• Robo de código fuente privado de proyectos confidenciales.
• Manipulación de las sugerencias de código que GitLab Duo muestra a otros usuarios.
• Filtración de vulnerabilidades de día cero aún no divulgadas públicamente.
• Inyección de HTML malicioso que puede generar enlaces a sitios de phishing o ejecutar código JavaScript no autorizado.

• Codificación en Base16 y Unicode.
• Uso de formatos como KaTeX en texto blanco.
• Aprovechamiento de la representación de Markdown en streaming, que permite interpretar HTML mientras se genera la respuesta del asistente.

• Microsoft Copilot para SharePoint también fue señalado por permitir a atacantes acceder a documentos confidenciales incluso desde archivos con permisos restringidos.
• ElizaOS (anteriormente Ai16z), un framework de agentes IA descentralizados para Web3, puede ser manipulado con instrucciones ocultas que afectan múltiples usuarios y provocan transferencias de activos indeseadas.
• Se ha identificado que los modelos de lenguaje también son vulnerables a técnicas de jailbreaking y alucinaciones, donde la IA produce respuestas erróneas o inventadas sin base en los datos de entrada.

• RV016
• RV042
• RV042G
• RV082
• RV320
• RV325

Citar"El mecanismo de redireccionamiento posiciona efectivamente al atacante como un observador silencioso, capaz de recopilar intentos de explotación y accesos a web shells en tránsito", explicaron los investigadores Felix Aimé y Jeremy Scion.

• Routers SOHO
• Sistemas VPN SSL
• Grabadoras de video digital (DVR)
• Controladores BMC

• Descarga del binario wget desde un servidor externo.
• Segunda explotación de la vulnerabilidad, esta vez para ejecutar un nuevo script descargado con wget.
• Ejecución de NetGhost, que redirige el tráfico de red y borra su rastro del sistema comprometido.

• Espionaje cibernético
• Recolección de exploits desconocidos
• Análisis de tácticas de otros grupos de amenazas
• Desarrollo de nuevos ataques dirigidos

• Actualizar el firmware de los routers Cisco Small Business y otros dispositivos orientados a Internet.
• Deshabilitar el acceso remoto si no es estrictamente necesario.
• Implementar soluciones de detección de intrusos (IDS) y firewalls avanzados.
• Supervisar los logs de red para identificar comportamientos inusuales o comandos ejecutados sin autorización.

CitarSegún Trend Micro:

"Este ataque utiliza videos (posiblemente generados por IA) para instruir a los usuarios a ejecutar comandos de PowerShell que en realidad descargan malware. El alcance algorítmico de TikTok amplifica la exposición, con videos que alcanzan cientos de miles de visitas."

• Captura de pantalla del escritorio
• Robo de credenciales y contraseñas almacenadas
• Exfiltración de cookies, tarjetas de crédito y billeteras de criptomonedas
• Acceso a archivos de texto y bases de datos de autenticación de Authy 2FA

• Robo de datos desde navegadores web y aplicaciones de criptomonedas
• Recolección de archivos sensibles del sistema
• Monitoreo del comportamiento del usuario

• APT28 y ColdRiver (Rusia)
• Kimsuky (Corea del Norte)
• MuddyWater (Irán)

• Robar credenciales de Discord
• Acceder a contraseñas y tarjetas de crédito
• Vaciar billeteras de criptomonedas

• Desconfía de videos que te pidan ejecutar comandos de PowerShell, incluso si parecen inofensivos o provienen de cuentas populares.
• Verifica siempre la autenticidad de los tutoriales, especialmente los relacionados con activaciones de software o funciones premium.
• Usa soluciones de ciberseguridad actualizadas con protección en tiempo real contra scripts y malware.
• No descargues archivos desde enlaces acortados o sospechosos, especialmente si provienen de redes sociales.

• Requerir autenticación con Windows Hello.
• Excluir ciertas aplicaciones, sitios web y sesiones privadas.
• Filtrar datos sensibles como contraseñas o números de tarjeta de crédito.
• Incorporar protecciones contra malware y ataques automatizados.

Citar"Esperamos que los desarrolladores de IA consideren más seriamente las implicaciones de privacidad. Las personas no deberían tener que elegir entre accesibilidad y seguridad digital", afirmó Lund.

• Estados Unidos: 130 detenciones
• Alemania: 42
• Reino Unido: 37
• Francia: 29
• Corea del Sur: 19

Citar"La Operación RapTor demuestra que la web oscura no es inmune al alcance de la ley. La cooperación entre agencias y el intercambio de inteligencia han sido fundamentales para identificar y arrestar a criminales que creían estar ocultos en las sombras digitales."

• Operación SpecTor (2023): 288 arrestos y más de 55 millones de dólares incautados.
• Operación DisrupTor (2020): 179 detenciones de proveedores de la darknet.
• Operación Dark HunTOR (2021): 150 arrestos adicionales en plataformas ilícitas.
• Operación contra Hydra (2022): cierre del mayor mercado de la web oscura, con más de 19.000 cuentas de vendedores y más de 17 millones de clientes a nivel global.

• Descarga Ledger Live solo desde el sitio oficial (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).
• Nunca ingreses tu frase semilla en una aplicación o sitio web. La frase solo debe escribirse en el dispositivo físico de Ledger durante la configuración o recuperación.
• Evita abrir archivos .DMG de fuentes no verificadas. Verifica la firma del desarrollador antes de instalar cualquier software.
• Activa Gatekeeper y el escaneo automático de malware en tu Mac.
• Considera utilizar software antivirus específico para macOS que detecte malware como Odyssey o AMOS.

Citar"UAT-6382 explotó con éxito CVE-2025-0944, realizó tareas de reconocimiento inicial y desplegó una serie de shells web y malware personalizado para mantener acceso persistente", explicaron los expertos.

• Cobalt Strike, una conocida herramienta de post-explotación usada en pruebas de penetración y por actores maliciosos.
• VShell, una herramienta de acceso remoto (RAT) desarrollada en Go, utilizada para mantener el acceso a largo plazo a los sistemas infectados.

• AntSword
• chinatso/Chopper
• Behinder

Citar"UAT-6382 descargó e implementó múltiples puertas traseras usando PowerShell, lo que les permitió mantener control total sobre los sistemas comprometidos", detallaron los investigadores de Cisco Talos.

• Aplicar todas las actualizaciones de seguridad disponibles para Trimble Cityworks.
• Realizar una auditoría de los sistemas potencialmente expuestos a través de CVE-2025-0944.
• Monitorizar indicadores de compromiso (IoCs) asociados con TetraLoader, Cobalt Strike, VShell y los shells web mencionados.
• Implementar reglas de detección para PowerShell anómalo y procesos ejecutados desde ubicaciones no estándar.

Citar"El ataque explota la función dMSA introducida en Windows Server 2025, funciona con la configuración por defecto y es trivial de implementar", explicó Gordon.

Citar"dMSA permite a los usuarios crear nuevas cuentas de servicio o reemplazar cuentas de servicio existentes. Durante este proceso, la autenticación se gestiona mediante la Autoridad de Seguridad Local (LSA) y el nuevo dMSA hereda todos los accesos previos", explica Microsoft en su documentación oficial.

Citar"Lo más preocupante es que esta técnica de migración simulada no requiere permisos sobre la cuenta reemplazada, solo permisos de escritura sobre los atributos de cualquier dMSA", advirtió Gordon.

• Restringir la capacidad de crear dMSA a usuarios o grupos estrictamente necesarios.
• Endurecer permisos en unidades organizativas (OU).
• Auditar permisos CreateChild en Active Directory.
• Usar el script de PowerShell publicado por Akamai, el cual permite enumerar todas las entidades que pueden crear dMSA y las OU donde tienen permiso.

• checker-SaGaF – 2.605 descargas
• Steinlurks – 1.049 descargas
• Sinnercore – 3.300 descargas

• Lanzar campañas de spam o doxing
• Realizar ataques de "credential stuffing"
• Suspender cuentas mediante reportes falsos
• Vender listas de correos válidos en la dark web

• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

• Consulta de precios en tiempo real desde Binance
• Conversión de divisas
• Extracción de información detallada de paquetes PyPI, lo que podría usarse para crear perfiles falsos de desarrolladores o suplantación de identidad.

• Uso de GSocket (Global Socket Toolkit) para comunicación encubierta
• Envoltura de funciones de Python para persistencia y evasión
• Persistencia de largo plazo sin ser detectados

• Hashes de confirmación de Git
• Tokens JWT truncados
• Credenciales API
• CRC-32 o GUIDs

Citar"En los sitios web compatibles, Chrome puede generar una contraseña segura de reemplazo y actualizarla automáticamente, sin que el usuario tenga que intervenir manualmente", explicaron.

• Generación automática de contraseñas seguras al registrarse en un sitio.
• Detección de contraseñas vulneradas en filtraciones de datos públicas.
• Almacenamiento seguro y sincronización entre dispositivos.

• Usar los atributos autocomplete="current-password" y autocomplete="new-password" en los campos del formulario para habilitar el autocompletado y el almacenamiento de contraseñas.
• Configurar una redirección desde https://<dominio>/ .well-known/change-password hacia la página de cambio de contraseña del sitio web.

Citar"Sería mucho más fácil si los administradores de contraseñas pudieran guiar al usuario directamente a la URL de cambio de contraseña", señaló Eiji Kitamura. "Aquí es donde una ruta de URL conocida se vuelve especialmente útil".

• Claves TOR
• Panel web de administración
• Sistema de chat y servidor de archivos
• Blog de fuga de datos
• Constructor de encriptadores para Windows y Linux
• Base de datos

• El código fuente del encriptador para Windows.
• El panel de afiliados, con su punto final api.php.
• Un descifrador y un cargador (loader).

• Babuk (junio 2021): Su constructor filtrado facilitó la creación de encriptadores para Windows y VMware ESXi, convirtiéndose en una de las bases más usadas por nuevos grupos.
• Conti (marzo 2022): La filtración del código tras una brecha interna permitió a otros actores lanzar sus propias variantes de este ransomware.
• LockBit (septiembre 2022): Un desarrollador descontento divulgó el constructor de la banda, el cual ha sido reutilizado extensamente por diversos grupos criminales.

• Cambiar contraseñas de usuarios arbitrariamente, incluso de administradores.
• Obtener acceso completo al panel de administración de WordPress.
• Instalar malware, robar datos confidenciales y redirigir tráfico a sitios maliciosos.

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y agradecemos su paciencia."

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta son los únicos sitios web autorizados y compatibles con el software RVTools. No busque ni descargue el supuesto software de RVTools de ningún otro sitio web o fuente".

• Verificar el hash del instalador de RVTools descargado recientemente.
• Revisar cualquier ejecución sospechosa de version.dll dentro de los directorios de usuario.

• XRed, una puerta trasera escrita en Delphi, activa desde al menos 2019.
• SnipVex, un clipper malicioso que reemplaza direcciones de criptomonedas en el portapapeles.

• Registrar pulsaciones de teclas.
• Recopilar información del sistema.
• Propagarse mediante dispositivos USB conectados.
• Ejecutar comandos remotos desde un servidor de comando y control (C2).
• Tomar capturas de pantalla y manipular archivos.

• La dirección BTC utilizada ha recibido más de 9.3 BTC (unos 974.000 USD).
• SnipVex infecta archivos .EXE, insertando un marcador específico (0x0A 0x0B 0x0C) al final, para evitar una reinfección.
• Aunque el malware dejó de recibir transacciones desde el 3 de marzo de 2024, las infecciones siguen activas y afectan la integridad del sistema operativo.

• F13 Pro
• VF13 Pro
• V11 Pro

• Verificar las fuentes oficiales antes de descargar software.
• Analizar los instaladores con herramientas antivirus y hashes de verificación.
• Revisar comportamientos sospechosos, como la ejecución de DLLs inesperadas o cambios en el portapapeles.

• Firefox 138.0.4
• Firefox ESR 128.10.1
• Firefox ESR 115.23.1

• Números de versión del software
• Mensajes de error internos
• Datos de depuración
• Identificadores únicos del dispositivo como el IMSI y el IMEI
• Información de localización basada en la torre celular más reciente

Citar"Nuestros equipos de ingeniería han estado trabajando y probando una solución durante varias semanas. Podemos confirmar que esto ya está completamente implementado y las pruebas sugieren que la solución ha funcionado. Nuestros clientes no necesitan tomar ninguna medida", dijo Virgin Media O2.

• Kernel Linux 6.14
• Mesa 25.1
• GNOME 48
• KDE Plasma 6.3

• Edición oficial con KDE Plasma personalizado
• Ediciones estándar con KDE Plasma o GNOME
• Ediciones adaptadas para dispositivos como Steam Deck o centros multimedia

• Brave Rewards
• Cartera de criptomonedas
• VPN integrado
• Modo Tor

• Instalar aplicaciones Flatpak fácilmente
• Actualizar paquetes
• Gestionar permisos desde una interfaz simplificada

• Permite elegir entre versiones estables y en desarrollo de Mesa Vulkan Drivers
• Soporta selección entre controladores de NVIDIA: versiones de producción, beta o con funciones nuevas
• Incluye parches específicos en Mesa para mejorar la compatibilidad con Wine Wayland

• Implementación de manejadores de usuario en memoria compartida, que optimizan el rendimiento general.
• Mejoras en el soporte de imágenes TIFF, ampliando la compatibilidad con programas que utilizan este formato.
• Avances significativos en el nuevo backend PDB, parte esencial para la depuración de aplicaciones.
• Corrección de errores y ajustes menores que mejoran la estabilidad global del sistema.

• Defiance no puede conectarse al servidor de inicio de sesión.
• UrlGetPart devuelve resultados inconsistentes respecto a Windows.
• Git clone falla en msys2/cygwin64 con error 'Socket operation on non-socket'.
• Fallo al iniciar la ventana principal en Vegas Pro 14.
• Crash en aplicaciones que usan ModernWPF, como Windows.UI.ViewManagement.UISettings.
• Script ghidraRun.bat lanza error de sintaxis en cmd,for.
• Bloqueo de aplicaciones al mostrar información sobre herramientas.
• mintty.exe no muestra correctamente la salida de bash.exe en msys2/cygwin64.
• Error de buffer underrun en dmsynth (synth_sink_write_data).
• Problema con CoreMIDI al enviar eventos MIDI desde winmm.
• Incompatibilidad de compilación con libglvnd <=1.3.3.
• Glitches visuales en Final Fantasy XI Online.
• Problemas al introducir datos en Adobe Lightroom Classic 10.4 (comctl32/edit).
• Fallos en la interfaz de usuario de foobar2000 con DirectWrite.
• EXCEPTION_ACCESS_VIOLATION en Hermanos de país con D3D11.
• Compilación fallida de pruebas dwrite con mingw-gcc 15.
• Problemas de cursor (Caret) en campos de texto largos.
• Mal funcionamiento de boost::interprocess::named_mutex.

• Distribuciones Linux (como Ubuntu, Debian, Fedora, Arch Linux, etc.)
• macOS
• Android

• 81 errores corregidos en diversos paquetes del sistema.
• 45 actualizaciones de seguridad integradas directamente en la imagen de instalación.
• Inclusión del kernel Linux 6.1 LTS, que proporciona mayor compatibilidad con hardware moderno y soporte a largo plazo.
• Compatibilidad anticipada con futuras versiones de distribuciones como Debian 15 y Ubuntu 25.10, lo que evidencia un compromiso continuo con la actualización y preparación del sistema.

• amd64 (64-bit)
• i386 (32-bit)
• ppc64el (PowerPC 64-bit Little Endian)
• s390x (IBM System z)
• mips64el, mipsel
• armel, armhf, arm64 (AArch64)

• GNOME 43.9
• KDE Plasma 5.27.5 LTS
• Xfce 4.18
• Cinnamon 5.6.8
• MATE 1.26.0
• LXQt 1.2.0
• LXDE 0.10.1

sudo apt update && sudo apt full-upgrade

• bash
• busybox
• nginx
• redis
• controladores NVIDIA

• pidgin-skype
• viagee

• Mostrar anuncios invasivos sin posibilidad de cerrarlos.
• Robar datos personales y credenciales almacenadas.
• Permitir la instalación de malware adicional más peligroso.
• Afectar el rendimiento del móvil, haciéndolo más lento e inestable.

• Desinstala inmediatamente cualquier app que figure en la lista o te parezca sospechosa.
• Reinicia tu móvil tras eliminar las apps para evitar que sigan ejecutándose en segundo plano.
• Revisa los permisos de aplicaciones instaladas, especialmente aquellas con acceso al micrófono, cámara o ubicación.
• Identifica apps que consumen mucha batería o datos móviles sin razón aparente.
• Presta atención a aplicaciones que se bloquean con frecuencia o generan anuncios fuera de lugar.

• Instala aplicaciones solo desde Google Play o fuentes verificadas.
• Evita descargar APKs desde sitios web no oficiales.
• Utiliza un antivirus para Android confiable.
• Revisa regularmente los permisos de tus apps.
• Mantén actualizado el sistema operativo de tu dispositivo.

Citar"Los parámetros de consulta pueden incluir datos confidenciales, como tokens en flujos de OAuth. Esto podría facilitar el secuestro de cuentas si un atacante logra interceptarlos mediante una imagen alojada en un recurso de terceros", explicó Kokorin.

Citar"Este tipo de vulnerabilidades representan vectores comunes de ataque para actores cibernéticos maliciosos y suponen un riesgo significativo para la infraestructura federal y empresarial", advirtió CISA.

• Actualiza Google Chrome inmediatamente a la última versión disponible.
• Implementa soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos.
• Supervisa el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
• Revisa la política de contenido (CSP) en tus aplicaciones web para limitar cargas de recursos externos.

Citar"En los dispositivos afectados, es posible que Windows no se inicie las veces necesarias para activar una reparación automática. Si BitLocker está habilitado, se solicita la clave de recuperación para continuar."

• Errores de LSASS
• Mensajes de error con el código 0x800F0845
• Entradas fallidas relacionadas con la instalación de la actualización KB5058379

Citar"La actualización KB5058379 falló en dispositivos con Windows 10. Tras reiniciar, algunos equipos solicitan la clave de BitLocker", escribió un usuario.

Citar"Tenemos media docena de portátiles con problemas: algunas requieren la clave para iniciar, otras ni siquiera arrancan", señaló un administrador de sistemas.

• Intel Trusted Execution Technology (TXT)
• Secure Boot (Arranque seguro)
• Tecnologías de virtualización
• Protección de firmware

• Wayland reemplaza a Xorg como servidor gráfico por defecto.
• YaST cede protagonismo a herramientas como Cockpit y Myrlyn para la gestión del sistema.
• Se promueve el uso de sistemas inmutables, que ofrecen mayor protección ante modificaciones accidentales o maliciosas.

• Portales de acceso a videojuegos
• Plataformas de pago en línea
• Interfaces de servicios digitales críticos

• Ocultamiento de la interfaz gráfica de usuario (GUI) para evadir la detección manual y de herramientas antimalware.
• Manipulación del Registro de Windows para asegurarse de ejecutarse automáticamente al iniciar el sistema.
• Establecimiento de conexión con un servidor de comando y control (C2) para recibir instrucciones de ataque.

• BrowserAttack: usa instancias ocultas de Google Chrome para simular navegación real y consumir recursos.
• HttpAutoAttack: utiliza cookies para simular sesiones de usuario legítimas.
• HttpFpDlAttack: basado en el protocolo HTTP/2, genera respuestas de gran tamaño para saturar el CPU del servidor.
• WebSocketAttack: explota conexiones WebSocket (ws:// y wss://) para mantener sesiones persistentes y prolongadas.
• PostAttack: ejecuta ataques mediante solicitudes HTTP POST para imitar interacciones legítimas.
• CookieAttack: mejora BrowserAttack con un flujo adicional de gestión de cookies para dificultar la detección.

• Evadir sistemas de defensa basados en la integridad del protocolo
• Saturar sesiones activas del servidor utilizando rutas URL aleatorias y mecanismos de renovación de cookies
• Minimizar el volumen de tráfico anómalo para evitar ser detectado por soluciones anti-DDoS convencionales

• Sistemas de detección basados en comportamiento
• Monitoreo avanzado de tráfico HTTP
• Políticas de ciberseguridad proactiva

Citar"Si recibe un mensaje que aparenta provenir de un alto funcionario de EE. UU., no asuma automáticamente que es legítimo", advirtió la agencia.

• Mensajes de texto maliciosos (smishing)
• Mensajes de voz manipulados con IA (vishing)

• Se expone a la descarga de malware o troyanos de acceso remoto.
• Permite a los atacantes obtener acceso a sus cuentas personales o institucionales.
• Los atacantes extraen la lista de contactos, especialmente de otros funcionarios gubernamentales.
• Usan esa información para amplificar la campaña de suplantación de identidad, presentándose como figuras legítimas para obtener información confidencial o realizar fraudes financieros.

• Estafas tipo CEO fraud
• Pornografía no consentida
• Manipulación de pruebas judiciales o legales

• Desconfiar de mensajes de voz o texto no solicitados, incluso si parecen provenir de autoridades conocidas.
• Verificar la autenticidad de las comunicaciones a través de canales seguros y directos.
• Evitar hacer clic en enlaces de plataformas no oficiales enviados por supuestas figuras públicas.
• Implementar controles de autenticación multifactor en todas las cuentas sensibles.
• Capacitar al personal en detección de ingeniería social avanzada, especialmente con IA.

• Envío periódico de consultas de latido DNS.
• Monitoreo de la salida del shell y su filtrado.
• Escucha activa de comandos cifrados recibidos desde el servidor C2.

• inicio: establece persistencia descargando varios archivos, incluyendo una DLL maliciosa, y aprovechando un ejecutable legítimo de Asus (ISP.exe) para realizar un secuestro de DLL y ejecutar un script de PowerShell (pas.ps1) para mantener la comunicación con el C2.
• pantalla: captura pantallas del escritorio de la víctima utilizando PowerShell, las sube a Imgur y envía la URL al servidor de control.
• anydesk: descarga e instala silenciosamente AnyDesk, una herramienta de acceso remoto legítima, ocultando todos los indicios visuales de su presencia.
• rutserv: instala RUT-Serv, otra herramienta de acceso remoto, de forma similar a AnyDesk.
• shell: permite la ejecución continua de comandos de PowerShell mediante un bucle que consulta el servidor cada 5 segundos y ejecuta las instrucciones usando Invoke-Expression.
• av: enumera las soluciones antivirus y de seguridad instaladas a través de consultas WMI, enviando los resultados al servidor C2.

• Acceder a cuentas protegidas por autenticación de dos factores (2FA).
• Asociar números de teléfono a cuentas Steam.
• Confirmar transacciones dentro de la plataforma.

Citar"Los datos contienen entradas de registro de sistemas backend en tiempo real de Twilio", indicó, sugiriendo la posible comprometida de una cuenta de administrador o abuso de claves API.

Citar"No hay evidencia que sugiera que Twilio fue violado. Hemos revisado una muestra de los datos encontrados en línea, y no vemos ninguna indicación de que estos datos se hayan obtenido de nuestros sistemas", indicó un portavoz de la compañía.

Citar"El conjunto de datos filtrado parece contener códigos SMS de un solo uso válidos solo durante 15 minutos. Estos códigos ya no pueden ser utilizados", dijo Steam en su comunicado oficial.

• Activar el Steam Guard Mobile Authenticator para proteger las cuentas con autenticación en dos pasos.
• Supervisar regularmente la actividad de la cuenta.
• Estar atentos a mensajes SMS sospechosos o códigos no solicitados.

Citar"Nucor Corporation identificó recientemente un incidente de ciberseguridad que involucra el acceso no autorizado de terceros a ciertos sistemas de tecnología de la información utilizados por la Compañía", indica el informe presentado a la SEC.

• No se ha identificado públicamente al autor del ataque.
• Ningún grupo de ransomware ha asumido la responsabilidad.
• No se ha confirmado si los datos de clientes o empleados fueron comprometidos.

• Ransomware dirigido a sistemas SCADA
• Exfiltración de propiedad intelectual
• Sabotaje de líneas de producción
• Accesos persistentes a entornos industriales híbridos

CitarEn palabras del investigador:

"Podemos especificar unsafe-url y capturar los parámetros de consulta completos. Esta información puede contener datos confidenciales que pueden llevar a una toma de control de cuenta."

• Windows y macOS: 136.0.7103.113 / 136.0.7103.114
• Linux: 136.0.7103.113

• Actualiza tu navegador Chrome inmediatamente a la última versión disponible.
• Si utilizas navegadores derivados de Chromium, revisa sus canales de actualizaciones.
• Evita interactuar con enlaces sospechosos o páginas HTML no verificadas.
• Revisa la actividad de tus cuentas en caso de haber visitado sitios dudosos recientemente.

• vue-dev-serverr
• vue-dummyy
• vue-bit

• Typosquatting
• Slopsquatting
• Ofuscación de código
• Abuso del almacenamiento en caché en repositorios como Go
• Ejecución en varias etapas
• Uso malicioso de herramientas legítimas como Google Calendar

• Detectar scripts inesperados en procesos post-instalación
• Monitorear tráfico de red no autorizado
• Validar exhaustivamente los paquetes de terceros
• Aplicar análisis estático y dinámico del código
• Implementar la fijación de versiones
• Revisar cuidadosamente los registros en pipelines CI/CD

Citar"El principal método de pago es la stablecoin USDT, y se han registrado transacciones que podrían estar relacionadas con fondos robados por Corea del Norte".

• Venta de tecnología prohibida
• Datos personales robados
• Servicios de lavado de dinero
• Documentos de identidad falsificados
• Equipos de Internet satelital Starlink
• Tráfico humano y explotación sexual
• Donación y subrogación de óvulos

• Lavadores de dinero
• Hackers y proveedores de herramientas técnicas
• Distribuidores de bases de datos personales
• Servicios de vigilancia, intimidación y coerción

Citar"Durante el cuarto trimestre de 2024, Xinbi Guarantee superó por primera vez los USD 1.000 millones en transacciones en un solo trimestre".

Citar"Estas plataformas también ofrecen una ventana a un sistema bancario clandestino con base en China, apoyado por stablecoins como USDT, que facilita el lavado de dinero a gran escala", señaló Elliptic.

Citar"La limitación incorrecta del nombre de ruta permite a los atacantes escribir archivos arbitrarios con privilegios de sistema."

• Descarga de archivos como srvany.exe y services.exe en dos sistemas diferentes.
• Ejecución de comandos de reconocimiento en otro servidor afectado.

Citar"Actualizar de MagicINFO v8 directamente a la versión 21.1052.0 no es posible sin pasar antes por la versión intermedia 21.1050.0", advirtió Jamie Levy, director de tácticas de adversarios en Huntress.

• ctualizar inmediatamente a la versión 21.1052.0 de MagicINFO 9 Server.
• Verificar que no se encuentren ejecutando versiones vulnerables (v8 - v9 hasta 21.1050.0).
• Revisar logs de actividad sospechosa, especialmente descargas no autorizadas y cambios en archivos del sistema.
• Implementar controles de acceso y segmentación de red para minimizar el impacto de posibles intrusiones.
• Aplicar parches de seguridad de manera regular y revisar los boletines de vulnerabilidades de Samsung.

Citar"Algo ha salido muy mal: SBAT autoverificación falló: violación de la política de seguridad"

Citar"Este problema se resolvió con las actualizaciones de Windows publicadas el 13 de mayo de 2025 y posteriores. Recomendamos instalar la última actualización disponible, ya que incluye importantes mejoras y soluciones", indicó Microsoft.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

• Revisa tu BIOS/UEFI y asegúrate de que Secure Boot esté configurado correctamente.
• Monitorea si tu distribución de Linux ofrece actualizaciones de GRUB2 compatibles con la política SBAT.
• Si el error persiste, considera desactivar temporalmente Secure Boot hasta aplicar los parches.

Citar"El análisis continuo ha descubierto evidencia que sugiere la participación del grupo de ransomware ruso BianLian y de los operadores de RansomEXX (identificados por Microsoft como Storm-2460)", explicó ReliaQuest.

Citar"El malware fue implementado pocas horas después de la explotación, utilizando los webshells helper.jsp y cache.jsp. Aunque el intento inicial fracasó, un ataque posterior desplegó el marco Brute Ratel C2 a través de tareas en línea con MSBuild", agregó ReliaQuest.

Citar"El acceso persistente mediante puertas traseras en estos sistemas proporciona un punto de apoyo para operaciones de inteligencia, espionaje económico o ventaja militar por parte de la República Popular China", advirtió Forescout.
"Los sistemas SAP comprometidos están profundamente integrados con redes de control industrial (ICS), lo que eleva el riesgo de movimientos laterales y posibles interrupciones operativas a largo plazo".

• Aplicar de inmediato los parches de seguridad proporcionados por SAP.
• En caso de no poder actualizar, deshabilitar el servicio Visual Composer de SAP NetWeaver.
• Restringir el acceso a los servicios de carga de metadatos.
• Implementar monitoreo continuo y análisis de comportamiento ante actividades sospechosas en los servidores.

• Más de 84.000 euros en efectivo (aproximadamente 93.000 dólares)
• Una billetera electrónica
• Dos computadoras portátiles
• Un teléfono móvil
• Una tableta
• Seis tarjetas bancarias
• Dos dispositivos de almacenamiento externo
• Seis tarjetas de memoria

• Bloquearon el acceso a las unidades de red internas
• Hicieron inaccesibles documentos esenciales
• Robaron archivos confidenciales

Citar"El atacante bloqueó unidades de red, hizo que los documentos fueran inaccesibles y robó algunos de nuestros archivos", declaró la NWO en su momento. "A raíz de una demanda de rescate, que la organización no aceptará por principios, parte de los archivos robados fue publicada en línea".

• Igor Olegovich Turashev
• Igor Garshin (también conocido como Igor Garschin)
• Irina Zemlianikina

Citar"Si su dispositivo aún encuentra esta retención de seguridad 48 horas después de actualizar a la última versión de la aplicación, deberá comunicarse con el soporte del navegador Safe Exam para obtener más información sobre la resolución", indicó Microsoft en una actualización oficial del estado de Windows.

• Dispositivos ASUS con componentes específicos de hardware.
• Usuarios que ejecutan AutoCAD o el videojuego Asphalt 8: Airborne.
• Cámaras integradas con firmware no compatible.
• Software de mejora de audio Dirac.
• Aplicaciones como Easy Anti-Cheat, que pueden interferir con procesos del sistema operativo.

Citar"Esta actualización incluye importantes mejoras de seguridad y se recomienda encarecidamente actualizar a la última versión de ASUS DriverHub".