT), EE. UU. (Boost Mobile) y Tailandia (AIS, True). Todavía requiere iPhone Air, iPhone 16e o iPad Pro (M5) Wi-Fi + Cellular.

En más noticiario relacionadas con Apple, el fabricante de iPhone lanzó actualizaciones de seguridad para iOS 12 e iOS 15 para extender el certificado digital requerido por funciones como iMessage, FaceTime y la activación del dispositivo para continuar funcionando posteriormente de enero de 2027. La aggiornamento está habitable en iOS 12.5.8 y iOS 15.8.6.

Se ha descubierto un mercado de vínculos de retroceso como una forma de ayudar a los clientes a que sus páginas web maliciosas tengan una clasificación más reincorporación en los resultados de búsqueda. El agrupación se refiere a sí mismo como Haxor, una palabra del argot para hackers, y a su mercado como HxSEO o HaxorSEO. Los actores de amenazas han establecido sus operaciones y mercados en Telegram y WhatsApp. El mercado permite a los estafadores comprar un vínculo de retroceso a un sitio web de su selección, a partir de una selección de dominios legítimos ya comprometidos por el agrupación. Estos dominios comprometidos suelen tener entre 15 y 20 primaveras y tienen una puntuación de “confianza” asociada para mostrar cuán efectivo sería el vínculo de retroceso comprado para aumentar la clasificación en los motores de búsqueda. Cada sitio web genuino está comprometido con un shell web que permite a Haxor cargar un vínculo de retroceso malvado al sitio. Al comprar y luego insertar estos enlaces en sus sitios, los actores de amenazas pueden mejorar las clasificaciones de búsqueda, atrayendo visitantes desprevenidos a páginas de phishing diseñadas para recoger sus credenciales o instalar malware. Los sitios de WordPress con fallas en los complementos y componentes php vulnerables son el objetivo de estos esfuerzos. La operación ofrece vínculos de retroceso por sólo 6 dólares por relación. La idea es que cuando los usuarios buscan palabras esencia como “inicios de sesión financieros” para bancos específicos, la manipulación del equipo de HxSEO garantiza que los sitios comprometidos aparezcan delante de la página legítima en los resultados de búsqueda. “HxSEO se destaca por su acento en técnicas poco éticas de optimización de motores de búsqueda (SEO), vendiendo un servicio que respalda campañas de phishing al mejorar la legalidad percibida de páginas maliciosas”, dijo Fortra. HxSEO aprovecha una variedad de herramientas maliciosas yuxtapuesto con tácticas poco éticas de optimización de motores de búsqueda (SEO) para asegurar que los sitios maliciosos aparezcan en la parte superior de los resultados de búsqueda, lo que hace que los sitios comprometidos sean más difíciles de detectar y atraer a más víctimas potenciales. Todavía se especializan en ventas ilícitas de vínculos de retroceso para envenenar el SEO”. Los actores de amenazas han estado activos desde 2020.

Las cuentas metaempresariales pertenecientes a agencias de publicidad y administradores de redes sociales han sido objeto de una nueva campaña diseñada para tomar el control de sus cuentas para realizar actividades maliciosas posteriores. El ataque de phishing comienza con un mensaje pulido para crear necesidad y preocupación, imitando la marca Meta para advertir a los destinatarios sobre violaciones de políticas, problemas de propiedad intelectual o actividad inusual, e indicándoles que hagan clic en un enlace simulado diseñado para resumir sus credenciales. “Una vez que una cuenta se ve comprometida, el atacante: cambia la información de facturación, agrega tarjetas robadas o virtuales, aguijada anuncios fraudulentos que promocionan criptomonedas o plataformas de inversión falsas (y) elimina a los administradores legítimos, tomando el control total”, dijo CyberArmor.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha adjunto una descompostura de seguridad que afecta el kernel de Linux a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que requiere que las agencias del Poder Ejecutante Civil Federal (FCEB) apliquen los parches ayer del 16 de febrero de 2026. “El kernel de Linux contiene una vulnerabilidad de desbordamiento de enteros en la función create_elf_tables(), que podría permitir a un agraciado locorregional sin privilegios con llegada a SUID (o de otro modo) privilegiado) binario para avanzar sus privilegios en el sistema”, dijo CISA. La vulnerabilidad, registrada como CVE-2018-14634, tiene una puntuación CVSS de 7,8. Actualmente no hay informes sobre la explotación salvaje de las fallas.

El gobierno francés ha anunciado planes para reemplazar aplicaciones de videoconferencia estadounidenses como Teleobjetivo, Microsoft Teams, Google Meet y Webex a servicio de una alternativa locorregional emplazamiento Visio como parte de los esfuerzos para mejorar la seguridad y vigorizar su resiliencia digital. David Amiel, ministro delegado para la Función Pública y la Reforma del Estado, dijo que el país no puede arriesgarse a que sus intercambios científicos, datos sensibles e innovaciones estratégicas estén expuestos a actores no europeos. “Muchas agencias gubernamentales utilizan actualmente una amplia variedad de herramientas (Teams, Teleobjetivo, GoTo Meeting o Webex), una situación que compromete la seguridad de los datos, crea dependencias estratégicas de la infraestructura externa, genera mayores costos y complica la cooperación entre ministerios”, dijo el gobierno. “La implementación continuo en los próximos meses de una alternativa unificada, controlada por el Estado y basada en tecnologías francesas, marca un paso importante para vigorizar nuestra resiliencia digital”.

Se ordenó a Microsoft que dejara de usar cookies de seguimiento en Microsoft 365 Education posteriormente de que la autoridad austriaca de protección de datos (DSB) descubriera que la empresa instaló ilegalmente cookies en los dispositivos de un pequeño sin su consentimiento. Estas cookies se pueden utilizar para analizar el comportamiento del agraciado, resumir datos del navegador y informar anuncios dirigidos. Vale la pena señalar que las autoridades alemanas de protección de datos ya han considerado que Microsoft 365 no cumple con los requisitos del RGPD, afirmó la ordenamiento austriaca sin fines de ganancia none of your business (NOYB). Microsoft tiene cuatro semanas para dejar de rastrear al denunciante.

Las policías húngara y rumana arrestaron a cuatro jóvenes sospechosos en relación con amenazas de torpedo, llamadas de emergencia falsas y uso indebido de datos personales. Entre los sospechosos se encuentran un ciudadano rumano de 17 primaveras y tres húngaros de 16, 18 y 20 primaveras. Como parte de la operación, los funcionarios confiscaron todos sus dispositivos de almacenamiento de datos, teléfonos móviles y equipos informáticos. El acontecimiento se produce tras una investigación que comenzó a mediados de julio de 2025 tras una serie de llamadas telefónicas a las autoridades. Los sospechosos se acercaron a las víctimas en Discord, obtuvieron sus números de teléfono y datos personales, y luego usaron esa información para realizar llamadas de emergencia falsas en sus nombres. “Los informes incluían amenazas de explotar instituciones educativas y religiosas y edificios residenciales, matar a varias personas y atacar unidades policiales”, dijeron las autoridades. “Los informes requirieron la intervención de una importante fuerza policial”.

Según datos de Check Point, las organizaciones experimentaron un promedio de 2.027 ataques cibernéticos por ordenamiento por semana en diciembre de 2025. “Esto representa un aumento del 1% mes a mes y un aumento del 9% año tras año”, dijo la compañía. “Si proporcionadamente el crecimiento caudillo se mantuvo moderado, América Latina registró el aumento regional más pronunciado, con organizaciones experimentando un promedio de 3.065 ataques por semana, un aumento del 26% año tras año”. Le siguió APAC con 3.017 ataques semanales por ordenamiento (+2% año tras año), mientras que África promedió 2.752 ataques, lo que representa una disminución del 10% año tras año. El sector educativo siguió siendo el sector más atacado en diciembre, con un promedio de 4.349 ataques por ordenamiento por semana. Los otros sectores objetivo destacados incluyen gobiernos, asociaciones, telecomunicaciones y energía. En América Latina, las organizaciones médicas y de lozanía fueron los principales objetivos.

El Unidad de Ecuanimidad de Estados Unidos (DoJ) anunció que el ciudadano chino Jingliang Su fue sentenciado hoy a 46 meses de prisión por su papel en el lavado de más de 36,9 millones de dólares de las víctimas en una estafa de inversión en activos digitales que se llevó a extremo desde centros de estafa en Camboya. Todavía se ha colocado a Su que pague 26.867.242,44 dólares en restitución. Su era parte de una red criminal internacional que engañaba a las víctimas estadounidenses para que transfirieran fondos a cuentas controladas por cómplices, quienes luego lavaban el moneda de las víctimas a través de empresas aparición estadounidenses, cuentas bancarias internacionales y carteras de activos digitales. Su se declaró culpable de los cargos, yuxtapuesto con otras cuatro personas, en junio de 2025. “Este destacado y sus cómplices estafaron a 174 estadounidenses para quitarles el moneda que tanto les costó obtener”, dijo el Fiscal Común Adjunto A. Tysen Duva de la División Penal del Unidad de Ecuanimidad. “En la era digital, los delincuentes han antitético nuevas formas de utilizar Internet como arsenal para cometer fraude”. En total, ocho cómplices se han notorio culpables hasta el momento, entre ellos José Somarriba y ShengSheng He.

Raheim Hamilton (además conocido como Sydney y Sydney), de 30 primaveras, de Suffolk, Virginia, se declaró culpable en los EE. UU. de un cargo federal de conspiración de drogas en relación con la operación de un mercado de la web oscura llamado Empire Market entre 2018 y 2020, yuxtapuesto con Thomas Pavey (además conocido como Dopenugget). “Durante ese tiempo, el mercado en radio facilitó más de cuatro millones de transacciones entre proveedores y compradores valoradas en más de 430 millones de dólares, lo que lo convirtió en uno de los mercados web oscuros más grandes de su tipo en ese momento”, dijo el Unidad de Ecuanimidad. “Los productos y servicios ilegales disponibles en el sitio incluían sustancias controladas, credenciales de cuentas comprometidas o robadas, información de identificación personal robada, moneda falsificada y herramientas de piratería informática. Las ventas de sustancias controladas fueron la actividad más frecuente, con ventas netas de drogas por un total de casi 375 millones de dólares durante la vida del sitio”. Hamilton acordó perder ciertas ganancias obtenidas ilícitamente, incluidos aproximadamente de 1.230 bitcoins y 24,4 Ether, así como tres propiedades en Virginia. Pavey, de 40 primaveras, se declaró culpable el año pasado de un cargo federal de conspiración de drogas y admitió su papel en la creación y operación de Empire Market. Actualmente se encuentra a la demora de sentencia.

Alan Bill, de 33 primaveras, de Bratislava, se declaró culpable de su billete en un mercado de la red oscura llamado Kingdom Market que vendió drogas y robó información personal entre marzo de 2021 y diciembre de 2023. Bill además admitió acontecer recibido criptomonedas de una billetera asociada con Kingdom, por otra parte de ayudar con la creación de las páginas del foro de Kingdom en Reddit y Dread y tener llegada a los nombres de agraciado de Kingdom que realizaron publicaciones en nombre de Kingdom en cuentas de redes sociales. Como parte de su acuerdo de culpabilidad, Bill acordó perder cinco tipos diferentes de monedas en una billetera de criptomonedas, así como los dominios Kingdommarket(.)live y Kingdommarket(.)so, que han sido cerrados por las autoridades. Está previsto que Bill sea sentenciado el 5 de mayo de 2026. “Bill fue arrestado el 15 de diciembre de 2023 en el Aeropuerto Internacional Newark Liberty posteriormente de que una inspección de aduanas encontrara dos teléfonos celulares, una computadora portátil, una memoria USB y una billetera de hardware utilizada para acumular claves privadas de criptomonedas”, dijo el Unidad de Ecuanimidad. “La electrónica contenía evidencia de su billete con Kingdom”.

Google ha anunciado un conjunto ampliado de funciones de protección contra robo de Android que se basan en protecciones existentes como el sitio de detección de robo y el sitio de dispositivo sin conexión introducidos en 2024. Las funciones están disponibles para dispositivos Android con Android 16+. Los principales son los controles granulares para habilitar o deshabilitar el sitio de autenticación fallida, que bloquea automáticamente la pantalla del dispositivo posteriormente de excesivos intentos fallidos de autenticación. Otras actualizaciones notables incluyen ampliar Identity Check para cubrir todas las funciones y aplicaciones que utilizan el mensaje biométrico de Android, protecciones más sólidas contra intentos de adivinar PIN, patrón o contraseña al aumentar el tiempo de sitio posteriormente de intentos fallidos y juntar una pregunta de seguridad opcional para iniciar un sitio remoto para asegurar que lo realice el propietario existente del dispositivo. “Estas protecciones están diseñadas para hacer que los dispositivos Android sean objetivos más difíciles para los delincuentes ayer, durante y posteriormente de un intento de robo”, dijo Google.

Una campaña de PureRAT se ha dirigido a solicitantes de empleo que utilizan archivos ZIP maliciosos adjuntos en correos electrónicos o compartidos como enlaces que apuntan a Dropbox que, cuando se abren, aprovechan la carga adjunto de DLL para iniciar un script por lotes que es responsable de ejecutar el malware. En un nuevo disección, Symantec y Carbon Black Threat Hunter Team de Broadcom dijeron que hay indicios de que estas herramientas, incluido el script por lotes, han sido creadas utilizando inteligencia industrial (IA). “Múltiples herramientas utilizadas por el atacante tienen características de acontecer sido desarrolladas usando IA, como comentarios detallados y pasos numerados en scripts e instrucciones para el atacante en mensajes de depuración”, dijo. “Prácticamente cada paso del archivo por lotes tiene un comentario detallado en vietnamita”. Se sospecha que el actor de amenazas detrás del actor tiene su sede en Vietnam y probablemente esté vendiendo llegada a organizaciones comprometidas a otros actores.

El Reino Unido y China han establecido un foro llamado Diálogo Cibernético para discutir los ataques cibernéticos para que los funcionarios de seguridad de las dos naciones gestionen las amenazas a la seguridad doméstico de cada uno. El acuerdo, según Bloomberg, es una forma de “mejorar la comunicación, permitir la discusión privada sobre medidas de disuasión y ayudar a predisponer una ascensión”. El Reino Unido ha denunciado anteriormente a los actores de amenazas chinos por atacar su infraestructura doméstico y sus sistemas gubernamentales. Tan recientemente como esta semana, The Telegraph informó que actores de amenazas de estados-nación chinos han pirateado los teléfonos móviles de altos miembros del gobierno del Reino Unido desde 2021.

A principios de este mes, el ciudadano jordano Feras Khalil Ahmad Albashiti se declaró culpable de entregar llegada a las redes de al menos 50 empresas a través de un foro de cibercriminales. Se dice que Albashiti, que además utilizó los apelativo en radio r1z, secr1z y j0rd4n14n, realizó 1.600 publicaciones en múltiples foros, incluidos XSS, Nulled, Altenen, RaidForums, BlackHatWorld y Exploit. En LinkedIn, Albashiti se describió a sí mismo como un arquitecto y consejero de tecnología de la información, afirmando tener experiencia en amenazas cibernéticas, montón, redes, web y pruebas de penetración. ¿El pateador? La URL de su perfil de LinkedIn era “linkedin(.)com/in/r1z”. “El sitio web del actor, sec-r1z.com, fue creado en 2009 y, basándose en información de WHOIS, además revela detalles personales de Firas, incluida la misma dirección de Gmail, yuxtapuesto con detalles adicionales como dirección y número de teléfono”, dijo KELA. “El caso r1z muestra cómo los corredores de llegada auténtico monetizan las vulnerabilidades del firewall y el llegada empresarial a escalera, mientras que las fallas OPSEC del actor dejan rastros de atribución a prolongado plazo que exponen la prisión de suministro de ransomware”.

La empresa de ciberseguridad Halcyon dijo que identificó una descompostura crítica en el proceso de enigmático de Sicarii, una cepa de ransomware recientemente descubierta, que hace que la recuperación de datos sea inalcanzable incluso si una ordenamiento afectada paga un rescate. “Durante la ejecución, el malware regenera localmente un nuevo par de claves RSA, utiliza el material de esencia recién generado para el enigmático y luego descarta la esencia privada”, dijo la compañía. “Esta reproducción de claves por ejecución significa que el enigmático no está vinculado a una esencia maestra recuperable, lo que deja a las víctimas sin una ruta de descifrado viable y hace que los descifradores proporcionados por los atacantes sean ineficaces para los sistemas afectados”. Se evalúa con confianza moderada que los actores de amenazas utilizaron herramientas asistidas por IA que pueden acontecer llevado al error de implementación.

Mandiant, propiedad de Google, dijo que está rastreando una nueva ola de ataques de phishing de voz dirigidos a herramientas de inicio de sesión único que están resultando en robo de datos e intentos de perjuicio. Se dice que múltiples actores de amenazas están combinando llamadas de voz y kits de phishing personalizados, incluido un agrupación que se identifica como ShinyHunters, para obtener llegada no facultado e inscribir dispositivos controlados por actores de amenazas en la autenticación multifactor (MFA) de la víctima para un llegada persistente. Al obtener llegada, se ha descubierto que los actores de amenazas recurren a entornos SaaS para filtrar datos confidenciales. No está claro cuántas organizaciones se han trillado afectadas por la campaña. En una alerta similar, Silent Push dijo que los proveedores de SSO están siendo blanco de una campaña masiva de robo de identidad en más de 100 empresas de parada valencia. La actividad aprovecha un nuevo Panel de phishing en vivo que permite a un atacante humano sentarse en medio de una sesión de inicio de sesión, interceptar credenciales y obtener llegada persistente. Los piratas informáticos han creado dominios falsos dirigidos a estas empresas, pero no se sabe si positivamente fueron el objetivo o si sus intentos de obtener llegada a los sistemas tuvieron éxito. Algunas de las empresas afectadas incluyen Crunchbase, SoundCloud y Betterment, según el cofundador y director de tecnología de Hudson Rock, Alon Gal. “Este no es un ataque tipificado automatizado de rociar y rezar; es una operación de phishing (‘vishing’) de voz de reincorporación interacción dirigida por humanos diseñada para eludir incluso las configuraciones más estrictas de autenticación multifactor (MFA)”, señaló.

Los actores de amenazas han explotado la descompostura de seguridad recientemente revelada en React Server Components (CVE-2025-55182 además conocido como React2Shell) para infectar empresas rusas con criptomineros basados ​​en XMRig, según BI.ZONE. Otras cargas aperos desplegadas como parte de los ataques incluyen botnets como Kaiji y Rustobot, así como el implante Sliver. Las empresas rusas de los sectores de vivienda, finanzas, infraestructura urbana y servicios municipales, aeroespacial, servicios digitales de consumo, industria química, construcción y producción además han sido blanco de un supuesto agrupación de amenazas proucraniano llamado PhantomCore que emplea phishing que contiene archivos adjuntos ZIP para entregar un malware PowerShell similar a PhantomRemote.

La empresa de seguridad de la prisión de suministro Sonatype dijo que registró 454.600 paquetes de malware de código campechano en 2025, lo que eleva el número total de malware conocido y bloqueado a más de 1,233 millones de paquetes en npm, PyPI, Maven Central, NuGet y Hugging Face. La amenaza se ve agravada por agentes de inteligencia industrial que recomiendan con confianza versiones inexistentes o paquetes infectados con malware, lo que expone a los desarrolladores a nuevos riesgos, como la slop okupación. “La progreso del malware de código campechano cristalizó, evolucionando desde spam y trucos hasta campañas sostenidas e industrializadas contra las personas y herramientas que construyen software”, dijo. “La próxima frontera de los ataques a la prisión de suministro de software no se limita a los administradores de paquetes. Los centros de modelos de IA y los agentes autónomos están convergiendo con el código campechano en una prisión de suministro de software única y fluida: una malla de ecosistemas interdependientes sin estándares de seguridad uniformes”.

Un nuevo disección de Emsisoft reveló que los grupos de ransomware tuvieron un año enorme en 2025, reclamando entre 8.100 y 8.800 víctimas, significativamente más que las 5.300 en 2023. “A medida que el número de víctimas ha crecido, además lo ha hecho el número de grupos de ransomware”, dijo la compañía. El número de grupos activos aumentó de aproximadamente 70 en 2023 a casi 140 en 2025. Qilin, Akira, Cl0p y Play emergieron como algunos de los jugadores más activos del panorama. “Los esfuerzos de aplicación de la ley están funcionando: están fragmentando grupos importantes, forzando cierres y creando inestabilidad en la cima. Sin confiscación, esta interrupción no se ha traducido en menos víctimas”, dijo Emsisoft. “En cambio, el ransomware se ha vuelto más descentralizado, más competitivo y más resistente. Mientras los afiliados sigan siendo abundantes y la ingeniería social siga siendo efectiva, es probable que el número de víctimas siga aumentando”.

El Unidad de Ecuanimidad ha anunciado cargos contra otras 31 personas acusadas de estar involucradas en un plan masivo de jackpotting en cajeros automáticos que resultó en el robo de millones de dólares. Los ataques implican el uso de un malware llamado Ploutus para piratear cajeros automáticos y obligarlos a dispensar efectivo. Entre febrero de 2024 y diciembre de 2025, la pandilla robó al menos 5,4 millones de dólares de al menos 63 cajeros automáticos, la mayoría de los cuales pertenecían a cooperativas de crédito, alegó el Unidad de Ecuanimidad. Muchos de los acusados ​​en esta operación del Colección de Trabajo de Seguridad Doméstico son ciudadanos venezolanos y colombianos, incluidos miembros extranjeros ilegales del Tren de Aragua (TdA), dijo el Unidad de Ecuanimidad, agregando que otros 56 ya han sido acusados. “Una gran red de criminales extranjeros supuestamente participó en una conspiración a nivel doméstico para enriquecerse ellos mismos y a la ordenamiento terrorista TdA estafando a ciudadanos estadounidenses”, dijo el Fiscal Común Adjunto Todd Blanche. “La Fuerza de Tarea Conjunta Vulcan del Unidad de Ecuanimidad no se detendrá hasta desmantelar y destruir por completo a TdA y otros terroristas extranjeros que importan el caos a Estados Unidos”.

Se ha observado que una cepa de ransomware emplazamiento DeadLock, que se detectó por primera vez en la naturaleza en julio de 2025, utiliza contratos inteligentes de Polygon para la rotación o distribución de direcciones de servidores proxy. Si proporcionadamente se desconocen los vectores de llegada auténtico exactos utilizados por el ransomware, arroja un archivo HTML que actúa como contenedor para Session, un servicio de correo instantánea descentralizado y enigmático de extremo a extremo. El HTML se utiliza para simplificar la comunicación directa entre el cirujano de DeadLock y la víctima mediante el emisión y recibimiento de mensajes desde un servidor que actúa como middleware o proxy. “La parte más interesante de esto es cómo DeadLock recupera y administra las direcciones del servidor”, señaló Group-IB, afirmando que “descubrió un código JS adentro del archivo HTML que interactúa con un acuerdo inteligente a través de la red Polygon”. Esta registro contiene los puntos finales disponibles para interactuar con la red Polygon o blockchain y obtener la URL del proxy flagrante a través del acuerdo inteligente. DeadLock además se diferencia de las operaciones tradicionales de ransomware porque carece de un sitio de fuga de datos para dar a conocer los ataques. Sin confiscación, utiliza AnyDesk como utensilio de suministro remota y aprovecha un cargador previamente desconocido para explotar la vulnerabilidad del regulador Baidu Antivirus (“BdApiUtil.sys”) (CVE-2024-51324) para sobrellevar a extremo un ataque de tipo “traiga su propio regulador relajado” (BYOVD) y deshabilite las soluciones de seguridad de endpoints. Según Cisco Talos, se cree que el actor de amenazas aprovecha las cuentas válidas comprometidas para obtener llegada a la máquina de la víctima.

En un mensaje publicado esta semana, Chainalysis dijo que las redes de lavado de moneda (CMLN) en idioma chino están dominando la actividad conocida de lavado de moneda criptográfico, procesando aproximadamente el 20% de los fondos ilícitos de criptomonedas en los últimos cinco primaveras. “Los CMLN procesaron 16.100 millones de dólares en 2025, aproximadamente 44 millones de dólares por día en más de 1.799 carteras activas”, dijo la firma de inteligencia blockchain. “El ecosistema de lavado de moneda ilícito en prisión ha crecido dramáticamente en los últimos primaveras, pasando de $10 mil millones en 2020 a más de $82 mil millones en 2025”. Estas redes lavan fondos utilizando una variedad de mecanismos, incluidas plataformas de recreo, movimiento de moneda y servicios de igual a igual (P2P) que procesan transferencias de fondos sin cheques de conocimiento de su cliente (KYC). Los CLMN además han procesado aproximadamente el 10% de los fondos robados en estafas de matanza de cerdos, un aumento que coincide con la disminución en el uso de intercambios centralizados. Esto se complementa con el surgimiento de mercados de señal como HuiOne y Xinbi que funcionan principalmente como lugares de comercialización e infraestructura de depósito en señal para los CMLN. “La publicidad del CMLN en estos servicios de señal ofrece una viso de técnicas de lavado de moneda con el objetivo principal de integrar fondos ilícitos al sistema financiero genuino”, dijo Chainalysis.

Los actores de amenazas se hacen advenir por servicios gubernamentales y marcas nacionales confiables en Canadá, a menudo utilizando señuelos relacionados con multas de tráfico, reembolsos de impuestos, reservas de aerolíneas y alertas de entrega de paquetes en mensajes SMS y anuncios maliciosos para permitir la apropiación de cuentas y el fraude financiero directo dirigiéndolos a páginas de destino de phishing. “Una parte importante de la actividad está alineada con el ecosistema de phishing ‘PayTool’, un conocido situación de fraude que se especializa en infracciones de tráfico y estafas de plazo de multas dirigidas a canadienses a través de ingeniería social basada en SMS”, dijo CloudSEK.