WSUS explotado, LockBit 5.0 regresa, puerta trasera de Telegram, la brecha F5 se amplía

La seguridad, la confianza y la estabilidad, que alguna vez fueron los pilares de nuestro mundo digital, son ahora las herramientas que los atacantes utilizan contra nosotros. Desde cuentas robadas hasta ofertas de trabajo falsas, los ciberdelincuentes siguen encontrando nuevas formas de explotar tanto las fallas del sistema como el comportamiento humano.

Cada nueva infracción demuestra una dura verdad: en ciberseguridad, sentirse seguro puede ser mucho más peligroso que estar alerta.

Así es como esa falsa sensación de seguridad se rompió nuevamente esta semana.

⚡ Amenaza de la semana

La defecto crítica de Microsoft WSUS recientemente parcheada es atacada – Microsoft lanzó actualizaciones de seguridad fuera de cuadrilla para parchear una vulnerabilidad de recaída crítica del Servicio de modernización de Windows Server (WSUS) que desde entonces ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad en cuestión es CVE-2025-59287 (puntuación CVSS: 9,8), una defecto de ejecución remota de código en WSUS que fue solucionada originalmente por el gigantesco tecnológico como parte de su modernización del martes de parches publicada la semana pasada. Según Eye Security y Huntress, la defecto de seguridad se está utilizando como armamento para eliminar un ejecutable .NET y una carga útil de PowerShell codificada en Base64 para ejecutar comandos arbitrarios en hosts infectados.

🔔 Noticiario destacadas

• YouTube Ghost Network ofrece malware cleptómano — Se ha observado una red maliciosa de cuentas de YouTube que publican y promocionan vídeos que conducen a descargas de malware. Activa desde 2021, la red ha publicado más de 3.000 vídeos maliciosos hasta la aniversario, y el bulto de dichos vídeos se ha triplicado desde principios de año. La campaña aprovecha las cuentas pirateadas y reemplaza su contenido con videos “maliciosos” que se centran en software pirateado y trucos de juegos Roblox para infectar a los usuarios desprevenidos que los buscan con malware cleptómano. Algunos de los videos han acumulado cientos de miles de visitas.
• La campaña del trabajo de ensueño de Corea del Ideal se dirige al sector de defensa — Los actores de amenazas con vínculos con Corea del Ideal han sido atribuidos a una nueva ola de ataques dirigidos a empresas europeas activas en la industria de defensa como parte de una campaña de larga duración conocida como Operación Dream Job. En la actividad observada, el género Lazarus envía correos electrónicos cargados de malware que supuestamente provienen de reclutadores de las principales empresas, y en última instancia engañan a los destinatarios para que infecten sus propias máquinas con malware como ScoringMathTea. ESET señaló que los ataques apuntaron a empresas que suministran equipos militares, algunas de las cuales están actualmente desplegadas en Ucrania. Una de las empresas objetivo participa en la producción de al menos dos vehículos aéreos no tripulados que se utilizan actualmente en Ucrania.
• MuddyWater apunta a más de 100 organizaciones en una campaña de espionaje completo — El género de estado-nación iraní conocido como MuddyWater ha sido atribuido a una nueva campaña que aprovechó una cuenta de correo electrónico comprometida para distribuir una puerta trasera indicación Phoenix a varias organizaciones en la región de Medio Oriente y África del Ideal (MENA), incluidas más de 100 entidades gubernamentales. El objetivo final de la campaña es infiltrarse en objetivos de parada valencia y simplificar la compilación de inteligencia utilizando una puerta trasera indicación Phoenix que se distribuye a través de correos electrónicos de phishing. Se considera que MuddyWater, igualmente indicación Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros y Yellow Nix, está afiliada al Profesión de Inteligencia y Seguridad de Irán (MOIS).
• Meta alabarda nuevas herramientas para proteger a los usuarios de WhatsApp y Messenger de estafas – Meta dijo que está lanzando nuevas herramientas para proteger a los usuarios de Messenger y WhatsApp de posibles estafas. Esto incluye la comienzo de nuevas advertencias en WhatsApp cuando los usuarios intentan compartir su pantalla con un contacto desconocido durante una videollamada. En Messenger, los usuarios pueden optar por habilitar una configuración indicación “Detección de estafas” navegando a Configuración de privacidad y seguridad. Una vez activado, los usuarios reciben una alerta cuando reciben un mensaje potencialmente sospechoso de una conexión desconocida que puede contener signos de estafa. El gigantesco de las redes sociales igualmente dijo que detectó e interrumpió cerca de 8 millones de cuentas en Facebook e Instagram desde principios de año que están asociadas con centros de estafa criminal dirigidos a personas, incluidos los ancianos, en todo el mundo a través de transporte, aplicaciones de citas, redes sociales, criptomonedas y otras aplicaciones. Según Graphika, los esquemas ilícitos para aventajar moneda están dirigidos a adultos mayores y víctimas de estafas anteriores. “Los estafadores utilizan las principales plataformas de redes sociales para atraer a sus objetivos y luego los redirigen a sitios web fraudulentos o mensajes privados para divulgar detalles financieros o datos personales sensibles”, dijo. “Las operaciones siguen un patrón recurrente que hemos trillado en nuestro trabajo de estafas: producir confianza, sacar a las víctimas de la plataforma y extraer datos personales o financieros mediante el registro en programas de ayuda inexistentes o la presentación de formularios de queja basados ​​en la confianza organizacional”.
• Jingle Thief ataca a la nubarrón por fraude con tarjetas de regalo — Se ha observado que un género cibercriminal llamado Jingle Thief apunta a entornos de nubarrón asociados con organizaciones en los sectores minorista y de servicios al consumidor para cometer fraude con tarjetas de regalo. “Los atacantes de Jingle Thief utilizan phishing y smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo”, dijo la Mecanismo 42 de Palo Parada Networks. “Una vez que obtienen golpe a una estructura, buscan el tipo y nivel de golpe necesario para emitir tarjetas de regalo no autorizadas”. El objetivo final de estos esfuerzos es disfrutar las tarjetas de regalo emitidas para obtener ganancias monetarias probablemente revendiéndolas en los mercados grises.

‎️‍🔥 CVE de tendencia

Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para ganar un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención en toda la industria. Revíselos, priorice sus correcciones y obstrucción la brecha antiguamente de que los atacantes se aprovechen.

La nómina de esta semana incluye: CVE-2025-54957 (Dolby Unified Decoder), CVE-2025-6950, CVE-2025-6893 (Moxa), CVE-2025-36727, CVE-2025-36728 (SimpleHelp), CVE-2025-8078, CVE-2025-9133 (Zyxel), CVE-2025-61932 (Lanscope Endpoint Manager), CVE-2025-61928 (Mejor autenticación), CVE-2025-57738 (Apache Syncope), CVE-2025-40778, CVE-2025-40780, CVE-2025-8677 (BIND 9), CVE-2025-11411 (Sin consolidar), CVE-2025-61865 (Aplicación IO DATA NarSuS), CVE-2025-53072, CVE-2025-62481 (Oracle E-Business Suite), CVE-2025-11702, CVE-2025-10497, CVE-2025-11447 (GitLab), CVE-2025-22167 (Atlassian Jira), CVE-2025-54918 (Microsoft) y CVE-2025-52882 (Claude Code para Visual Studio Code).

📰 Rodeando del mundo cibernético

• iOS 26 de Apple elimina la evidencia de software infiltrado — La última modernización del sistema eficaz móvil de Apple, iOS 26, realizó un cambio extraordinario en un archivo de registro llamado “shutdown.log” que almacena evidencia de infecciones de software infiltrado pasadas. Según la firma de investigaciones y forenses de iPhone iVerify, la compañía ahora está reescribiendo el archivo luego de cada reinicio del dispositivo, en área de sumar nuevos datos al final. Si proporcionadamente no está claro si se negociación de una valentía de diseño intencional o un error involuntario, iVerify dijo que “esta sobrescritura cibernética, aunque potencialmente está destinada a la higiene o el rendimiento del sistema, desinfecta eficazmente el artefacto forense que ha sido fundamental para identificar estas amenazas sofisticadas”.
• Google detalla operaciones de información dirigidas a Polonia — Google dijo que observó múltiples instancias de actores de operaciones de información (IO) pro-Rusia que promovían narrativas relacionadas con la supuesta incursión de drones rusos en el espacio volátil polaco que ocurrió en septiembre de 2025. “La actividad de IO pro-Rusia identificada, que se movilizó en respuesta a este evento y los desarrollos políticos y de seguridad subsiguientes, parecía consistente con instancias previamente observadas de IO pro-Rusia dirigidas a Polonia y, más ampliamente, a la Alianza de la OTAN y Poniente”, dijo el noticia. dijo la empresa. El mensaje implicaba desmentir la culpabilidad de Rusia, culpar a Poniente, socavar el apoyo interno al gobierno y socavar el apoyo interno polaco a la posición de política foráneo de su gobierno alrededor de Ucrania. La actividad se ha atribuido a tres grupos rastreados: Portal Kombat (igualmente conocido como Pravda Network), Doppelganger y una publicación en andana indicación Niezależny Dziennik Polityczny. Se considera que el NDP es un amplificador importante interiormente del espacio informativo polaco de desinformación prorrusa en torno a la flagrante invasión rusa de Ucrania.
• Bandido de información basado en RedTiger utilizado para robar cuentas de Discord — Se ha observado que los actores de amenazas explotan una útil de equipo rojo de código campechano basada en Python indicación RedTiger en ataques dirigidos a jugadores y cuentas de Discord. “El cleptómano de información RedTiger apunta a varios tipos de información confidencial, con un enfoque principal en las cuentas de Discord”, dijo Netskope. “El infostealer inyecta un JavaScript personalizado en el archivo index.js del cliente de Discord (discord_desktop_core) para monitorear e interceptar el tráfico de Discord. Adicionalmente, recopila datos almacenados en el navegador (incluida información de cuota), archivos relacionados con juegos, datos de billeteras de criptomonedas y capturas de pantalla del sistema host. Asimismo puede espiar a través de la cámara web de la víctima y sobrecargar los dispositivos de almacenamiento mediante procesos de procreación masiva y creación archivos.” Adicionalmente, la útil facilita lo que se vehemencia spam masivo de archivos y procesos, creando 100 archivos con extensiones de archivo aleatorias y lanzando 100 subprocesos para iniciar 400 procesos totales simultáneamente, sobrecargando efectivamente los medios del sistema y obstaculizando los esfuerzos de prospección. La campaña es otro ejemplo de actores de amenazas que explotan cualquier plataforma legítima para obtener una licitud falsa y eludir las protecciones. El progreso se produce cuando los jugadores igualmente han sido el objetivo de otro Python RAT multifunción que aprovecha la API de Telegram Bot como canal de comando y control (C2), lo que permite a los atacantes filtrar datos robados e interactuar de forma remota con las máquinas víctimas. El malware, que se hace suceder por el software oficial de Minecraft “Nursultan Client”, puede realizar capturas de pantalla, tomar fotografías desde la cámara web de un beneficiario, robar tokens de autenticación de Discord y aclarar URL arbitrarias en la máquina de la víctima.
• UNC6229 utiliza ofertas de trabajo falsas para difundir RAT — Un género de amenazas con motivación financiera que opera desde Vietnam ha estudioso ofertas de trabajo falsas en plataformas legítimas como LinkedIn (o sus propios sitios web de ofertas de trabajo falsas como staffvirtual(.)website) para atacar a individuos en los sectores de publicidad y marketing digitales con malware y kits de phishing con el objetivo final de comprometer cuentas corporativas de parada valencia y secuestrar cuentas de publicidad digital. Google, que reveló detalles de la campaña “persistente y dirigida”, la rastrea como UNC6229. “La poder de esta campaña depende de una táctica clásica de ingeniería social en la que la víctima inicia el primer contacto. UNC6229 crea perfiles de empresas falsos, a menudo disfrazados de agencias de medios digitales, en plataformas de trabajo legítimas”, señaló. “Publican ofertas de trabajo atractivas, a menudo remotas, que atraen a su género demográfico objetivo”. Una vez que la víctima envía la solicitud, el actor de amenazas se comunica con el solicitante por correo electrónico para engañarlo y obligarlo a aclarar archivos adjuntos ZIP maliciosos, lo que conduce a troyanos de golpe remoto o hace clic en enlaces de phishing que capturan sus credenciales corporativas. Otro aspecto que destaca esta campaña es que es más probable que las víctimas confíen en los mensajes de correo electrónico, ya que son respuesta a una actividad autoiniciada, estableciendo una “saco de confianza”.

• XWorm 6.0 detallado — Los actores de amenazas detrás de XWorm han agresivo una nueva traducción (traducción 6.0) del malware con protección de procesos mejorada y capacidades antianálisis. “Esta última traducción incluye características adicionales para nutrir la persistencia y eludir el prospección”, dijo Netskope. “El cargador incluye una nueva funcionalidad de omisión de la interfaz de escaneo antimalware (AMSI) mediante la modificación en memoria de CLR.DLL para evitar la detección”. La prisión de infección comienza con un script de Visual Basic probablemente distribuido mediante ingeniería social, que configura la persistencia y procede a colocar un cargador de PowerShell responsable de recuperar la carga útil XWorm 6.0 de un repositorio conocido de GitHub. Una de las nuevas características es su capacidad para evitar la terminación del proceso marcándose a sí mismo como un proceso crítico y finalizándose cuando detecta ejecución en Windows XP. “Este cambio puede ser un esfuerzo para evitar que los investigadores o analistas ejecuten la carga útil en un entorno de pruebas o en un entorno de prospección heredado”, añadió la compañía.
• Aumento de los ataques que abusan del pedido directo de Microsoft 365 — Cisco Talos dijo que ha observado una longevo actividad por parte de actores maliciosos que aprovechan el pedido directo en andana de Microsoft 365 Exchange como parte de campañas de phishing y ataques de compromiso de correo electrónico empresarial (BEC). Describió el demasía de funciones como una explotación oportunista de una vía confiable, ya que elude las protecciones DKIM, SPF y DMARC. “El pedido directo preserva los flujos de trabajo empresariales al permitir que los mensajes de estos dispositivos eviten controles de autenticación y seguridad más rigurosos”, dijo el investigador de seguridad Adam Katz. “Los adversarios emulan el tráfico de dispositivos o aplicaciones y envían mensajes no autenticados que parecen originarse en cuentas internas y sistemas confiables”.
• El ataque CoPhish roba tokens OAuth a través de agentes de Copilot Studio — Los investigadores de ciberseguridad encontraron una guisa de utilizar la configuración de “Inicio de sesión” de un agente de Copilot Studio para redirigir a un beneficiario a cualquier URL, lo que resulta en un ataque de consentimiento OAuth, que utiliza aplicaciones maliciosas de Entra ID de terceros para tomar el control de las cuentas de las víctimas. Los agentes de Copilot Studio son chatbots alojados en copilotstudio.microsoft(.)com. “Esto aumenta la licitud del ataque al redirigir al beneficiario desde copilotstudio.microsoft.com”, dijo Datadog. La técnica de ataque recibió el nombre en código CoPhish. Básicamente, implica configurar el proceso de inicio de sesión de un agente con una aplicación OAuth maliciosa y modificar el agente para dirigir el token de beneficiario resultante emitido por Entra ID para ingresar a la aplicación a una URL bajo su control. Por lo tanto, cuando el atacante envía un enlace de agente sagaz de CoPilot Studio a una víctima a través de correos electrónicos de phishing e intenta ingresar a él, se le solicita que inicie sesión en el servicio, momento en el que se le redirige a una aplicación OAuth maliciosa para obtener su consentimiento. “No es necesario que el agente sagaz esté registrado en el entorno de destino: en otras palabras, un atacante puede crear un agente en su propio entorno para atacar a los usuarios”, añadió Datadog. Cerca de señalar que la actividad de redireccionamiento cuando el beneficiario víctima hace clic en el llamador Iniciar sesión se puede configurar para redirigir a cualquier URL maliciosa, y la URL del flujo de trabajo de consentimiento de la aplicación es solo una posibilidad para el actor de la amenaza.

• Exageración de AzureHound en la naturaleza — Múltiples actores de amenazas como Curious Serpens (Peach Sandstorm), Void Blizzard y Storm-0501 han estudioso una útil de compilación de datos de código campechano basada en Go indicación AzureHound en sus ataques. “Los actores de amenazas hacen un mal uso de esta útil para enumerar los medios de Azure y mapear posibles rutas de ataque, lo que permite realizar más operaciones maliciosas”, dijo la Mecanismo 42 de Palo Parada Networks. “La compilación de información interna de Azure ayuda a los actores de amenazas a descubrir configuraciones erróneas y oportunidades indirectas de ascenso de privilegios que podrían no ser obvias sin esta traza completa del entorno de Azure objetivo. Los actores de amenazas igualmente ejecutan la útil luego de obtener golpe auténtico al entorno de la víctima, descargar y ejecutar AzureHound en los activos a los que han obtenido golpe”.
• La aplicación de Android Telegram modificada ofrece puerta trasera Baohuo — Se está utilizando una traducción modificada de la aplicación de transporte Telegram para Android, indicación Telegram X, para ofrecer una nueva puerta trasera indicación Baohuo, sin dejar de ser sencillo. Una vez iniciado, se conecta a una saco de datos de Redis para comando y control (C2) y recibe instrucciones para ejecutarlas en el dispositivo comprometido. “Adicionalmente de poder robar datos confidenciales, incluidos nombres de beneficiario y contraseñas, así como historiales de chat, este malware tiene varias características únicas”, afirmó Doctor Web. “Por ejemplo, para evitar ser detectado y encubrir el hecho de que una cuenta ha sido comprometida, Baohuo puede ocultar conexiones de dispositivos de terceros en la nómina de sesiones activas de Telegram. Adicionalmente, puede sumar y eliminar al beneficiario de los canales de Telegram y igualmente unirse y entregarse chats en nombre de la víctima, ocultando igualmente estas acciones”. La puerta trasera ha infectado más de 58.000 teléfonos inteligentes, tabletas, televisores e incluso automóviles con Android hasta la aniversario desde que comenzó a distribuirse a mediados de 2024 a través de anuncios en aplicaciones móviles que engañan a los usuarios para que instalen el APK sagaz desde un sitio foráneo que imita un mercado de aplicaciones. La aplicación fraudulenta de Android igualmente se ha detectado en catálogos legítimos de aplicaciones de terceros como APKPure, ApkSum y AndroidP. Algunos de los países con longevo número de contagios son Colombia, Brasil, Egipto, Argelia, Irak, Rusia, India, Bangladesh, Pakistán, Indonesia y Filipinas.
• Windows deshabilita las vistas previas del Explorador de archivos por motivos de seguridad — Microsoft ha desactivado las vistas previas del Explorador de archivos para los archivos descargados de Internet (es aseverar, aquellos que están marcados con la Marca de la Web). El cambio se implementó por razones de seguridad durante las actualizaciones del martes de parches de este mes. “Este cambio mitiga una vulnerabilidad por la que podría producirse una fuga de hash NTLM si los usuarios obtienen una traza previa de los archivos que contienen etiquetas HTML (como, etc.) que hacen narración a rutas externas. Los atacantes podrían disfrutar esta función de traza previa para capturar credenciales confidenciales”, dijo Microsoft. Una vez instaladas las últimas actualizaciones, el panel de traza previa del Explorador de archivos mostrará el subsiguiente mensaje: “El archivo que está intentando obtener una traza previa podría dañar su computadora. Si confía en el archivo y en la fuente de donde lo recibió, ábralo para ver su contenido”. Para eliminar el cerco, los usuarios deben hacer clic derecho en el archivo descargado, optar Propiedades y luego Desbloquear. Se cree que el cambio igualmente está diseñado para atracar CVE-2025-59214, un problema de suplantación de identidad del Explorador de archivos que podría explotarse para filtrar información confidencial a través de la red. CVE-2025-59214 es un bypass para CVE-2025-50154, que a su vez es un bypass para CVE-2025-24054, una vulnerabilidad de fuga de credenciales NTLM sin clic que estuvo bajo explotación activa a principios de este año.
• Las campañas de phishing emplean nuevas tácticas de esparcimiento — Kaspersky ha despierto que los actores de amenazas emplean cada vez más diversas técnicas de esparcimiento en sus campañas de phishing y sitios web. “En el correo electrónico, estas técnicas incluyen documentos PDF que contienen códigos QR, que no se detectan tan fácilmente como los hipervínculos standard”, afirmó la empresa rusa. “Otra medida es la protección con contraseña de los archivos adjuntos. En algunos casos, la contraseña llega en un correo electrónico separado, añadiendo otra capa de dificultad al prospección automatizado. Los atacantes están protegiendo sus páginas web con CAPTCHA, e incluso pueden usar más de una página de demostración”.
• Se encontraron dominios fraudulentos del navegador Comet Perplexity — BforeAI dijo que ha observado más de 40 dominios fraudulentos que promocionan el navegador Comet impulsado por IA de Perplexity, y que los malos actores igualmente publican aplicaciones de imitación en Apple App Store y Google Play Store. “El momento de los registros de dominio sigue de cerca el cronograma de tirada de Comet, lo que indica que los ciberdelincuentes oportunistas monitorean las tendencias tecnológicas emergentes”, dijo BforeAI. “El uso de registradores internacionales, servicios de protección de la privacidad y páginas de estacionamiento sugiere coordinación entre los actores de amenazas”.
• LockBit 5.0 reclama nuevas víctimas — LockBit, que recientemente resurgió con una nueva traducción (con nombre en código “ChuongDong”) luego de activo sido interrumpido a principios de 2024, ya está extorsionando a nuevas víctimas, cobrando más de una docena de víctimas en Europa occidental, América y Asia, afectando tanto a los sistemas Windows como a los Linux. La medio de ellos han sido infectados por la variable LockBit 5.0 recientemente puyazo y el resto por LockBit Black. El progreso es una “clara señal de que la infraestructura y la red de afiliados de LockBit están nuevamente activas”, dijo Check Point. La última traducción presenta soporte multiplataforma, esparcimiento más válido, secreto más rápido y extensiones de archivos aleatorias de 16 caracteres para eludir la detección. “Para unirse, los afiliados deben depositar aproximadamente 500 dólares en Bitcoin para ingresar al panel de control y a los cifrados, un maniquí destinado a nutrir la exclusividad y examinar a los participantes”, dijo la compañía. “Las notas de rescate actualizadas ahora se identifican como LockBit 5.0 e incluyen enlaces de negociación personalizados que otorgan a las víctimas un plazo de 30 días antiguamente de que se publiquen los datos robados”.
• Cambios en el consentimiento de compilación de datos para nuevas extensiones de Firefox — A partir del 3 de noviembre, Mozilla exigirá que todas las extensiones de Firefox declaren específicamente en el archivo manifest.json si recopilan y transmiten datos personales a terceros. Se aplazamiento que esta información se integre en las solicitudes de permiso de Firefox cuando los usuarios intenten instalar el complemento del navegador en la página addons.mozilla.org. “Esto se aplicará sólo a nuevas extensiones, y no a nuevas versiones de extensiones existentes”, dijo Mozilla. “Las extensiones que no recopilan ni transmiten ningún referencia personal deben especificar esto configurando el permiso de compilación de datos no requerido en esta propiedad”.
• Los piratas informáticos atacan los sitios web de WordPress explotando complementos obsoletos – Una campaña de explotación masiva está dirigida a sitios de WordPress con complementos GutenKit y Hunk Companion vulnerables a fallas de seguridad conocidas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972 para apoderarse de sitios con fines maliciosos. “Estas vulnerabilidades hacen posible que actores de amenazas no autenticados instalen y activen complementos arbitrarios, que pueden aprovecharse para ganar la ejecución remota de código”, dijo Wordfence. Se estima que la actividad de explotación comenzó el 8 de octubre de 2025. Se han bloqueado más de 8.755.000 intentos de explotación dirigidos a estas vulnerabilidades. En algunos de los incidentes, el ataque conduce a la descarga de un archivo ZIP alojado en GitHub que puede iniciar sesión automáticamente como administrador y ejecutar scripts para cargar y descargar archivos arbitrarios. Asimismo incluye una carga útil de PHP que incluye desfiguración masiva, dependencia de archivos, capacidades de rastreo de redes e instalación de más malware a través de una terminal. En escenarios donde no se puede obtener una puerta trasera de dependencia completa, se ha descubierto que los atacantes instalan una “wp-query-console” desvalido para ganar la ejecución remota de código no autenticado. La divulgación se produce cuando la compañía de seguridad de WordPress detalló cómo los actores de amenazas crean malware que utiliza funciones variables y cookies para ofuscar.
• Un ataque de phishing inusual evita los SEG mediante JavaScript — Un “nuevo y astuto ataque de phishing” está eludiendo las puertas de enlace seguras de correo electrónico (SEG) mediante el uso de un script de phishing con selección aleatoria de dominio y reemplazo dinámico de páginas impulsado por el servidor para robar credenciales. La amenaza se detectó por primera vez en febrero de 2025 y continúa. La campaña implica la distribución de correos electrónicos de phishing que contienen archivos adjuntos HTML que contienen una URL incrustada que conduce a una página de destino falsa, o mediante correos electrónicos con enlaces incrustados que falsifican plataformas de colaboración empresarial como DocuSign, Microsoft OneDrive, Google Docs y Adobe Sign. “En la táctica, el script elige un dominio .org casual de una nómina predefinida codificada”, dijo Cofense. “Los dominios .org en la nómina parecen generarse dinámicamente en masa sin usar palabras, probablemente en un intento de eludir las listas de cerco o las herramientas AI/ML diseñadas para encerrar dominios basados ​​en ciertas estructuras de palabras. Luego, el script genera un UUID (Identificador único universal) dinámico, que puede estilarse para rastrear a las víctimas y servir como identificador de campaña, lo que sugiere que este script puede ser parte de un paquete que puede reutilizarse en diferentes campañas, potencialmente con diferentes marcas falsificadas en páginas de phishing de credenciales”. El script está configurado para dirigir una solicitud POST HTTP al servidor casual, lo que hace que responda con un formulario de inicio de sesión generado dinámicamente según el contexto de la víctima.
• Rusia planea una ley de divulgación de errores similar a la de China — Según RBC, Rusia está preparando un nuevo esquema de ley que requeriría que los investigadores de seguridad, las empresas de seguridad y otros hackers de sombrero blanco informen de todas las vulnerabilidades al Servicio Federal de Seguridad (FSB), la principal agencia de seguridad del país. Esto es similar a la estatuto aprobada por China en julio de 2021. Los investigadores de seguridad que no informen de las vulnerabilidades a la FAB se enfrentarán a cargos penales por “transferencia ilegal de vulnerabilidades”. Asimismo se está discutiendo la posibilidad de crear un registro de hackers de sombrero blanco, según el medio ruso. Cerca de señalar que el uso de días cero por parte de los grupos de piratería de los estados-nación chinos ha aumentado desde que la ley entró en vigor. “Los grupos de actividad de amenazas chinos se han inclinado en gran medida alrededor de la explotación de dispositivos públicos desde al menos 2021”, dijo Recorded Future en un noticia de noviembre de 2023. “Más del 85% de las vulnerabilidades de día cero conocidas y explotadas por grupos patrocinados por el estado chino durante este período posterior se encontraban en dispositivos públicos como firewalls, productos VPN empresariales, hipervisores, balanceadores de carga y productos de seguridad de correo electrónico”. En un prospección publicado en junio de 2025, el Atlantic Council dijo que “la Ley de Divulgación de Vulnerabilidad de 2021 de China obliga a comprometerse con el proceso ofensivo genérico”, y agregó que “China utiliza su ecosistema (Capturar la Bandera) y su ecosistema regulatorio para solicitar errores de guisa informal a los piratas informáticos para uso de seguridad doméstico, (y) sus principales empresas de tecnología son aliados estratégicos en la consecución de exploits”.
• Decenas de naciones firman el Tratado de la ONU contra el cibercrimen – Hasta 72 países han sensato pelear contra el ciberdelito, incluso compartiendo datos y extraditando mutuamente a presuntos delincuentes, en virtud de un nuevo tratado de las Naciones Unidas, a pesar de las advertencias sobre la privacidad y la seguridad de las grandes empresas tecnológicas y los grupos de derechos humanos. La Convención de las Naciones Unidas contra la Ciberdelincuencia fue adoptada por la Asamblea Genérico de las Naciones Unidas el 24 de diciembre de 2024. INTERPOL dijo que “la Convención proporciona una saco jurídica y operativa mejorada para una actividad completo coordinada contra la ciberdelincuencia”. En una revelación en su sitio web, Human Rights Watch y otros signatarios dijeron que el tratado “obliga a los estados a establecer amplios poderes de vigilancia electrónica para investigar y cooperar en una amplia abanico de delitos, incluidos aquellos que no involucran sistemas de información y comunicación” y lo hace sin “salvaguardias adecuadas de derechos humanos”. La Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC) ha defendido la Convención, argumentando la requisito de mejorar la cooperación para atracar los delitos transnacionales y proteger a los niños contra la captación inmaduro en andana.
• Nuevo cargador Caminho trillado en la naturaleza — Se ha observado una nueva operación de cargador como servicio (LaaS) de origen brasileño indicación Caminho que emplea esteganografía de bits menos significativos (LSB) para ocultar cargas efectos .NET interiormente de archivos de imágenes alojados en plataformas legítimas. “Activa desde al menos marzo de 2025, con una crecimiento operativa significativa en junio de 2025, la campaña ha entregado una variedad de malware y ladrones de información como Remcos RAT, XWorm y Katz Stealer a víctimas de múltiples industrias en América del Sur, África y Europa del Este”, dijo Arctic Wolf. “El extenso código en idioma portugués en todas las muestras respalda nuestra atribución de reincorporación confianza de esta operación a un origen brasileño”. Las cadenas de ataques que distribuyen el cargador implican el uso de correos electrónicos de phishing con archivos JavaScript (JS) o Visual Basic Script archivados utilizando señuelos de ingeniería social con temas empresariales que, cuando se lanzan, activan una infección de varias etapas. Esto incluye la descarga de una carga útil de PowerShell ofuscada desde servicios estilo Pastebin, que luego descarga imágenes esteganográficas alojadas en Internet Archive (archive(.)org). El script de PowerShell igualmente extrae el cargador de la imagen y lo inicia directamente en la memoria. En última instancia, el cargador recupera e inyecta el malware final en el espacio de direcciones calc.exe sin escribir artefactos en el disco. La persistencia se establece mediante tareas programadas que vuelven a ejecutar la prisión de infección.

• La infracción de F5 comenzó a finales de 2023 – La violación de seguridad recientemente revelada en F5 comenzó a fines de 2023, mucho antiguamente de lo que se pensaba, según un noticia de Bloomberg. El ataque salió a la luz en agosto de 2025, lo que indica que los piratas informáticos lograron suceder desapercibidos durante casi dos abriles. “Los atacantes penetraron los sistemas informáticos de F5 explotando el software de la empresa que había quedado desvalido y expuesto a Internet”, dice el noticia, añadiendo que el propio personal de la empresa no siguió las directrices de ciberseguridad que proporciona a sus clientes. Se cree que actores patrocinados por el Estado chino están detrás del ataque, aunque un funcionario chino ha calificado las acusaciones de “infundadas”.
• Múltiples fallas en EfficientLab WorkExaminer Professional — Se han descubierto varias vulnerabilidades (CVE-2025-10639, CVE-2025-10640 y CVE-2025-10641) en el software de monitoreo de empleados WorkExaminer Professional de EfficientLab, incluidas algunas que pueden permitir que un atacante en la red tome el control del sistema y recopile capturas de pantalla o pulsaciones de teclas. “Un atacante igualmente puede disfrutar las comprobaciones de autenticación del banda del servidor que faltan para obtener golpe oficial no autenticado al servidor WorkExaminer Professional y, por lo tanto, a la configuración y los datos del servidor”, dijo SEC Consult. “Adicionalmente, todos los datos entre la consola, el cliente de monitorización y el servidor se transmiten sin sintetizar. Por lo tanto, un atacante con golpe al cable puede controlar todos los datos confidenciales transmitidos”. Los problemas siguen sin solucionarse.
• Estados Unidos acusa a excontratista estatal de traicionar secretos a Rusia — El Sección de Conciencia de Estados Unidos ha revelado cargos contra Peter Williams, ex ejecutor de Trenchant, la mecanismo cibernética del contratista de defensa L3Harris, por supuestamente robar secretos comerciales y venderlos a un comprador en Rusia por 1,3 millones de dólares. Los documentos judiciales alegan que Williams supuestamente robó siete secretos comerciales de dos empresas entre abril de 2022 y junio de 2025 o rodeando de esa aniversario, y un octavo secreto comercial adicional entre junio y el 6 de agosto de 2025. Los nombres de las empresas no fueron revelados ni se proporcionó ninguna información sobre la identidad del comprador. Los fiscales igualmente buscan confiscar la propiedad de Williams en Washington, DC, así como múltiples relojes, bolsos y joyas de suntuosidad derivados de las ganancias rastreables hasta el delito. Los cargos se producen mientras Trenchant está investigando una filtración de sus herramientas de piratería, informó TechCrunch.
• Cómo los actores de amenazas están abusando de Azure Blob Storage – Microsoft ha detallado las diversas formas en que los actores de amenazas están aprovechando Azure Blob Storage, su servicio de datos de objetos, en varias etapas del ciclo de ataque, oportuno a su papel fundamental en el almacenamiento y la administración de cantidades masivas de datos no estructurados. “Los actores de amenazas están buscando activamente oportunidades para comprometer entornos que alojan medios descargables o mantienen repositorios de datos a gran escalera, aprovechando la flexibilidad y escalera de Blob Storage para apuntar a un amplio espectro de organizaciones”, dijo la compañía.

• Vault Viper comparte vínculos con operaciones de estafa en el sudeste oriental — Un navegador web personalizado con el nombre Universe Browser está siendo distribuido por un proveedor de software de iGaming (igualmente conocido como juegos de azar en andana) de “marca blanca” que tiene vínculos con un género de plataformas de fraude y juegos de azar cibernéticos operadas por sindicatos criminales con sede en Camboya, según un noticia de Infoblox. El navegador, arreglado para Android, iOS y Windows, se anuncia como “conveniente a la privacidad” y ofrece la posibilidad de eludir la censura en países donde los juegos de azar en andana están prohibidos. En existencia, el navegador “enruta todas las conexiones a través de servidores en China e instala de forma fraude varios programas que se ejecutan silenciosamente en segundo plano”. Si proporcionadamente no hay evidencia de que el software haya sido utilizado con fines maliciosos, tiene todas las características típicamente asociadas con un troyano de golpe remoto, incluido el registro de teclas, la linaje de la ubicación flagrante del beneficiario, el inicio de conexiones subrepticias y la modificación de las configuraciones de red del dispositivo. “Universe Browser ha sido modificado para eliminar muchas funcionalidades que permiten a los usuarios interactuar con las páginas que visitan o inspeccionar lo que está haciendo el navegador”, añadió la empresa. “El golpe a la configuración del llamador derecho y las herramientas de progreso, por ejemplo, se han eliminado, mientras que el navegador en sí se ejecuta con varios indicadores que desactivan las principales funciones de seguridad, incluido el sandboxing y el soporte de protocolos SSL inseguros”. El actor de amenazas detrás de la operación es Baoying Group (寶盈集團) y BBIN, a los que se les ha cubo el apodo de Vault Viper. Algunos aspectos del Universe Browser fueron documentados previamente por la UNODC. “Si proporcionadamente el prospección técnico está en curso, el examen preliminar revela que U Browser no sólo permite tomar capturas de pantalla sistemáticas e involuntarias en el dispositivo infectado, sino que igualmente contiene otras funciones ocultas que permiten al software capturar pulsaciones de teclas y contenidos del portapapeles, características consistentes con malware que evoca troyanos de golpe remoto y varios ladrones de información y criptomonedas”, señaló la ONUDD. Baoying Group ha mantenido una gran saco operativa en Filipinas desde 2006, dijo Infoblox, pero oculta el repercusión total de sus actividades a través de una “intrincada red de empresas y estructuras trasgo registradas en docenas de países de Asia, Europa, América Latina y las Islas del Pacífico”. La investigación ha llevado al descubrimiento de no menos de 1.000 servidores de nombres únicos que albergan miles de sitios web activos dedicados a juegos de azar ilegales en andana, incluidos varios que se sabe que son operados por grupos criminales involucrados en fraude cibernético a gran escalera, lavado de moneda y otros delitos.

🎥 Seminarios web sobre ciberseguridad

🔧 Herramientas de ciberseguridad

• FlareProx — Es una útil liviana que utiliza Cloudflare Workers para activar puntos finales de proxy HTTP en segundos. Le permite enrutar el tráfico a cualquier URL mientras enmascara su IP a través de la red completo de Cloudflare. Ideal para desarrolladores y equipos de seguridad que necesitan una rotación rápida de IP, pruebas de API o una redirección sencilla sin servidores. Admite todos los métodos HTTP e incluye un nivel regalado con 100.000 solicitudes por día.
• cazador de rayos — Rayhunter es una útil de código campechano de la EFF que detecta torres de telefonía móvil falsas (IMSI catchers o Stingrays) utilizadas para la vigilancia telefónica. Se ejecuta en un punto de golpe móvil Orbic crematístico, monitorea el tráfico de la red celular y alerta a los usuarios cuando se encuentra actividad sospechosa, como degradaciones forzadas de 2G o solicitudes de identificación inusuales. Rayhunter, casquivana de instalar y usar, ayuda a periodistas, activistas e investigadores a detectar el espionaje celular en tiempo verdadero.

Descargo de responsabilidad: estas herramientas son nada más para uso educativo y de investigación. No se han sometido a pruebas de seguridad completas y podrían presentar riesgos si se usan incorrectamente. Revise el código antiguamente de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.

🔒 Consejo de la semana

Validar las dependencias en el origen, no solo en el paquete, Los desarrolladores tienden a fiarse en los administradores de paquetes más de lo que deberían, y los atacantes cuentan con ello. Todos los ecosistemas importantes, desde npm hasta PyPI, se han trillado afectados por ataques a la prisión de suministro que utilizan paquetes falsos o cuentas de mantenimiento secuestradas para introducir malware oculto. La instalación desde un registro conocido no significa que obtendrás el mismo código que está en GitHub, solo significa que estás descargando lo que cierto cargó.

La verdadera seguridad comienza en la fuente. Utilice Sigstore Cosign para comprobar imágenes y artefactos firmados, y osv-scanner para comprobar las dependencias con los datos de vulnerabilidad de OSV.dev. Para npm, agregue lockfile-lint para restringir las descargas a registros confiables y habilitar firmas de auditoría. Fije siempre las versiones exactas e incluya la firmeza de la suma de comprobación para cualquier cosa recuperada de forma remota.

Siempre que sea posible, aloje las dependencias verificadas en su propio espejo: herramientas como Verdaccio, Artifactory o Nexus evitan que las compilaciones se extraigan directamente de Internet. Integre estas comprobaciones en CI/CD para que las canalizaciones analicen automáticamente las dependencias, verifiquen las firmas y fallen si se rompe la confianza.

En pocas palabras: no confíe en lo que puede instalar; confíe en lo que puede comprobar. En la prisión de suministro flagrante, el aventura verdadero no es su código, sino todo de lo que depende su código. Construya una prisión de confianza clara y convertirá ese anilla débil en su defensa más válido.

Conclusión

Las historias cambian cada semana, pero el mensaje sigue siendo el mismo: la ciberseguridad no es una tarea que se realiza una sola vez, es un habilidad. Mantenga sus sistemas actualizados, cuestione lo que le resulte demasiado sabido y recuerde: en el mundo digital flagrante, la confianza es poco que se demuestra, no se asume.