WhatsApp 0 días, Docker Bug, Salesforce Breach, Fake Captchas, Spyware App y más

La ciberseguridad hoy se prostitución menos de ataques individuales y más sobre cadenas de pequeñas debilidades que se conectan con grandes riesgos. Una modernización pasada por detención, una cuenta mal utilizada o una útil oculta en las manos equivocadas puede ser suficiente para desplegar la puerta.

La anuncio de esta semana muestra cómo los atacantes están mezclando métodos: combinando el camino robado, el software sin parches y los trucos inteligentes para acaecer de pequeños puntos de entrada a grandes consecuencias.

Para los defensores, la advertencia es clara: el peligro vivo a menudo no proviene de un defecto importante, sino de cómo los diferentes fallas interactúan juntas.

⚡ Amenaza de la semana

Patches de WhatsApp explotó activamente defecto -WhatsApp abordó una vulnerabilidad de seguridad en sus aplicaciones de transporte para Apple IOS y MacOS que, según dijo, pudo acaecer sido explotado en la naturaleza inmediato con una descompostura de Apple recientemente revelada en ataques de día cero específicos. La vulnerabilidad, CVE-2025-55177 se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. La compañía propiedad de Meta dijo que el problema “podría acaecer permitido que un favorecido no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo”. Asimismo evaluó que la deficiencia puede acaecer sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOS, como parte de un ataque sofisticado contra usuarios específicos específicos. WhatsApp dijo que envió notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden acaecer sido atacados como parte de la campaña de spyware.

🔔 Noticiero principales

• El Caudal de EE. UU. Continúa golpeando el esquema de trabajadores de IT con sanciones – El Área de Control de Activos Extranjeros (OFAC) del Área de Caudal de los Estados Unidos sancionó una red de trabajadores de TI fraudulenta vinculada a la República Popular Democrática de Corea (RPDC). Esto incluyó a Vitaliy Sergeyevich Andreyev, un ciudadano ruso que facilitó los pagos a la Compañía de Cooperación de Tecnología de la Información de Chinyong (Chinyong), además conocida como Jinyong IT Cooperation Company, que fue sancionada por OFAC y el Ocupación de Asuntos Exteriores de Corea del Sur (MOFA) en mayo de 2023. Asimismo se incluyeron en la designación de la designación Kim Ung Sun, Shenyang GeumpungungriGriGriGri Gails), en mayo de 2023. Corea Sinjin Trading Corporation. Estos actores fueron designados por su décimo en esquemas que canalizan los ingresos derivados de los trabajadores de la RPDPRK para apoyar las armas de destrucción masiva y los programas de misiles balísticos de la RPDC. La billetera de criptomonedas vinculada a Andreyev ha “recibido más de $ 600,000 de pagos y tiene exposición de origen a la exploit de la billetera atómica de junio de 2023”, que se atribuyó al colección Lázaro, según suprimido. La designación se fundamento en otras acciones que OFAC ha tomado para interrumpir los esquemas de trabajadores de TI de la RPDC.
• Docker de Docker crítico parcheado – Se insta a los usuarios de Docker Desktop en Windows y Mac a actualizarse a la última lectura para parchar una vulnerabilidad crítica que podría permitir que un atacante rompa la capa de aislamiento del contenedor y potencialmente se haga cargo del sistema de host. La vulnerabilidad (CVE-2025-9074) se deriva del hecho de que Docker Desktop expone la API del motor Docker, que puede estar de moda para controlar los contenedores Docker a través de un zócalo TCP sin ninguna autenticación. Como resultado de este defecto, un atacante que apetencia camino a un contenedor Docker podría disfrutar la API para crear un nuevo contenedor Docker y valer el sistema de archivos del sistema operante, obteniendo camino a información confidencial o sobrescribir archivos críticos del sistema, lo que resulta en una ejecución de código arbitraria. Sin requisa, el montaje del administrador del sistema de archivos solo funciona en Windows, ya que intentar este proceso en MacOS le pediría permiso al favorecido. Por otra parte, en MacOS, Docker no se ejecuta con privilegios de administrador como lo hace en Windows.
• Sectores críticos dirigidos por mixshell -Los ciberdelincuentes se han dirigido a docenas de fabricantes críticos de los Estados Unidos y compañías de esclavitud de suministro, buscando robar datos confidenciales e implementar ransomware. La actividad, denominada Zipline, se remonta a principios de mayo de 2025. En oportunidad de dirigir un correo electrónico a un enlace sagaz en un correo electrónico no solicitado, los delincuentes inician el contacto a través del formulario conocido de “contactarnos” de la estructura bajo el pretexto de consultas de asociación u otros pretextos comerciales, engañando a la víctima para comenzar la conversación y permitir a los atacantes para obtener filtros de correo electrónico. Los ataques llevaron al despliegue de un implante sigiloso llamado Mixshell. Al usar formularios de contacto del sitio web, el ataque voltea el vademécum de jugadas de Phishing al conseguir que las víctimas hicieran el primer contacto por correo electrónico con el atacante en oportunidad de al revés.
• Instancias de Salesforce dirigidas a través de Salesloft Drift -Un clúster de actividad de amenazas ha cometido una serie de violaciones de datos de las instancias de la fuerza de ventas de las organizaciones al comprometer los tokens OAuth asociados con la aplicación de terceros SalesLoft Drift. UNC6395 ha llevado a mango una campaña de “robo de datos generalizados” al dirigirse a las instancias de la fuerza de ventas que comienzan tan pronto como el 8 de agosto al menos al 18 de agosto. UNC6395 “exportó sistemáticamente grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas” con el propósito de recoger el camino sensible a los amazonos. Una vez que se exfiltraron estas credenciales, “el actor buscó a través de los datos para inquirir secretos que podrían estar de moda potencialmente para comprometer los entornos de las víctimas”, y luego cubrió sus pistas eliminando los trabajos de consultas.
• Storm-0501 vinculado a los ataques de trastorno de la estrato -Storm-0501 ha agudizado sus tácticas de ransomware al explotar las cuentas privilegiadas secuestradas para moverse perfectamente entre los entornos locales y en la estrato, explotando lagunas de visibilidad para sintetizar datos y exfiltrar datos confidenciales, y padecer a mango deleciones masivas de los bienes en la estrato, incluidas las copias de seguridad. El actor de amenazas verificó la presencia de software de seguridad, lo que sugiere un esfuerzo deliberado para evitar la detección dirigiéndose a sistemas no abordados. Los atacantes además realizaron actividades de inspección para obtener una profunda visibilidad de las herramientas de seguridad de la estructura y la infraestructura. Esta desarrollo indica un cambio técnico y un cambio en la táctica de impacto. En oportunidad de simplemente encriptar archivos y exigir un rescate para el descifrado, Storm-0501 exfiltra datos de nubes confidenciales, destruye copias de seguridad y luego extorsiona a las víctimas amenazando a la pérdida o exposición de datos permanentes.
• UNC6384 implementa AGNX a través de Captive Portal Hankack – Los piratas informáticos estatales chinos han estado secuestrando las verificaciones del portal cautivo para entregar malware, como software Adobe. La actividad, atribuida a Mustang Panda, parece acaecer atacado a diplomáticos del sudeste oriental en particular y otras entidades no identificadas en todo el mundo, entre aproximadamente marzo y julio de este año. Rodeando de dos docenas de víctimas probablemente se vieron comprometidas, aunque es posible que haya más. El truco para la última campaña de Mustang Panda implica secuestrar las verificaciones del portal cautivo para redirigir a los usuarios a un sitio web bajo su control para distribuir malware. Se cree que los piratas informáticos infectaron dispositivos de borde en las redes de los objetivos, que usaron para interceptar la demostración realizada por el navegador Google Chrome. Los usuarios que se enamoraron del esquema terminaron descargando un binario aparentemente inocuo que finalmente condujo a la implementación de Plugx.
• ShadowCapatha aprovecha ClickFix para entregar malware – Una campaña de motivación financiera denominada ShadowCaptcha está aprovechando las páginas falsas de Google y Cloudflare Captcha para engañar a las víctimas para que ejecute comandos maliciosos utilizando sitios comprometidos de WordPress como vector de infección. Los ataques conducen al despliegue de robos de información y ransomware, lo que demuestra un enfoque de monetización versátil. La actividad se centra principalmente en tres flujos de ingresos: robo de datos y traspaso posterior, mineros de criptomonedas de caída e infectar máquinas con ransomware. Esta táctica múltiple garantiza un mecanismo de concepción de ingresos sostenido, maximizando su retorno de la inversión y al mismo tiempo mantiene el camino persistente.

🔥 CVES de tendencia

Los piratas informáticos actúan rápidamente. Atacan poco posteriormente de que se encuentra una amor. Una modernización perdida, un error oculto o una alerta de seguridad olvidada puede dejarlos entrar. Un pequeño problema puede convertirse rápidamente en grandes problemas como datos robados o bloqueos del sistema, incluso antiguamente de notarlo. Aquí están los riesgos graves de esta semana. Compruébalos, arreglándolos rápidamente y manténgase seguro antiguamente que los atacantes.

La relación de esta semana incluye: CVE-2025-55177 (WhatsApp), CVE-2025-34509, CVE-2025-34510, CVE-2025-34511 (plataforma de experiencia Sitecore), CVE-2025-57819 (FreepbX), CVE-2025-26496 (Tableau Server), CVE-2025-549993993993939393939939939996), CVE-CVE-2025-5499393939393993996) (LSQUIC QUIC), CVE-2025-9118 (API de Google Cloud DataForm), CVE-2025-53118 (Securden Unified PAM), CVE-2025-9478 (Google Chrome), CVE-2025-50975 (IPFIRE 2.29), CVE-2025-23307 (NVIDIA NVIDIA CURATOR), CHEMO-2025-2025-2024 (Switches de la serie Cisco Nexus 3000 y 9000), CVE-2025-20317 (Cisco Integrated Management Controller), CVE-2025-20294, CVE-2025-20295 (Cisco Unified Computing System Manager), CVE-2025-54370 (PHPSPREDSheet), CVE-2025-39245, CVE-2025-39246, CVE-2025-39247 (HikVision Hikcentral), CVE-2025-49146, CVE-2025-48976, CVE-2025-53506, CVE-2025-52520 (Atlassian), CVE-2025-50979 (Nodebb), y, y Nodebb), y y), y Nodebb), y Nodebb), y Nodebb), y Nodebb), y Nodebb). CVE-2025-8067 (Daemon Linux Udisks).

📰 aproximadamente del mundo cibernético

• Servicios de Microsoft RDP dirigidos por escaneos maliciosos – Los servicios de protocolo de escritorio remoto de Microsoft (RDP) se han gastado afectados con un torrente de escaneos maliciosos de decenas de miles de direcciones IP en los últimos días, lo que indica una campaña de inspección coordinada. “El objetivo de la ola era claro: prueba para el tiempo que revelan nombres de favorecido válidos, sientando las bases para las intrusiones basadas en credenciales”, dijo Greynoise. La actividad tuvo oportunidad más de dos olas el 21 y 24 de agosto, con miles de direcciones IP únicas que sondearon simultáneamente tanto el camino web de Microsoft RD como los portales de autenticación del cliente web de Microsoft RDP.
• Defecto en el spyware de spyspy – Una vulnerabilidad en la aplicación Spyware de Thetruthspy puede permitir a los malos actores hacerse cargo de cualquier cuenta y recuperar los datos de víctimas recopilados. La vulnerabilidad explota un problema con el proceso de recuperación de contraseña de la aplicación para cambiar la contraseña de cualquier cuenta. Thetruthspy le dijo a TechCrunch que no puede solucionar el error porque “perdió” el código fuente de la aplicación.
• La actividad del favorecido de los registros de aplicaciones máximos de Rusia – El rival de WhatsApp del gobierno ruso, Max, está constantemente monitoreando y registrando toda la actividad del favorecido. Según el descomposición técnico de Corellium, la aplicación no utiliza el secreto y rastrea la ubicación del favorecido en tiempo vivo y con incorporación precisión. Desarrollado por el titán de la tecnología rusa VK, la aplicación se ha hecho obligatoria y debe instalarse en todos los dispositivos móviles vendidos en Rusia posteriormente del 1 de septiembre de 2025. La aplicación se lanzó inicialmente a principios de marzo.
• Openssh’s PQC Play -OpenSSH dijo que comenzará a mostrar advertencias cuando los usuarios se conecten a un servidor SSH que no tiene protecciones de criptografía posteriores al quantum que comienzan con OpenSSH 10.1. “La alternativa ideal es renovar el servidor para usar una implementación SSH que admita al menos uno de estos”, dijeron los mantenedores. “Versiones OpenSSH 9.0 y decano soporte SNTRUP761X25519 SHA512 y versiones 9.9 y decano soporte MLKEM768X25519 SHA256. Si su servidor ya está ejecutando una de estas versiones, luego verifique si la opción KEXALGORITMS ha deshabilitado su uso”.
• La campaña de casa recoleta de credenciales se dirige a las cuentas super administrador -Una campaña de bajo pandeo está apuntando a los administradores de la estrato ScreenConnect con alertas de correo electrónico falsas que advierten sobre un evento de inicio de sesión potencialmente sospechoso con el objetivo de robar sus credenciales para una posible implementación de ransomware. La actividad, en curso desde 2022, ha sido atribuida por Mimecast a MCTO3030. “La campaña emplea correos electrónicos de phishing de Spear entregados a través de cuentas del Servicio de correo electrónico simple de Amazon (SES), dirigido a profesionales de TI de detención nivel, incluidos directores, gerentes y personal de seguridad con privilegios elevados en entornos de captura de pantalla”, dijo la compañía. “Los atacantes buscan específicamente credenciales de super administrador, que proporcionan un control integral sobre la infraestructura de camino remoto en organizaciones enteras”. Los atacantes están utilizando el ámbito de código hendido EvilGinx para provocar estas páginas de phishing y representar como un proxy inverso entre la víctima y el sitio vivo. El ámbito puede capturar las credenciales de inicio de sesión y las cookies de sesión.
• Más campañas con temas de captura de pantalla descubiertas – Otra campaña ha diligente los correos electrónicos de phishing con invitaciones falsas de reuniones de teleobjetivo y las llamadas de los equipos de Microsoft para padecer a las víctimas a enlaces maliciosos que descargan el software ScreenConnect. “La armamento de una útil de distribución de TI legítima, una diseñada para otorgar a los profesionales de TI, el camino del sistema profundo para la resolución y el mantenimiento de los problemas, combinada con la ingeniería social y la suplantación de negocios convincente crea un farsa de múltiples capas que proporciona a los atacantes la doble delantera de la explotación de confianza y la despreocupación de seguridad”, dijo AI anormal. Hasta ahora, la campaña ha atacado a más de 900 organizaciones, impactando una amplia tono de sectores y geografías. Asimismo se ha observado una campaña separada utilizando contenido infiel con temática AI-para atraer a los usuarios a ejecutar un instalador sagaz y preconfigurado de screenconnect, que luego actúa como un punto de entrada para el malware Xworm, por confianza de la confianza. En un incremento relacionado, se ha observado que los atacantes arman los enlaces seguros de Cisco (“Secure-Web.cisco (.) Com”) en Credenciales de campañas de phishing para escamotear los filtros de escaneo de enlaces y red de red. “Los atacantes comprometen o crean cuentas internamente de las organizaciones protegidas por Cisco”, dijo Raven Ai. “Simplemente se envían por correo electrónico enlaces maliciosos, dejan que el sistema de Cisco los reescribiera en enlaces seguros y luego coseche estas URL para sus campañas”. Cloudflare reveló una campaña similar que explota los enlaces de PROASPPOINT en julio de 2025.
• TRM Labs advierte sobre la campaña de estafa que se hace acaecer por la empresa – Blockchain Intelligence Company dijo que es consciente de las personas que usan dominios falsos para hacerse acaecer por los laboratorios TRM y/o las agencias gubernamentales que trabajan en colaboración con TRM Labs. “Estos no son dominios TRM Labs, y los actores detrás de estos son estafadores”, dijo la compañía. “TRM Labs no participa en los procesos de recuperación de fondos para las víctimas y no se asocia con las agencias gubernamentales a los mercancía de la recuperación del fondos. Desafortunadamente, este tipo de estafas se dirigen deliberadamente a las personas vulnerables, a menudo cuando son financieramente vulnerables, ya que ya han perdido fondos a las estafas”. La advertencia se produce en el contexto de una alerta emitida por la Oficina Federal de Investigación de los Estados Unidos (FBI), instando a las víctimas de estafadores de criptomonedas a que estén atentos a las estafas en las que los estafadores se plantean como abogados que representan firmas de abogados ficticios para ayudarlos a ayudar con la recuperación de fondos, solo para engañarlos por segunda vez.
• Nuevas cepas de ransomware detectadas – Se ha gastado una nueva tensión de ransomware con el nombre de Cephalus en la naturaleza. En los incidentes observados aproximadamente de mediados de agosto de 2025, el colección detrás del casillero utilizó cuentas RDP comprometidas para el camino original y utilizó el mega del servicio de almacenamiento en la estrato para propósitos de exfiltración de datos probables. El incremento se produce cuando las pandillas de ransomware subterráneas y nocturnas han enérgico ataques de ransomware contra empresas en varios países e industrias, incluida Corea del Sur. En otro ataque analizado por Esentire, comprometió las credenciales de VPN de SSL SSL de MSP Sonicwall de terceros, sirvió como una vía de camino original para Sinobi, un cambio de marca del ransomware Lynx. “Usando la cuenta comprometida, los actores de amenaza ejecutaron comandos para crear una nueva cuenta de administrador tópico, establecer su contraseña y agregarla al colección de administradores de dominio”, dijo Esentire. “Tanto la cuenta comprometida original como la cuenta recién creada se utilizaron después para el movimiento supletorio en toda la red”.
• Grupos de ransomware más activos – Akira, Cl0p, Qilin, Safepay y Ransomhub fueron los grupos de ransomware más activos en la primera medio de 2025, por punto de flash, lo que encontró que los ataques de ransomware aumentaron en un 179% en comparación con el medio año de 2024. El incremento se produce en medio de cambios notables en el ecosistema de ransomware, donde los actores de amenaza prefieren cada vez más trastorno sobre el secreto y han comenzado a incorporar LLM en sus herramientas. El paisaje además ha seguido astillándose, con nuevas pandillas y renombrados proliferando a raíz de los derribos de la ley. MalwareBytes dijo que rastreó a 41 recién llegados entre julio de 2024 y junio de 2025, con más de 60 pandillas de ransomware totales que operan a la vez.
• Los correos electrónicos de Microsoft para acelerar para combatir el spam -Microsoft dijo que comenzará a estrangular correos electrónicos a partir del 15 de octubre de 2025. El final se establecerá en 100 destinatarios externos por estructura por ventana de rodadura de 24 horas. A partir del 1 de diciembre, el titán de la tecnología comenzará a implementar las restricciones entre los inquilinos, comenzando con inquilinos con menos de tres asientos y finalmente entrar a los inquilinos con más de 10,001 asientos para junio de 2026 “. A pesar de nuestros esfuerzos para minimizar el demasía, los spammers a menudo explotan a los inquilinos recién creados para dirigir estallidos de spam de ‘.onmicrosoft.com’ las direcciones antiguamente de que podamos intervendir”, dicho Microsoft. “Esto degrada la reputación de este dominio compartido, que afecta a todos los usuarios legítimos. Para avalar la confianza de la marca y la capacidad de entrega de correo electrónico, las organizaciones deben establecer y usar sus propios dominios personalizados para dirigir un correo electrónico”.
• Sleepwalk, un ataque físico de canal supletorio para filtrar datos -Un colección de académicos de la Universidad de Florida ha ideado un nuevo ataque de canal supletorio de hardware denominado Sleepwalk que explota el cambio de contexto y el consumo de energía de la CPU para filtrar datos confidenciales como claves criptográficas. “Introducimos una fuente de fuga de canal supletorio de potencia física que explota el pico de potencia observado durante un interruptor de contexto, provocado por la función de sueño incorporada del núcleo del sistema”, dijeron los investigadores. “Observamos que este pico de potencia se correlaciona directamente con el consumo de energía durante el cambio de contexto y el consumo de energía residual del software ejecutado previamente. Notablemente, la persistencia de las firmas de energía residuales de las cargas de trabajo anteriores extiende el magnitud de este canal supletorio más allá de la cuna de datos en los registros durante el cambio de contexto. A diferencia de los enfoques tradicionales que requieren analizar la potencia completa, aplicando la preparación externa de la cuna, o el síntesis de los datos, o el síntesis de los registros a diferencia de los enfoques tradicionales que requieren analizar la planta completa, aplicando la preparación externa, o la cuna de los datos, o el síntesis de los registros, a diferencia de los enfoques tradicionales que se requieren analizar la planta completa, aplicando la preparación externa, la preparación externa, o el síntesis de los datos, o el sinches. Los desencadenantes, esta técnica novedosa aprovecha solo la amplitud de un solo pico de potencia, simplificando significativamente el ataque “.
• Sistemas de IA vulnerables a la inyección rápida a través del ataque de escalera de imágenes -En una forma novedosa de ataques de inyección rápidos dirigidos a chatbots de inteligencia fabricado (IA), los atacantes pueden ocultar instrucciones maliciosas internamente de las imágenes a gran escalera y hacer que las indicaciones se ejecuten cuando el agente de IA las víctima. El aviso del atacante es invisible para el ojo humano en la imagen de incorporación resolución, pero aparece cuando la imagen está estrecha por algoritmos de preprocesamiento. “Este ataque funciona porque los sistemas de IA a menudo reducen imágenes grandes antiguamente de enviarlas al maniquí: cuando se escalan, estas imágenes pueden revelar inyecciones rápidas que no son visibles a la resolución completa”, dijo Trail of Bits. La compañía de seguridad cibernética ha enérgico una útil de código hendido indicación Anamorpher para crear tales imágenes elaboradas.
• Noticiero de lavado de cuentas de redes sociales de sitios de medios estatales chinos -Una red de 11 dominios y 16 cuentas de redes sociales complementarias en Facebook, Instagram, Mastodon, Threads y X ha sido opuesto que lavan los artículos exclusivamente en inglés publicados originalmente por el medio de comunicación estatal chino CGTN. “Los activos seguramente usaron herramientas de IA para traducir y resumir artículos de CGTN, probablemente en un intento de disfrazar el origen del contenido”, dijo Graphika. “Los activos de la red se diseminaron principalmente pro-china, contenido anti-oeste en inglés, francés, castellano y vietnamita”. Los hallazgos se produjeron cuando Estados Unidos le dijo a Dinamarca que se “calmara” por las acusaciones de operaciones encubiertas de influencia por parte de los ciudadanos estadounidenses en Groenlandia para sembrar la discordia entre Dinamarca y Groenlandia y promover la emancipación de Groenlandia de Dinamarca a los Estados Unidos.
• Observación de familias secretas de aplicaciones VPN – Una nueva investigación realizada por la Universidad Estatal de Arizona y Citizen Lab descubrió que casi dos docenas de aplicaciones VPN en Google Play contienen debilidades de seguridad que afectan la privacidad de sus usuarios, exponiendo los datos transmitidos a los riesgos de descifrado. Un descomposición posterior ha determinado que ocho aplicaciones VPN de conexión innovadora, brisa de otoño y clavo de limonada (Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master-Lite, Snap VPN, Autómata VPN y Supernet VPN comparten los códigos, dependencias, dependencias de enchufación transmitidas e inesfatadas, y los métodos de enchufación inesperados, y los métodos de contraseña de hardos, y potenciales, potenciales, potenciales, dependientes, dependientes, dependientes, controles, y no saben a los métodos de enchufes inseguros, y se permiten los métodos de contraseña de hardos. atacantes para descifrar el tráfico de sus usuarios. Acumulativamente, estas aplicaciones tienen más de 380 millones de descargas en Google Play. Se descubrió que las tres compañías tenían lazos con Qihoo 360, una firma china de ciberseguridad que Estados Unidos sancionó en 2020.
• Riesgos de seguridad en el ecosistema ESIM – Un nuevo estudio realizado por académicos de la Northeastern University ha opuesto que muchos proveedores asociados con los datos de los usuarios de ESIMS en rutas a través de redes de telecomunicaciones extranjeras, incluida la infraestructura china, independientemente de la ubicación del favorecido. “Muchos viajes esims enrutan el tráfico de usuarios a través de una infraestructura de terceros, a menudo ubicada en jurisdicciones extranjeras”, dijeron los investigadores. “Esto puede exponer metadatos y contenido del favorecido a redes fuera del país del favorecido, lo que plantea preocupaciones sobre el control y la vigilancia interno”. Por otra parte, el maniquí de aprovisionamiento digital crea nuevas oportunidades para el phishing y la falsificación. Los actores maliciosos pueden distribuir perfiles de ESIM falsos a través de códigos o sitios web QR fraudulentos, engañando a los usuarios para que instalaran configuraciones no autorizadas.
• Comfyui Flaw explotado para entregar Pickai Backdoor – Los actores de amenaza han explotado vulnerabilidades en una plataforma de inteligencia fabricado (AI) indicación Comfyui para entregar una puerta trasera indicación Pickai. “Pickai es una puerta trasera liviana escrita en C ++, diseñada para consentir la ejecución de comandos remotos y el camino a la carcasa inversa”, dijo XLab, y agregó que “incluye anti-famosos, falsificación de nombres de proceso y múltiples mecanismos de persistencia”. Se han observado muestras de Pickai alojadas en el sitio oficial de Rubick.ai, una plataforma comercial con IA que sirve al sector de comercio electrónico en los Estados Unidos, India, Singapur y Oriente Medio. Las primeras versiones del malware se cargaron a Virustotal desde el 28 de febrero de 2025. La actividad ha comprometido casi 700 servidores infectados en todo el mundo, principalmente en Alemania, Estados Unidos y China.
• Defecto en Lsquic Quic revelado -Los investigadores de seguridad cibernética han descubierto una vulnerabilidad denominada Quic-Leak (CVE-2025-54939) en la implementación de LSQUIC QUIC, lo que permite a los actores de amenaza de contrabandear paquetes malformados para agotar la memoria y circunvalar los servidores de Quic incluso antiguamente de que se establezca una conexión de conexión de conexión, por lo tanto, evitando los seguidos de los niveles de conexión de la conexión de Quic. El problema se ha solucionado en OpenLiTespeed 1.8.4 y Litespeed Web Server 6.3.4.
• Sitios falsos que empujan las descargas de YouTube sirven proxyware – Los programas de proxyware se distribuyen a través de sitios de YouTube que permiten a los usuarios descargar videos. Los atacantes que anteriormente instalaron proxywares de DigitalPulse y HoneyGain además están instalando Infatica Proxyware. Similar a los mineros de monedas, las ganancias de malware proxyware al utilizar los bienes del sistema, y ​​muchos sistemas en Corea del Sur se han convertido recientemente en el objetivo de estos ataques.
• El senador estadounidense castiga el poder legislativo federal por negligencia – El senador estadounidense Ron Wyden acusó al poder legislativo federal de “negligencia e incompetencia” posteriormente de un truco fresco, según los informes, por los piratas informáticos con vínculos con el gobierno ruso, que expuso documentos judiciales confidenciales. La violación del sistema de presentación de casos electrónicos del poder legislativo salió a la luz por primera vez en un documentación de Politico hace tres semanas, que continuó diciendo que las vulnerabilidades explotadas en el hack fueron conocidas desde 2020. El New York Times, citando a personas familiarizadas con la intrusión, dijo que Rusia era “al menos parcialmente responsable” por el hack. “El enfoque flagrante del poder legislativo federal a la tecnología de la información es una amenaza severa para nuestra seguridad doméstico”, escribió Wyden. “A los tribunales se les ha confiado la información más confidencial y confidencial de nuestra nación, incluidos documentos de seguridad doméstico que podrían revelar fuentes y métodos a nuestros adversarios, y los documentos de investigación penales sellados que podrían permitir a los sospechosos huir de la razón o atacar a los testigos”.
• La aplicación de la ley congela $ 50 millones en activos criptográficos vinculados a las estafas de cebo romántico -Varias compañías de criptomonedas, incluyendo Chainalysis, OKX, Binance y Tether, se han unido para congelar casi $ 50 millones robados a través de estafas de “cebo romántico” en colaboración con las autoridades con sede en APAC. “Una vez que se transfirieron los fondos, los estafadores enviaron ingresos a una billetera de consolidación que transfirió $ 46.9 millones en USDT (ligado) a una colección de tres direcciones intermedias”, dijo Chainalysis. “Los fondos se trasladaron a cinco billeteras diferentes”. Los fondos fueron congelados por Tether en julio de 2024.
• Corea del Sur extradita a la doméstico china para ataques cibernéticos -Las autoridades surcoreanas han extraditado con éxito a un doméstico chino de 34 abriles sospechoso de orquestar una de las operaciones de piratería más sofisticadas dirigidas a personas de detención perfil e instituciones financieras. Se alega que ha robado 38 mil millones de cuentas financieras y cuentas de activos virtuales.
• Antrópico y openAi se prueban la IA del otro – OpenAi ha pedido a las empresas de IA que prueben los sistemas de seguridad de sus rivales, ya que la compañía y los antrópicos realizaron evaluaciones de seguridad de los sistemas de IA de los demás para atracar riesgos como inyección rápida y envenenamiento por modelos. El incremento se produjo cuando Anthrope reveló que un cibercriminal abusó de su útil de codificación de IA agente para automatizar una campaña de robo de datos y trastorno a gran escalera, marcando una “nueva desarrollo” en cómo la IA está súper cargando cibercrimen. El chatbot luego analizó los documentos financieros pirateados de las compañías para ayudar a entrar a una cantidad realista de bitcoin para demandar a cambio de no filtrar el material robado. Asimismo escribió correos electrónicos de trastorno sugeridos. “La operación demuestra una desarrollo preocupante en el delito cibernético asistido por AI, donde la IA sirve como un consejero técnico y un cámara activo, lo que permite ataques que serían más difíciles y requieren mucho tiempo para que los actores individuales se ejecuten manualmente”. Cuando abriles de entrenamiento especializado una vez estremecieron la capacidad de los malos actores para alcanzar ataques a escalera, la nueva ola de delito cibernético asistido por AI podría acortar aún más las barreras técnicas, permitiendo que incluso los novatos y los operadores no calificados realicen actividades complejas con facilidad. Por separado, Anthrope ha anunciado un cambio de política para capacitar a su chatbot Claude con datos de usuarios, dando a los usuarios existentes hasta el 28 de septiembre de 2025, para optar o optar por salir para continuar utilizando el servicio; Dice que permitirá a la compañía entregar “modelos de IA aún más capaces y bártulos” y reforzar las salvaguardas contra el uso dañino como las estafas y el demasía.
• Servidores PLEX susceptibles a una nueva descompostura -Plex ha abordado una vulnerabilidad de seguridad (CVE-2025-34158), derivada de la transferencia de bienes incorrecta entre las esferas, afectando las versiones de PLEX Media Server 1.41.7.x a 1.42.0.x. Se ha parcheado en las versiones 1.42.1.10060 o posteriores. Según los datos de Censys, hay 428,083 dispositivos que exponen la interfaz web PLEX Media Server, aunque no todos son necesariamente vulnerables.
• Récipe falsa y sitios de supervisión cae malware – Se ha opuesto que los sitios falsos disfrazados de los buscadores de la imagen, la prescripción y la supervisión educativa albergan un código sigiloso para emitir comandos sigilosos y arrojar malware en los sistemas de los usuarios que pueden robar información confidencial. Se evalúa que estos sitios alcanzan objetivos a través de campañas de malvertición.

🎥 seminarios web de ciberseguridad

• Lo que cada líder de APPSEC debe estudiar sobre la seguridad del código a la estrato (APPSEC actual ya no se prostitución solo de detectar riesgos, se prostitución de estudiar cómo emergen y se extienden de código a estrato. Sin visibilidad a través de ese alucinación, los equipos enfrentan puntos ciegos, ruido y soluciones retrasadas. El contexto de código a estrato cambia el distracción, dando a los equipos de seguridad e ingeniería la claridad de estudiar más rápido, representar antiguamente y proteger lo que más importa.
• Pasos prácticos para sostener a los agentes de IA a exceptuado de los ataques cibernéticos (agentes de IA están remodelando rápidamente los negocios, las decisiones automatizadoras, la racionalización de las operaciones y desbloquean nuevas oportunidades. Pero con la innovación viene el aventura. Únase a nuestro próximo seminario web con Michelle Agroskin de Auth0 para descubrir los desafíos de seguridad que los agentes de IA presentan y aprenden estrategias procesables para proteger su estructura. Descubra cómo mantenerse por delante de las amenazas mientras abraza con confianza el futuro de la innovación impulsada por la IA.
• Desde huellas dactilares hasta trazas de código: cómo los expertos buscan a los agentes de Shadow AI – AI multiplicando en sus flujos de trabajo, nubes y procesos comerciales, a menudo sin aprobación. Estos “agentes de sombra” se mueven más rápido que la gobernanza, alimentados por identidades ocultas y despliegues de un solo clic. El resultado? Los equipos de seguridad quedan persiguiendo fantasmas. Únase a nuestro panel de expertos para descubrir dónde se esconde Shadow Ai, quién está detrás de él y cómo recuperar el control, sin desacelerar la innovación.

🔧 Herramientas de ciberseguridad

• PCAPXRAY – Investigar las capturas de paquetes puede ser tranquilo y lioso. PCAPXRAY acelera el proceso convirtiendo los archivos PCAP sin procesar en diagramas de red transparentes y visuales. Destaca los anfitriones, los flujos de tráfico, el uso de torres y la actividad maliciosa potencial: los investigadores y analistas de su vez ven rápidamente lo que está sucediendo internamente de los datos sin cavar límite por límite.
• KOPIA: es una útil de copia de seguridad y restauración de código hendido que crea instantáneas cifradas de archivos y directorios seleccionados. En oportunidad de obtener imágenes de una máquina completa, le permite hacer una copia de seguridad de lo que más importa, ya sea para el almacenamiento tópico, las unidades de red o los proveedores de nubes como S3, Azure o Google Cloud. Con la deduplicación incorporada, la compresión y el secreto de extremo a extremo, Kopia ayuda a avalar que las copias de seguridad sean eficientes, seguras y bajo su control total.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Cómo circunvalar sus servidores MCP – Las herramientas de IA como GitHub Copilot se están volviendo más inteligentes todos los días. Con el Protocolo de contexto del maniquí (MCP), pueden conectarse a herramientas y servicios externos: hacer código, extraer datos o incluso balbucir con sistemas internos. Eso es poderoso, pero además es arriesgado: si un mal actor se cuela con un servidor MCP infiel o comprometido, su IA podría ser engañada en secretos con fugas, exponer credenciales o ejecutar comandos dañinos.

La alternativa no es evitar MCP. Es para asegurarlo correctamente. Aquí hay una forma maña de hacerlo utilizando herramientas gratuitas.

1. Prueba antiguamente de abandonarse: Ayer de encender cualquier servidor MCP, ejecute una auditoría.

• Útil para probar: McPsafetyscanner
• Lo que hace: escanea las definiciones de MCP, ejecuta ataques de prueba e informa si poco parece inseguro.

2. Envolver servidores con una red de seguridad: No exponga a los servidores directamente. Agregue una capa de guarnición.

• Útil para probar: MCP Guardian (prototipo de código hendido de la investigación).
• Lo que hace: agrega autenticación, registra toda la actividad y bloquea las solicitudes sospechosas.

3. Prueba de estrés como un atacante: Simule las amenazas del mundo vivo para ver cómo se mantiene su configuración.

• Útil para probar: McPsecbench
• Lo que hace: pica diferentes patrones de ataque de MCP conocidos y mide la resiliencia.

4. Hacer cumplir las reglas como código: Agregue barandas para lo que AI puede y no puede hacer.

• Herramientas para probar: Open Policy Agent (OPA) o Kyverno
• Lo que hacen: precisar políticas (por ejemplo, “solo lea de X API, nunca escriba”) y las aplique automáticamente.

5. Vaya a la confianza cero en el camino: Cada conexión debe ser verificada y limitada.

• Use OAuth 2.1 para la autorización.
• Agregue MTLS (TLS mutuo) para que tanto el cliente como el servidor demuestren quiénes son.
• Envíe todos los registros a su SIEM (por ejemplo, elástico o Grafana Loki) para su monitoreo.

AI + MCP se está moviendo rápido. La límite entre la “automatización útil” y el “agujero de seguridad” es flaca. Al auditar, probar el estrés, hacer cumplir las reglas y el monitoreo, no solo está protegiendo contra los riesgos de hoy, sino que se está preparando para los de mañana.

Piénselo así: MCP le da a sus superpoderes de IA. Su trabajo es cerciorarse de que esos poderes no sean secuestrados.

Conclusión

El secreto de seguridad cuántica, el phishing impulsado por la IA, la identidad sin contraseñas, estas ya no son teorías distantes. Ya están dando forma al panorama de seguridad en silencio, debajo de los titulares del día a día.

La advertencia de falleba: los mayores choques a menudo llegan no como informativo de última hora, sino como tendencias que crecen lentamente hasta que de repente no pueden ser ignoradas.