La empresa de ciberseguridad SentinelOne ha revelado que el grupo de amenazas persistentes avanzadas (APT) con vínculos con China, conocido como PurpleHaze, intentó realizar actividades de reconocimiento contra su infraestructura y la de varios de sus clientes estratégicos de alto valor.

Según el análisis técnico publicado por los expertos de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter, este grupo fue detectado por primera vez durante una intrusión en 2024, dirigida a una organización que prestaba servicios logísticos de hardware para empleados de SentinelOne.

PurpleHaze y su conexión con APT15

Los investigadores vinculan a PurpleHaze con APT15, también conocido como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, todos considerados grupos de ciberespionaje patrocinados por el estado chino.

Además, se observó que PurpleHaze atacó en octubre de 2024 a una entidad no identificada vinculada al gobierno del sur de Asia, utilizando una red de retransmisión operativa (ORB) y una puerta trasera en Windows denominada GoReShell. Este implante, desarrollado en lenguaje Go, reutiliza la herramienta de código abierto reverse_ssh para establecer conexiones SSH inversas con dispositivos comprometidos.

"El uso de redes ORB es una tendencia creciente entre actores de amenazas avanzadas, ya que permite crear infraestructuras altamente dinámicas y difíciles de rastrear para operaciones de ciberespionaje", advierten desde SentinelOne.

ShadowPad, ScatterBrain y ataques a infraestructura crítica

Un análisis posterior sugiere que la misma entidad del sur de Asia fue víctima, en junio de 2024, de otro ataque que involucró el uso de ShadowPad (también conocido como PoisonPlug), una puerta trasera muy utilizada por grupos APT chinos y considerada sucesora de PlugX.

Este malware fue identificado con técnicas de ofuscación avanzadas mediante un compilador personalizado conocido como ScatterBrain. Aunque ShadowPad también ha sido usado recientemente para distribuir ransomware, la motivación concreta detrás del ataque de junio permanece incierta.

Se estima que el ShadowPad ofuscado fue utilizado en intrusiones dirigidas a más de 70 organizaciones de sectores como fabricación, gobierno, finanzas, telecomunicaciones e investigación, posiblemente explotando una vulnerabilidad de día cero en dispositivos de puerta de enlace CheckPoint.

Una de las organizaciones afectadas fue la encargada de la logística de hardware para SentinelOne. Afortunadamente, la firma no encontró evidencias de un compromiso secundario en sus sistemas.

Intentos de infiltración desde Corea del Norte

SentinelOne también informó sobre intentos de infiltración por parte de actores alineados con Corea del Norte, quienes, mediante el uso de identidades falsas, buscaron conseguir puestos en áreas críticas de la compañía, incluyendo el equipo de inteligencia SentinelLabs. Se detectaron aproximadamente 360 perfiles falsos y más de 1.000 solicitudes de empleo fraudulentas, parte de una campaña de espionaje encubierto.

Amenazas de ransomware dirigidas a plataformas EDR

Además de los ataques patrocinados por estados, SentinelOne ha sido blanco de operadores de ransomware que buscan evaluar sus productos EDR (Endpoint Detection and Response) para detectar posibles puntos débiles y evadir la detección.

Estos esfuerzos están impulsados por una economía clandestina activa que incluye venta y alquiler de accesos a herramientas de seguridad empresarial a través de canales de mensajería cifrada y foros clandestinos como XSS[.]es, Explotar[.]en y RAMP.

En este contexto, ha emergido un nuevo servicio denominado "EDR Testing-as-a-Service", que permite a los ciberdelincuentes probar malware de forma discreta en entornos semiprivados sin comprometer sus operaciones. Este tipo de pruebas optimiza las cargas útiles maliciosas antes de ser desplegadas en entornos reales.

Nitrogen: ransomware avanzado con ingeniería social sofisticada

Un actor especialmente peligroso es el grupo ransomware Nitrogen, presuntamente dirigido por un ciudadano ruso. A diferencia de otros grupos, Nitrogen evita depender de accesos internos o credenciales robadas, optando por suplantar empresas legítimas para adquirir productos de seguridad oficialmente.

Utilizando dominios clonados, correos falsificados e infraestructura idéntica a compañías reales, Nitrogen logra comprar licencias legítimas de software EDR y otras soluciones de seguridad, con el fin de testear y evadir defensas.

"Este tipo de ingeniería social es extremadamente precisa", señalan los investigadores. "El grupo se enfoca en revendedores pequeños con procesos laxos de verificación KYC (Know Your Customer), reduciendo el riesgo de detección".

En conclusión, el informe de SentinelOne pone de manifiesto cómo grupos APT chinos como PurpleHaze, operadores de ransomware como Nitrogen, y actores norcoreanos están elevando el nivel de sofisticación en las amenazas actuales. Desde ataques dirigidos a infraestructuras críticas, hasta intentos de infiltración corporativa y evaluación de defensas EDR, la ciberseguridad empresarial enfrenta una escalada sin precedentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

How It Works - Issue 202 2025

Language: English | Format: pdf | 2025 | Size: 65.2 MB

https://www.up-4ever.net/hfak6ss7conc
https://mega4upload.net/go5if29rhwr1
https://filespayouts.com/34w1i2rim94s/HowItWorks202.pdf
https://rg.to/file/0098d95d21e328f17d9e039bd0b3d616

En verdad muchas gracias, Voy empezando el camino para manejar este lenguaje.

Gracias por el aporte!!!

gracias por el aporte!!!

¿Sabías que tu móvil Android podría estar escaneando tus fotos sin que lo hayas activado conscientemente? Una nueva función llamada Android System SafetyCore ha sido incluida en recientes actualizaciones del sistema operativo, y ha generado una gran preocupación en torno a la privacidad digital y el control del usuario sobre sus datos.

En este artículo te explicamos qué es SafetyCore, cómo puede afectar tu privacidad, cómo localizarlo en tu dispositivo y cómo desactivarlo paso a paso.

¿Qué es Android SafetyCore y por qué está en tu móvil?

SafetyCore es un componente del sistema Android diseñado para analizar imágenes almacenadas localmente en tu dispositivo. Su objetivo es detectar contenido sensible o explícito, como desnudos, con el fin de evitar el envío accidental de este tipo de imágenes a través de aplicaciones como Google Messages.

Google asegura que el análisis se realiza de forma local, sin enviar tus fotos a sus servidores, y que la función está orientada a proteger a usuarios menores de edad. Sin embargo, esta herramienta se ha implementado sin notificación previa, sin pedir permiso al usuario y sin aparecer como una aplicación visible.

¿Por qué la función Android SafetyCore genera preocupación?

Estas son algunas razones por las que la función SafetyCore ha sido criticada:

• No se anunció públicamente: SafetyCore fue incluida en actualizaciones sin notificación ni opción de consentimiento.
• Actúa en segundo plano: El escaneo de fotos ocurre automáticamente, sin que el usuario lo active manualmente.
• No es visible como una app común: No aparece en el menú de aplicaciones, lo que dificulta su detección y gestión.
• Reinstalación automática: Algunos usuarios reportan que la función se reactiva tras actualizar el sistema operativo o los Servicios de Google Play.

Cómo desactivar Android SafetyCore en tu dispositivo Android

Si quieres recuperar el control sobre lo que hace tu móvil con tus imágenes, sigue estos pasos para localizar y desactivar Android System SafetyCore:

• Abre los Ajustes de tu dispositivo Android.
• Entra en Aplicaciones o Aplicaciones y notificaciones.
• Toca en Ver todas las aplicaciones.
• Pulsa en el menú de tres puntos (arriba a la derecha) y activa "Mostrar procesos del sistema".
• Busca "Android System SafetyCore".
• Si la encuentras, selecciona la opción Desinstalar o Desactivar (puede variar según el modelo).
• Revisa y restringe los permisos que tenga asignados (como acceso a Internet o almacenamiento).

Importante: si tras una actualización la función vuelve a aparecer, deberás repetir el proceso.

Seguridad vs. privacidad: ¿es Android SafetyCore una función útil o una amenaza?

Aunque Google plantea SafetyCore como una medida de protección, la falta de transparencia ha levantado muchas sospechas. En comparación, Apple ofrece una función similar llamada Communication Safety, pero con una gran diferencia: es opcional y visible para el usuario.

Esta situación abre un debate necesario: ¿hasta qué punto deben las grandes empresas tecnológicas introducir funciones en nombre de la seguridad sin consentimiento explícito del usuario?

En conclusión, Android System SafetyCore podría estar escaneando tus imágenes sin que lo sepas, y aunque la intención declarada sea protegerte, el modo en que se ha introducido genera desconfianza. Si valoras tu privacidad, es recomendable revisar si esta función está activa en tu dispositivo y decidir si deseas desactivarla.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si eres parte de la comunidad Kali Linux, esta noticia es crucial para ti. Offensive Security, los creadores de esta popular distribución Linux enfocada en pruebas de penetración y seguridad informática, ha emitido una alerta importante que requiere tu acción inmediata.

¿El problema? La pérdida de su antigua clave de firma del repositorio (identificada como ED444FF07D8D0BF6) ha obligado a OffSec a generar una nueva clave de firma (ED65462EC8D5E4C5). Esta nueva llave ha sido firmada utilizando los servidores de claves OpenPGP de Ubuntu.

La buena noticia es que la clave anterior no fue comprometida. Sin embargo, esto significa que tu sistema Kali Linux actual no la eliminará automáticamente.

¿Qué significa esto para tu Kali Linux?

Si tu sistema aún utiliza la clave antigua, te toparás con un frustrante error al intentar actualizar tus paquetes de software. El mensaje será claro: "Falta la clave 827C8569F2518CC677FECA1AED65462EC8D5E4C5, que se necesita para verificar la firma". En pocas palabras, ¡no podrás obtener las últimas actualizaciones!

La "Congelación" Temporal del Repositorio: Una Medida Preventiva

Para evitar que los usuarios se vieran afectados por este cambio de clave sin previo aviso, Offensive Security tomó una medida drástica: congeló el repositorio de Kali Linux el pasado 18 de febrero.

En su comunicado, fueron directos: "En los próximos días, prácticamente todos los sistemas Kali no se actualizarán. [..] Esto no es solo tú, esto es para todos, y esto es completamente nuestra culpa. Perdimos el acceso a la clave de firma del repositorio, por lo que tuvimos que crear una nueva".

La buena noticia es que esta pausa fue temporal: "Al mismo tiempo, congelamos el repositorio (es posible que hayan notado que no hubo actualización desde el viernes 18), por lo que nadie se vio afectado todavía. Pero vamos a descongelar el repositorio esta semana, y ahora está firmado con la nueva clave".

La Solución: Una Sencilla Acción Manual

Para evitar los dolores de cabeza de los errores de actualización, Offensive Security ha proporcionado un comando sencillo que debes ejecutar en tu terminal para descargar e instalar manualmente la nueva clave de firma del repositorio Kali:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

Además de este comando, OffSec también te guía sobre cómo verificar que el archivo descargado sea legítimo (comprobando su suma de comprobación) y cómo confirmar que la nueva clave se ha añadido correctamente a tu sistema.

Para los más precavidos, o aquellos que prefieren evitar la manipulación manual del llavero, la opción de reinstalar Kali Linux desde una imagen ISO reciente (que ya incluye la nueva clave) también es válida.

Un Déjà Vu para la Comunidad Kali

Curiosamente, esta no es la primera vez que los usuarios de Kali Linux se enfrentan a una situación similar. En febrero de 2018, un problema con la caducidad de la clave GPG también requirió una actualización manual del llavero por parte de los usuarios.

El equipo de Kali lo recordaba así en aquel entonces: "Si no actualizas Kali con regularidad (tos), entonces tu paquete de llaves de archivo está desactualizado y tendrás discrepancias de clave cuando trabajes con nuestros repositorios. Es una para ti, pero al menos puedes actualizar manualmente".

En resumen: Si eres usuario de Kali Linux, no demores esta acción. Ejecuta el comando proporcionado por Offensive Security para asegurar que tu sistema siga recibiendo actualizaciones sin problemas. ¡Mantente al día para mantener tu Kali Linux funcionando sin contratiempos!

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

España se encuentra sumida en un apagón general de proporciones inéditas, y mientras la incertidumbre persiste sobre las causas, la teoría de un ciberataque de gran escala gana cada vez más adeptos. ¿Cómo es posible que un ataque cibernético haya logrado paralizar el suministro eléctrico de todo un país de esta manera tan drástica?

La expectación crece a medida que se acerca la hora clave de las 12:30 en España, momento en el que se espera que se revele información oficial sobre lo ocurrido. Sin embargo, en las horas previas, especialistas en el sector energético y ciberseguridad han puesto el foco en la posibilidad de un ciberataque sofisticado dirigido a la red eléctrica española.

Aunque la hipótesis pueda sonar alarmante, expertos del sector señalan que un apagón de la magnitud actual sería difícil de explicar por otras causas. No obstante, declaraciones recientes, como las del expresidente de Portugal, Antonio Costa, restan peso a la teoría del ciberataque, aludiendo a la falta de indicios concretos.

Posibles Escenarios de Ciberataque a la Red Eléctrica Española
La pregunta clave que se hacen tanto expertos como ciudadanos es: ¿qué tipo de ciberataque podría haber provocado un colapso de esta magnitud? Los especialistas en seguridad informática barajan principalmente dos escenarios:

• Infección con Malware en Servidores Críticos: Los atacantes podrían haber introducido software malicioso (malware) en los servidores que gestionan las instalaciones eléctricas. Esta infección podría haber comprometido la disponibilidad de los sistemas, provocando una caída repentina y generalizada del circuito eléctrico. La falta de medidas de protección robustas o la existencia de vulnerabilidades no parcheadas podrían haber facilitado este tipo de ataque. Sin embargo, aún es prematuro determinar la metodología exacta y si existían contramedidas efectivas.
• Explotación de Vulnerabilidades en Sistemas Obsoletos: Otra teoría apunta a que los hackers podrían haber identificado y explotado vulnerabilidades preexistentes en los programas y sistemas que controlan la red eléctrica española. Experiencias en otros países sugieren que elementos obsoletos en la infraestructura pueden crear "puertas traseras" para los ciberdelincuentes. Estos podrían haber descubierto estas debilidades y lanzado un ataque coordinado para derribar la red eléctrica de forma implacable.

Entre los elementos sensibles que podrían ser obsoletos, se mencionan plantas de generación y subestaciones que quizás no cuenten con la última tecnología en seguridad, presentando puntos débiles susceptibles de ser explotados por ciberdelincuentes.

Investigación en Curso para Determinar las Causas del Apagón

Como se ha indicado, la investigación para esclarecer las causas del apagón general está en marcha. Tanto en España como a nivel internacional, la teoría del ciberataque no se descarta, y las autoridades competentes están trabajando para determinar qué ha sucedido realmente.

Confirmar un ciberataque como origen del apagón sería crucial, ya que señalaría una urgente necesidad de reforzar y modernizar los sistemas de seguridad para prevenir futuros incidentes de esta gravedad.

Expertos Dudan del Ciberataque Pese a Vulnerabilidades Previas

Expertos en el sector eléctrico español han expresado su sorpresa ante la magnitud del apagón, calificándolo como una situación "casi imposible". Si bien reconocen que las instalaciones energéticas son un objetivo frecuente de ciberataques en España, se consideraba que la modernización de la red española y la adopción de protocolos de seguridad europeos reducían significativamente el riesgo de un ataque de esta envergadura. Estos factores son los que generan dudas entre los especialistas sobre si un ciberataque es realmente la causa detrás de este histórico apagón.

Actualización:


La UE descarta un sabotaje pero la investigación continúa...

El reciente apagón en España ha generado un amplio debate sobre las posibles causas detrás de esta interrupción masiva en el suministro eléctrico. Mientras algunos sectores especulan sobre un ciberataque como origen del incidente, la Unión Europea y representantes del Gobierno español han aclarado que, de momento, no existe evidencia que confirme esta hipótesis.

Según informó el medio El Mundo, Teresa Ribera, vicepresidenta ejecutiva para la Transición Limpia, Justa y Competitiva, declaró que "no hay nada que nos permita afirmar que hay algún tipo de boicot o ciberataque" relacionado con el incidente. Estas declaraciones fueron respaldadas por el presidente del Gobierno, Pedro Sánchez, quien en su comparecencia ante los medios subrayó que no se descarta ninguna opción, ya que la causa del apagón todavía no se ha determinado.

Por el momento, no hay confirmación oficial que relacione el apagón en España con un ciberataque. Tanto la Unión Europea como las autoridades españolas llaman a la prudencia, señalando que la investigación sigue abierta y que todas las hipótesis están sobre la mesa.

Sigue al tanto de nuestro foro para estar al tanto de las últimas novedades y la confirmación de las causas de este apagón general en España.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva amenaza cibernética, conocida como Earth Kurma, ha puesto en la mira a los sectores gubernamental y de telecomunicaciones del sudeste asiático desde junio de 2024. ¿El objetivo? Ciberespionaje a gran escala y robo de información sensible.

Según un reciente informe de la firma de seguridad Trend Micro, este grupo de hackers avanzados (APT) está empleando tácticas muy elaboradas para infiltrarse en sistemas críticos. Su modus operandi incluye el uso de malware hecho a medida, rootkits (software malicioso que se oculta profundamente en el sistema) y plataformas de almacenamiento en la nube para extraer datos sin levantar sospechas.

¿Qué países están en riesgo? Filipinas, Vietnam, Tailandia y Malasia ya han sido identificados como objetivos principales de esta peligrosa campaña.

¿Por qué esta amenaza es tan grave?

Los expertos de Trend Micro, Nick Dai y Sunny Lu, advierten que los ataques de Earth Kurma representan un alto riesgo para las empresas y los gobiernos. No se trata solo de robar información; estos hackers buscan establecer una presencia persistente en los sistemas a través de rootkits a nivel del kernel, lo que les permite volver una y otra vez. Además, utilizan servicios en la nube populares como Dropbox y OneDrive para sacar la información robada, lo que dificulta su detección.

Tras la pista de Earth Kurma: Un historial de ciberespionaje

Las actividades de este grupo no son nuevas. Se han rastreado intrusiones desde noviembre de 2020, utilizando herramientas como TESDAT y SIMPOBOXSPY para desviar datos confidenciales a través de las plataformas de almacenamiento en la nube mencionadas.

Su arsenal de malware también incluye rootkits como KRNRAT y Moriya. Este último ya tiene un historial preocupante, ya que se le ha visto en ataques dirigidos a organizaciones de alto perfil en Asia y África como parte de la campaña de espionaje TunnelSnake.

¿Conexión con otros grupos de hackers?

Trend Micro ha encontrado similitudes entre las herramientas de Earth Kurma (SIMPOBOXSPY) y las de otro grupo APT llamado ToddyCat. Sin embargo, aún no se puede confirmar si están relacionados.

El misterio del acceso inicial y las tácticas de movimiento lateral

Actualmente, los investigadores no saben cómo Earth Kurma logra entrar en los sistemas de sus víctimas. Una vez dentro, utilizan diversas herramientas como NBTSCAN, Ladon, FRPC, WMIHACKER e ICMPinger para explorar la red y moverse lateralmente, buscando más información valiosa. También instalan un keylogger (KMLOG) para robar contraseñas.

Ojo con Ladon: Esta herramienta de código abierto ya ha sido vinculada a un grupo de hackers chino llamado TA428 (o Vicious Panda), lo que añade una capa más de complejidad a la investigación.

Persistencia silenciosa: El arte de no ser detectado

Para asegurarse de mantener el acceso a los sistemas comprometidos, Earth Kurma utiliza tres tipos de "cargadores" maliciosos: DUNLOADER, TESDAT y DMLOADER. Estos programas pueden cargar y ejecutar más malware en la memoria, incluyendo Cobalt Strike Beacons, los rootkits KRNRAT y Moriya, y herramientas para la exfiltración de datos.

Lo que hace que estos ataques sean especialmente difíciles de detectar es su uso de técnicas "Living off the Land" (LotL). En lugar de introducir software malicioso obvio, los hackers aprovechan herramientas legítimas del sistema, como el archivo syssetup.dll, para instalar los rootkits de forma encubierta.

Análisis técnico de los rootkits: Moriya y KRNRAT

• Moriya: Este rootkit está diseñado para analizar el tráfico de red (paquetes TCP) en busca de código malicioso e inyectarlo en un proceso legítimo del sistema (svchost.exe).
• KRNRAT: Una combinación de varios proyectos de código abierto, este rootkit tiene múltiples capacidades, incluyendo la manipulación de procesos, el ocultamiento de archivos, la ejecución de código malicioso, el camuflaje del tráfico de red y la comunicación con sus servidores de control. Al igual que Moriya, se inyecta en el proceso svchost.exe y utiliza un agente en modo de usuario como puerta trasera para recibir más instrucciones.

El robo de documentos y la ruta hacia la nube

Antes de enviar los datos robados, los hackers utilizan el cargador TESDAT para buscar archivos específicos con extensiones como .pdf, .doc, .docx, .xls, .xlsx, .ppt y .pptx. Estos documentos se guardan temporalmente en una carpeta llamada "tmp", se comprimen con WinRAR utilizando una contraseña y luego se envían.

Para esta exfiltración de datos, utilizan herramientas personalizadas como SIMPOBOXSPY, que puede subir los archivos comprimidos directamente a cuentas de Dropbox utilizando tokens de acceso específicos. Curiosamente, un informe anterior de Kaspersky sugiere que el cargador de Dropbox utilizado no es exclusivo de otro grupo de hackers (ToddyCat).

También emplean ODRIZ para cargar la información robada en OneDrive, utilizando un token de actualización específico.

¿Qué podemos esperar?
Trend Micro advierte que Earth Kurma sigue muy activo y continuará atacando países del sudeste asiático. Su capacidad para adaptarse a los sistemas de sus víctimas y mantener una presencia sigilosa los convierte en una amenaza persistente y peligrosa. Además, su habilidad para reutilizar código de campañas anteriores les permite personalizar sus herramientas de manera eficiente, incluso utilizando la propia infraestructura de las víctimas para lograr sus objetivos.

Mantente alerta: Si trabajas en los sectores gubernamental o de telecomunicaciones en el sudeste asiático, es crucial estar al tanto de esta amenaza y tomar medidas preventivas para proteger tus sistemas y tu información.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para empezar te recomiendo aprender lógica de programación y luego un lenguaje sencillo como Python, que es muy amigable para principiantes. También ayuda mucho practicar resolviendo ejercicios pequeños y usar plataformas como freeCodeCamp o Codecademy. Lo más importante: paciencia y práctica diaria.