Microsoft continúa fortaleciendo la postura de seguridad de su ecosistema corporativo. Esta vez, la compañía anunció el desarrollo de una nueva función de protección integrada en Microsoft Teams, diseñada para detectar tráfico sospechoso relacionado con dominios externos y ofrecer a los administradores de TI una visión más precisa sobre posibles riesgos de seguridad dentro de sus organizaciones.

Según la actualización reciente en la hoja de ruta de Microsoft 365, esta innovación lleva por nombre "Informe de Anomalías en Dominios Externos", y se perfila como una herramienta clave para anticipar incidentes, mitigar ataques y preservar la integridad de las comunicaciones empresariales sin afectar el ritmo operativo.

Un sistema diseñado para identificar comportamientos anómalos en tiempo real

El uso de plataformas colaborativas como Teams sigue creciendo a nivel global, tanto para comunicación interna como para intercambio de datos con proveedores, socios o clientes. Ese incremento en la colaboración interorganizacional abre también nuevas oportunidades para que los actores maliciosos intenten infiltrarse mediante mensajes, enlaces o dominios falsificados.

El nuevo informe de seguridad busca responder justamente a ese riesgo emergente. Microsoft explica que el sistema realizará un análisis continuo de tendencias de mensajería, permitiendo identificar:

• Picos repentinos de actividad hacia dominios externos
• Interacciones con dominios nuevos o previamente desconocidos
• Patrones de comunicación anormales que no correspondan al comportamiento habitual del negocio
• Indicadores de riesgo en el intercambio de datos

El objetivo es proporcionar a los administradores una visión clara sobre si la actividad detectada es parte de una colaboración legítima o si podría tratarse de un intento de phishing, espionaje corporativo o exfiltración de información.

Microsoft detalla que el informe ofrece una visibilidad temprana ante cualquier interacción sospechosa, permitiendo una respuesta más rápida y reduciendo el efecto de posibles intrusiones que, de otra manera, podrían pasar desapercibidas.

Proteger sin interrumpir la productividad empresarial

Uno de los desafíos más frecuentes en la ciberseguridad moderna es encontrar el equilibrio entre la protección y la fluidez del trabajo. Las organizaciones dependen cada vez más de comunicaciones externas para operar, y bloquearlas por completo no es una opción viable.

Por ello, Microsoft planteó esta función como una herramienta capaz de:

• Supervisar riesgos sin afectar operaciones legítimas
• Detectar anomalías sin generar fricción en la experiencia del usuario
• Aportar datos accionables para que los administradores tomen decisiones informadas

CitarEn palabras de la compañía:
"Este nuevo informe ayuda a detectar proactivamente interacciones inusuales o arriesgadas con organizaciones externas, ofreciendo datos útiles para proteger el inquilino y facilitar un trabajo productivo entre organizaciones."

Con la expansión de la colaboración híbrida y remota, este tipo de soluciones se vuelven fundamentales para proteger a instituciones que manejan volúmenes crecientes de información confidencial vía Teams.

Disponibilidad mundial en 2026 y dudas sobre licenciamiento

Microsoft confirmó que el despliegue global comenzará en febrero de 2026, y que estará disponible en:

• Entornos multi-inquilino estándar
• La versión web de Microsoft Teams

Sin embargo, aún no se ha especificado si la función formará parte de las suscripciones actuales de Teams o si requerirá una licencia adicional bajo algún plan empresarial avanzado.

Este detalle será crucial, especialmente para organizaciones que gestionan presupuestos de TI ajustados o que buscan maximizar el retorno de inversión en herramientas de seguridad.

Mejoras recientes de seguridad en Teams: un ecosistema en evolución

Este anuncio se suma a un conjunto de actualizaciones significativas que Microsoft ha implementado en Teams desde inicios de año. Entre ellas destacan:

1. Alertas sobre enlaces maliciosos en mensajes privados

Teams ahora avisará a los usuarios cuando envíen o reciban enlaces marcados como peligrosos, reforzando la protección contra phishing.

2. Mejoras para bloquear URLs y archivos maliciosos

La compañía ha fortalecido los sistemas internos para impedir la descarga o ejecución de contenido comprometido.

3. Reporte de falsos positivos

Microsoft habilitó una función que permite reportar mensajes marcados erróneamente como amenazas, mejorando la precisión del sistema.

4. Bloqueo automático de capturas de pantalla en reuniones

Una función crítica para proteger conversaciones confidenciales, especialmente en entornos corporativos y gubernamentales.

5. Optimización del cliente de escritorio

Con la llegada de un nuevo gestor de llamadas, los usuarios experimentarán un Teams más rápido, ligero y eficiente en Windows 11.

Un avance clave frente a amenazas cada vez más sofisticadas

Con el lanzamiento del Informe de Anomalías en Dominios Externos, Microsoft refuerza su compromiso por ofrecer herramientas de seguridad más inteligentes, capaces de detectar ataques en fases tempranas sin entorpecer el flujo natural del trabajo colaborativo.

A medida que aumenta la dependencia global de plataformas de comunicación empresarial como Teams, las amenazas también evolucionan. Funciones como esta se convierten en elementos imprescindibles para anticipar riesgos, evitar filtraciones de datos y mantener un entorno corporativo resiliente.

Microsoft continuará ampliando su arsenal de seguridad durante los próximos meses, y el sector empresarial debe estar preparado para adoptar estas mejoras y fortalecer sus políticas de protección ante un panorama de ciberamenazas cada vez más complejo y dinámico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva y sofisticada campaña de distribución de malware está poniendo en riesgo a usuarios de macOS en todo el mundo. Según investigadores de Kaspersky y Huntress, una operación del infostealer AMOS está explotando anuncios de búsqueda de Google para dirigir a los usuarios a conversaciones manipuladas en ChatGPT y Grok, que parecen ofrecer instrucciones útiles de soporte técnico para macOS, pero que en realidad los engañan para que ejecuten comandos diseñados para instalar malware con privilegios de nivel raíz. Esta campaña ha sido bautizada como ClickFix, y ya se perfila como una de las tácticas más innovadoras y peligrosas del año en materia de ingeniería social aplicada a inteligencia artificial.

Así funciona ClickFix: del anuncio de Google a la infección en macOS

El ataque comienza cuando un usuario busca en Google consultas comunes relacionadas con macOS, como:

• "cómo borrar datos en iMac"
• "borrar datos del sistema en iMac"
• "liberar almacenamiento en Mac"
• consultas sobre Atlas, el navegador inteligente de OpenAI para macOS

Los atacantes han comprado anuncios que dirigen a las víctimas a conversaciones públicas compartidas en ChatGPT o Grok. Estas conversaciones —aparentemente inofensivas y legítimamente alojadas en las plataformas de IA— contienen las instrucciones maliciosas preparadas para llevar a cabo la infección.

Los propios investigadores de Huntress confirmaron que el envenenamiento no es un caso aislado, sino una campaña amplia y deliberada que afecta múltiples variaciones de preguntas frecuentes de soporte técnico en macOS. Esto convierte a ClickFix en uno de los primeros ataques que aprovechan chats públicos en plataformas LLM como vector directo de infección.

Ejecución del ataque: cuando el usuario copia y pega comandos desde la IA

Cuando la víctima copia los comandos proporcionados en el chat de IA y los ejecuta en macOS Terminal, el siguiente proceso ocurre silenciosamente:

Una URL codificada en Base64 es decodificada dentro del script.

• Esa URL descarga un archivo llamado "update", un script bash malicioso.
• El script despliega un cuadro de diálogo falso solicitando la contraseña del sistema.
• El usuario introduce su contraseña creyendo que está realizando una operación normal de mantenimiento.
• El script:

• Valida la contraseña
• La almacena
• La usa para ejecutar comandos con privilegios de root

Descarga y ejecuta el malware AMOS

Este proceso convierte una simple acción de resolución de problemas en una comprometida total del sistema, incluyendo claves, credenciales, archivos y criptocarteras.

¿Qué es AMOS y por qué es tan rentable para los atacantes?

El malware AMOS (también conocido como Atomic macOS Stealer) fue documentado por primera vez en abril de 2023 y opera bajo un modelo de malware como servicio (MaaS). Los cibercriminales pueden alquilarlo por 1.000 dólares al mes, una tarifa elevada que refleja su eficacia para robar datos valiosos de macOS.

A principios de 2025, AMOS incorporó un módulo de puerta trasera capaz de:

• Ejecutar comandos arbitrarios
• Registrar pulsaciones de teclas
• Desplegar cargas adicionales
• Mantener persistencia profunda en el sistema

El malware se instala como un archivo oculto denominado .helper dentro de /Users/$USER/, lo que dificulta que los usuarios sospechen de su presencia.

Robo de criptomonedas y credenciales: el verdadero objetivo de AMOS

Al ejecutarse, AMOS empieza a escanear aplicaciones que administran criptomonedas. Si identifica las carteras Ledger Wallet o Trezor Suite, las sobrescribe con versiones trojanizadas. Estas aplicaciones falsas piden a la víctima su frase semilla, supuestamente "por motivos de seguridad", lo que permite a los operadores robar los activos del usuario de forma inmediata.

Además, AMOS apunta a:

• Electrum
• Exodus
• MetaMask
• Ledger Live
• Coinbase Wallet
• Cookies y contraseñas guardadas de navegador
• Tokens de sesión
• Datos del llavero de macOS
• Credenciales Wi-Fi
• Archivos sensibles del sistema de archivos

La persistencia se mantiene mediante un LaunchDaemon (com.finder.helper.plist) que ejecuta un AppleScript oculto que relanza el malware un segundo después de que sea terminado. Este mecanismo convierte a AMOS en un infostealer extremadamente difícil de erradicar.

Ataques ClickFix: la nueva frontera del abuso de plataformas legítimas

ClickFix demuestra que los atacantes ya están experimentando con métodos creativos para abusar de plataformas confiables como Google Ads, OpenAI, Grok y X (anteriormente Twitter). En este caso, los chats compartidos de forma pública se convierten en el gancho perfecto para que los usuarios confíen en instrucciones maliciosas disfrazadas de consejos técnicos reales.

Lo más alarmante es que, según Kaspersky, una simple pregunta adicional realizada dentro del mismo chat —por ejemplo: "¿Es seguro ejecutar estos comandos?"— hubiera sido suficiente para que la IA advirtiera al usuario que no lo era. Esto revela que la campaña depende totalmente del comportamiento del usuario, no de vulnerabilidades en las plataformas de IA.

En fin...

ClickFix es una señal más del creciente uso de inteligencia artificial y plataformas legítimas como vehículos de ingeniería social avanzada. Para evitar caer en este tipo de ataques:

• Nunca ejecutes comandos encontrados en línea sin saber qué hacen.
• Verifica las fuentes de cualquier instrucción técnica.
• Evita copiar código directamente desde chats de IA compartidos públicamente.
• Mantén macOS actualizado y utiliza soluciones de seguridad confiables.
• Investiga cualquier solicitud inusual de contraseña del sistema.

La campaña ClickFix redefine el panorama de amenazas en macOS, demostrando que los atacantes están encontrando formas cada vez más creativas de combinar IA, ingeniería social y malware de alta rentabilidad como AMOS.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nuevas investigaciones de seguridad han sacudido el ecosistema empresarial de Microsoft tras revelarse primitivas de explotación inéditas en .NET Framework, capaces de comprometer aplicaciones críticas y permitir ejecución remota de código (RCE). El hallazgo, bautizado como SOAPwn, fue presentado en Black Hat Europe por Piotr Bazydlo, investigador de WatchTowr Labs, y plantea un vector de ataque altamente peligroso debido al amplio uso de .NET en entornos corporativos.

Según WatchTowr, SOAPwn afecta inicialmente a Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) y Umbraco 8, aunque se estima que la lista de productos vulnerables podría ser considerablemente mayor. Su alcance potencial reside en que la vulnerabilidad se basa en el manejo inseguro de SOAP, WSDL y los proxies HTTP generados dinámicamente, componentes ampliamente utilizados en la arquitectura de servicios empresariales.

¿Qué es SOAPwn y por qué es tan peligrosa?

El núcleo del problema radica en un fallo de manejo de tipos —denominado por los investigadores como la "vulnerabilidad de elenco inválido"— que permite a los atacantes manipular la forma en que las aplicaciones .NET consumen y procesan servicios web basados en SOAP. Esta manipulación abre la puerta a:

• Escritura arbitraria de archivos.
• Sobrescritura de archivos existentes.
• Despliegue de webshells ASPX o CSHTML.
• Ejecución remota de código sin autenticación.
• Relés NTLM mediante rutas UNC controladas por atacantes.

Lo que hace a SOAPwn especialmente preocupante es que no explota un fallo típico de memoria o lógica en el framework, sino que abusa de un comportamiento esperado y permitido por .NET, lo que dificulta su corrección sin afectar la compatibilidad hacia atrás.

El origen del fallo: WSDL, SOAP y los proxies generados dinámicamente

Las aplicaciones .NET que consumen servicios SOAP suelen generar proxies cliente a partir de archivos WSDL (Web Services Description Language). El problema aparece cuando esos WSDL pueden ser controlados por un atacante.

CitarSegún Bazydlo:

"SOAPwn es abusable a través de clientes SOAP, especialmente si se crean dinámicamente a partir de un WSDL controlado por el atacante."

Al manipular el WSDL, los atacantes pueden instruir al proxy generado por .NET para interpretar una URL del tipo:

file://<ruta-controlada-por-el-atacante>


Esto lleva al sistema a tratar rutas de archivos como destinos de solicitudes SOAP, permitiendo que los datos se escriban en cualquier ubicación accesible del sistema. Dado que el atacante controla la ruta completa de escritura, es posible sobrescribir archivos críticos o cargar webshells directamente en el entorno de la aplicación.

Escenario de ataque: del SOAP manipulado al control del sistema

En un ataque realista, un actor malicioso podría:

• Proveer una ruta UNC (por ejemplo, file://attacker.server/poc/poc).
• Hacer que la aplicación realice la solicitud SOAP hacia un recurso SMB del atacante.
• Capturar el desafío NTLM que el cliente envía durante la conexión.
• Descifrar o reutilizar ese desafío para comprometer más infraestructuras.

Esto convierte SOAPwn en un vector apto tanto para ejecución remota de código como para ataques de relay NTLM, dos de las técnicas más empleadas por grupos APT y operadores de ransomware.

Una variante más poderosa: ServiceDescriptionImporter

El equipo de WatchTowr encontró un vector aún más potente en aplicaciones que generan proxies HTTP mediante la clase ServiceDescriptionImporter. Esta clase no valida las URLs utilizadas por el proxy generado, lo que significa que el atacante puede:

• Proporcionar un WSDL malicioso.
• Introducir instrucciones peligrosas directamente en el proceso de generación del proxy.
• Lograr la ejecución de código.
• Subir webshells listos para usar (ASPX, CSHTML).
• Ejecutar scripts PowerShell sin restricciones.

Esta técnica convierte a SOAPwn en un arma totalmente automatizable, capaz de comprometer aplicaciones .NET en las que los desarrolladores no consideraron el riesgo de consumir entradas WSDL controladas externamente.

Microsoft no emitirá parche para .NET Framework

Aunque WatchTowr reportó la vulnerabilidad en marzo de 2024 y nuevamente en julio de 2025, Microsoft decidió no corregirla, argumentando que:

Citar"Los usuarios no deberían consumir entradas no confiables que puedan generar y ejecutar código."

En otras palabras, el gigante tecnológico considera que el problema no reside en .NET, sino en cómo las aplicaciones utilizan SOAP y WSDL, trasladando la mitigación directamente a desarrolladores y proveedores afectados.

Proveedores que ya han corregido SOAPwn

A pesar de la postura de Microsoft, algunos fabricantes sí han abordado el problema:

Barracuda Service Center RMM 2025.1.1

• CVE-2025-34392
• CVSS: 9.8 (Crítico)

Ivanti EPM 2024 SU4 SR1

• CVE-2025-13659
• CVSS: 8.8 (Alta severidad)

Para Umbraco 8 y otros productos basados en .NET que procesan WSDL externos, la recomendación es deshabilitar la creación dinámica de proxies o restringir estrictamente las fuentes WSDL.

Un riesgo sistémico en .NET que trasciende productos específicos

SOAPwn expone una realidad alarmante: comportamientos esperados dentro de .NET pueden convertirse en vectores de explotación críticos cuando interactúan con entradas manipuladas como WSDL. Los ataques derivados pueden resultar en:

• Relés NTLM
• Escritas arbitrarias y sobrescritura de archivos
• Despliegue de webshells persistentes
• Ejecución remota de código crítica

El impacto depende de cómo cada aplicación implemente y consuma proxies SOAP, lo que significa que miles de aplicaciones empresariales podrían estar expuestas sin saberlo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La campaña de explotación React2Shell continúa intensificándose a escala global mientras grupos de amenazas aprovechan la vulnerabilidad crítica CVE-2025-55182 en React Server Components (RSC) para ejecutar código remoto sin autenticación. Nuevas investigaciones de Huntress revelan un incremento notable en ataques dirigidos y la aparición de familias de malware previamente desconocidas, posicionando esta amenaza como una de las más agresivas del ecosistema JavaScript y de frameworks como Next.js.

A través de esta vulnerabilidad, los atacantes están desplegando mineros de criptomonedas, backdoors avanzadas y herramientas de post-explotación diseñadas para obtener persistencia, control total del sistema y capacidades de movimiento lateral. Entre las nuevas amenazas identificadas destacan PeerBlight, CowTunnel y ZinFoq, cada una con funciones altamente evasivas y diseñadas para atacar sistemas Linux y Windows sin distinción.

CVE-2025-55182: una puerta abierta para la ejecución remota de código

La vulnerabilidad CVE-2025-55182 permite a los atacantes comprometer servidores basados en React Server Components sin interacción del usuario. Desde el 8 de diciembre de 2025, la explotación activa ha afectado a múltiples sectores, pero Huntress destaca dos especialmente golpeados:

• Construcción
• Entretenimiento

El primer intento de explotación registrado por la compañía se remonta al 4 de diciembre de 2025, cuando un actor desconocido atacó una instancia vulnerable de Next.js para ejecutar un script shell y desplegar un minero de criptomonedas junto con una puerta trasera en Linux. Esta técnica es ahora parte del patrón operativo observado en numerosos endpoints.

Automatización y explotación masiva: el sello de esta campaña

Los investigadores de Huntress aseguran que el actor de amenaza utiliza herramientas automáticas de escaneo y explotación, algo evidente por:

• Sondas de vulnerabilidad idénticas en múltiples víctimas.
• Pruebas de shell code repetidas.
• Infraestructura C2 consistente.
• Intentos de instalar cargas útiles de Linux incluso en endpoints Windows.

Los atacantes utilizan herramientas públicas de GitHub para identificar instancias vulnerables de Next.js, acelerando el proceso de explotación y expandiendo su alcance a escala global.

Malware desplegado en la campaña React2Shell

A continuación, se detallan las cargas útiles observadas en los ataques activos:

1. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Script bash diseñado para descargar XMRig 6.24.0 directamente desde GitHub. Su función principal es convertir al host comprometido en un minero de criptomonedas.

2. PeerBlight

Una sofisticada puerta trasera para Linux, que comparte código con los malware RotaJakiro y Pink detectados en 2021.
Sus capacidades incluyen:

• Persistencia mediante systemd.
• Suplantación del proceso "ksoftirqd" para evadir detecciones.
• Comunicación con un C2 codificado: 185.247.224[.]41:8443.
• Subida, descarga y eliminación de archivos.
• Reverse shell interactivo.
• Ejecución arbitraria de binarios.
• Auto-actualización.

PeerBlight también utiliza un algoritmo DGA y una red DHT BitTorrent como canales C2 alternativos. Los bots se identifican mediante el prefijo LOLlolLOL, detectado ya en más de 60 nodos únicos.

3. CowTunnel

Un proxy inverso que crea conexiones salientes hacia servidores Fast Reverse Proxy (FRP) controlados por el atacante. Esta técnica evita firewalls configurados únicamente para monitorear conexiones entrantes, permitiendo a los operadores acceder a los sistemas comprometidos sin generar alarmas visibles.

4. ZinFoq

Un implante post-explotación basado en Go, con capacidades avanzadas:

• Shell interactivo
• Operaciones de archivos
• Pivoteo de red
• Timestomping
• Proxy SOCKS5
• PTY reverse shell
• Eliminación del historial bash
• Disfrazarse como uno de 44 servicios Linux legítimos
• Exfiltración y descarga de payloads adicionales

5. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Script dropper utilizado para desplegar el framework Sliver C2, una herramienta ampliamente usada por grupos APT y operadores de ransomware.

6. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Variante de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con un mecanismo de autoactualización para obtener nuevas versiones del malware.

7. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una versión modificada del conocido malware DDoS Kaiji, mejorado con funcionalidades de administración remota, persistencia y técnicas de evasión más complejas.

Impacto global: más de 165.000 IP vulnerables

Según la Shadowserver Foundation, alrededor del 8 de diciembre de 2025 se detectaron:

• 165.000+ direcciones IP vulnerables
• 644.000 dominios afectados

Los países más impactados son:

• Estados Unidos – 99.200 casos
• Alemania – 14.100
• Francia – 6.400
• India – 4.500

Esto confirma que React2Shell no es un ataque aislado, sino un evento de explotación masiva con efectos globales.

Recomendaciones inmediatas para organizaciones

Huntress recomienda a todas las empresas que utilicen:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

actualizar de inmediato para evitar compromisos.
Debido a la gran facilidad de explotación y la severidad del fallo, cada hora sin parchear incrementa drásticamente el riesgo.

En fin...

La campaña React2Shell representa una amenaza crítica para cualquier organización que utilice React Server Components o frameworks basados en Next.js. Con atacantes aprovechando CVE-2025-55182 de forma automatizada y desplegando nuevas familias de malware altamente evasivas, la única defensa eficaz es actualizar, reforzar la monitorización y revisar configuraciones de exposición pública.

El ecosistema JavaScript vuelve a ser el blanco preferido por operadores avanzados, y esta campaña confirma que las vulnerabilidades en frameworks modernos pueden desencadenar ataques de alcance mundial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad de la cadena de suministro de software vuelve a situarse en el centro de la atención tras el descubrimiento de un paquete malicioso escrito en Rust, diseñado específicamente para infiltrarse en equipos Windows, macOS y Linux. La amenaza, detectada por investigadores de ciberseguridad, demuestra nuevamente cómo los atacantes están evolucionando hacia técnicas cada vez más sigilosas para comprometer entornos de desarrollo, especialmente dentro del ecosistema Web3.

El paquete, denominado "evm-units", fue publicado en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login —el repositorio oficial de Rust— a mediados de abril de 2025 por un usuario conocido como "ablerust". En apariencia, se trataba de una utilidad auxiliar de la Máquina Virtual de Ethereum (EVM), lo que le permitió camuflarse entre desarrolladores legítimos. Durante los ocho meses que estuvo activo, acumuló más de 7.000 descargas, una cifra considerable que evidencia su amplia distribución antes de ser eliminado del repositorio.

Aún más alarmante es que un segundo paquete creado por el mismo autor, llamado "uniswap-utils", incluía a evm-units como dependencia. Este paquete complementario superó las 7.400 descargas, lo que amplificó drásticamente el impacto del ataque y permitió que el código malicioso se ejecutara de manera automática durante la inicialización del software. Ambos paquetes fueron retirados tras confirmarse su actividad maliciosa.

Ejecución silenciosa y cargas útiles específicas para cada sistema operativo

Según la investigadora de Socket, Olivia Brown, el paquete estaba diseñado para operar de forma completamente furtiva. Su comportamiento malicioso comenzaba tras invocar una función aparentemente inocua llamada get_evm_version(). En lugar de devolver únicamente un número de versión, la función decodificaba y contactaba con un servidor externo (download.videotalks[.]xyz) para descargar una carga útil adaptada al sistema operativo de la víctima.

El comportamiento variaba según la plataforma:

1. Linux

El paquete descargaba un script y lo guardaba como /tmp/init. Luego lo ejecutaba en segundo plano utilizando el comando nohup, lo que permitía al atacante obtener control remoto persistente sin generar actividad sospechosa visible.

2. macOS

Descargaba un archivo denominado init y lo ejecutaba mediante osascript, también en segundo plano y con nohup. Este método le otorgaba capacidades de automatización y ejecución silenciosa dentro del entorno de Apple.

3. Windows

Descargaba una carga útil en forma de script PowerShell (init.ps1) dentro del directorio temporal del sistema. Antes de ejecutarlo, comprobaba si el proceso qhsafetray.exe —componente del antivirus chino Qihoo 360 Total Security— estaba activo.

En función de esta verificación, su comportamiento cambiaba para evitar la detección:

• Si el antivirus no está presente, crea un archivo VBS que ejecuta el script PowerShell sin ventana visible.
• Si Qihoo 360 está activo, modifica su flujo de ejecución e invoca PowerShell directamente, intentando pasar desapercibido ante el software de seguridad.

Este nivel de adaptación por sistema operativo y verificación de defensa demuestra la sofisticación de la amenaza.

Un ataque con señales claras de orientación hacia el ecosistema Web3

La elección de nombres como evm-units y uniswap-utils, junto con referencias directas a Ethereum y Uniswap, evidencia que el objetivo principal del actor malicioso eran los desarrolladores Web3 y proyectos relacionados con la blockchain de Ethereum. Según Brown, esta estrategia responde claramente a un perfil vinculado a robo de criptomonedas, especialmente por su enfoque en herramientas utilizadas por programadores involucrados en contratos inteligentes, infraestructura de blockchain y sistemas descentralizados.

El hecho de que el paquete verificara específicamente la presencia del antivirus Qihoo 360, ampliamente utilizado en Asia, llevó a los investigadores a sugerir la posibilidad de que el ataque tenga vínculos claros con China o esté orientado hacia usuarios y desarrolladores de esta región. Brown describió esta verificación como "un indicador raro, explícito y centrado en China", dada la relevancia de Qihoo 360 en ese mercado.

Un riesgo grave para la cadena de suministro de Rust y el ecosistema Web3

El incidente revela la importancia de aplicar controles estrictos de seguridad en los repositorios de paquetes y de revisar cuidadosamente las dependencias añadidas a cualquier proyecto. La inserción de código malicioso en funciones aparentemente inofensivas y su incorporación a un paquete popular demuestra la efectividad de este tipo de ataques de cadena de suministro.

"Ablerust incrustó un cargador de segunda etapa multiplataforma dentro de una función aparentemente inofensiva", explica Brown. "Peor aún, la dependencia fue incorporada a otro paquete ampliamente utilizado, permitiendo que el código malicioso se ejecutara automáticamente durante la inicialización."

Este caso subraya la necesidad urgente de reforzar la seguridad en la comunidad de Rust, así como la implementación de prácticas como auditorías regulares de paquetes, verificación de integridad y uso de herramientas de análisis de dependencias.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un fallo de seguridad crítico, identificado como CVE-2025-8489, afecta al popular plugin King Addons para Elementor, utilizado en más de 10.000 sitios WordPress. La vulnerabilidad, con una puntuación CVSS de 9,8, ha sido objeto de explotación activa en el entorno real, lo que ha encendido las alarmas entre expertos en ciberseguridad y administradores de sitios web.

Este fallo corresponde a un caso grave de escalada de privilegios, ya que permite que atacantes no autenticados puedan asignarse el rol de administrador durante el proceso de registro de nuevos usuarios. En otras palabras, un actor malicioso puede obtener control total del sitio web sin necesidad de credenciales previas o acceso autorizado.

Versiones afectadas y parche disponible

La vulnerabilidad afecta a todas las versiones de King Addons desde la 24.12.92 hasta la 51.1.14. El equipo de desarrollo lanzó un parche correctivo el 25 de septiembre de 2025, incluido en la versión 51.1.35, que corrige completamente el defecto.

El investigador de seguridad Peter Thaleikis fue el responsable de descubrir y reportar esta falla, lo que permitió una respuesta rápida y coordinada por parte de los mantenedores del plugin. Sin embargo, a pesar del parche, miles de sitios continúan expuestos, especialmente aquellos que no han actualizado o que no realizan auditorías periódicas de seguridad.

Causa raíz del problema: una función de registro vulnerable

De acuerdo con el análisis técnico de Wordfence, la vulnerabilidad se origina en la función handle_register_ajax(), encargada de gestionar el registro vía AJAX en WordPress. El plugin no aplicaba restricciones adecuadas sobre los roles disponibles para nuevos usuarios, lo que permitía que un atacante no autenticado enviara una solicitud directamente al endpoint:

/wp-admin/admin-ajax.php


En esta solicitud manipulada, el atacante simplemente especificaba el rol de usuario "administrador", lo que era aceptado sin validación.

CitarWordfence lo resumió de la siguiente manera:

"El plugin no restringe adecuadamente los roles con los que los usuarios pueden registrarse. Esto permite que atacantes no autenticados se registren con cuentas de usuario de nivel administrador."

Este error de diseño concede al atacante privilegios extremadamente altos, abriendo la puerta a compromisos devastadores.

Impacto: control total del sitio y explotación masiva

Una explotación exitosa de esta vulnerabilidad permite que un atacante tome control absoluto del sitio WordPress afectado. Entre los posibles usos maliciosos se incluyen:

• Subida de archivos maliciosos (webshells, puertas traseras o payloads de malware).
• Redirección del tráfico hacia sitios fraudulentos o páginas de phishing.
• Inyección de spam SEO o enlaces tóxicos.
• Modificación del contenido y manipulación de bases de datos.
• Instalación de plugins o temas comprometidos para persistencia.
• Creación de nuevas cuentas ocultas con privilegios elevados.

Estos escenarios no solo comprometen el sitio, sino que también pueden repercutir en la reputación de la marca, el SEO y la integridad de los datos.

Ataques activos: más de 48.400 intentos bloqueados

Desde que la vulnerabilidad se hizo pública a finales de octubre de 2025, Wordfence ha registrado una actividad de explotación contundente. La compañía confirmó haber bloqueado:

• Más de 48.400 intentos de explotación
• 75 ataques frustrados en las últimas 24 horas

Los ataques se han originado desde las siguientes direcciones IP:

• 45.61.157.120
• 182.8.226.228
• 138.199.21.230
• 206.238.221.25
• 2602:fa59:3:424::1

Según Wordfence, las primeras señales de explotación se remontan al 31 de octubre de 2025, pero la actividad masiva comenzó el 9 de noviembre de 2025, coincidiendo con la divulgación pública del fallo y la disponibilidad del exploit.

Por qué esta vulnerabilidad es especialmente peligrosa

• Las vulnerabilidades de escalada de privilegios en WordPress son críticas por dos razones principales:
• No requieren autenticación previa, lo que significa que cualquier atacante remoto puede explotarlas.

Otorgan privilegios administrativos completos, permitiendo el secuestro total del sitio.

Cuando un exploit permite crear cuentas administrador sin restricciones, la superficie de ataque se convierte en un riesgo extremo para cualquier infraestructura basada en WordPress.

Además, los ataques automatizados suelen utilizar botnets capaces de escanear miles de sitios vulnerables por minuto, lo que acelera la explotación en masa.

Recomendaciones urgentes para administradores y empresas

Para mitigar el riesgo de CVE-2025-8489, los expertos recomiendan a los administradores de WordPress tomar las siguientes medidas inmediatas:

1. Actualizar King Addons a la versión 51.1.35 o superior

Es esencial aplicar el parche publicado el 25 de septiembre, ya que elimina por completo el vector de ataque.

2. Auditar los usuarios con privilegios

Revisar la lista de usuarios administradores y eliminar cualquier cuenta sospechosa o recién creada sin justificación.

3. Analizar logs y actividad anómala

Buscar evidencia de accesos inusuales, intentos de login, cambios inesperados o acciones realizadas por cuentas desconocidas.

4. Implementar reglas de seguridad adicionales

Incluyendo firewalls de aplicaciones web (WAF), autenticación multifactor y bloqueo de endpoints sensibles.

5. Escanear el sitio en busca de malware

Utilizar herramientas como Wordfence, Sucuri o WPScan para detectar puertas traseras o archivos añadidos recientemente.

Un recordatorio del riesgo constante en el ecosistema WordPress

El caso de CVE-2025-8489 demuestra nuevamente que incluso plugins populares y ampliamente utilizados pueden introducir riesgos críticos para los propietarios de sitios WordPress. La explotación activa del fallo subraya la importancia de mantener actualizados los plugins, reforzar la configuración de seguridad y monitorear constantemente la actividad del sistema.

En un ecosistema tan dinámico y atacado como WordPress, la prevención y la actualización continua siguen siendo las mejores defensas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El organismo regulador de telecomunicaciones de Rusia, Roskomnadzor, ha bloqueado oficialmente el acceso a Roblox, una de las plataformas de juegos online más populares del mundo, argumentando que no detuvo la difusión de lo que describió como propaganda LGBT, materiales extremistas y contenido que incita a la violencia entre menores. Esta medida marca un nuevo capítulo en el creciente control estatal sobre los espacios digitales dentro del territorio ruso.

En un comunicado publicado recientemente, Roskomnadzor afirmó que Roblox permitió la "difusión masiva y repetida" de contenido que, según el organismo, justificaba actividades terroristas y extremistas, promovía acciones ilegales de naturaleza violenta y difundía propaganda relacionada con temas LGBT. La agencia aseguró que estos contenidos se propagan incluso en "salas y plataformas del juego", donde los usuarios pueden simular ataques, participar en actividades violentas o recrear escenarios perjudiciales para los menores.

Las razones detrás del bloqueo: extremismo, violencia y contenido LGBT

El comunicado del regulador destaca que algunos usuarios de Roblox habrían creado salas en las que se escenifican actos terroristas, ataques a centros educativos y dinámicas de juego consideradas inapropiadas o peligrosas según la normativa rusa. Roskomnadzor insistió en que este tipo de comportamientos "han sido desde hace tiempo inadmisibles tanto en Estados Unidos como en Rusia", en referencia a las preocupaciones internacionales por la seguridad de plataformas con participación masiva de menores.

La medida no sorprende por completo, ya que sigue a una advertencia emitida en noviembre, cuando Roskomnadzor afirmó que el equipo de moderación de Roblox había reconocido repetidamente su imposibilidad de bloquear toda la distribución de materiales considerados inseguros. Esta falta de capacidad, según el regulador, justificaba la intervención estatal más severa.

Roblox: una plataforma global con más de mil millones de descargas

Roblox es una de las plataformas de juegos y creación de contenido más influyentes del mundo, especialmente entre niños y adolescentes. Disponible en dispositivos de escritorio y móviles, su aplicación para Android supera los 1.000 millones de descargas en Google Play, mientras que su versión para iOS acumula más de 16 millones de valoraciones en la App Store. Su alcance masivo lo convierte en un ecosistema complejo donde convergen millones de creadores, desarrolladores y jugadores diariamente.

CitarEn respuesta al bloqueo, un portavoz de Roblox declaró a BleepingComputer:

"Respetamos las leyes locales de los países donde operamos y creemos que Roblox ofrece un espacio positivo para el aprendizaje, la creación y la conexión significativa para todos. Contamos con sólidas medidas de seguridad proactivas y preventivas diseñadas para detectar y evitar contenido dañino en nuestra plataforma."

No obstante, estas afirmaciones no fueron suficientes para evitar la prohibición absoluta dentro de Rusia.

Rusia amplía sus bloqueos: WhatsApp, Viber, Signal y más

El bloqueo de Roblox no es un caso aislado. La agencia rusa Interfax reveló recientemente que Roskomnadzor también planea prohibir WhatsApp, una de las plataformas de mensajería más populares del mundo con más de 3.000 millones de usuarios en 180 países. La acción se enmarca en una campaña más amplia para limitar el acceso a servicios extranjeros que, según Moscú, incumplen las leyes de seguridad nacional, antiterrorismo y antiextremismo.

Hace un año, Rusia ya había bloqueado Viber, que cuenta con cientos de millones de usuarios a nivel global, después de alegar que la plataforma violaba la legislación antiextremista. Meses antes, también se había prohibido Signal, otra aplicación de mensajería cifrada conocida por su enfoque en la privacidad.

Además, en marzo de 2023, Roskomnadzor prohibió a todas las agencias gubernamentales y estatales utilizar plataformas privadas extranjeras como Discord, Microsoft Teams, Telegram, Threema, Viber, WhatsApp y WeChat.

Este ecosistema de prohibiciones ha estado acompañado de bloqueos continuos a redes privadas virtuales (VPN), esenciales para eludir restricciones. Las principales plataformas de VPN fueron prohibidas en tres oleadas: enero de 2020, junio de 2021 y diciembre de 2021, dificultando aún más la evasión de la censura digital.

Un patrón más amplio: control estatal y reducción del espacio digital en Rusia

El bloqueo de Roblox encaja en un patrón más amplio de restricciones y censuras aplicadas por el gobierno ruso para reforzar el control sobre la información, los servicios digitales y las comunicaciones online. Desde 2020, el país ha acelerado sus esfuerzos para controlar plataformas extranjeras bajo el argumento de proteger a los menores, combatir el extremismo y preservar la seguridad nacional.

Sin embargo, organizaciones de derechos digitales han denunciado que estas medidas limitan la libertad de expresión y restringen el acceso a plataformas esenciales para la comunicación, el aprendizaje y la economía digital global.

Un bloqueo que marca un precedente para el sector del gaming

La decisión de bloquear Roblox en Rusia no solo afecta a millones de jugadores y creadores locales, sino que también establece un precedente preocupante para otras plataformas de juegos online. La presión regulatoria podría extenderse a cualquier servicio que permita contenido generado por usuarios, especialmente aquellos enfocados en menores.

Mientras tanto, Roblox continúa defendiendo su compromiso con la seguridad y las medidas proactivas de moderación, aunque su futuro en Rusia parece incierto. El endurecimiento legislativo del país apunta a que otras plataformas podrían enfrentar bloqueos similares en un corto plazo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La botnet Aisuru se ha consolidado como uno de los mayores y más peligrosos arsenales de ciberdelincuentes en la actualidad. En apenas tres meses, esta red global de dispositivos comprometidos lanzó más de 1.300 ataques de denegación de servicio distribuido (DDoS), incluyendo un incidente que marcó un nuevo hito: un pico sin precedentes de 29,7 terabits por segundo (Tbps). Este registro supera ampliamente cualquier ataque documentado hasta la fecha y refuerza la urgencia de adoptar defensas avanzadas contra amenazas hipervolumétricas.

Según datos publicados por Cloudflare, la botnet Aisuru opera a través de un inmenso ejército de routers y dispositivos IoT comprometidos por vulnerabilidades conocidas, configuraciones débiles o credenciales obtenidas por fuerza bruta. Los especialistas estiman que su infraestructura involucra entre uno y cuatro millones de hosts infectados, lo que convierte a Aisuru en una plataforma de ataque masiva disponible bajo un modelo de botnet por encargo.

Una botnet alquilable utilizada para ataques DDoS sin precedentes

Aisuru funciona como un servicio que permite a los ciberdelincuentes alquilar capacidades de ataque a terceros. Este modelo, conocido como DDoS-as-a-Service, multiplica la disponibilidad y frecuencia de los ataques, democratizando el acceso a herramientas que antes solo estaban al alcance de grupos altamente especializados.

El ataque récord, mitigado por Cloudflare durante el tercer trimestre de 2025, alcanzó un máximo de 29,7 Tbps, superando el anterior hito de 22,2 Tbps, también atribuido a la misma botnet. La compañía aclaró que el ataque duró 69 segundos, pero su tasa de tráfico fue suficiente para poner en riesgo la estabilidad de componentes críticos del ecosistema global de Internet.

Más recientemente, Microsoft confirmó que Aisuru fue responsable de un ataque contra Azure, con una intensidad de 15 Tbps origen en unas 500.000 direcciones IP, subrayando su crecimiento y capacidad operativa.

El impacto global de Aisuru en 2025: ataques hipervolumétricos y escalada sin precedentes

Desde inicios de año, Cloudflare ha mitigado 2.867 ataques asociados a Aisuru, y casi el 45% de ellos fueron hipervolumétricos, superando los 1 Tbps o los 1.000 millones de paquetes por segundo (Bpps). Los ataques más extremos —aquellos por encima de 100 Mpps— han aumentado un 189% trimestralmente, mientras que los que superan 1 Tbps crecieron un 227%.

En el tercer trimestre del año, los ataques hipervolumétricos de Aisuru alcanzaron un nuevo máximo con 1.304 incidentes, confirmando una tendencia ascendente preocupante. Cloudflare informó que mitiga en promedio 3.780 ataques DDoS por hora, procedentes en su mayoría de Indonesia, Tailandia, Bangladés y Ecuador, y dirigidos principalmente a China, Turquía, Alemania, Brasil y Estados Unidos.

Entre los sectores más afectados destacan:

• Videojuegos y plataformas online
• Telecomunicaciones y operadores de Internet
• Servicios financieros
• Proveedores de hosting y cloud

Esta diversificación de objetivos revela un patrón claro de explotación masiva centrado tanto en sectores críticos como en servicios altamente dependientes de la disponibilidad.

Ataques breves pero devastadores: el talón de Aquiles de las defensas tradicionales

La mayoría de los ataques Aisuru duran menos de 10 minutos, lo que supone un desafío significativo para equipos de seguridad. Aunque la duración sea breve, Cloudflare advierte que las interrupciones pueden ser severas y la recuperación requiere procesos largos y complejos que impactan directamente en la disponibilidad del servicio.

Un ataque caso estudio alcanzó 14,1 Bpps, evidencia de que Aisuru no solo destaca por volumen en Tbps, sino también por densidad en paquetes por segundo, saturando la capacidad de procesamiento de red incluso en infraestructuras robustas.

Cloudflare alertó que los efectos colaterales pueden ser tan severos que incluso proveedores de Internet no atacados directamente pueden verse interrumpidos por el volumen total de tráfico generado.

CitarSu advertencia es clara:

"Si el tráfico de ataque de Aisuru puede interrumpir partes de la infraestructura de Internet de EE. UU. sin ser el objetivo, imagina su impacto cuando se dirige a proveedores no protegidos, infraestructuras críticas, servicios sanitarios o sistemas militares."

Aisuru redefine el riesgo DDoS y acelera la necesidad de defensas avanzadas

El avance de la botnet Aisuru en 2025 refleja un escenario cada vez más complejo para la ciberseguridad global. La escalada de ataques hipervolumétricos, la disponibilidad de servicios DDoS bajo demanda y la creciente participación de dispositivos IoT vulnerables crean un cóctel que amenaza seriamente la estabilidad de Internet.

Aisuru no solo ha establecido nuevos récords, sino que también ha elevado el estándar del riesgo operativo para empresas e infraestructuras críticas. Su actividad demuestra que los ataques DDoS ya no son solo un problema de saturación momentánea: son una amenaza estratégica que puede provocar interrupciones masivas y paralizar servicios esenciales en cuestión de segundos.

Las organizaciones deben reforzar sus estrategias de mitigación, adoptar soluciones en la nube con capacidad hipervolumétrica y endurecer su superficie de ataque IoT para reducir la probabilidad de formar parte —voluntaria o involuntariamente— de este tipo de botnets.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado una importante actualización en la seguridad de su plataforma de identidad Entra ID, enfocada en bloquear ataques no autorizados de inyección de scripts durante el proceso de inicio de sesión. Esta medida, que entrará en vigor globalmente a partir de mediados o finales de octubre de 2026, forma parte de la Secure Future Initiative (SFI) y tiene como objetivo mitigar uno de los vectores de amenaza más frecuentes en entornos de autenticación: los ataques de Cross-Site Scripting (XSS).

¿En qué consiste el cambio de seguridad en Microsoft Entra ID?

El núcleo de esta actualización se encuentra en el endurecimiento de la Política de Seguridad de Contenidos (Content Security Policy o CSP) aplicada al portal de autenticación ubicado en:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con la nueva configuración, Microsoft permitirá únicamente la ejecución de scripts provenientes de dominios Microsoft confiables, bloqueando cualquier intento de carga o ejecución de código procedente de fuentes externas o no autorizadas.

Esto significa que:

• Solo se podrán descargar scripts desde CDN oficiales y confiables de Microsoft.
• Solo podrán ejecutarse scripts en línea que provengan de fuentes verificadas por Microsoft.
• Cualquier script inyectado por terceros será bloqueado automáticamente por la política CSP.

Microsoft explicó que esta actualización añadirá una capa adicional de protección durante el proceso de autenticación, evitando que actores maliciosos logren ejecutar código arbitrario en el navegador del usuario, una técnica común en ataques de phishing avanzado, session hijacking y robo de credenciales.

¿Qué experiencias de inicio de sesión se verán afectadas?

Es importante destacar que este cambio impacta únicamente:

• Las experiencias de inicio de sesión basadas en navegador.
• Las URLs que comienzan con: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Por el contrario, Microsoft Entra External ID no se verá afectado por esta medida, lo que ofrece tranquilidad a las empresas que utilizan ese entorno específico para autenticación externa.

Relación con la Iniciativa Futuro Seguro (SFI)

Esta medida forma parte de la Secure Future Initiative (SFI), un programa de seguridad de varios años lanzado por Microsoft en noviembre de 2023 y ampliado en mayo de 2024, tras un informe crítico de la Cyber Safety Review Board (CSRB) de Estados Unidos, que determinó que la cultura de seguridad de Microsoft requería una revisión profunda.

Desde entonces, Microsoft ha acelerado sus esfuerzos para:

• Rediseñar arquitecturas desde un enfoque Security by Design.
• Fortalecer la protección frente a amenazas avanzadas.
• Reducir la superficie de ataque en entornos críticos.

Principales avances en seguridad dentro del programa SFI

En su tercer informe de progreso, Microsoft reveló una serie de medidas técnicas y operativas que refuerzan su postura de seguridad en la nube e identidad digital:

Autenticación multifactor (MFA) resistente al phishing

La adopción ha alcanzado un nivel del 99,6% en usuarios y dispositivos, lo que reduce drásticamente el riesgo de compromisos de cuentas por ataques de ingeniería social.

MFA obligatorio en todos los servicios, incluyendo Azure

Microsoft ha impuesto MFA por defecto en toda su infraestructura crítica, especialmente en entornos de administración y servicios en la nube.

Migración a Azure Confidential Compute

El 95% de las máquinas virtuales de firma de Entra ID ahora funcionan sobre entornos de computación confidencial, protegiendo datos en uso incluso ante accesos privilegiados.

Centralización de validación de tokens

El 94,3% de la validación de tokens de seguridad se ha trasladado a su SDK estándar de Microsoft Entra ID, reduciendo inconsistencias y posibles fallas de implementación.

Eliminación de ADFS en su entorno productivo

Microsoft's ha descontinuado Active Directory Federation Services (ADFS) en sus entornos principales, reduciendo dependencias heredadas más vulnerables.

Limpieza masiva de inquilinos y aplicaciones obsoletas

• Más de 560.000 tenants antiguos o sin uso fueron eliminados.
• Se retiraron 83.000 aplicaciones Entra ID que ya no tenían actividad.

Caza avanzada de amenazas

Se centralizó el monitoreo del 98% de su infraestructura de producción, mejorando la detección temprana de actividades maliciosas.

Fortalecimiento de la firma de código

La firma de código está casi completamente bloqueada para identidades de producción, reduciendo el abuso interno o los riesgos por cuentas comprometidas.

Seguridad a nivel de firmware y memoria

Microsoft ha migrado componentes críticos de firmware UEFI a lenguaje Rust, reduciendo vulnerabilidades relacionadas con corrupción de memoria.

Divulgación responsable y recompensas

La compañía publicó 1.096 CVEs y destinó 17 millones de dólares en recompensas a investigadores de seguridad, fortaleciendo su ecosistema de bug bounty.

Riesgos para empresas que inyectan scripts en el login

Microsoft ha sido claro:
Las organizaciones que utilizan extensiones de navegador o herramientas que inyectan scripts en la página de inicio de sesión de Entra ID deberán abandonar este enfoque cuanto antes.

Este tipo de prácticas, aunque comunes en soluciones legacy o herramientas de monitoreo no oficiales, serán bloqueadas por la nueva CSP y podrían provocar:

• Fallos de autenticación.
• Errores en el flujo de inicio de sesión.
• Interrupciones en la experiencia del usuario.

Microsoft recomienda migrar a soluciones que no dependan de la inyección de código en el frontend de su plataforma.

Cómo verificar si tu organización será afectada

Para identificar posibles conflictos con la nueva política CSP, Microsoft sugiere realizar pruebas abriendo el portal de login con las herramientas de desarrollo del navegador activadas.

En específico, se debe:

• Abrir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
• Activar la consola del navegador.
• Iniciar sesión normalmente.
• Revisar si aparecen errores como:
• "Refused to load the script because it violates the following Content Security Policy directive: script-src..."

Estos mensajes indican que algún script está siendo bloqueado por la nueva política, lo que permitirá a los administradores actuar con anticipación.

Zero Trust como centro de la estrategia

Microsoft refuerza además su enfoque en Zero Trust, recomendando a las organizaciones:

• Automatizar la detección, respuesta y remediación de vulnerabilidades.
• Mantener visibilidad en tiempo real de incidentes en entornos híbridos y en la nube.
• Integrar inteligencia de amenazas directamente en sus flujos operativos.

Según la compañía, este enfoque reduce drásticamente los tiempos de contención, mejora la resiliencia operativa y acelera la recuperación frente a incidentes de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El actor amenazante conocido como Bloody Wolf ha sido vinculado a una campaña de ciberespionaje y distribución de malware que afecta directamente a Kirguistán y Uzbekistán, marcando una clara expansión de sus operaciones dentro de Asia Central. Según un informe conjunto de Group-IB y Ukuk, una empresa estatal asociada a la Fiscalía General de la República Kirguisa, esta ofensiva ha estado activa al menos desde junio de 2025, con una intensificación y redirección específica hacia Uzbekistán a partir de octubre de ese mismo año.

Los ataques han tenido como principales objetivos los sectores financiero, gubernamental y de tecnologías de la información (TI), con un patrón operativo que combina ingeniería social avanzada, abuso de infraestructura local y el despliegue del malware de acceso remoto NetSupport RAT.

¿Quién es Bloody Wolf?

Bloody Wolf es el nombre atribuido a un grupo de hackers de origen aún no identificado que ha estado activo al menos desde finales de 2023. Previamente, sus operaciones se habían centrado en entidades de Kazajistán y Rusia, utilizando herramientas como STRRAT y NetSupport RAT, dos familias de malware de acceso remoto ampliamente utilizadas en campañas de espionaje y sabotaje digital.

Sin embargo, su reciente redirección hacia Kirguistán y Uzbekistán representa una clara evolución en su enfoque estratégico, ampliando su radio de acción en una región donde los ataques contra infraestructuras gubernamentales y financieras están en aumento.

Suplantación de organismos gubernamentales

Una de las tácticas más relevantes utilizadas por Bloody Wolf es la suplantación de identidad del Ministerio de Justicia de Kirguistán. Los atacantes crean correos electrónicos de spear-phishing que simulan provenir de entidades gubernamentales oficiales, utilizando:

• Documentos PDF con formato gubernamental
• Nombres de dominio casi idénticos a los reales
• Lenguaje formal adaptado al contexto local

Estos correos contienen enlaces o archivos adjuntos diseñados para engañar al receptor y hacerlo ejecutar un archivo malicioso.

CitarSegún Group-IB:

"La combinación de ingeniería social y herramientas accesibles permite a Bloody Wolf mantenerse eficaz sin perder el perfil operativo".

Este enfoque aprovecha la confianza en las instituciones públicas, una táctica cada vez más recurrente en ataques dirigidos a infraestructura estatal.

Cadena de infección: del PDF al NetSupport RAT

La cadena de ataque sigue un esquema similar tanto en Kirguistán como en Uzbekistán:

• El usuario recibe un correo electrónico fraudulento que aparenta ser una notificación oficial.
• Se incluye un archivo PDF que contiene instrucciones y un enlace malicioso.
• El PDF indica que es necesario instalar Java Runtime Environment (JRE) para visualizar correctamente el documento.
• Al hacer clic, se descarga un archivo Java Archive (JAR) malicioso.
• Al ejecutarlo, el JAR actúa como cargador y descarga la carga útil final: NetSupport RAT.

Este troyano permite al atacante tomar el control remoto del sistema infectado, robar información sensible, monitorizar actividades y ejecutar comandos de forma encubierta.

Persistencia en el sistema: tres técnicas clave

Una vez que NetSupport RAT se instala, el malware establece persistencia utilizando tres métodos principales:

• Creación de una tarea programada, que ejecuta el malware al iniciar el sistema.
• Modificación del Registro de Windows, insertando una entrada que garantiza su ejecución.
• Despliegue de un script por lotes ubicado en:
• %APPDATA%\Microsoft\Windows\Menú Inicio\Programas\Inicio

Estas técnicas aseguran que el malware continúe activo incluso después de reinicios o intentos básicos de eliminación.

Geovallado en Uzbekistán: una campaña más sofisticada

Un aspecto particularmente notable de la fase dirigida a Uzbekistán es el uso de una técnica de geovallado (geofencing).

Si una solicitud de acceso a la infraestructura maliciosa proviene fuera del país, el usuario es redirigido automáticamente al sitio legítimo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo cual dificulta enormemente el análisis desde el extranjero y confunde a los investigadores.

Solo las solicitudes provenientes de direcciones IP dentro de Uzbekistán activan la descarga real del archivo JAR malicioso, lo que demuestra un alto nivel de planificación operativa.

Uso de herramientas antiguas pero efectivas

Los cargadores JAR utilizados en la campaña están compilados sobre Java 8, una versión lanzada en 2014, mientras que la versión de NetSupport RAT empleada data de octubre de 2013.

Lejos de ser una debilidad, esta elección puede responder a razones estratégicas:

• Mayor compatibilidad con sistemas heredados en instituciones públicas
• Menor detección por parte de ciertas soluciones modernas
• Facilidad para modificar versiones antiguas

Group-IB cree que Bloody Wolf utiliza un generador personalizado de JARs, lo que les permite crear rápidamente múltiples variantes para evadir las detecciones de antivirus.

Una amenaza creciente para Asia Central

Este caso demuestra cómo actores con recursos limitados pueden ejecutar campañas altamente efectivas utilizando:

• Software comercial reutilizado
• Infraestructura local comprometida
• Técnicas básicas pero bien implementadas

CitarComo señaló Group-IB:

"Bloody Wolf ha demostrado cómo herramientas comerciales y de bajo coste pueden ser convertidas en operaciones cibernéticas sofisticadas y dirigidas a la región".

Esto evidencia el aumento del riesgo para países con infraestructuras digitales en proceso de modernización pero con niveles de protección aún desiguales.

Impacto en sectores críticos

Los sectores más afectados por esta campaña son:

• Instituciones financieras
• Organismos gubernamentales
• Empresas de tecnología
• Proveedores de servicios digitales

Una intrusión exitosa en estos entornos podría traducirse en:

• Robo de información sensible
• Sabotaje de servicios públicos
• Espionaje gubernamental
• Compromiso de infraestructuras críticas

Recomendaciones de seguridad

• Para mitigar este tipo de ataques, se recomienda:
• Bloquear la ejecución de archivos JAR no autorizados.
• Fortalecer los filtros anti-phishing en correos corporativos.
• Capacitar a los empleados contra campañas de ingeniería social.
• Actualizar sistemas heredados y desinstalar Java si no es necesario.
• Implementar EDR y soluciones de detección de comportamiento.
• Configurar políticas de control de aplicaciones.

Una amenaza persistente y en evolución

La campaña de Bloody Wolf demuestra cómo los ciberdelincuentes están ampliando sus áreas de influencia en Asia Central, utilizando tácticas híbridas que combinan confianza institucional con malware probado.

Este caso no solo expone el riesgo para Kirguistán y Uzbekistán, sino que también sirve como advertencia global sobre la creciente profesionalización de actores regionales con ambiciones internacionales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenAI ha comenzado a notificar a un grupo reducido de clientes de la API de ChatGPT sobre un incidente de seguridad relacionado con uno de sus proveedores externos de analítica, Mixpanel, después de que este último sufriera una brecha causada por una campaña de smishing (phishing vía SMS).

Aunque la compañía de inteligencia artificial ha enfatizado que sus sistemas no fueron comprometidos, la filtración sí expuso información identificativa limitada asociada a algunas cuentas de su API. El incidente pone de relieve los riesgos crecientes derivados de la dependencia de servicios de terceros en entornos tecnológicos complejos y altamente interconectados.

¿Qué ocurrió exactamente en el incidente de OpenAI y Mixpanel?

Mixpanel es una plataforma ampliamente utilizada para análisis de eventos y comportamiento de usuarios, que OpenAI empleaba para monitorear interacciones con la interfaz frontal de su producto de API.

CitarSegún el comunicado oficial de OpenAI, el incidente afectó únicamente a:

"Datos analíticos limitados relacionados con algunos usuarios de la API".

Es crucial subrayar que la empresa aclaró de forma categórica que:

• No hubo una brecha directa en los sistemas de OpenAI.
• No se expusieron chats, solicitudes de API, datos de uso, contraseñas, claves de API, datos de pago ni documentos de identidad.
• Los usuarios de ChatGPT y otros productos de OpenAI no se vieron afectados.

Información potencialmente expuesta

De acuerdo con la información proporcionada por OpenAI, los datos que podrían haberse filtrado incluyen:

• Nombre proporcionado en la cuenta de la API
• Correo electrónico asociado a la cuenta
• Ubicación aproximada basada en el navegador (ciudad, estado, país)
• Sistema operativo y navegador utilizados
• Sitios web de referencia
• ID de organización y/o usuario vinculados a la API

Aunque no se expusieron credenciales sensibles, esta información podría ser utilizada en ataques dirigidos de phishing, spear phishing o ingeniería social.

Smishing: el origen del ataque

Mixpanel confirmó que la intrusión se originó en una campaña de smishing detectada el 8 de noviembre, donde actores maliciosos utilizaron mensajes SMS fraudulentos para comprometer accesos internos.

Como resultado:

• El ataque afectó a un número limitado de clientes de Mixpanel.
• OpenAI fue informada oficialmente el 25 de noviembre, cuando Mixpanel compartió detalles técnicos sobre los conjuntos de datos impactados.
• No solo OpenAI se vio involucrada: algunos usuarios han reportado que CoinTracker, plataforma de seguimiento de portafolios cripto y declaraciones fiscales, también se ha visto afectada, exponiendo metadatos de dispositivos y un número limitado de transacciones.

Medidas tomadas por OpenAI

Como acción preventiva y correctiva, OpenAI ha implementado varias medidas:

• Eliminación inmediata de Mixpanel de su entorno de producción.
• Inicio de una investigación interna para evaluar el alcance real del incidente.
• Notificación directa a organizaciones, administradores y usuarios individuales potencialmente afectados.
• Aviso a todos sus suscriptores, aunque no todos estuvieran directamente impactados.

Esta estrategia proactiva de comunicación se alinea con las buenas prácticas en gestión de incidentes de ciberseguridad.

Respuesta de Mixpanel tras la brecha

Por su parte, Mixpanel aseguró que tomó acciones inmediatas para contener y mitigar el incidente:

• Revocó sesiones activas comprometidas.
• Rotó credenciales potencialmente expuestas.
• Bloqueó las direcciones IP asociadas al atacante.
• Restableció las contraseñas de todos los empleados.
• Implementó controles de seguridad adicionales contra futuras campañas de ingeniería social.

La directora ejecutiva de Mixpanel, Jen Taylor, declaró que todas las organizaciones afectadas han sido notificadas directamente y que quienes no recibieron comunicación no formaron parte del incidente.

Riesgos derivados de la filtración de datos

A pesar de que no se comprometieron contraseñas ni claves API, OpenAI ha advertido que la información filtrada puede facilitar ataques de:

• Phishing dirigido
• Suplantación de identidad
• Ingeniería social contra desarrolladores y equipos técnicos
• Reconocimiento previo a ataques más complejos

Los ciberdelincuentes suelen utilizar datos aparentemente "menores" para aumentar la credibilidad de correos o mensajes fraudulentos.

Recomendaciones de seguridad para los usuarios

OpenAI recomienda a sus usuarios tomar las siguientes medidas preventivas:

1. Desconfiar de mensajes sospechosos

Especialmente aquellos que hagan referencia a este incidente.
Todos los correos y mensajes deben verificarse cuidadosamente, asegurándose de que provienen de dominios oficiales de OpenAI.

2. Activar autenticación de dos factores (2FA)

La protección adicional mediante autenticación multifactor reduce drásticamente la posibilidad de toma de control de cuentas.

3. Nunca compartir información sensible

OpenAI recuerda que nunca solicitará por correo, SMS o chat información como:

• Contraseñas
• Claves API
• Códigos de verificación
• Credenciales de acceso

4. Concienciación en ingeniería social

Las empresas deben reforzar la formación interna contra ataques de smishing y phishing, que siguen siendo una de las principales vías de entrada en ataques modernos.

Impacto en la confianza y la cadena de suministro digital

Este incidente refleja un problema cada vez más frecuente: los riesgos en la cadena de suministro digital. Aunque OpenAI no fue directamente atacada, la exposición a través de un proveedor externo demuestra que ninguna organización está completamente aislada cuando trabaja con herramientas de terceros.

Esto subraya la importancia de:

• Evaluar continuamente los riesgos de proveedores
• Exigir auditorías de seguridad
• Aplicar modelos de "zero trust"
• Monitorear accesos y flujos de datos con mayor profundidad

Una llamada de atención para la industria

Aunque el impacto haya sido limitado, esta filtración relacionada con OpenAI y Mixpanel es otra señal de alerta sobre cómo los atacantes están profesionalizando sus métodos y explotando incluso los eslabones más pequeños de la cadena tecnológica.

Para desarrolladores, empresas y equipos de seguridad, este caso refuerza la necesidad de adoptar un enfoque integral que contemple no solo la protección interna, sino también la seguridad de todo su ecosistema digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de inteligencia de amenazas GreyNoise Labs ha presentado una nueva herramienta gratuita llamada GreyNoise IP Check, diseñada para que cualquier usuario pueda verificar si su dirección IP ha sido asociada con actividades maliciosas en Internet, como botnets, escaneos automatizados o redes de proxies residenciales.

Este tipo de servicios se vuelve cada vez más relevante en un panorama digital donde las infecciones silenciosas, el abuso de ancho de banda y el uso malicioso de dispositivos domésticos han crecido de forma alarmante. Hoy en día, muchos usuarios pueden estar contribuyendo —sin saberlo— a infraestructuras criminales solo por tener un dispositivo comprometido en su red.

El crecimiento de las redes proxy residenciales

Según GreyNoise, durante el último año se ha producido una explosión en el uso de redes residenciales de proxies, las cuales convierten conexiones domésticas legítimas en puntos de salida para actividades de terceros.

Estas redes son usadas con fines como:

• Ocultar ataques cibernéticos
• Realizar fraude publicitario
• Automatizar scraping ilegal de datos
• Eludir controles de seguridad en plataformas

CitarEn algunos casos, los usuarios instalan conscientemente software que monetiza su conexión compartiendo su ancho de banda a cambio de pequeñas recompensas económicas. Sin embargo, lo más común es que:

El malware se infiltre en los dispositivos a través de aplicaciones, extensiones de navegador o software pirata y los convierta silenciosamente en nodos de una red maliciosa.

Esto convierte al usuario en una víctima directa... y al mismo tiempo en una herramienta involuntaria para los atacantes.

¿Qué es GreyNoise IP Check y cómo funciona?

GreyNoise IP Check es una herramienta web gratuita que permite introducir una dirección IP y obtener al instante información sobre su relación con actividades sospechosas.

A diferencia de otras soluciones más complejas, esta plataforma ofrece un método no intrusivo, ya que no requiere acceso a tus dispositivos, solo el análisis pasivo de tu IP desde su red global de sensores.

Al ingresar tu IP, obtendrás uno de estos tres resultados:

1. Limpio

Tu dirección IP no ha mostrado comportamientos de escaneo malicioso en los últimos 90 días.

2. Malicioso / Sospechoso

Se ha detectado actividad asociada a escaneos automatizados, probes o comportamientos vinculados a botnets.
Esto indica que alguno de tus dispositivos podría estar comprometido.

3. Servicio empresarial común

Tu IP pertenece a un proveedor de VPN, red corporativa o servicio en la nube. En estos casos, el comportamiento de escaneo puede ser normal debido a funciones de monitoreo o seguridad exhaustiva.

Línea temporal de actividad: 90 días de historial

Uno de los aspectos más valiosos de GreyNoise IP Check es que ofrece una línea temporal histórica de hasta 90 días, permitiendo identificar el momento exacto en que comenzó la actividad sospechosa.

Esto resulta extremadamente útil porque permite establecer correlaciones claras, por ejemplo:

• Instalaste una extensión de navegador sospechosa el día X.
• Tres días después tu IP empezó a mostrar actividad de escaneo.
• A partir de ahí, tu red fue detectada por sensores de amenazas.

Esta correlación facilita enormemente la investigación forense básica a nivel doméstico o en pymes.

API de GreyNoise: comprobaciones automáticas para profesionales

Para usuarios más técnicos, GreyNoise ofrece una API JSON sin autenticación y sin límites de tasa, lo que representa una enorme ventaja frente a otras plataformas.

Puede utilizarse fácilmente en scripts y herramientas automatizadas mediante curl, lo que permite:

• Integrar la verificación de IPs en sistemas SOC
• Automatizar análisis en infraestructura empresarial
• Incluirlo en pipelines de respuesta a incidentes

Esto posiciona a GreyNoise IP Check como una herramienta útil no solo para usuarios domésticos, sino también para equipos de ciberseguridad y administradores de red.

¿Qué hacer si tu IP aparece como "Malicioso / Sospechoso"?

Si el resultado indica actividad sospechosa, no entres en pánico, pero actúa cuanto antes. GreyNoise recomienda los siguientes pasos:

1. Escaneo completo de todos los dispositivos

Ejecuta análisis con herramientas antimalware en:

• Computadoras
• Smartphones
• Routers
• Televisores inteligentes
• Dispositivos IoT

2. Actualización de firmware

Muchos ataques explotan vulnerabilidades antiguas en routers y dispositivos inteligentes.
Asegúrate de que todos tus equipos tengan el firmware más reciente.

3. Cambio de credenciales

Cambia las contraseñas de:

• Router
• Paneles administrativos
• WiFi

Y utiliza contraseñas largas y únicas.

4. Desactivar accesos innecesarios

Si no usas acceso remoto o administración externa, desactívalo inmediatamente.

Por qué esta herramienta es clave para la ciberseguridad actual

GreyNoise IP Check llena un vacío importante en el ecosistema: una forma sencilla y gratuita de entender si tu conexión a Internet ha sido abusada por actores maliciosos.

En un entorno donde los hogares están llenos de dispositivos conectados y el malware moderno opera con máximo sigilo, este tipo de soluciones:

• Empoderan al usuario
• Reducen el riesgo de participación involuntaria en ataques
• Mejoran la higiene digital general

Además, fomenta una cultura de prevención frente al creciente fenómeno del abuso de ancho de banda doméstico en redes de proxies criminales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Arctic Wolf Labs han revelado una nueva operación de ciberespionaje y cibercrimen que combina dos amenazas ya conocidas pero poco vistas trabajando juntas: SocGholish (también llamado FakeUpdates) como vector de acceso inicial y RomCom como carga útil principal, una familia de malware asociada a actores alineados con Rusia.

Este caso resulta particularmente relevante porque es la primera vez que SocGholish es utilizado para distribuir RomCom, lo que demuestra una evolución en las tácticas de colaboración entre grupos criminales con motivaciones tanto financieras como geopolíticas.

¿Qué es SocGholish (FakeUpdates) y por qué es tan peligroso?

SocGholish es un loader basado en JavaScript que se ha convertido en uno de los métodos de infección más utilizados en campañas de malware a gran escala. Su técnica principal consiste en mostrar falsas alertas de actualización del navegador en sitios web legítimos pero previamente comprometidos.

CitarEl usuario visita un portal web aparentemente normal, pero este ha sido manipulado para mostrar un mensaje como:

"Tu navegador está desactualizado. Descarga la nueva versión para continuar."

Al hacer clic, la víctima descarga un archivo JavaScript malicioso que:

• Se ejecuta localmente.
• Establece persistencia en el sistema.
• Descarga otras cargas útiles desde servidores controlados por los atacantes.

SocGholish no es un malware final, sino un facilitador de acceso inicial, usado por múltiples grupos criminales, incluyendo:

• Evil Corp
• LockBit
• Dridex
• Raspberry Robin
• TA569 (Gold Prelude / UNC1543 / Mustard Tempest)

Su éxito radica en su capacidad para explorar vulnerabilidades en plugins de sitios web, insertar JavaScript malicioso y explotar la confianza del usuario.

RomCom: ciberespionaje, crimen y conexión con el GRU

RomCom, también conocido como:

• Nebulous Mantis
• Tropical Scorpius
• Storm-0978
• Void Rabisu
• UNC2596

es un grupo vinculado a campañas de ciberespionaje y crimen híbrido desde al menos 2022.

Arctic Wolf atribuye esta actividad con confianza media-alta a la Unidad 29155 del GRU ruso, una división del Estado Mayor de las Fuerzas Armadas rusas, asociada previamente a operaciones encubiertas y sabotaje cibernético.

En este caso específico, el objetivo fue una empresa de ingeniería civil estadounidense que anteriormente había trabajado para una ciudad con fuertes vínculos con Ucrania.

Esto refuerza un patrón constante: RomCom ataca organizaciones directa o indirectamente relacionadas con Ucrania, sus aliados y entidades que ofrecen soporte técnico, logístico o infraestructural.

Cadena de ataque: cómo se ejecutó la intrusión

El ataque analizado por los investigadores siguió una secuencia casi quirúrgicamente milimetrada:

1. Compromiso de un sitio web legítimo
Los atacantes explotaron vulnerabilidades en plugins para inyectar código JavaScript malicioso.

2. Distribución del loader SocGholish
Al visitar el sitio, la víctima veía una falsa actualización de navegador y descargaba el archivo JavaScript.

3. Ejecución de shell inversa
El código malicioso establecía conexión con un servidor de comando y control (C2), permitiendo a los atacantes ejecutar comandos remotamente.

4. Reconocimiento inicial
Los actores recopilaban información sobre el entorno: sistema operativo, usuarios, dominio, y estructura interna.

5. Verificación del dominio Active Directory
La entrega de RomCom no ocurría hasta que se verificaba que el dominio Windows coincidía con un valor predefinido, demostrando un ataque altamente dirigido.

6. Despliegue del loader RomCom
Se entregaba un cargador DLL con capacidad para iniciar el framework RomCom.

7. Lanzamiento del Agente Mítico y VIPERTUNNEL

• El Agente Mítico es un componente post-explotación multiplataforma usado para control total del sistema.
• VIPERTUNNEL, una puerta trasera escrita en Python, facilitaba comunicaciones persistentes con el servidor atacante.

Todo este proceso ocurrió en menos de 30 minutos desde la infección inicial, lo que demuestra un nivel de automatización y eficiencia altamente preocupante.

Técnicas, tácticas y procedimientos (TTPs) destacados

Esta campaña muestra un alto nivel de sofisticación técnica:

• Uso de JavaScript malicioso como vector inicial.
• Aplicación de spear-phishing indirecto, a través de sitios legítimos comprometidos.
• Implementación de shell inversa para control remoto.
• Uso de malware modular: SocGholish + RomCom + Agente Mítico.
• Creación de una infraestructura C2 resiliente para mantener persistencia.

Además, el ataque demuestra una clara integración de herramientas de red teaming ofensivo en operaciones reales de espionaje.

Implicaciones para empresas y equipos de seguridad

Este caso confirma varias tendencias clave en el panorama actual de amenazas:

• El JavaScript sigue siendo uno de los vectores más explotados.
• Los loaders como SocGholish se consolidan como "marketplace" de acceso para diferentes actores.
• Los ataques dirigidos continúan escalando en velocidad: menos de una hora desde la infección hasta el compromiso total.

Las empresas, especialmente aquellas vinculadas a sectores estratégicos, infraestructura crítica y gobiernos locales, deberían reforzar:

• Políticas de actualización centralizada de software.
• Filtrado de scripts en navegadores corporativos.
• Segmentación de red y monitoreo de tráfico C2.
• Protección avanzada de endpoints.
• Evaluaciones constantes de seguridad en sus sitios web.

En fin...

El ataque que combina SocGholish y RomCom marca un nuevo precedente en las amenazas persistentes avanzadas (APT) modernas. No se trata simplemente de ciberdelito económico, sino de un modelo híbrido en el que convergen espionaje, sabotaje y acceso criminal como servicio.

La utilización de JavaScript, loaders modulares, y malware como servicio demuestra cómo el ecosistema criminal evoluciona para operar con velocidad, precisión y sigilo.

Las organizaciones deben considerar este caso como una señal de alerta temprana frente a futuras campañas más sofisticadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado una nueva extensión maliciosa en la Chrome Web Store, denominada Crypto Copilot, diseñada para robar criptomonedas Solana (SOL) mediante una técnica sofisticada de manipulación de transacciones en exchanges descentralizados.

Este caso vuelve a poner en evidencia cómo las extensiones de navegador se han convertido en una superficie de ataque crítica dentro del ecosistema cripto, especialmente cuando se utilizan para interactuar con wallets, DeFi y plataformas de trading.

¿Qué es Crypto Copilot y cómo llega a las víctimas?

Crypto Copilot fue publicada el 7 de mayo de 2024 en la Chrome Web Store por un usuario que se identifica como "sjclark76".
El desarrollador promociona la extensión como una herramienta para "operar criptomonedas directamente en X con información en tiempo real y una ejecución fluida", aparentando ser un asistente para traders de Web3.

Aunque contaba con apenas 12 instalaciones, su impacto potencial es alto debido al perfil de usuarios objetivo: personas activas en trading de Solana, especialmente en plataformas DeFi como Raydium.

El problema es que, detrás de esta interfaz aparentemente legítima, se oculta una funcionalidad maliciosa sumamente peligrosa.

Inyección sigilosa de transferencias SOL en swaps

De acuerdo con el investigador de seguridad Kush Pandya, de la empresa Socket, Crypto Copilot está diseñada para:

Inyectar una transferencia adicional oculta en cada operación de swap en la red Solana.

En lugar de modificar directamente la interfaz gráfica del usuario, la extensión actúa a nivel del flujo de transacción, manipulando el proceso antes de que el usuario firme.

¿Cómo lo hace exactamente?

Cuando un usuario realiza un swap en Raydium, la extensión:

• Intercepta la transacción antes de que se muestre para su firma.
• Inserta un método oculto SystemProgram.transfer.
• Añade una transferencia SOL hacia una cartera controlada por los atacantes.
• La transacción modificada se firma junto al intercambio original, sin alertar al usuario.

Todo esto ocurre de forma transparente y silenciosa, lo que hace que la víctima no tenga forma sencilla de detectar el robo.

Robo encubierto por "microcomisiones"

La estrategia de los atacantes no es robar grandes cantidades de una sola vez, sino aplicar una especie de "impuesto invisible" en cada transacción.

El esquema funciona así:

• Cobra un mínimo de 0,0013 SOL por operación.
• Si el swap supera los 2,6 SOL, añade además un 0,05% del importe total.
• Todo el dinero se redirige a una cartera codificada dentro del propio código de la extensión.

Este enfoque es peligroso porque:

• Las cantidades robadas parecen insignificantes en transacciones pequeñas.
• Los usuarios tienden a asumirlas como comisiones del protocolo.
• No aparece reflejado en la interfaz de Raydium ni en ninguna UI visible.

Ofuscación y técnicas de evasión

Para evitar ser detectado durante revisiones o análisis, el malware contenido en Crypto Copilot utiliza técnicas avanzadas como:

• Minificación de código.
• Renombramiento de variables y funciones.
• Fragmentación lógica para dificultar el análisis estático.
• Uso de estructuras ofuscadas que ocultan la lógica real de la extensión.

Esto complica su detección tanto por herramientas automáticas como por revisores humanos dentro de la propia Chrome Web Store.

Comunicación con servidores externos

La extensión no opera de forma aislada. También se comunica con una infraestructura backend alojada en:

• crypto-coplilot-dashboard.vercel[.]app
• cryptocopilot[.]app

Estos dominios no ofrecen ningún servicio real al usuario. Su función es:

• Registrar carteras conectadas.
• Recopilar datos sobre la actividad de los usuarios.
• Obtener información sobre puntos y referencias.
• Recoger métricas de uso y comportamiento.

Además, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para simular normalidad en su operación y reforzar su apariencia de legitimidad.

Un robo invisible para el usuario promedio

Uno de los aspectos más preocupantes de este ataque es que el usuario no tiene ninguna pista visual del fraude:

• La interfaz muestra solo los detalles del swap normal.
• No hay avisos sobre transferencias adicionales.
• La transacción firmada incluye instrucciones ocultas que pasan desapercibidas.

CitarComo explica Kush Pandya:

"Como esta transferencia se añade silenciosamente y se envía a una cartera personal en lugar de a una tesorería de protocolos, la mayoría de los usuarios nunca la notarán a menos que inspeccionen cada instrucción antes de firmar."

Esto demuestra cómo el eslabón más débil en el ecosistema Web3 sigue siendo la confianza ciega en herramientas de terceros.

Riesgos crecientes en el ecosistema DeFi y blockchain

Este caso pone sobre la mesa varias amenazas en auge:

• Aumento de extensiones maliciosas Web3.
• Abuso de permisos en navegadores.
• Técnicas de manipulación directa en transacciones blockchain.
• Creciente sofisticación en ataques dirigidos a usuarios de Solana y DeFi.

No se trata solo de un problema técnico, sino de un desafío global de seguridad en el ecosistema cripto, donde cada capa (wallet, navegador, plugin) puede convertirse en una vía de ataque.

Cómo protegerse de extensiones maliciosas en criptomonedas

Para reducir el riesgo frente a amenazas como Crypto Copilot, se recomienda:

• Evitar instalar extensiones de baja reputación, especialmente en entornos de trading.
• Verificar siempre:
• Número de descargas.
• Reseñas verificadas.
• Identidad del desarrollador.
• Utilizar wallets hardware cuando sea posible.
• Revisar manualmente las transacciones antes de firmarlas.
• Separar la navegación de uso cripto de la navegación diaria.
• Mantener un navegador exclusivo para DeFi.
• Revisar permisos de cada extensión instalada.

Una señal de alerta para toda la comunidad cripto

Crypto Copilot no es solo una extensión maliciosa más. Representa un nuevo modelo de ataque centrado en la manipulación directa de transacciones blockchain, diseñado para robar pequeñas cantidades de forma silenciosa, persistente y difícil de detectar.

Este tipo de amenazas crecerán mientras el ecosistema siga madurando y más usuarios entren al mundo de las criptomonedas sin la debida educación en seguridad digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proyecto Tor ha anunciado una de las actualizaciones criptográficas más importantes de su historia reciente: la sustitución del antiguo algoritmo de cifrado por relé Tor1 por un nuevo diseño denominado Counter Galois Onion (CGO).
Esta transición supone un salto significativo en la seguridad, resistencia a ataques de interceptación de tráfico y protección del anonimato de los usuarios de la red.

En un contexto global de vigilancia masiva, ataques de correlación de tráfico y sofisticación creciente de técnicas de espionaje digital, esta evolución busca reforzar a Tor como una de las infraestructuras más relevantes en la defensa de la privacidad y la libertad en internet.

¿Qué es la red Tor y por qué es tan importante?

La red Tor es una infraestructura global compuesta por miles de relés distribuidos alrededor del mundo. Su objetivo principal es permitir la navegación anónima y resistente a la censura.

Tor funciona mediante el llamado enrutamiento onion (onion routing), donde cada paquete de datos viaja a través de tres relés:

• Relé de entrada (Guard Node)
• Relé intermedio (Middle Relay)
• Relé de salida (Exit Node)

En cada salto, el tráfico se descifra una capa, como si se pelara una cebolla, de modo que ningún relé conoce al mismo tiempo el origen y el destino final de la comunicación.

Los usuarios del Tor Browser —una versión reforzada de Firefox— se benefician de este sistema para:

• Proteger su identidad.
• Evitar el seguimiento por parte de ISPs y gobiernos.
• Eludir la censura en regímenes autoritarios.
• Investigar de forma segura.
• Acceder a la red .onion.

Aunque Tor también es utilizado por ciberdelincuentes, su valor para periodistas, activistas, denunciantes e investigadores en contextos represivos sigue siendo fundamental.

El problema con Tor1: un diseño criptográfico que se quedó atrás

El algoritmo Tor1 fue diseñado en una época en la que las amenazas criptográficas actuales no existían o no estaban suficientemente estudiadas. Con el tiempo, surgieron varias debilidades estructurales:

1. Cifrado maleable con AES-CTR

Tor1 utilizaba AES en modo CTR sin autenticación salto a salto.
Esto permitía ataques de etiquetado (tagging attacks), donde un atacante que controla ciertos relés podía modificar bits en las celdas y observar cambios en otros puntos del circuito, comprometiendo potencialmente el anonimato.

2. Secreto hacia adelante incompleto

Tor1 reutilizaba las mismas claves AES durante toda la vida del circuito.
Si un atacante robaba una clave, podía descifrar sesiones pasadas, lo cual rompe el principio de forward secrecy (secreto hacia adelante).

3. Autenticación débil basada en SHA-1

Tor1 empleaba un digest SHA-1 de solo 4 bytes, dando una probabilidad de 1 entre 4.000 millones para falsificar una celda válida.
Aunque estadísticamente baja, este margen ya no cumple con los estándares modernos de seguridad, especialmente considerando capacidades actuales de ataque.

Nace CGO: Counter Galois Onion

Para solucionar estos problemas, Tor ha diseñado CGO (Counter Galois Onion), un nuevo sistema criptográfico fundamentado en una construcción llamada Rugged Pseudorandom Permutation (RPRP) conocida como UIV+, desarrollada por reconocidos investigadores en criptografía.

Según el propio equipo de Tor, CGO ha sido verificado formalmente para cumplir propiedades modernas de seguridad como:

• Resistencia a ataques de etiquetado
• Secreto inmediato hacia adelante
• Autenticadores más largos y robustos
• Eficiencia operativa
• Baja sobrecarga de ancho de banda

Principales mejoras de CGO frente a Tor1

1. Protección avanzada contra ataques de etiquetado

CGO utiliza un esquema de cifrado de bloques anchos junto con un sistema de encadenamiento de etiquetas.
Esto significa que cualquier modificación en una celda rompe toda la cadena subsiguiente, haciendo que el ataque sea inútil.

Resultado: se neutralizan los ataques de manipulación de tráfico entre relés controlados por adversarios.

2. Secreto hacia adelante real

Con CGO, las claves se actualizan después de cada celda transmitida, no solo por circuito.

 Si un atacante roba una clave actual, no podrá descifrar el tráfico pasado, preservando la confidencialidad histórica.

3. Autenticación moderna y más segura

CGO elimina completamente SHA-1 del cifrado por relé y lo reemplaza por un autenticador de 16 bytes.

Esto reduce drásticamente las posibilidades de falsificación:

Mucho más allá de los estándares mínimos actuales.

Alineado con prácticas modernas de criptografía segura.

4. Integridad del circuito mejorada

CGO encadena las etiquetas cifradas (T') y los nonces iniciales (N) entre celdas.
Cada nueva celda depende criptográficamente de todas las anteriores.

Esto hace que un atacante no pueda modificar una parte del circuito sin invalidar todo el flujo.

¿Impacta esto en la experiencia del usuario?

Una de las preocupaciones habituales con cambios criptográficos es el posible impacto en el rendimiento.
El equipo de Tor ha confirmado que CGO ha sido diseñado para minimizar la sobrecarga de ancho de banda y latencia, manteniendo una operación eficiente incluso en condiciones exigentes.

Además:

• Los usuarios de Tor Browser no tendrán que hacer nada.
• La migración será automática una vez que CGO sea desplegado como estándar.
• Inicialmente se marca como función experimental en C Tor y Arti (cliente en Rust).

Aún no hay una fecha oficial para que CGO sea el método predeterminado, pero su integración ya está en marcha.

Implicaciones para la ciberseguridad y la privacidad global

La adopción de CGO refuerza a Tor frente a:

• Ataques de correlación de tráfico.
• Intercepción avanzada por actores estatales.
• Manipulación interna de flujos.
• Explotación de debilidades criptográficas heredadas.

En una era donde la vigilancia digital se ha convertido en una herramienta geopolítica, el fortalecimiento de infraestructuras como Tor es clave para mantener el derecho a la privacidad.

Una evolución necesaria para un internet más privado

La transición de Tor1 a CGO representa una evolución natural y necesaria frente al avance de las amenazas modernas.
El proyecto Tor ha demostrado una vez más su compromiso con la seguridad, la transparencia y la protección del anonimato en un entorno digital cada vez más hostil.

Si trabajas en áreas como:

• Ciberseguridad.
• Análisis de tráfico.
• Protección de identidades digitales.
• Investigación sobre privacidad.

...esta actualización marca un hito importante que deberías seguir de cerca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fabricante taiwanés ASUS ha publicado una actualización urgente de firmware para sus routers, destinada a corregir nueve vulnerabilidades de seguridad, entre ellas una falla crítica que permite la evasión de autenticación en dispositivos con su función de nube AiCloud habilitada.

La vulnerabilidad más grave ha sido identificada como CVE-2025-59366. Según el aviso oficial, este fallo puede activarse por un efecto colateral inesperado de la funcionalidad Samba, lo que posibilita la ejecución de funciones específicas sin la debida autorización.

¿Por qué es peligrosa esta vulnerabilidad?

• CVE-2025-59366 tiene una puntuación de CVSS 9.2 (crítica).
• Puede explotarse desde la red, con baja complejidad y sin requerir privilegios ni interacción del usuario.
• El atacante podría ejecutar comandos arbitrarios en el router, comprometiendo la confidencialidad, integridad y disponibilidad del dispositivo y de la red local.

Además, esta vulnerabilidad se suma a otra anterior, CVE-2025-2492, que en abril también permitió un bypass de autenticación en routers con AiCloud, y que ya fue explotada en una campaña global.

¿Qué significa AiCloud y por qué aumenta el riesgo?

AiCloud es una función integrada en muchos modelos de routers ASUS, diseñada para convertir el router en una nube privada: permite el acceso remoto a archivos almacenados en unidades USB, streaming de medios y sincronización de datos desde cualquier ubicación.

Aunque útil desde el punto de vista de conveniencia, esta característica incrementa la superficie de ataque. Si un router tiene AiCloud habilitado y no está actualizado, un atacante podría explotar vulnerabilidades como CVE-2025-59366 o CVE-2025-2492 para tomar control absoluto del dispositivo, acceder a la red local, interceptar datos, o incluso usar el router como nodo en una red maliciosa.

Explotaciones reales: campaña global de secuestro de routers

Los problemas con AiCloud ya trascendieron la teoría: investigadores de seguridad detectaron que miles de routers ASUS —especialmente aquellos en fin de vida útil (EoL) o sin soporte— fueron comprometidos en una operación masiva. La campaña, conocida como Operation WrtHug, usó múltiples vulnerabilidades, entre ellas CVE-2025-2492, para infiltrar dispositivos y transformarlos en "cajas de retransmisión operativas" (ORB), parte de una red global de espionaje y ataque.

Según los investigadores, se han identificado más de 50 000 direcciones IP únicas de routers comprometidos alrededor del mundo.

Los routers infectados comparten un certificado TLS autorfirmado con una vigencia de 100 años —un método poco común y considerado un indicador de compromiso— lo que permitió rastrear la magnitud de la operación.

Modelos afectados detectados incluyen (pero no se limitan a): 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS, RT-AC1300UHP.

Qué recomienda hacer ASUS (y toda persona que use un router vulnerable)

Ante este escenario, ASUS ha emitido una serie de recomendaciones urgentes:

• Actualizar el firmware del router a la versión más reciente — si hay parche disponible. Esto es fundamental para cerrar CVE-2025-59366, junto con las otras ocho vulnerabilidades.
• Si el router está en fin de vida útil o ya no recibe soporte, ASUS sugiere desactivar AiCloud y cualquier otro servicio accesible desde Internet: acceso remoto WAN, redirección de puertos, DDNS, servidor VPN, DMZ, FTP, etc.
• Usar contraseñas robustas: tanto para la administración del router como para la red inalámbrica — contraseñas largas, únicas, con combinaciones seguras.
• Verificar periódicamente nuevas actualizaciones de firmware y estar alerta ante avisos oficiales de seguridad.

Estas medidas permiten reducir significativamente la superficie de ataque e impedir que routers obsoletos sean comprometidos o integrados a botnets.

¿Por qué urge actuar ya?

La reciente divulgación de CVE-2025-59366 y el resto de vulnerabilidades parcheadas por ASUS evidencia un patrón claro: el uso de funciones "comodín" como AiCloud —aunque práctico— se convierte en una puerta de entrada peligrosa si no se gestiona adecuadamente. La facilidad de explotación, el hecho de que no requiera privilegios ni interacción del usuario, y la posibilidad real de que routers vulnerables formen parte de campañas globales de ciberespionaje, elevan el riesgo a un nivel crítico.

Si administras redes domésticas, micro-oficinas o pymes, la prioridad debe ser inmediata: actualizar firmware, deshabilitar accesos innecesarios desde internet, y reforzar configuración con contraseñas seguras. Sólo así podrás proteger tu infraestructura, tus datos y evitar convertir tu router en un eslabón vulnerable dentro de una red hostil.

Este aviso sirve también como llamado de atención general: la seguridad de las redes empieza en los dispositivos de borde —y en 2025, eso incluye routers domésticos. Mantente al día con los boletines oficiales, evalúa el estado de soporte de tus dispositivos y nunca subestimes la importancia de un firmware actualizado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas están innovando a un ritmo alarmante, y una de las tácticas más preocupantes de los últimos meses es el uso de notificaciones push del navegador como canal de comando y control (C2). Esta técnica ha sido potenciada por una nueva plataforma conocida como Matrix Push C2, que está transformando un mecanismo legítimo del navegador en una infraestructura de phishing persistente, multiplataforma y difícil de detectar.

A diferencia del malware tradicional, este sistema no requiere instalar archivos en el dispositivo. Todo ocurre dentro del navegador, aprovechando un comportamiento habitual: aceptar notificaciones de un sitio web.

¿Qué es Matrix Push C2 y por qué representa una amenaza crítica?

Matrix Push C2 es un framework de comando y control basado 100% en navegador que utiliza:

• Notificaciones push web
• Ingeniería social
• Redirecciones maliciosas
• Plantillas de suplantación de marcas

Su objetivo es establecer un canal persistente entre el atacante y la víctima, sin necesidad de comprometer directamente el sistema operativo o instalar malware tradicional.

CitarEl ataque inicia cuando el usuario entra en un sitio web comprometido o malicioso que muestra un mensaje engañoso, como:

"Haga clic en Permitir para verificar que no es un robot"
"Presione Permitir para continuar la descarga"

Una vez que el usuario acepta las notificaciones, el atacante obtiene un canal permanente para enviarle alertas falsas directamente al escritorio o dispositivo móvil.

De notificaciones a phishing directo

Una vez autorizado, Matrix Push C2 puede enviar notificaciones que aparentan ser de:

• El sistema operativo
• El navegador (Chrome, Edge, Firefox, etc.)
• Servicios populares como PayPal, Cloudflare o Netflix

Estas notificaciones incluyen botones como "Verificar", "Actualizar" o "Asegurar cuenta", que redirigen a páginas falsas diseñadas para:

• Robar credenciales
• Capturar claves de acceso
• Drenar monederos de criptomonedas
• Distribuir malware adicional

Lo más peligroso es que la víctima suele confiar en estas alertas, ya que se presentan dentro de un entorno familiar: su propio navegador.

Una amenaza multiplataforma y persistente

Una de las mayores ventajas de Matrix Push C2 para los atacantes es su capacidad multiplataforma:

• Funciona en Windows, macOS, Linux, Android e incluso iOS.
• No depende del sistema operativo, sino del navegador.
• Elimina muchas barreras tradicionales de seguridad.

Además, este canal actúa como un mecanismo de comunicación persistente, lo que significa que el atacante puede seguir enviando campañas de phishing durante semanas o meses, incluso si la víctima abandona el sitio original.

Matrix Push C2 como Malware-as-a-Service

Matrix Push C2 se comercializa bajo el modelo MaaS (Malware-as-a-Service), facilitando su acceso a criminales con poca experiencia técnica.

Su modelo de precios aproximado incluye:

• 150 USD por 1 mes
• 405 USD por 3 meses
• 765 USD por 6 meses
• 1,500 USD por 1 año completo

Los pagos se realizan en criptomonedas y se negocian principalmente a través de canales clandestinos en Telegram y foros de ciberdelito.

Este bajo costo y facilidad de uso está permitiendo una expansión acelerada de campañas maliciosas a nivel global.

Panel de control: espionaje en tiempo real

Matrix Push C2 cuenta con un panel web donde los atacantes pueden:

• Monitorear víctimas en tiempo real
• Ver qué notificaciones fueron abiertas
• Utilizar acortadores de URL integrados
• Detectar extensiones del navegador, incluyendo wallets de criptomonedas
• Configurar plantillas con identidad visual de marcas reconocidas

Marcas como PayPal, MetaMask, TikTok, Netflix y Cloudflare ya están siendo suplantadas dentro de estas campañas.

Velociraptor: cuando una herramienta defensiva se convierte en arma ofensiva

De forma paralela, ha surgido otra tendencia peligrosa: el abuso de herramientas legítimas de ciberseguridad. Entre ellas destaca Velociraptor, una potente herramienta de DFIR (Digital Forensics and Incident Response) utilizada por equipos de respuesta ante incidentes.

Según Huntress, se ha detectado un aumento significativo en ataques donde los criminales usan Velociraptor con fines maliciosos.

Ataque mediante vulnerabilidad crítica en WSUS

En noviembre de 2025, se documentó un ataque en el que actores maliciosos explotaron una vulnerabilidad crítica en Windows Server Update Services (WSUS):

• CVE-2025-59287
• Puntuación CVSS: 9.8

Tras conseguir el acceso inicial, los atacantes desplegaron Velociraptor para:

• Realizar reconocimiento interno
• Identificar usuarios privilegiados
• Mapear servicios activos
• Analizar configuraciones del sistema

Aunque el ataque fue contenido, el caso evidencia cómo herramientas legítimas pueden ser reutilizadas para objetivos ofensivos.

El peligro del uso de herramientas duales

Velociraptor no es un caso aislado. Cada vez más actores maliciosos utilizan herramientas de:

• Forense digital
• Monitorización
• Administración remota

¿Por qué?

Porque este tipo de herramientas no generan alertas inmediatas, ya que suelen estar permitidas en entornos corporativos.

Esto complica enormemente la detección de intrusiones basadas en "living-off-the-land" y herramientas duales.

Relación entre Matrix Push C2 y el abuso de herramientas legítimas

Ambas estrategias tienen algo en común:
explotan la confianza en herramientas y funciones legítimas.

• Matrix Push C2 convierte una función normal del navegador en un canal de ataque.
• Velociraptor transforma una herramienta de defensa en un instrumento ofensivo.

Este patrón confirma una tendencia clara: los atacantes están dejando de depender exclusivamente de malware tradicional y están pasando a explotar factores humanos, configuraciones permisivas y herramientas preexistentes.

Cómo protegerse frente a Matrix Push C2 y Velociraptor

Para mitigar este tipo de amenazas, se recomienda:

• Bloquear las notificaciones push en sitios desconocidos.
• Implementar políticas de navegación restrictivas en entornos corporativos.
• Deshabilitar notificaciones web por defecto.
• Monitorear el uso de herramientas de seguridad como Velociraptor.
• Aplicar parches críticos de Microsoft, especialmente en WSUS.
• Implementar soluciones EDR con capacidades de detección de abuso de herramientas legítimas.
• Capacitar a los usuarios en identificación de ingeniería social.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de amenazas persistentes avanzadas APT31, vinculado a China, ha sido atribuido a una serie de ciberataques altamente sofisticados contra el sector tecnológico ruso entre 2024 y 2025. Las intrusiones, que permanecieron indetectadas durante largos periodos, reflejan una evolución significativa en las técnicas de espionaje digital empleadas por actores patrocinados por Estados.

Según un informe técnico de los investigadores Daniil Grigoryan y Varvara Koloskova de Positive Technologies, las campañas tuvieron como objetivo principal empresas de TI que actúan como integradores de soluciones o contratistas de agencias gubernamentales rusas, posicionándolas como nodos estratégicos dentro de cadenas de suministro digitales y entornos críticos.

¿Quién es APT31?

APT31, también conocido como Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres y Violet Typhoon (antes Zirconium), es un grupo de ciberespionaje activo al menos desde 2010. Tiene un historial bien documentado de ataques a:

• Gobiernos y organizaciones estatales
• Sector financiero
• Industria aeroespacial y defensa
• Tecnología avanzada
• Telecomunicaciones
• Infraestructura y construcción
• Medios de comunicación y seguros

Su objetivo principal es recopilar inteligencia estratégica que pueda beneficiar a entidades gubernamentales y corporaciones estatales chinas en términos políticos, económicos y militares.

En mayo de 2025, incluso la República Checa atribuyó oficialmente a APT31 un ciberataque contra su Ministerio de Asuntos Exteriores, reforzando la percepción de este actor como una amenaza global de alto nivel.

Infraestructura en la nube: el arma invisible de APT31

Uno de los aspectos más relevantes de esta campaña contra Rusia es el uso intensivo de servicios legítimos en la nube, especialmente aquellos populares en el país, como Yandex Cloud y Microsoft OneDrive, para operaciones de:

• Comando y control (C2)
• Exfiltración de datos
• Persistencia encubierta

Al utilizar infraestructuras cloud ampliamente utilizadas, APT31 consigue integrarse en el tráfico legítimo y evadir sistemas tradicionales de detección, dificultando su identificación por parte de los equipos de ciberseguridad.

Además, los atacantes organizaron comandos cifrados en perfiles de redes sociales, nacionales e internacionales, introduciendo códigos ocultos para la comunicación con sus implantes. Las operaciones se ejecutaban principalmente durante fines de semana y días festivos, aprovechando la menor supervisión en entornos corporativos.

Vectores de ataque utilizados

En una intrusión detectada en diciembre de 2024, APT31 utilizó un ataque de spear-phishing dirigido, enviando correos electrónicos que contenían un archivo RAR. Este archivo incluía un acceso directo .LNK que ejecutaba una carga maliciosa mediante carga lateral de DLL, activando el cargador CloudyLoader de Cobalt Strike.

Este mismo patrón fue documentado meses después por Kaspersky, que vinculó la actividad con un conjunto de amenazas conocido como EastWind, evidenciando conexiones operativas entre campañas.

También se identificó un archivo ZIP malicioso que se hacía pasar por un informe del Ministerio de Asuntos Exteriores de Perú, utilizado como señuelo para engañar a las víctimas y ejecutar el malware.

Arsenal técnico de APT31

APT31 demuestra una capacidad avanzada al combinar herramientas personalizadas con utilidades públicas, facilitando el movimiento lateral, la persistencia y la exfiltración. Entre las herramientas identificadas destacan:

• SharpADUserIP: reconocimiento de red y descubrimiento de usuarios
• SharpChrome.exe: robo de contraseñas y cookies en Chrome y Edge
• SharpDir: búsqueda de archivos sensible
• StickyNotesExtract.exe: recuperación de datos de notas adhesivas de Windows
• Tailscale VPN: creación de túneles cifrados y redes P2P encubiertas
• Microsoft Dev Tunnels: tunelización del tráfico malicioso
• Owawa: módulo IIS para robo de credenciales
• AufTime: puerta trasera Linux con comunicaciones cifradas vía wolfSSL
• COFFProxy: backdoor en Golang con funciones de túnel, gestión y ejecución remota
• VtChatter: canal C2 usando archivos en VirusTotal con comentarios en Base64
• OneDriveDoor: uso de OneDrive como servidor C2
• LocalPlugX: variante de PlugX para expansión lateral sin C2 externo
• CloudSorcerer: backdoor basada en servicios cloud
• YaLeak: herramienta para subir datos robados a Yandex Cloud

Estas herramientas permiten a APT31 permanecer oculto en redes comprometidas durante años, manteniendo persistencia mediante tareas programadas que imitan aplicaciones legítimas como Google Chrome o Yandex Disk.

Exfiltración y robo de información sensible

Según Positive Technologies, APT31 logró descargar grandes volúmenes de información confidencial, incluyendo:

• Contraseñas de correos corporativos
• Credenciales de servicios internos
• Documentos técnicos y estratégicos
• Información de infraestructura crítica

El uso de Yandex Cloud como canal de exfiltración facilitó que los datos robados pasaran desapercibidos al mezclarse con tráfico legítimo empresarial.

Impacto en la seguridad del ecosistema tecnológico

Este caso expone un problema crítico: los grupos APT ya no dependen exclusivamente de malware sofisticado, sino de:

• Infraestructuras cloud legítimas
• Herramientas públicas
• Técnicas de "living off the land"
• Ingeniería social muy dirigida

Para las empresas de TI y proveedores gubernamentales, esto implica una necesidad urgente de:

• Implementar detección de comportamiento anómalo (UEBA)
• Monitorizar el uso de servicios en la nube
• Revisar tareas programadas y persistencia sospechosa
• Reforzar políticas de protección contra spear-phishing
• Usar EDR con capacidades de análisis avanzado de memoria

En fin...

Las campañas de APT31 contra empresas tecnológicas rusas representan un ejemplo claro del nuevo paradigma de ciberespionaje moderno, basado en infiltraciones silenciosas, herramientas híbridas y abuso de infraestructuras legítimas.

Este caso demuestra que la defensa ya no puede basarse solo en firmas de malware, sino en análisis de comportamiento, monitoreo continuo e inteligencia de amenazas avanzada.

Las organizaciones que operan en sectores estratégicos deben asumir que son objetivos potenciales y actuar en consecuencia, fortaleciendo su postura de seguridad cibernética antes de convertirse en la próxima víctima invisible.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cox Enterprises ha confirmado una grave brecha de seguridad tras detectar que hackers accedieron a su red corporativa aprovechando una vulnerabilidad zero-day en Oracle E-Business Suite (EBS). Este incidente expuso datos personales de empleados y clientes, y fue reportado a las víctimas mediante una notificación en la que la empresa asegura que ya toma medidas para mitigar el daño.

Cómo ocurrió el ataque

Según el aviso oficial, Cox Enterprises identificó actividad sospechosa relacionada con su plataforma Oracle E-Business Suite el 29 de septiembre de 2025, lo que desencadenó una investigación interna. Más tarde se determinó que el origen de la intrusión fue una vulnerabilidad crítica (CVE-2025-61882), explotada entre el 9 y el 14 de agosto de 2025 por atacantes no identificados inicialmente.

Esta falla permite ejecución remota de código sin autenticación, lo que significa que un atacante con acceso a la red HTTP podría ejecutar comandos arbitrarios.
Oracle emitió un parche de emergencia el 4 de octubre de 2025, fuera de su ciclo habitual de actualizaciones, para corregir la vulnerabilidad.

El rol de Cl0p en el ataque

La brecha parece estar vinculada al grupo de ransomware Cl0p, que ha reivindicado la explotación de la vulnerabilidad en comunicaciones de extorsión.
Analistas de CrowdStrike relacionan esta campaña con una rama conocida como "Graceful Spider", aunque no descartan que otros actores estén involucrados.

El método técnico empleado por los atacantes es complejo pero eficaz:

• Realizan una petición HTTP a /OA_HTML/SyncServlet para evadir la autenticación.
• Luego suben plantillas XSLT maliciosas mediante las rutas /OA_HTML/RF.jsp y /OA_HTML/OA.jsp o UiServlet.

Estas plantillas, al ser procesadas o previsualizadas, ejecutan código Java malicioso en memoria, lo que permite instalar web shells, mantener persistencia y exfiltrar datos.
Además, algunos informes indican que los atacantes usaron una cadena de explotación que incluye SSRF (Server-Side Request Forgery), inyección CRLF y deserialización insegura para lograr una ejecución de código completa.

Impacto y sectores afectados


El incidente compromete directamente la integridad de Cox Enterprises, un conglomerado estadounidense con presencia masiva en medios (Cox Media Group), telecomunicaciones (Cox Communications) y servicios automovilísticos (Cox Automotive). La empresa cuenta con alrededor de 55,000 empleados y reporta ingresos anuales de unos 23,000 millones de dólares. En consecuencia, la escala del impacto es alta.

Cl0p incluyó a Cox en su portal de filtraciones en la dark web el 27 de octubre de 2025, mostrando que la empresa no es la única víctima.
 Otras organizaciones también han denunciado brechas similares, entre ellas Logitech, el Washington Post, GlobalLogic, Envoy Air y la Universidad de Harvard.

Datos potencialmente expuestos y respuesta de Cox

En la notificación dirigida a las 9,479 personas afectadas, Cox Enterprises ofreció un año de protección contra robo de identidad y monitoreo de crédito a través de IDX, sin costo. Sin embargo, la empresa no reveló en detalle qué tipo de datos se vieron comprometidos, más allá de «información personal».

Dado el modus operandi de Cl0p (doble extorsión), es probable que se hayan copiado documentos sensibles, bases de datos de clientes, nóminas, contratos u otros datos críticos antes de emitir amenazas de divulgación.

Además, esta no es la primera brecha para Cox: en junio de 2024, Cox Communications sufrió un ataque mediante una API backend expuesta que permitió reinicios masivos de módems y acceso a datos personales de clientes. En otra ocasión, en octubre de 2021, Cox Media Group fue víctima de ransomware que afectó sus transmisiones en vivo.

Riesgos, lecciones y recomendaciones

Este incidente destaca varias lecciones clave para la industria tecnológica y las organizaciones que operan con sistemas críticos:

• La gestión de parches no puede esperar: La vulnerabilidad explotada (CVE-2025-61882) es altamente crítica (CVSS 9.8 ).
• Oracle emitió un parche fuera de su ciclo normal, lo que demuestra la urgencia.
• La exposición a Internet es un riesgo grave: Las instancias de Oracle EBS accesibles desde redes externas son especialmente vulnerables si no cuentan con controles de seguridad como firewalls, WAF o segmentación.
• Monitoreo e inteligencia de amenazas: Es esencial que las empresas mantengan una vigilancia activa, utilicen indicadores de compromiso (IOCs) y realicen análisis forense para detectar actividad sospechosa. Google Cloud, Mandiant y otras firmas ya han publicado detalles técnicos de la explotación.
• Respuesta ante incidentes y comunicaciones transparentes: Informar con rapidez, ofrecer servicios de protección a los afectados y colaborar con expertos en ciberseguridad son pasos fundamentales para mitigar el impacto reputacional y legal.

En fin...

La brecha de datos en Cox Enterprises derivada del exploit de Oracle E-Business Suite (CVE-2025-61882) por parte del grupo Cl0p representa una nueva escalada en los ataques dirigidos a infraestructuras empresariales de misión crítica. Este incidente pone en evidencia la importancia de una gestión proactiva de vulnerabilidades, la necesidad de monitoreo continuo y la implementación de estrategias de defensa en profundidad.

Para organizaciones que utilizan Oracle EBS, la recomendación es clara: aplicar el parche de emergencia de inmediato, revisar configuraciones de red, implementar controles de acceso y realizar auditorías de seguridad. La prevención y la preparación son las claves para evitar que otros actores maliciosos se conviertan en las próximas víctimas de campañas de extorsión institucional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de la Universidad de Viena y de SBA Research han demostrado cómo una API de detección de contactos de WhatsApp, que durante años careció de una limitación de tasa (rate limiting) eficaz, permitió la enumeración masiva de hasta 3.500 millones de números de teléfono asociados a cuentas activas en la plataforma.

Aunque los datos no fueron publicados —ya que el estudio se realizó con fines académicos y bajo criterios de divulgación responsable—, el experimento pone de manifiesto una de las técnicas más comunes utilizadas por actores maliciosos para extraer información personal desde APIs públicas mal protegidas.

Este caso reabre el debate sobre la seguridad en APIs, la protección de datos personales y el riesgo de que mecanismos diseñados para facilitar la experiencia del usuario se transformen en vectores de ataque a escala global.

Abuso de la API de detección de contactos de WhatsApp

La funcionalidad de detección de contactos de WhatsApp permite a una aplicación cliente consultar si un número específico está registrado en la plataforma y qué dispositivos tiene asociados, utilizando endpoints internos como:

• GetDeviceList
• GetUserInfo
• GetPrekeys
• FetchPicture

Este mecanismo existe para facilitar la sincronización de la libreta de contactos, pero los investigadores demostraron que, debido a la ausencia de una limitación de solicitudes robusta, se podía abusar de este sistema para realizar una enumeración masiva.

Durante el experimento:

• Se lograron enviar más de 100 millones de consultas por hora.
• Todo fue operado desde un único servidor universitario.
• Solo se utilizaron cinco sesiones autenticadas.
• WhatsApp no bloqueó las cuentas, no limitó el tráfico, ni restringió la IP, a pesar del volumen anómalo.

Los investigadores generaron una base teórica de 63 mil millones de combinaciones de números móviles posibles a nivel mundial, y los consultaron contra la API. Como resultado, lograron identificar 3.500 millones de cuentas activas de WhatsApp.

Mapa global del uso de WhatsApp

El estudio permitió obtener una fotografía inédita del uso global de WhatsApp, revelando en qué países se concentra el mayor número de cuentas:

• India: 749 millones
• Indonesia: 235 millones
• Brasil: 206 millones
• Estados Unidos: 138 millones
• Rusia: 133 millones
• México: 128 millones

Además, se identificaron millones de cuentas activas en países donde WhatsApp estaba prohibido en distintos momentos, como China, Irán, Corea del Norte y Myanmar.

En el caso de Irán, los investigadores observaron que el número de usuarios siguió aumentando incluso después del levantamiento parcial del bloqueo en diciembre de 2024.

Información personal expuesta a través de la API

El abuso no se limitó a verificar si un número estaba o no registrado. Los endpoints adicionales permitieron recopilar:

• Fotos de perfil.
• Estados públicos ("sobre").
• Información de dispositivos asociados.
• Claves públicas utilizadas en el cifrado E2EE.

En un experimento concreto con números de Estados Unidos, los investigadores descargaron 77 millones de fotos de perfil sin restricciones de tasa. Muchas de estas imágenes mostraban rostros claramente identificables.

Cuando el texto público de "información" estaba disponible, también exponía:

• Datos personales.
• Descripciones laborales.
• Enlaces a redes sociales y sitios externos.

Este tipo de información puede ser usada para phishing personalizado, suplantación de identidad, campañas de ingeniería social y perfilado masivo.

Conexión con filtraciones anteriores: Facebook y más

Al comparar los resultados con la extracción masiva de números desde Facebook en 2021, los investigadores descubrieron que:

El 58% de los números expuestos en Facebook en 2021 seguían activos en WhatsApp en 2025.

Esto demuestra que las filtraciones de números telefónicos tienen un impacto a largo plazo, ya que los usuarios suelen conservar su número durante muchos años.

Casos similares incluyen:

Facebook (2021):

Se explotó su función de "Añadir amigo" para generar perfiles de 533 millones de usuarios, incluyendo números, nombres e IDs.
Meta fue multada con 265 millones de euros por la Comisión Irlandesa de Protección de Datos (DPC).

Twitter/X:

Una vulnerabilidad en su API permitió emparejar correos y teléfonos con 54 millones de cuentas.

Dell:

Los atacantes abusaron de un endpoint no protegido y extrajeron 49 millones de registros de clientes.

Todos estos incidentes comparten un patrón:
- APIs que permiten consultas masivas sin controles adecuados.

Riesgos reales del scraping y la enumeración de cuentas

El problema no es solo técnico, sino estratégico. Las bases de datos creadas mediante enumeración pueden ser utilizadas durante años para:

• Campañas de phishing masivo.
• Ataques SIM swapping.
• Estafas vía WhatsApp o SMS.
• Ingeniería social dirigida.
• Venta de datos en foros clandestinos.

Como explican los investigadores en su estudio:

Citar"Con 3.500 millones de registros, analizamos un conjunto de datos que, de haberse publicado, podría considerarse la mayor filtración de datos de la historia".

Aunque los datos no fueron liberados, el riesgo es real porque otros actores podrían replicar el ataque si existieran fallas similares.

Medidas adoptadas por WhatsApp

Tras recibir el informe, WhatsApp implementó protecciones de limitación de tasa para sus APIs, buscando bloquear este tipo de consultas a gran escala.

Sin embargo, el caso deja una lección clara para toda la industria tecnológica:

CitarLas APIs públicas deben diseñarse bajo un modelo de seguridad por defecto y no por reacción.

Una advertencia para toda la industria

El abuso de la API de WhatsApp demuestra cómo una función legí�tima, diseñada para mejorar la experiencia de usuario, puede convertirse en una herramienta de extracción masiva de datos personales si no está protegida adecuadamente.

Este incidente no solo afecta a WhatsApp, sino que sirve como advertencia para cualquier empresa que exponga interfaces públicas sin controles de:

• Rate limiting avanzado.
• Detección de comportamiento anómalo.
• Autenticación sólida.
• Monitorización activa.

La seguridad en APIs ya no es opcional: es un pilar fundamental en la protección de datos personales a escala global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login