VPN 0 días, trasero de cifrado, malware de IA, falla de macOS, hack de cajero automático y más

El malware ya no solo está tratando de esconderse, está tratando de pertenecer. Estamos viendo un código que acento como nosotros, registros como nosotros, incluso se documenta como un compañero de equipo útil. Algunas amenazas ahora se parecen más a las herramientas de desarrollador que a las exploits. Otros toman prestada confianza de las plataformas de código amplio, o se construyen en silencio de los fragmentos escritos por AI. No se tráfico solo de ser ladino, se tráfico de ser posible.

En el extracto de ciberseguridad de esta semana, exploramos cómo las amenazas de hoy se están volviendo más sociales, más automatizadas y demasiado sofisticadas para los instintos de ayer para atrapar.

⚡ Amenaza de la semana

Secret Blizzard conduce ataques de AITM de nivel ISP para desplegar Apolloshadow – Las ciberespías rusas están abusando de las redes de proveedores de servicios de Internet locales para dirigirse a embajadas extranjeras en Moscú y probablemente recopilen inteligencia de los dispositivos de los diplomáticos. La actividad se ha atribuido a la amenaza persistente descubierta rusa (apt) conocida como Blizzard Secret (incluso conocido como Turla). Es probable que implique usar una posición adversaria en el medio (AITM) en el interior de las compañías de telecomunicaciones nacionales e ISP que los diplomáticos están utilizando para el llegada a Internet para impulsar una cuarto de malware llamamiento Apolloshadow. Esto indica que el ISP puede estar trabajando con el actor de amenaza para favorecer los ataques utilizando los sistemas del sistema para actividades de investigación operativas (SORM). Microsoft se negó a aseverar cuántas organizaciones fueron atacadas o infectadas con éxito en esta campaña.

🔔 Noticiero principales

• Empresas que emplearon a los piratas informáticos de Hafnium vinculados a más de una docena de patentes – Los actores de amenaza vinculados al claro especie de piratería de Hafnium han trabajado para empresas que registraron varias patentes para forenses y tecnologías de resumen de datos enormemente intrusivas. Los hallazgos destacan el diverso ecosistema ofensivo del sector privado de China y un problema subyacente con el mapeo de la artesanía a un especie específico, que puede no reflectar con precisión la verdadera estructura organizativa de los atacantes. El hecho de que los actores de amenaza se hayan atribuido a tres compañías diferentes muestran que múltiples compañías pueden estar trabajando en conjunto para padecer a mango las intrusiones y esas compañías pueden estar proporcionando sus herramientas a otros actores, lo que lleva a una atribución incompleta o engañosa. Actualmente no se sabe cómo los actores de amenaza llegaron a poseer los defectos de Microsoft Exchange Server que se utilizaron para atacar a varias entidades en una campaña generalizada a principios de 2021. Pero su estrecha relación con la Oficina de Seguridad del Estado de Shanghai (SSSB) ha aumentado la posibilidad de que la Oficina haya obtenido llegada a información sobre los días cero a través de algún método de resumen de evidencia y admitido por los atacantes. El descubrimiento incluso destaca otro aspecto importante: las amenazas persistentes avanzadas (APT) con sede en China pueden basarse en diferentes compañías que sirven a muchos clientes conveniente al ecosistema contratante, lo que obliga a estas compañías a colaborar en intrusiones. En junio de 2025, el futuro registrado reveló que un instituto de investigación de defensa estatal chino presentó una certificado a fines de diciembre de 2024 que analiza varios tipos de inteligencia, incluidos Osint, Humint, Sigint, Geoint y Techint, para capacitar un maniquí de idioma ínclito específico marcial para “apoyar cada período del ciclo de inteligencia y mejorar la toma de decisiones durante las operaciones militares”.
• Probable fallas de VPN Sonicwall SSL de 0 días utilizada en ataques de ransomware Akira -Los dispositivos VPN de SonicWall SSL se han convertido en el objetivo de los ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025. El ártico Lob Labs dijo que los ataques podrían estar explotando una equivocación de seguridad ineteterminada en los dispositivos, lo que significa que una vulnerabilidad de los días cero, entregado que algunos de los incidentes afectados por completo. Sin confiscación, la posibilidad de ataques basados en credenciales para el llegada original no se ha descartado. El incremento se produjo cuando Watchtowr Labs detalló múltiples vulnerabilidades en los electrodomésticos de la serie Sonicwall SMA 100 (CVE-2025-40596, CVE-2025-40597 y CVE-2025-40598) que un atacante podría explotar para causar la oposición de la ejecución del código o el código. “Nos topamos con vulnerabilidades que se sienten que fueron conservadas en Amber de una era más ingenua de programación C”, dijo la investigadora de seguridad Sina Kheirkhah. “Si admisiblemente entendemos (y estamos de acuerdo) en que estas vulnerabilidades son, en última instancia, difíciles, o en algunos casos, actualmente no son explotables, el hecho de que existan en inmutable es, francamente, decepcionante. Los desbordamientos de pila y almacenamiento previos a la autor desencadenados por los encabezados HTTP malformados ya no se supone que ocurren”.
• UNC2891 infringe la red ATM a través de 4g Raspberry Pi en ataque cibernético -Se ha observado que el actor de amenaza conocido como UNC2891 dirige a la infraestructura cibernética de la máquina de cajeros automáticos (ATM) utilizando una Raspberry Pi equipada con 4G como parte de un ataque encubierto. El ataque cibernético involucró al adversario aprovechando su llegada físico para instalar el dispositivo Raspberry Pi y tenerlo conectado directamente al mismo interruptor de red que el ATM, colocándolo efectivamente en el interior de la red del mesa de destino. El objetivo final de la infección era implementar el Caketap RootKit en el servidor de conmutación de ATM y favorecer los retiros de efectivo de ATM fraudulentos. Se evalúa la UNC2891 para compartir superposiciones tácticas con otro actor de amenaza llamado UNC1945 (incluso conocido como LightBasin), que se identificó previamente a proveedores de servicios administrados y objetivos sorprendentes en el interior de las industrias de consultoría financiera y profesional. UNC1945 incluso es conocido por sus ataques dirigidos al sector de las telecomunicaciones.
• Explotación activa de la equivocación del tema de WordPress solo -Los actores de amenaza están explotando activamente un defecto de seguridad crítico en “Tema de WordPress sin fines de utilidad multipropósito de caridad” para hacerse cargo de los sitios susceptibles. La vulnerabilidad, rastreada como CVE-2025-5394 (puntuación CVSS: 9.8), es una carga de archivos arbitraria que afecta todas las versiones del complemento antaño e incluyendo 7.8.3. Se ha solucionado en la interpretación 7.8.5 audaz el 16 de junio de 2025. En los ataques observados, el defecto se promedia para cargar un archivo zip que contiene una puerta trasera basada en PHP para ejecutar comandos remotos y cargar archivos adicionales. Alternativamente, la equivocación incluso se ha armado para ofrecer administradores de archivos y traseros con plantillas totalmente completas capaces de crear cuentas de administrador deshonesto.
• Múltiples defectos parcheados en el cursor del editor de código AI -Se han abordado varias vulnerabilidades de seguridad en el cursor, incluido un error de entrada severidad (CVE-2025-54135, incluso conocido como CurxeCute) que podría dar ocasión a la ejecución de código remoto (RCE) al procesar contenido forastero de un servidor de protocolo de contexto de maniquí de terceros (MCP). “Si está encadenado con una vulnerabilidad de inyección rápida por separado, esto podría permitir la escritura de archivos MCP sensibles en el host por el agente”, dijo Cursor. “Esto se puede usar para ejecutar directamente el código agregándolo como un nuevo servidor MCP”. Igualmente se aborda en Cursor interpretación 1.3 es CVE-2025-54136 (puntaje CVSS de 7.2), que podría sobrevenir permitido a los atacantes permutar archivos de configuración de MCP inofensivos por un comando ladino, sin activar una advertencia. “Si un atacante tiene permisos de escritura en las ramas activas de un beneficiario de un repositorio de origen que contiene los servidores MCP existentes que el beneficiario ha admitido previamente, o un atacante tiene una escritura de archivos arbitraria localmente, el atacante puede alcanzar una ejecución de código arbitraria”, dijo la compañía.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una aggiornamento perdida o un error oculto, incluso un CVE sin parches puede destapar la puerta a daños graves. A continuación se muestran las vulnerabilidades de parada peligro de esta semana que hacen olas. Revise la repertorio, parche rápido y mantén un paso delante.

La repertorio de esta semana incluye: CVE-2025-7340, CVE-2025-7341, CVE-2025-7360 (complemento de formulario de contacto HT), CVE-2025-54782 (@Nestjs/Devtools-Integration), CVE-2025-54418 (Codeigner4), CVE-2025-4421,, CVE-2025-54418 (Codeigner4), CVE-2025-4421,), CVE-2025-54418 (Codeigner4), CVE-2025-4421, 4421, CVE-2025‑4422, CVE-2025‑4423, CVE-2025‑4424, CVE-2025‑4425, CVE-2025‑4426 (Lenovo), CVE-2025-6982 (TP-Link Archer C50), CVE-2025-2297 (más allá de la administración de privilegios de ventanas para Windows), CVE-2025-5394 (tema solo), CVE-2025-2523 (Honeywell Experion PKS), CVE-2025-54576 (OAuth2-Proxy), CVE-2025-46811 (SUSE), CVE-2025-6076, CVE-2025-6077 y CVE-2025-6078 (Software de sus socios).

📰 cerca de del mundo cibernético

• RCE crítico en @nestjs/devitools-integración -Se ha descubierto una equivocación de ejecución de código remoto crítico (CVE-2025-54782, puntaje CVSS: 9.4) en @Nestjs/Devtools-Integration, un paquete Nestjs NPM descargado por 56,000 veces por semana. El paquete establece un servidor de incremento tópico con un punto final que ejecuta un código improcedente en el interior de un “sandbox” de JavaScript construido con el nodo: VM Module y el ahora desaliñado de eval, lo que finalmente permite la ejecución de código de beneficiario no confiable en un entorno de arenque, dijo Socket. Un disección posterior ha opuesto que el sandbox es trivialmente escapable y conveniente a que el servidor es accesible en Localhost, cualquier sitio web ladino puede activar la ejecución del código en la máquina de un desarrollador a través de CSRF utilizando el punto final Inspector/Graph/Interact. “Oportuno al sandboxing inadecuado y a las protecciones de origen cruzado faltante, cualquier sitio web ladino visitado por un desarrollador puede ejecutar código improcedente en su máquina tópico”, dijo el mantenedor de Nestjs Kamil Mysliwiec en un aviso. “Al encadenar estos problemas, un sitio web ladino puede desencadenar el punto final desvalido y alcanzar la ejecución de código arbitraria en la máquina de un desarrollador que ejecuta la integración de Nestjs DevTools”.
• Los atacantes explotan cuentas de correo electrónico comprometidas para ataques – Los actores de amenaza utilizan cada vez más las cuentas de correo electrónico interna o confiable de los socios comerciales comprometidos para expedir correos electrónicos maliciosos para obtener llegada original. “El uso de una cuenta confiable legítima ofrece a un atacante numerosas ventajas, como potencialmente evitar los controles de seguridad de una ordenamiento, así como parecer más confiable para el destinatario”, dijo Talos. La divulgación se produce cuando los malos actores incluso continúan explotando la función de giro directo de Microsoft 365 para entregar correos electrónicos de phishing que parecen originarse en el interior de la ordenamiento mediante el uso de una dirección interna falsificada y aumenta la probabilidad de éxito de los ataques de ingeniería social. Los mensajes se inyectan en Microsoft 365 inquilinos a través de dispositivos de seguridad de correo electrónico de terceros no garantizados utilizados como relés SMTP. “Esta táctica permite a los atacantes expedir cargas enseres maliciosas a los usuarios de Microsoft 365 con longevo credibilidad, lo que a menudo resulta en una entrega exitosa a pesar de los controles de autenticación fallidos”, dijo Proofpoint.
• Signal advierte que saldrá de Australia sobre el empuje de la puerta trasera de criptográfico – El presidente de Signal Foundation, Meredith Whittaker, dijo que la aplicación de correo segura dejará a Australia si el gobierno lo obliga a incorporar una puerta trasera en su cálculo de criptográfico o llegada a la demanda a los datos de los usuarios cifrados. A principios de este año, el gobierno del Reino Unido emitió una orden secreta que exigía que Apple le permita penetrar a datos de usuarios cifrados para ayudar en las investigaciones, lo que resulta en que Apple elimine su función de protección de datos descubierta (ADP) para los usuarios de la región. Si admisiblemente el gobierno del Reino Unido parece estar retrocediendo de su demanda precursor, Google le dijo a TechCrunch que, a diferencia de Apple, no recibió ninguna solicitud del Reino Unido para construir una puerta trasera secreta. Esta es la primera vez que Google comenta formalmente sobre el asunto.
• Google Hardens CHROME Extension Supply Chain contra el compromiso de la cuenta – Google ha implementado una nueva función de seguridad llamamiento carga CRX verificada para los desarrolladores de extensión de Chrome que impone firmas criptográficas para todas las actualizaciones de extensión de Chrome y evita que los malos actores comprometan cuentas de desarrolladores y publiquen actualizaciones maliciosas en la tienda web de Chrome (CWS). La protección de seguridad incluso está diseñada para tocar los escenarios en los que las revisiones de código CWS no siempre pueden marcar tales ataques maliciosos. “Al optar por una extensión en la carga CRX verificada, el desarrollador le da a Google una secreto pública. Luego de eso, el desarrollador ya no puede cargar archivos zip sin firmar para esa extensión y, en cambio, debe cargar un archivo CRX firmado con la secreto privada correspondiente”, dijo Google (PDF). “La carga verificada actúa como un segundo coeficiente para el acto de cargar a CWS. Un actor ladino que compromete la contraseña de cuenta de un desarrollador, las cookies de sesión o incluso una token OAuth, no podrá cargar una aggiornamento maliciosa a menos que incluso obtengan llegada a la secreto de firma privada del desarrollador”.
• Kimsuky se dirige a Corea del Sur con malware de robador -El especie de piratería Kimsuky vinculado a Corea del Ideal se ha vinculado a una campaña de phishing de bichero que se dirige a las entidades de Corea del Sur utilizando los archivos de Windows Shortcut (LNK) como un vector de llegada original para desencadenar una sujeción de infección de varias etapas para desplegar un KeyLogger, Staaler de información, establecer un control persistente sobre los hosts comprometidos y ofrecer una carga de suscripción de la venidero etapa desconocida. Paralelamente, los usuarios se muestran con documentos de señuelos relacionados con avisos de impuestos y alertas gubernamentales sobre presuntos delincuentes sexuales en el ámbito. “Una vez en el interior, el malware realiza un perfil extenso del sistema, roba credenciales y documentos confidenciales, monitorea la actividad del beneficiario a través de el keylogging y la captura del portapapeles, y exfiltrata los datos en segmentos discretos sobre el tráfico web tipificado, lo que la combina en operaciones de red normales”, dijo Aryaka.

• Apple MacOS Flaw puede comerse TCC – Los atacantes podrían sobrevenir utilizado una vulnerabilidad de macOS recientemente parcheada para evitar la transparencia, el consentimiento y las verificaciones de seguridad de control (TCC) y robar información del beneficiario confidencial de ubicaciones como el directorio de descargas y los cachés de inteligencia de Apple. Microsoft, el defecto, denominado Sploitlight de Microsoft y rastreó como CVE-2025-31199, fue abordado por la permiso de MacOS Sequoia 15.4 en marzo de 2025. El ataque se fogata así porque explota los complementos de los focos llamados importadores, que se utilizan para indexar los datos encontrados en un dispositivo y la superficie de la superficie a través de su útil de búsqueda integrada. Sploitlight convierte estos complementos en un bypass TCC, lo que permite que se filtren datos valiosos sin el consentimiento de un beneficiario.
• Lectura mejorada de Xworm manchado -Se ha descubierto una nueva interpretación de un troyano de llegada remoto llamado Xworm (interpretación 6.0) con nuevas características, como protección de procesos y capacidades de anti-análisis mejoradas, lo que indica intentos continuos de los desarrolladores para iterar y refinar sus tácticas. El punto de partida del ataque es un script de Visual Basic que probablemente se entrega a los objetivos a través de la ingeniería social, que luego procede a configurar la persistencia en el host a través del Registro de Windows (a diferencia de las tareas programadas en la interpretación precursor), aunque es importante tener en cuenta que el constructor ofrece tres métodos diferentes, incluidas las técnicas mencionadas y la carga útil a la carpeta de inicio. Igualmente está diseñado para ejecutar un script PowerShell que incluye la capacidad de evitar la interfaz de escaneo de antimalware (AMSI) a través de la modificación en memoria de “Clr.dll” para evitar la detección. Algunas de las nuevas características observadas en la última interpretación de Xworm son su capacidad para evitar la terminación del proceso al marcarse como un proceso crítico y suicidarse si el host comprometido ejecuta Windows XP.
• Mozilla advierte a los desarrolladores de complementos contra el ataque de phishing -El fabricante de navegadores Mozilla advierte sobre una campaña de phishing dirigida a su infraestructura de complementos de Firefox que tiene como objetivo engañar a los desarrolladores para separarse de las credenciales de su cuenta como parte de correos electrónicos que contienen mensajes como “Su cuenta de complementos Mozilla requiere una aggiornamento para continuar con las características de los desarrolladores” que están diseñados para provocar el compromiso. La divulgación sigue a la aparición de complementos falsos de Firefox que se disfrazan de Tronlink, Solflare, Rabby Wallet y están diseñados para robar secretos de billeteras de criptomonedas, dijo el investigador de seguridad Lukasz Olejnik.
• Nuevo malware de robador diseccionado – Los investigadores de ciberseguridad han detallado a tres nuevas familias de malware de Stealer llamadas Cyber Stealer, Raven Stealer y Shuyal Stealer que combinan extensas capacidades de robo de credenciales con tácticas de agradecimiento y esparcimiento del sistema liberal. “Más allá del robo de credenciales, Shuyal captura capturas de pantalla del sistema y contenido de portapapeles, exfiltrando estos datos yuxtapuesto con tokens de discordia robadas a través de una infraestructura de BOT de telegrama”, dijo Hybrid Analysis. “El malware mantiene el sigilo operante a través de los mecanismos de autoselección, eliminando trazas de su actividad utilizando un archivo por lotes luego de completar sus funciones principales”. Cyber Stealer, por su parte, mantiene la comunicación con su servidor de comando y control (C2) a través de verificaciones de latidos, configuración del minero XMR, verificaciones de tareas y exfiltración de datos. Igualmente viene con una clipper, capacidades remotas, proxy inversa, DDoS, minería XMR y capacidades de envenenamiento DNS basadas en el nivel de suscripción electo por un cliente. “La URL C2 se puede modernizar dinámicamente a través de Pastebin, con una URL de copia de seguridad codificada si eso equivocación”, dijo Esentire. Si admisiblemente ya hay varios robadores en la ámbito del delito cibernético, la aparición de nuevos robadores demuestra la naturaleza lucrativa de tales herramientas para permitir el robo de datos a escalera. El tercer nuevo malware de InfenteSer es Raven Stealer, que se distribuye activamente a través de repositorios de GitHub y se promueve a través de un canal de telegrama operado por los actores de amenaza. El robador es consistente con otros robadores, facilitando el robo de credenciales, la monasterio de datos del navegador y la exfiltración de datos en tiempo positivo a través de la integración de Bot de Telegram.
• Nodo de node.js robador vistado en la naturaleza -Desarrollado y vendido por el Corro Sordeal, un actor de amenazas que demuestra el dominio del idioma francés, NovableVight se comercializa como una “útil educativa” en plataformas como Telegram y Discord de 25 € por un mes a 140 € por seis meses ($ 28 a $ 162). Sin confiscación, este aspecto enmascara su verdadera intención: un malware modular, basado en NodeJS rico en características, basado en NodeJS construido en el ámbito de electrones, diseñado para robar información confidencial, incluidas las credenciales de inicio de sesión y los datos de la billetera de criptomonedas. Se dice que el malware se distribuye a través de sitios web falsos que publicitan los instaladores de videojuegos. “Novablight es un robador de información modular y rico en características construido en node.js con el ámbito de electrones”, dijo Elastic Security Labs. “Sus capacidades van más allá del simple robo de credenciales, incorporando métodos para la resumen y exfiltración de datos, la detección de sandbox y la pesada ofuscación”.
• El robo de bitcoin de Lubian $ 3.5B no se detectó durante casi cinco primaveras -Un robo previamente no revelado de 127,426 bitcoin, valorado en $ 3.5 mil millones en ese momento (actualmente aproximadamente $ 14.5 mil millones), se remonta a un ataque de diciembre de 2020 en un especie minero chino poco conocido llamado Lubian, convirtiéndolo como el más ínclito de la criptñencia hasta la época, superado por la época de $ 1.5 billones de hack. El 28 de diciembre de 2020, por más del 90% de su BTC “, dijo Arkham Intelligence. “Luego, el 29 de diciembre, cerca de de $ 6 millones de BTC y USDT adicionales fueron robados de una dirección Lubian activa en la capa Omni de Bitcoin. El 31, Lubian rotó sus fondos restantes a las billeteras de recuperación”. Se cree que los atacantes desconocidos pueden sobrevenir explotado un cálculo de vivientes de interruptor privado defectuoso que lo dejó susceptible a los ataques de fuerza bruta. “Lubian conservó 11,886 BTC, actualmente con un valía de $ 1.35B, que todavía poseen”, dijo Arkham. “El hacker incluso tiene el BTC robado, con su postrer movimiento conocido como una consolidación de billetera en julio de 2024”. Ni Lubian ni el supuesto hacker han obligado públicamente la violación.
• Rusia bloquea el llegada a SpeedTest – Rusia bloqueó el llegada a SpeedTest, una popular útil de prueba de velocidad en Internet desarrollada por la compañía estadounidense Ookla, alegando que el servicio plantea una amenaza de seguridad franquista y podría ayudar a los ataques cibernéticos. La restricción se debe a las “amenazas identificadas para la seguridad de la red de comunicación pública y el segmento ruso de Internet,” Roskomnadzor, el vigilante de comunicaciones del país, dijo, y agregó que “recopila datos sobre el diseño y la capacidad de los nodos de comunicaciones rusas” que podrían estar de moda para “planear, conducir y evaluar los ataques sobre las redes rusas y los sistemas relacionados”.
• CISA libera torio -La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) anunció la disponibilidad pública de torio, una plataforma de código amplio para analistas de malware y forenses en los sectores conocido, conocido y privado. “El torio prosperidad las capacidades de los equipos de ciberseguridad al automatizar los flujos de trabajo de disección a través de la integración perfecta de herramientas comerciales, de código amplio y personalizados”, dijo CISA. “Admite varias funciones de cometido, incluidos el disección de software, los forenses digitales y la respuesta a los incidentes, lo que permite a los analistas evaluar eficientemente las amenazas complejas de malware”. La agencia incluso ha publicado la útil de estrategias de desalojo, que ayuda a los equipos de seguridad durante la respuesta de incidentes al proporcionar las acciones necesarias para contener y desalojar a los adversarios de redes y dispositivos comprometidos.
• Entidades rusas dirigidas a desplegar huelga de cobalto -El sector de la tecnología de la información rusa (TI), y, en cierta medida, las empresas en China, Japón, Malasia y Perú, han estado en el extremo receptor de una campaña de correo electrónico de Spear-Phishing que ofrece el Beacon de Cobalt Strike por medio de cargas enseres intermedias que llegan a perfiles falsas en plataformas de redes sociales para obtener la URL que organiza la útil posterior a la explotación. Se dice que las cuentas, creadas en las redes sociales en Github, Quora y Russian-Language, se crearon específicamente para los ataques y actúan como resolutores de caída muerta para favorecer la resistor operativa. La actividad se registró por primera vez en la segunda fracción de 2024, alcanzando su pico en noviembre y diciembre. La campaña no se ha atribuido a ningún actor o especie de amenazas conocido.
• Apt36 se dirige a los ferrocarriles indios, sectores de petróleo y gas -Un supuesto actor de amenaza paquistaní conocido como APT36 (incluso conocido como Tribu Transparente) se ha atribuido a ataques dirigidos a los sistemas ferroviarios indios, la infraestructura de petróleo y gas, y el Empleo de Asuntos Externos a través de ataques de phishing de bichero para entregar un malware conocido llamado Poseidon. “Utilizan archivos .desktop disfrazados de documentos PDF para ejecutar scripts que descargan malware y establecen persistencia utilizando trabajos cron”, dijo Hunt.io. “La puerta trasera de Poseidon, construida en el ámbito mítico y escrito en GO, se utiliza para nutrir el llegada y apoyar el movimiento vecino”.
• El ataque de ransomware Qilin aprovecha la técnica BYOVD – Se ha observado que los actores de amenaza asociados con el ransomware Qilin aprovechan un regulador previamente desconocido, TPWSAV.SYS, para deshabilitar sigilosamente las herramientas de seguridad utilizando una interpretación personalizada de Edrsandblast como parte de un ataque de conductor desvalido (BYOVD). “Este regulador, desarrollado originalmente para las características de economía de energía en las computadoras portátiles de Toshiba, es un regulador de núcleo de Windows firmado, lo que lo convierte en una opción atractiva para evitar las protecciones EDR a través de un ataque BYOVD”, dijo Blackpoint Cyber. Antiguamente de este incidente, no ha habido evidencia de explotación del conductor. “Compilado en 2015 y tener una firma válida, este conductor es un candidato atractivo para los ataques de BYOVD destinados a deshabilitar EDR. Mientras interactuar con el conductor, solo requiere privilegios de bajo nivel, cargándolo y enumerando los privilegios administrativos de la demanda física de la memoria”, agregó la compañía.
• La campaña de phishing distribuye 0BJ3CTIVITIVY STALER -Los correos electrónicos de phishing que llevan los posibles de orden de transacción se están utilizando para distribuir a través de archivos JavaScript un robador llamado 0BJ3CTIVITION STALER, que se ha propagado a través de AndE Loader en el pasado. “Las etapas adicionales son poco comunes, incluidos los scripts de PowerShell personalizados para implementar las próximas etapas y esteganografía para ocultar algunas de las cargas enseres”, dijo Trellix. “Una vez decodificado, el script de PowerShell se descargará desde Archive.org una imagen JPG, que contiene la venidero etapa oculta usando esteganografía”. Estados Unidos, Alemania y Montenegro exhiben un parada bulto de detecciones, aunque los datos de telemetría incluso han revelado una actividad trascendental en Europa, América del Ideal, el sudeste oriental y Australia, lo que indica la naturaleza mundial de la amenaza.

• Creciente número de defectos apalancados como 0 o 1 día -Un tercio de los defectos apalancados por los atacantes este año han sido fallas de día cero o 1 día, lo que indica que los actores de amenaza se están volviendo más rápidos para explotar las vulnerabilidades. “Observamos un aumento del 8,5% en el porcentaje de KEV (vulnerabilidades explotadas conocidas) que tenía evidencia de explotación divulgada en o antaño del día que se publicó una CVE, 32.1% en H1-2025 en comparación con el 23.6% que informamos en 2024”, dijo Vulncheck. En total, la compañía agregó 432 nuevas vulnerabilidades a su repertorio de KEV en la primera fracción de 2025, con 92 actores de amenaza únicos vinculados a los esfuerzos de explotación. De estos, 56 (60.8%) se atribuyeron a países específicos, incluidos China (20), Rusia (11), Corea del Ideal (9) e Irán (6). En un incremento relacionado, un mensaje de Greynoise encontró que en el 80% de los picos de agradecimiento contra el equipo empresarial, el aumento de la actividad fue seguido por la publicación de una nueva CVE en el interior de las seis semanas, lo que sugiere que los actores o investigadores de amenazas están probando sus hazañas con anticipación. “Estos patrones fueron exclusivos de las tecnologías de Edge Enterprise como VPN, firewalls y herramientas de llegada remoto, los mismos tipos de sistemas cada vez más atacados por actores de amenazas avanzadas”, dijo la firma de inteligencia de amenazas.
• BreachForums vuelve a estar en cadena – Breachforums parece retornar luego de desconectarse en abril. El popular foro del delito cibernético fue cerrado y resucitado varias veces durante el año pasado. Según DatabReaches.net, el sitio oficial parece retornar a estar en cadena en su dirección web oscura, al tiempo que preserva la almohadilla de datos de usuarios diferente, la reputación, los créditos y las publicaciones. Encima, el sitio parece sobrevenir regresado bajo un nuevo liderazgo: un beneficiario con el apodo en cadena “N/A”. En una publicación introductoria, N/A incluso afirmó que nadie de sus administradores ha sido arrestado y que es “negocios como siempre”.
• Los nuevos ataques de RedCurl entregan rojo -El actor de amenaza conocido como Gold Blade (incluso conocido como Earth Kapre, RedCurl y Red Wolf) se ha vinculado a un nuevo conjunto de ataques en julio de 2025 que combinan archivos LNK maliciosos y WebDAV para ejecutar DLLS alojados de forma remota para exhalar finalmente Red Loader con carga vecino de DLL. Los archivos LNK, disfrazados de cartas de presentación en formato PDF, se distribuyen a través de correos electrónicos de phishing a través de sitios de búsqueda de empleo de terceros como de hecho.
• MIMO explota fallas de SharePoint para entregar ransomware -El actor de amenaza conocido como MIMO está explotando los fallas de Microsoft SharePoint recientemente reveladas para entregar el ransomware 4L4MD4R basado en GO. El especie de piratería se vinculó recientemente con el exceso de una equivocación de CMS de artesanía crítica para soltar a los mineros. El incremento marca la primera vez que el especie de piratería ha desplegado ransomware en la naturaleza.
• Silver Fox APT utiliza un complemento Flash Fake para entregar malware – El actor de amenaza rastreó como Silver Fox se ha observado entregando el troyano de Winos bajo la apariencia de herramientas populares como Adobe Flash, Google Translate y WPS. Los vectores de distribución típicos incluyen correo electrónico, sitios web de phishing y software de correo instantánea. “Sin confiscación, con la fuga del código fuente de Troya de control remoto (como Winos 4.0) en el círculo cibernético, Silver Fox se ha transformado gradualmente de una sola ordenamiento en una comunidad maliciosa ampliamente reconstruida por grupos de delitos cibernéticos e incluso organizaciones APT”, dijo el equipo conocido 404. “Winos tiene un rico conjunto de complementos funcionales que permiten varias funciones de control remoto y robo de datos en el host de destino”.
• Hacker Girona arrestado – Las autoridades españolas han detenido a un cibercriminal que supuestamente robó datos confidenciales de las principales instituciones financieras, organizaciones educativas y empresas privadas en todo el país. El marcado, descrito como un hombre con habilidades avanzadas de programación de computadoras, está marcado de atacar a los bancos españoles, una escuela de manejo y una universidad pública, entre otros. Se alega que el sospechoso ha robado bases de datos personales de empleados y clientes, así como documentos internos de empresas y organizaciones, y luego las vendió con fines de utilidad.
• Infraestructura de SHADOWSYNDICATE analizada – Los investigadores de seguridad cibernética han opuesto conexiones entre la infraestructura de Shadowsyndicate y varias familias de malware como AMOS Stealer, TrueBot y una serie de cepas de ransomware como CL0P, BlackCat, Lockbit, Play, Royal, Cactus y Ransomhub. Encima de tener llegada a una red de Hosters a prueba de balas (BPHS) en Europa, se cree que las funciones de Shadowsyndicate como un corredor de llegada original (IAB) que alimentan los aptos rusos, norcoreanos y chinos. “No está claro si Shadowsyndicate tiene un maniquí de negocio estructurado con clientes formales o socios en el delito cibernético, o si representa un actor de amenazas híbrido más fluido”, dijo Intrinsec.
• ¿Quiénes son los leones? – Los cazadores de amenazas han arrancado la cobertura de Lionishackers, un mercader de bases de datos corporativas y un actor de amenazas motivado financieramente centrado en exfiltrarse y entregar bases de datos corporativas a través de los foros de Telegram y Underground desde julio de 2024 “, aunque parecen tener un enfoque oportunista al designar sus objetivos, parece ser una cierta preferencia para las víctimas ubicadas en los países asiáticos”, dichal24. “Han mostrado un parada nivel de colaboración con el especie ‘Hunt3r Kill3RS’ y una amplia billete en los canales de telegrama de las comunidades subterráneas relevantes. Encima, incluso trabajaron y ofrecieron otros servicios, como pruebas de lapicero, la comercialización de la botnet aparecido y el propagación de un tesina de foro dubricados por los foros estresados”.
• EDSKMANAGER RAT, PULSAR RAT y RETRO-C2 RAT expuesta -Los investigadores de seguridad cibernética han traumatizado tres nuevos troyanos de llegada remoto llamados Edskmanager Rat, Pulsar Rat y Retro-C2 RAT, marcando su capacidad para escamotear la detección y nutrir el control sobre los sistemas comprometidos. “El malware emplea un descargador disfrazado de software cierto, seguido de descifrado en memoria y comunicación sigilosa con servidores de comando y control”, dijo Cyfirma sobre Edskmanager Rat. “Su uso de HVNC (computación de red imaginario oculta), técnicas de persistencia descubierta y medidas anti-análisis indica un esforzado enfoque en el llegada encubierto a derrochador plazo a los sistemas infectados”. Pulsar Rat, por otro flanco, es un troyano de Android que explota los servicios de accesibilidad para obtener un control casi total del dispositivo, penetrar a mensajes, llamadas, datos GPS, la cámara, micrófono y otros datos confidenciales. Desarrollado por un actor de amenaza de acento turca conocido como Zerotrace, Retro-C2 Rat emplea técnicas de carga reflexiva para escamotear la detección y los datos de sifón de máquinas comprometidas. “La infraestructura de comando y control está completamente basada en la web y proporciona a los actores de amenaza de monitoreo de clientes en tiempo positivo, administración de bono, como CMD, PowerShell, escritorio remoto, keylogging, captura de portapapeles, administración de archivos y procesos, operaciones de registro y red, impresión de audio, escaneo de billeteras, operaciones de persistencia y recuperación credencial”, dijo la amenaza de amenazmon.
• Apple para habilitar la protección descubierta de huellas dactilares para todas las sesiones de navegación de Safari – Apple ha revelado que tiene la intención de hacer que la protección descubierta de huellas dactilares sea el valía predeterminado para todas las sesiones de navegación en Safari con el propagación de iOS 26, iPados 26 y MacOS 26 en septiembre de 2025. Actualmente, la opción se limita al modo de navegación privado. La característica se introdujo por primera vez en Safari 17.0.
• Defecto de seguridad descubierto en Spyware Spywathful -Una vulnerabilidad de inyección de SQL en una operación acosada de Android llamamiento Catwatchful ha expuesto a más de 62,000 de sus clientes, incluido su administrador con sede en Uruguay, Omar Soca Charcov. El error, descubierto por el investigador Eric Daigle, podría ser explotado para filtrar la almohadilla de datos de la aplicación, comprometiendo las direcciones de correo electrónico de los clientes y las contraseñas de texto sin formato. Desde entonces, Google ha anejo protecciones para marcar aplicaciones maliciosas y suspendido la cuenta de Firebase del desarrollador por explotar de su infraestructura para intervenir el software de monitoreo.
• El ransomware sigue siendo una amenaza – Dragonforce ha reclamado más de 250 víctimas en su sitio de fuga de la web oscura, con 58 en el segundo trimestre de 2025 solo, lo que indica que el cartel de ransomware está ganando tracción luego de que supuestamente absorbe Ransomhub. Algunos de los grupos que parecen sobrevenir saledizo de la ámbito incluyen Ransomhub, Babuk-Bjorka, Funksec, Bianlian, 8Base, Cactus y Hunters International. “Con los principales servicios de Raas cerrando, muchos afiliados operan de forma independiente o buscan nuevas asociaciones”, dijo Check Point. “El resultado es un número creciente de entidades de ransomware más pequeñas, a menudo de corta duración. Al mismo tiempo, los jugadores establecidos compiten activamente para alistar a estos afiliados ‘huérfanos'”. Los ataques de ransomware incluso se han observado evolucionando más allá de la doble perturbación para conminar a las víctimas a avalar con amenazas de fugas de datos y ataques DDoS. “Las tácticas de perturbación doble, triple y cuadruplica agregan presión al amenazar con exponer la información del cliente, interrumpir las operaciones con ataques distribuidos de denegación de servicio (DDoS) y expedir mensajes de acoso a socios comerciales, clientes y otros, incluida la información sobre los medios de influencia”, dijo Akamai.
• Los actores de amenaza esconden malware en DNS Records -Si admisiblemente se sabe que los actores de amenaza han estudioso el sistema de nombres de dominio (DNS) para fines de comando y control utilizando una técnica llamamiento Tuneling DNS, se ha observado que los cibercriminales están evolucionando aún más sus tácticas al ocultar los comandos maliciosos en los registros DNS TXT al conversolos en su representación hexadecimal y almacenarlos en Chunks. La actos es inteligente y astuta, ya que permite que los scripts maliciosos y el malware de la etapa temprana obtengan archivos binarios sin tener que descargarlos de sitios controlados por atacantes o adjuntarlos a correos electrónicos, que tienen una longevo probabilidad de ser detectados por el software antivirus.

🎥 seminarios web de ciberseguridad

• Los paquetes maliciosos de Python están en todas partes: aprenda a detectarlos y detenerlos: En 2025, los ataques contra el ecosistema de Python están aumentando rápidamente, desde fallas de imagen de contenedor peligrosas hasta fallas de imagen de contenedores peligrosos. Si todavía estás “Pip instalando y rezando”, es hora de subir de nivel. Únase a nosotros para un seminario web práctico donde desglosemos las amenazas reales de la sujeción de suministro y le muestre cómo defender su código con herramientas prácticas, flujos de trabajo más inteligentes e imágenes endurecidas. Sin exageración, solo pasos claros para afirmar su pitón.

• Asegure su pila de IA: aprenda a defender la identidad antaño de que sea demasiado tarde: AI está cambiando la forma en que trabajamos, y la forma en que nos atacan. Únase a Karl Henrik Smith de Okta para explorar cómo la identidad se está convirtiendo en la última y más crítica cadena de defensa contra las amenazas de IA. Desde profundos hasta agentes autónomos, los atacantes se mueven más rápido de lo que las herramientas tradicionales pueden manejar. En este seminario web gratis, aprenderá por qué la seguridad de identidad primero es la secreto para mantenerse a la vanguardia y cómo ponerla en bono.

🔧 Herramientas de ciberseguridad

• Torio: Emprendedor por la CISA de EE. UU., Esta nueva útil de código amplio es una plataforma escalable para automatizar el disección de archivos y amplificar resultados en diversas herramientas. Ayuda a los equipos de ciberseguridad a racionalizar el triaje de malware, el forense y las pruebas de herramientas al integrarse con los flujos de trabajo existentes a través de la automatización basada en eventos y una infraestructura escalable.
• LangExtract: es una biblioteca de Python de código amplio, desarrollada por Google, que ayuda a los desarrolladores información estructurada de texto no estructurado utilizando Gemini y otros LLM. Está diseñado para tareas como analizar registros médicos, documentos legales o comentarios de los clientes mediante la combinación de ascendencia impulsada por aviso, futuro a tierra y aplicación de esquemas. LangExtract admite backends flexibles, escalera en documentos largos y facilita la visualización y verifica los resultados, todo sin ajustar un maniquí.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio peligro: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Su teclado podría estar espiando, aquí le mostramos cómo aseverar – La mayoría de las personas no se dan cuenta, pero el teclado de su teléfono inteligente puede hacer más que solo escribir. Algunos de ellos se conectan silenciosamente a Internet, enviando lo que escribe, cuándo escribe e incluso lo que hay en su portapapeles. Incluso las aplicaciones de confianza como Gboard y SwiftKey tienen características de sincronización en la abundancia que comparten sus patrones de escritura. Y en peores casos, los teclados Rogue pueden registrar contraseñas o robar semillas de billetera criptográfica sin signos visibles.

La decisión no solo “no uses teclados sombreados”. Es memorizar cómo controlar lo que pueden hacer. Comience utilizando una aplicación de firewall como NetGuard o Rethinkdns para aislar su teclado para expedir datos a través de Internet. Vaya a la configuración de su teclado y desactive las características de “personalización” o sincronización. Tenga cuidado con el comportamiento extraño como un teclado pidiendo llegada a su micrófono, contactos o ubicación: esas son banderas rojas. En las versiones más nuevas de Android, las alertas de portapapeles le advertirán si un teclado está hundiendo.

Si desea plena tranquilidad, cambie a un teclado que respeta su privacidad por diseño. Opciones como OpenBoard o Keyboard simple no tienen llegada a Internet en inmutable. Son rápidos, limpios y de código amplio, lo que significa que su código puede ser auditado para un comportamiento oculto. En extracto: si su teclado quiere “asimilar de usted”, asegúrese de que no esté aprendiendo demasiado.

Conclusión

Cada amenaza que cubrimos esta semana cuenta la misma historia: los atacantes están evolucionando más rápido porque están aprendiendo de nosotros. Desde cómo codificamos cómo confiamos, están observando de cerca. ¿Pero el otro flanco? Igualmente nosotros.

Cuanto más compartimos, más rápido nos adaptamos. Sigue presionando, sigue cuestionando y nunca dejes que “natural” te haga apreciar cómodo.