• Datos personales robados
• Servicios de lavado de capitales
• Infraestructura para estafas, como falsas plataformas de inversión
• Sitios web de phishing

• Crear identidades falsas altamente realistas
• Generar contenido persuasivo a escala
• Automatizar ataques de ingeniería social
• Ejecutar estafas complejas como la "carnicería de cerdos" (pig butchering) con mayor eficacia

Citar"El cierre de Tudou supone un golpe significativo para la economía fraudulenta del sudeste asiático", afirmó Elliptic. Sin embargo, la empresa advirtió que la historia demuestra que estos vacíos rara vez permanecen sin cubrir. Es probable que nuevos mercados de garantías emerjan rápidamente para absorber a comerciantes y clientes desplazados.

https://<DOMINIO>/.well-known/acme-challenge/<TOKEN>

• Bypass completo del WAF de Cloudflare
• Acceso no autorizado a recursos del servidor de origen
• Enumeración y reconocimiento de archivos sensibles
• Mapeo de la infraestructura backend protegida por Cloudflare

• Las vulnerabilidades de lógica son tan peligrosas como las técnicas, ya que pueden socavar controles de seguridad robustos sin necesidad de exploits complejos.
• Los mecanismos de automatización, como ACME, deben diseñarse con validaciones estrictas para evitar abusos.
• El WAF no debe desactivarse sin comprobaciones exhaustivas, incluso en flujos considerados "de confianza".

CitarSegún explicó la empresa:

"Determinamos que un tercero no autorizado tomó ciertos archivos de algunos de nuestros repositorios internos entre el 2 y el 3 de julio de 2025".

• Nombres completos
• Datos de contacto
• Fechas de nacimiento
• Números de la Seguridad Social
• Números de documentos de identidad emitidos por el gobierno
• Números de pasaporte y licencias de conducir
• Información relacionada con el empleo, incluidas evaluaciones laborales

• Robar datos sensibles antes de cifrar los sistemas
• Cifrar la infraestructura para interrumpir las operaciones
• Amenazar con filtrar la información robada si no se paga el rescate

• Conexiones de Escritorio remoto mediante la aplicación de Windows
• Azure Virtual Desktop
• Windows 365

shutdown /s /t 0

• Windows Server 2025 – KB5077793: Corrige problemas de conexión de escritorio remoto a Cloud PC
• Windows Server 2022 – KB5077800: Corrige problemas de conexión de escritorio remoto a Cloud PC
• Windows Server 2019 – KB5077795: Corrige problemas de conexión de escritorio remoto a Cloud PC
• Windows 11 25H2 y 24H2 – KB5077744: Corrige problemas de conexión de escritorio remoto a Cloud PC
• Windows 11 23H2 – KB5077797: Corrige problemas de escritorio remoto y el fallo de apagado con Secure Launch
• Windows 10 – KB5077796: Corrige problemas de conexión de escritorio remoto a Cloud PC

• Windows Server 2022
• Windows Server 2025
• Windows Server 2019 y Windows 10 Enterprise LTSC 2019
• Windows 11 25H2 y 24H2
• Windows 11 23H2
• Windows 10 versión 22H2

Citar"Este fallo permite el secuestro tanto del flujo de control como del flujo de datos, posibilitando la ejecución remota de código y la escalada de privilegios dentro de una máquina virtual confidencial", señalaron los investigadores.

• AMD EPYC Serie 7003
• AMD EPYC Serie 8004
• AMD EPYC Serie 9004
• AMD EPYC Serie 9005
• AMD EPYC Embedded Serie 7003
• AMD EPYC Embedded Serie 8004
• AMD EPYC Embedded Serie 9004
• AMD EPYC Embedded Serie 9005

• Exponer secretos criptográficos en entornos protegidos por SEV-SNP
• Recuperar una clave privada RSA-2048 a partir de una sola firma defectuosa
• Eludir la autenticación de OpenSSH y los prompts de contraseña de sudo
• Lograr ejecución de código en modo kernel dentro de una máquina virtual

• Comprobar si el hyperthreading está habilitado en los sistemas afectados
• Considerar la desactivación temporal de CVM con requisitos de integridad especialmente altos
• Instalar todas las actualizaciones de microcódigo y firmware disponibles
• Revisar los modelos de amenaza en entornos SEV-SNP

• Truncamiento del registro EOCD (End of Central Directory), eliminando dos bytes críticos necesarios para un análisis correcto.
• Aleatorización de campos no esenciales, como el número de disco o el número total de discos, provocando que los desarchivadores esperen archivos inexistentes.
• Variación constante del número de archivos concatenados, haciendo que cada muestra sea única.

• Crea un archivo de acceso directo (LNK) en la carpeta Inicio para asegurar persistencia.
• Ejecuta un segundo script JavaScript mediante cscript.exe.
• Genera comandos PowerShell para avanzar a la siguiente fase de la infección.

• Bloquear la ejecución de wscript.exe y cscript.exe para contenido descargado, siempre que no sea estrictamente necesario.
• Configurar una Directiva de Grupo (GPO) para que los archivos .js se abran por defecto en el Bloc de Notas, en lugar de ejecutarse automáticamente.
• Implementar controles de seguridad capaces de detectar comportamientos anómalos en el navegador y reconstrucciones progresivas de archivos.
• Reforzar la monitorización de sitios WordPress y endpoints susceptibles de abuso.

• Cisco Secure Email Gateway (SEG)
• Cisco Secure Email and Web Manager (SEWM)

• La función Spam Quarantine está habilitada
• La interfaz de cuarentena se encuentra expuesta directamente a Internet
• En estas condiciones, un atacante no autenticado puede aprovechar la vulnerabilidad para ejecutar comandos con privilegios elevados.

CitarEn su aviso de seguridad, Cisco fue clara respecto a la gravedad del fallo:

"Cisco Secure Email Gateway, Secure Email, AsyncOS Software y Web Manager contienen una vulnerabilidad de validación de entrada incorrecta que permite a los actores de amenazas ejecutar comandos arbitrarios con privilegios root en el sistema operativo subyacente de un dispositivo afectado."

• AquaShell, una puerta trasera personalizada utilizada para persistencia
• AquaTunnel, un implante de túnel inverso basado en SSH
• Chisel, una herramienta de tunneling ampliamente usada en campañas APT
• AquaPurge, una utilidad diseñada para borrar registros y eliminar rastros de la actividad maliciosa

Citar"Evaluamos con moderada confianza que el adversario, a quien seguimos como UAT-9686, es un actor chino de amenaza persistente avanzada (APT) cuyo uso de herramientas e infraestructura son consistentes con otros grupos de amenaza chinos", explicó Cisco Talos.

• Evaluar su exposición
• Aplicar las mitigaciones recomendadas por Cisco
• Asegurar sus sistemas antes del 24 de diciembre de 2025

• Actualizar inmediatamente a una versión fija
• Revisar los dispositivos expuestos a Internet
• Buscar indicadores de compromiso, especialmente signos de herramientas como AquaShell o AquaTunnel
• Restringir el acceso público a la función de Spam Quarantine siempre que sea posible

• Rootkits persistentes
• Bootkits
• Malware a nivel de firmware

• Ejecutan Windows 11 versión 23H2
• Utilizan ediciones Enterprise o IoT
• Tienen System Guard Secure Launch activado
• Han instalado la actualización acumulativa KB5073455

• Descarga completa de la batería en dispositivos portátiles
• Riesgo de pérdida de datos si el usuario asume que el sistema está apagado o hibernado
• Reinicios inesperados en entornos productivos
• Dificultades para cumplir políticas de ahorro energético y apagado automático
• Problemas en escenarios de administración remota o despliegues masivos

CitarLa compañía también recomienda a los usuarios afectados:

"Guardar todo el trabajo y apagar manualmente el dispositivo al finalizar la jornada para evitar que se quede sin energía en lugar de hibernar."

• Errores de autenticación
• Fallos de conexión
• Problemas durante sesiones de Escritorio remoto hacia PCs en la nube

• Probar las actualizaciones de Windows en entornos controlados antes de su despliegue masivo
• Monitorear activamente el Panel de estado de Windows
• Mantener procedimientos de rollback y mitigación
• Documentar el impacto de funciones avanzadas como Secure Launch en escenarios reales

Citar"Esta campaña refleja una tendencia continua de spear phishing dirigido usando señuelos geopolíticos, favoreciendo técnicas de ejecución fiables como la carga lateral DLL frente al acceso inicial basado en exploits", señalaron los investigadores.

• Ejecución remota de comandos mediante cmd.exe
• Enumeración de archivos y directorios
• Creación y modificación de archivos en el sistema
• Gestión del estado de comunicación con el servidor C2
• La lista de comandos soportados incluye, entre otros:
• 0x0A: iniciar una shell remota de CMD
• 0x0B: finalizar la shell remota
• 0x01: enviar comandos a través de la shell
• 0x03: enumerar archivos en una carpeta
• 0x0D / 0x0E: crear y modificar archivos
• 0x06 / 0x0F: gestionar el estado de la baliza

Citar"Esta campaña demuestra cómo las técnicas simples y bien probadas pueden seguir siendo eficaces cuando se combinan con una entrega dirigida y señuelos geopolíticos relevantes", concluyó la empresa de ciberseguridad con sede en Singapur.

• Selección directa de rutas sensibles
• Elusión de mecanismos de autenticación
• Inicio de sesión automático como administrador

• Crear usuarios administradores ocultos
• Instalar plugins o temas maliciosos
• Inyectar malware o backdoors persistentes
• Redirigir visitantes a campañas de phishing o estafas
• Manipular contenido y dañar la reputación del sitio

• 45.11.89[.]19
• 185.196.0[.]11

• Actualizar inmediatamente el plugin Modular DS a la versión 2.5.2 o superior
• Revisar los registros del servidor en busca de solicitudes sospechosas al endpoint vulnerable
• Auditar la lista de usuarios administradores y eliminar cuentas no reconocidas
• Además, Modular DS y Patchstack aconsejan realizar las siguientes acciones si existe sospecha de compromiso:
• Regenerar las sales de WordPress, invalidando todas las sesiones activas
• Regenerar credenciales OAuth
• Escanear el sitio en busca de plugins, archivos o código malicioso

• Coincidencia de rutas basada únicamente en URLs
• Modos de solicitud directa demasiado permisivos
• Autenticación dependiente del estado de conexión
• Flujos de inicio de sesión que recaen automáticamente en cuentas administrativas

Citar"Debido a esta situación, hoy no hay procedimientos programados. El Departamento de Urgencias está funcionando a capacidad reducida. Los servicios del Departamento de Urgencias (MUG) y la Unidad de Cuidados Intensivos (PIT) no están operativos actualmente".

CitarLa portavoz del hospital, Sofie Braem, explicó a VRT News que la imposibilidad de acceder a los archivos médicos digitales ha obligado al personal a recurrir a procesos manuales en papel, lo que ralentiza considerablemente la admisión y gestión de nuevos pacientes:

"No podemos recuperar la información contenida en los archivos médicos digitales de los pacientes. Las consultas no urgentes se están posponiendo y los procedimientos de registro son más lentos porque los empleados tienen que registrar muchas cosas en papel".

CitarEn un comunicado adicional, la institución subrayó que su prioridad sigue siendo la atención al paciente:

"El enfoque de AZ Monica sigue siendo inquebrantable en la seguridad y continuidad de la atención para nuestros pacientes. Seguiremos monitorizando la situación de cerca y comunicaremos nuevas actualizaciones tan pronto como haya más claridad".

• Almacenamiento de datos altamente sensibles de pacientes
• Necesidad de alta disponibilidad operativa
• Presión para restaurar servicios críticos en el menor tiempo posible
• Posibilidad de doble extorsión, combinando cifrado y robo de datos

• Cancelación de cirugías y tratamientos
• Retrasos en diagnósticos
• Traslado de pacientes críticos
• Riesgos para la seguridad y la vida de las personas
• Daño reputacional y posibles sanciones regulatorias

• Planes de respuesta a incidentes bien ensayados
• Copias de seguridad aisladas y verificadas
• Segmentación de red
• Formación continua del personal
• Simulacros de continuidad operativa sin sistemas digitales

• Prompts proporcionados por el usuario
• Historial de conversaciones
• Contexto de uso
• Ciertos datos personales de Microsoft, dependiendo de permisos y configuración

• La sesión sigue siendo válida
• El atacante puede continuar enviando instrucciones
• El acceso persiste incluso si el usuario cierra la pestaña de Copilot

• Auditorías avanzadas mediante Microsoft Purview
• Data Loss Prevention (DLP) a nivel de inquilino
• Restricciones y políticas impuestas por administradores

• Aplicar inmediatamente las últimas actualizaciones de seguridad de Windows
• Mantener una postura cautelosa frente a enlaces de Copilot recibidos por correo electrónico
• Reforzar campañas de concienciación sobre phishing
• Evaluar los riesgos asociados a asistentes de IA integrados en flujos críticos

• React Server Components
• Next.js
• Datadog
• New Relic
• Dynatrace
• Elastic APM
• OpenTelemetry

• Node.js 20.20.0 (LTS)
• Node.js 22.22.0 (LTS)
• Node.js 24.13.0 (LTS)
• Node.js 25.3.0 (Actual)

• El agotamiento del espacio de pila no está definido en la especificación ECMAScript
• El motor V8 no clasifica este comportamiento como un problema de seguridad
• Existen limitaciones inherentes al manejador uncaughtException, diseñado como último recurso y no como una solución estructural

• Actualizar inmediatamente a las versiones corregidas
• Que los proveedores de alojamiento y plataformas cloud verifiquen las versiones de Node.js desplegadas
• Que los mantenedores de bibliotecas y frameworks implementen defensas más robustas contra el agotamiento del espacio de pila
• Auditar el uso de recursión dependiente de entrada de usuario y aplicar validaciones estrictas
• Otros fallos de alta gravedad corregidos
• La divulgación coincide con el lanzamiento de parches para otras tres vulnerabilidades de alta gravedad:
• CVE-2025-55131: posibles fugas o corrupción de datos
• CVE-2025-55130: lectura de archivos sensibles mediante rutas symlink relativas
• CVE-2025-59465: denegación remota de servicio

• Inyección de argumentos no autenticada, que conduce a la escritura arbitraria de archivos y permite la ejecución remota de código como usuario administrador.
• Escalada de privilegios mediante sobrescritura de archivos, lo que otorga acceso root y compromete por completo el dispositivo.

• FortiSIEM 6.7.0 a 6.7.10 → Migrar a una versión corregida
• FortiSIEM 7.0.0 a 7.0.4 → Migrar a una versión corregida
• FortiSIEM 7.1.0 a 7.1.8 → Actualizar a 7.1.9 o superior
• FortiSIEM 7.2.0 a 7.2.6 → Actualizar a 7.2.7 o superior
• FortiSIEM 7.3.0 a 7.3.4 → Actualizar a 7.3.5 o superior
• FortiSIEM 7.4.0 → Actualizar a 7.4.1 o superior
• FortiSIEM 7.5 → No afectado
• FortiSIEM Cloud → No afectado

• FortiFone 3.0.13 a 3.0.23 → Actualizar a 3.0.24 o superior
• FortiFone 7.0.0 a 7.0.1 → Actualizar a 7.0.2 o superior
• FortiFone 7.2 → No afectado

Citar"Gogs contiene una vulnerabilidad en el recorrido de rutas que afecta a un manejo inadecuado de enlaces simbólicos en la API PutContents, lo que podría permitir la ejecución de código", indicó CISA.

• Crea un repositorio Git en una instancia vulnerable de Gogs.
• Introduce un enlace simbólico malicioso que apunta a un archivo sensible fuera del repositorio.
• Utiliza la API PutContents para escribir datos en dicho enlace simbólico.

• Movimiento lateral dentro de la infraestructura
• Robo de credenciales y claves SSH
• Persistencia mediante puertas traseras
• Compromiso de repositorios y código fuente
• Alcance real del compromiso

• China: 991 instancias
• Estados Unidos: 146
• Alemania: 98
• Hong Kong: 56
• Rusia: 49

Citar"Una vez que la imagen esté construida en main, tanto gogs/gogs:latest como gogs/gogs:next-latest tendrán este CVE parcheado".

• Desactivar el registro abierto, que permite la creación de cuentas sin control
• Restringir el acceso al servidor Gogs mediante VPN
• Implementar listas de control de acceso (allowlists) por IP
• Monitorizar actividad anómala en repositorios y archivos de configuración
• Revisar logs en busca de modificaciones sospechosas

Citar"Este asunto podría permitir que un usuario no autenticado se haga pasar por otro usuario y realice las operaciones que el usuario suplantado tiene derecho a realizar", señaló ServiceNow en su comunicado.

• Now Assist para Agentes de IA (sn_aia)
• Versión 5.1.18 o posterior
• Versión 5.2.19 o posterior
• API de Agente Virtual (sn_va_as_service)
• Versión 3.15.2 o posterior
• Versión 4.0.4 o posterior

Citar"BodySnatcher es la vulnerabilidad más grave impulsada por IA descubierta hasta la fecha", afirmó Costello.
"Los atacantes podrían haber controlado remotamente la IA de una organización, convirtiendo en armas las herramientas diseñadas para simplificar la empresa".

• Autenticación multifactor (MFA)
• Inicio de sesión único (SSO)
• Controles tradicionales de acceso

• Crear cuentas traseras con permisos administrativos
• Subvertir controles de seguridad internos
• Manipular flujos de trabajo automatizados
• Acceder y modificar información sensible

Citar"Al encadenar un secreto codificado a nivel de plataforma con una lógica de vinculación de cuentas que confía en una simple dirección de correo electrónico, un atacante puede eludir MFA, SSO y otros controles", explicó Costello.

• Copiar y exfiltrar datos corporativos sensibles
• Modificar registros empresariales críticos
• Escalar privilegios dentro de la plataforma
• Automatizar ataques internos a gran escala
• Un contexto de riesgos acumulados

• Confirmar que todas las instancias estén actualizadas
• Revisar registros de actividad en busca de comportamientos anómalos
• Limitar privilegios de agentes de IA bajo el principio de mínimo privilegio
• Auditar integraciones y flujos automatizados
• Reforzar la supervisión de identidades y accesos (IAM)

CitarEl sábado, Respawn reconoció oficialmente el problema mediante un comunicado, describiéndolo como:

"Un incidente de seguridad activo en el que un actor malintencionado puede controlar remotamente las entradas de otro jugador en Apex Legends".

Citar"No hemos identificado pruebas que sugieran que los actores malintencionados puedan instalar o ejecutar código", afirmó el estudio.

• Control remoto de entradas de jugador
• Activación de aimbots y otros exploits
• Desconexiones forzadas desde el servidor
• Modificación de apodos en tiempo real

Citar"Anti-Trampa es un juego constante del gato y el ratón, y vuestros informes son imprescindibles", declaró Respawn, agradeciendo a la comunidad por los reportes que ayudaron a mitigar el incidente.

• Auditorías de seguridad internas continuas
• Protección estricta de credenciales administrativas
• Monitoreo de actividad anómala en tiempo real
• Comunicación transparente tras incidentes

• 9 de febrero de 2026: Microsoft Lens será retirada de las tiendas de aplicaciones de Android e iOS.
• 9 de marzo de 2026: la funcionalidad de escaneo dejará de estar operativa.

• Abrir la aplicación OneDrive.
• Pulsar el botón "+" ubicado en la esquina inferior de la interfaz.
• Seleccionar la opción "Escanear foto".

Citar"El uso de material de señuelo en lengua turca y dirigido regionalmente sugiere que BlueDelta adaptó su contenido para aumentar su credibilidad entre audiencias profesionales y geográficas específicas", señaló Insikt Group.

• Microsoft Outlook Web Access (OWA)
• Google
• Portales VPN de Sophos

• Webhook[.]site / Webhook[.]InfinityFree
• Byet Internet Services
• ngrok

• Una publicación del Gulf Research Center relacionada con la guerra Irán-Israel de junio de 2025
• Una rueda de prensa política de julio de 2025 que pedía un nuevo pacto para el Mediterráneo, publicada por el think tank climático ECCO

• La cadena de ataque observada sigue un flujo técnico bien definido:
• La víctima recibe un correo de phishing que contiene un enlace acortado
• Al hacer clic, el enlace redirige a un webhook[.]site, donde se muestra brevemente el documento señuelo durante aproximadamente dos segundos
• A continuación, la víctima es redirigida a un segundo webhook que aloja una página falsa de Microsoft OWA
• Esta página contiene un elemento oculto de formulario HTML y código JavaScript que:

• Registra el evento "page open"
• Envía las credenciales introducidas al endpoint del webhook
• Redirige finalmente al PDF legítimo alojado en la web real

• Junio de 2025: despliegue de una página falsa de restablecimiento de contraseñas de Sophos VPN, alojada en infraestructura de InfinityFree, utilizada para robar credenciales y redirigir a un portal legítimo de Sophos VPN perteneciente a un think tank de la UE
• Septiembre de 2025: uso de dominios InfinityFree para advertir falsamente sobre contraseñas caducadas, dirigido a una organización militar en Macedonia del Norte y a un integrador informático en Uzbekistán
• Abril de 2025: campaña que imitaba una página de restablecimiento de contraseña de Google, alojada en Byet Internet Services, con exfiltración de credenciales a través de ngrok

Citar"El abuso constante de BlueDelta sobre infraestructura legítima demuestra su dependencia de servicios desechables para alojar y retransmitir datos de credenciales", afirmó la empresa.
"Estas campañas subrayan el compromiso sostenido del GRU con la obtención de credenciales como un método de bajo coste y alto rendimiento para apoyar sus objetivos de inteligencia."

Citar"Las tácticas, técnicas y procedimientos (TTPs) de UAT-7290 sugieren que este actor establece nodos de Operational Relay Box (ORB), los cuales podrían ser reutilizados por otros actores vinculados a China en operaciones maliciosas", señalaron los investigadores.

• Malware de código abierto
• Herramientas personalizadas
• Explotación de vulnerabilidades de día cero y día uno
• Ataques de fuerza bruta dirigidos

• RushDrop (ChronosRAT): un cuentagotas que inicia la infección y despliega componentes adicionales
• DriveSwitch: malware intermedio utilizado para ejecutar el implante principal
• SilentRaid (MystRodX): implante avanzado en C++ que proporciona persistencia, comunicación con servidores externos y control remoto completo

• Ejecución de shellcode
• Gestión de archivos
• Keylogging
• Proxy y túneles de red
• Captura de pantallas

Citar"El actor aprovecha exploits de día uno y fuerza bruta SSH específica de objetivos para comprometer dispositivos de borde públicos, obtener acceso inicial y elevar privilegios en sistemas comprometidos."