Una investigación reciente de Palo Alto Networks Unit 42 ha revelado una de las campañas de smishing más grandes y sofisticadas registradas hasta la fecha, vinculada al grupo chino conocido como Tríada Smishing. Desde el 1 de enero de 2024, los atacantes han registrado más de 194,000 dominios maliciosos destinados a engañar a usuarios de todo el mundo mediante mensajes de texto fraudulentos.

Este tipo de ataque, basado en el uso de SMS para inducir al error a las víctimas, ha evolucionado hasta convertirse en un ecosistema criminal altamente organizado, donde se combinan ingeniería social, automatización y servicios en la nube para maximizar el impacto y evadir la detección.

Una infraestructura global de smishing

Según el informe, los dominios se registraron a través de Dominet (HK) Limited, un registrador con sede en Hong Kong, mientras que la infraestructura de alojamiento se encuentra mayoritariamente en servicios en la nube de Estados Unidos, como Cloudflare. Este patrón ha permitido a los atacantes operar a gran escala y distribuir sus campañas con gran eficacia.

Los investigadores Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi y Moe Ghasemisharif detallan que la Tríada Smishing ha perfeccionado sus tácticas, aprovechando servicios populares en la nube para ocultar su actividad maliciosa detrás de dominios aparentemente legítimos.

En total, se identificaron 136,933 dominios raíz, de los cuales 93,200 (68,06%) están registrados bajo Dominet. Además, el 71,3% de los dominios estuvieron activos menos de una semana, lo que demuestra una rotación constante de dominios diseñada para evitar bloqueos y listas negras.

Un fraude de escala multimillonaria

El impacto económico de estas operaciones es significativo. Según un informe del Wall Street Journal, las actividades vinculadas a la Tríada Smishing han generado más de mil millones de dólares en ganancias ilícitas durante los últimos tres años.

En paralelo, Fortra advirtió que los kits de phishing asociados con este grupo están evolucionando para atacar cuentas de corretaje y plataformas financieras, buscando obtener credenciales bancarias y códigos de autenticación.

El investigador Alexis Ober explicó que, una vez comprometidas las cuentas, los ciberdelincuentes manipulan los precios del mercado bursátil mediante tácticas de "pump and dump" (rampa y descarga), incrementando los riesgos financieros y eliminando casi por completo las evidencias de su actividad.

Estructura del ecosistema criminal

La Tríada Smishing ha pasado de ser un simple proveedor de kits de phishing a un ecosistema de phishing como servicio (PhaaS) altamente descentralizado.

Este modelo involucra a múltiples actores especializados, entre ellos:

• Desarrolladores de kits de phishing que crean las plantillas de ataque.
• Corredores de datos, que venden bases de números telefónicos segmentados.
• Vendedores de dominios, responsables de registrar sitios falsos desechables.
• Proveedores de alojamiento, que ofrecen servidores en la nube.
• Spammers, encargados de distribuir los SMS a las víctimas.
• Escáneres de vida, que verifican la validez de los números telefónicos.
• Escáneres de listas negras, que validan los dominios activos antes de su despliegue.

Esta estructura cooperativa ha permitido a la Tríada Smishing mantener una operación de rotación diaria de miles de dominios, dificultando su rastreo por las autoridades y empresas de ciberseguridad.

Tácticas y objetivos más suplantados

Entre los servicios más imitados por esta red destacan:

• Servicio Postal de EE. UU. (USPS), con más de 28,000 dominios falsos.
• Servicios de peaje electrónico, que representan cerca de 90,000 dominios de phishing.
• Bancos, plataformas de criptomonedas y servicios de entrega, además de entidades gubernamentales en Rusia, Polonia y Lituania.

En las campañas de phishing que se hacen pasar por servicios gubernamentales o de peaje, las víctimas reciben mensajes que afirman la existencia de multas impagas o cargos por servicios. Al hacer clic en los enlaces, los usuarios son redirigidos a sitios falsos que solicitan información personal o financiera.

En algunos casos, se han observado señuelos tipo ClickFix, que engañan a los usuarios para ejecutar código malicioso bajo el pretexto de completar un CAPTCHA de verificación, instalando malware o troyanos bancarios en los dispositivos.

Evasión y persistencia de la amenaza

El análisis de Unit 42 revela que los 194,345 nombres de dominio completamente calificados (FQDN) resolvían hasta 43,494 direcciones IP únicas, la mayoría alojadas en Cloudflare (AS13335) y ubicadas en los Estados Unidos.

Este uso inteligente de infraestructura legítima permite que las campañas evadan los controles de seguridad, ya que el tráfico parece originarse de fuentes confiables.

La rotación rápida de dominios, la descentralización operativa y el uso de plataformas populares de hosting convierten a esta amenaza en una de las más difíciles de erradicar en el panorama actual.

Una amenaza global en constante expansión

La campaña masiva de smishing liderada por la Tríada Smishing refleja un cambio en la escala y sofisticación de las operaciones de phishing móvil global. Su capacidad para adaptarse, evadir la detección y aprovechar la infraestructura de la nube subraya la necesidad urgente de estrategias de defensa avanzadas y cooperación internacional.

Los expertos recomiendan que los usuarios eviten hacer clic en enlaces sospechosos recibidos por SMS, verifiquen directamente con las entidades supuestamente emisoras y mantengan actualizado su software de seguridad móvil.

Mientras tanto, las organizaciones deben implementar detección proactiva de dominios maliciosos y colaborar con proveedores de infraestructura para interrumpir esta red global de fraude digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han identificado una campaña sofisticada de cadena de suministro que utiliza extensiones de Visual Studio Code (VS Code) alojadas en Open VSX Registry y en el Microsoft Extension Marketplace para propagar un gusano autorreplicante bautizado como GlassWorm por Koi Security. Este incidente subraya que los desarrolladores y el ecosistema DevOps se han convertido en objetivos clave para los actores maliciosos que buscan comprometer la infraestructura de desarrollo de software.

Técnica y alcance: ¿qué hace GlassWorm?

GlassWorm es una amenaza avanzada escrita en JavaScript que fue distribuida dentro de múltiples extensiones de VS Code. La primera ola de infecciones se detectó el 17 de octubre de 2025. En total, Koi Security identificó 14 extensiones comprometidas (13 en Open VSX y 1 en Microsoft Marketplace) con alrededor de 35.800 descargas combinadas. Entre las extensiones afectadas se encuentran codejoy.codejoy-vscode-extension, ginfuru.better-nunjucks, cline-ai-main.cline-ai-agent y otras listadas por los investigadores.

Lo que distingue a GlassWorm de campañas previas es su infraestructura de comando y control (C2) basada en la cadena de bloques Solana, junto con un mecanismo de respaldo mediante Google Calendar. Este uso de blockchain permite a los atacantes ocultar y distribuir instrucciones de forma resistente a la eliminación, mientras que Google Calendar actúa como una segunda vía para recuperar cargas útiles codificadas.

Evasión y persistencia: Unicode invisible y actualizaciones automáticas

GlassWorm incorpora técnicas de evasión novedosas: el código malicioso contiene caracteres Unicode invisibles (selectores de variación) que lo hacen prácticamente indetectable a simple vista en editores de código. Según el análisis técnico de Idan Dardikman, estos caracteres forman parte de la especificación Unicode y no producen salida visual, permitiendo que el código ofensivo "desaparezca" en revisiones superficiales.

Además, las extensiones de VS Code están configuradas para actualizarse automáticamente. Esta funcionalidad permite a los atacantes empaquetar y desplegar código malicioso sin interacción adicional del usuario, acelerando la propagación del gusano.

Objetivos y carga útil: robo de credenciales, drenaje de billeteras y control remoto

El objetivo final de GlassWorm es múltiple y dirigido:

• Robo de credenciales (npm, Open VSX, GitHub, Git).
• Drenaje de fondos: el gusano explora transacciones en la blockchain Solana para localizar instrucciones incrustadas en el campo memo; si detecta la señal, descarga la siguiente etapa maliciosa. Se ha observado extracción dirigida contra 49 extensiones de billetera de criptomonedas.
• Conversión de máquinas en infraestructura maliciosa: despliegue de proxies SOCKS, módulos WebRTC para comunicación P2P y DHT de BitTorrent para distribución descentralizada de comandos.
• Acceso remoto oculto: instalación de HVNC (Hidden VNC) para control remoto severo.
• Módulo "Zombi": una segunda etapa que habilita capacidades de ladrón de información, proxy, y persistencia, consolidando el compromiso.

La cadena de infección incluye la extracción de una cadena Base64 desde el campo memo de transacciones Solana, su decodificación y la recuperación de cargas útiles desde servidores C2 identificados por direcciones IP codificadas en el proceso. Además, GlassWorm utiliza eventos de Google Calendar para recuperar instrucciones adicionales, lo que complica su interrupción.

Sospechas sobre la distribución y señales de compromiso

Aún no está claro cómo se secuestraron inicialmente las extensiones legítimas; sin embargo, la técnica y la automatización sugieren un compromiso a nivel de cuentas de publicación o un abuso en el proceso de publicación. Los nombres de las versiones comprometidas incluyen, por ejemplo, codejoy-vscode-extension 1.8.3/1.8.4 y cline-ai-agent 3.1.3 (Microsoft Marketplace).

Indicadores de compromiso y señales a revisar:

• Comportamientos inusuales de actualizaciones automáticas de extensiones.
• Tráfico de red hacia los endpoints señalados por los investigadores (cadenas recuperadas desde Solana o eventos de Google Calendar que recuperen cargas adicionales).
• Presencia de procesos o ficheros asociados a proxies SOCKS, módulos WebRTC, DHT o HVNC.
• Intentos de exfiltración hacia IPs y endpoints observados en el análisis.

Recomendaciones de mitigación para desarrolladores y equipos DevOps

• Auditar y verificar extensiones instaladas: eliminar extensiones no esenciales o de origen desconocido.
• Revisar el código fuente de extensiones antes de su instalación, prestando atención a caracteres Unicode no visibles y strings Base64 sospechosas.
• Restringir permisos y entornos de desarrollo: aislar IDEs y usar máquinas dedicadas para desarrollo de alto riesgo.
• Monitoreo de red y detección de anomalías: bloquear conexiones salientes no autorizadas y monitorizar actividad inusual relacionada con proxies o HVNC.
• Habilitar autenticación robusta y rotación de credenciales para cuentas de publicación en marketplaces y repositorios.
• Implementar políticas de control de cambios y revisiones de seguridad en la cadena de suministro de software.

En fin...

GlassWorm marca una evolución preocupante en los ataques a la cadena de suministro: un gusano autorreplicante que explota extensiones de VS Code, utiliza blockchain y servicios legítimos como mecanismos C2, y emplea técnicas de ofuscación avanzadas para evadir la detección. La comunidad de desarrollo y los equipos de seguridad deben incrementar la vigilancia, endurecer controles en los procesos de publicación y revisar las prácticas de gestión de extensiones para mitigar la amenaza a tiempo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña masiva de explotación activa está afectando a miles de sitios web de WordPress mediante la explotación de vulnerabilidades críticas en los populares complementos GutenKit y Hunk Companion. Estas fallas, descubiertas hace casi un año, están siendo aprovechadas por ciberdelincuentes para lograr ejecución remota de código (RCE) y comprometer por completo los servidores vulnerables.

La firma de seguridad especializada Wordfence informó que bloqueó más de 8,7 millones de intentos de ataque contra sitios protegidos por su firewall solo durante los días 8 y 9 de octubre, lo que evidencia la magnitud y velocidad de esta campaña.

Vulnerabilidades críticas activamente explotadas

Las fallas que los atacantes están utilizando han sido identificadas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972, todas con una puntuación CVSS de 9.8, la más alta dentro de la escala de gravedad. Estas vulnerabilidades permiten a los atacantes instalar complementos maliciosos y ejecutar código arbitrario sin autenticación.

Detalles de las vulnerabilidades

• CVE-2024-9234 (GutenKit):

Afecta al complemento GutenKit (con más de 40.000 instalaciones activas). Se trata de una falla en un endpoint REST no autenticado que permite la instalación de complementos arbitrarios sin necesidad de credenciales.

• Versiones afectadas: GutenKit 2.1.0 y anteriores
• Versión corregida: GutenKit 2.1.1 (octubre de 2024)

• CVE-2024-9707 y CVE-2024-11972 (Hunk Companion):

Ambas afectan al complemento Hunk Companion, utilizado en alrededor de 8.000 sitios. Estas vulnerabilidades implican falta de autorización en el endpoint REST themehunk-import, lo que también permite la instalación no autorizada de complementos.

Versiones afectadas:

• CVE-2024-9707: Hunk Companion 1.8.4 y anteriores
• CVE-2024-11972: Hunk Companion 1.8.5 y anteriores
• Versión corregida: Hunk Companion 1.9.0 (diciembre de 2024)

Aunque los desarrolladores publicaron parches de seguridad hace casi un año, Wordfence advierte que miles de sitios web aún utilizan versiones vulnerables, lo que deja un amplio margen de ataque para los actores maliciosos.

Cómo operan los atacantes

Los investigadores descubrieron que los ciberdelincuentes están alojando en GitHub un complemento malicioso comprimido en un archivo ZIP llamado "up", el cual se instala automáticamente en los sitios comprometidos.

Este paquete contiene scripts ofuscados capaces de:

• Subir, descargar o eliminar archivos.
• Modificar permisos del sistema.
• Inyectar código malicioso.
• Mantener persistencia en el servidor.

Uno de los scripts, protegido por contraseña y disfrazado como parte del complemento "All in One SEO", permite al atacante iniciar sesión automáticamente como administrador, otorgándole control total sobre el sitio.

Si los atacantes no logran establecer una puerta trasera completa, suelen instalar otro complemento vulnerable llamado "wp-query-console", que puede explotarse para obtener ejecución remota de código sin autenticación (RCE).

Indicadores de compromiso y direcciones IP sospechosas

Wordfence ha identificado varias direcciones IP que impulsan altos volúmenes de tráfico malicioso, lo que permite a los administradores crear reglas de defensa y bloqueo más efectivas.

Los expertos recomiendan revisar los registros de acceso (access logs) en busca de las siguientes solicitudes sospechosas:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Asimismo, es vital inspeccionar los siguientes directorios del servidor en busca de archivos o complementos no autorizados:

• /up
• /background-image-cropper
• /ultra-seo-processor-wp
• /oke
• /wp-query-console

La presencia de cualquiera de estos elementos podría indicar un compromiso activo o una intrusión previa.

Recomendaciones de seguridad para administradores de WordPress

Dado que estas vulnerabilidades se están explotando activamente, los administradores deben actuar de inmediato para proteger sus sitios:

• Actualizar GutenKit a la versión 2.1.1 o superior y Hunk Companion a la versión 1.9.0 o superior.
• Eliminar complementos o temas no utilizados que puedan contener código vulnerable.
• Monitorear los logs de acceso y error en busca de actividad inusual.
• Implementar un firewall de aplicaciones web (WAF) como Wordfence o Sucuri para bloquear intentos de explotación automatizada.
• Cambiar contraseñas y tokens de acceso si se detecta actividad sospechosa.
• Realizar copias de seguridad periódicas y almacenarlas fuera del servidor principal.

Un llamado urgente a la actualización y vigilancia

El auge de los ataques dirigidos a WordPress demuestra que los complementos desactualizados siguen siendo una de las principales puertas de entrada para los ciberdelincuentes. A pesar de que las correcciones se lanzaron hace meses, la falta de actualización en miles de sitios sigue exponiendo a empresas, blogs y tiendas en línea a riesgos de control remoto y robo de datos.

En un entorno donde las campañas de explotación se automatizan y escalan globalmente en cuestión de horas, mantener el software actualizado y aplicar medidas proactivas de ciberseguridad es la única forma de garantizar la integridad y continuidad de los sitios WordPress.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon ha confirmado que una falla crítica de DNS fue la causa detrás de la interrupción masiva de Amazon Web Services (AWS) ocurrida el pasado lunes, afectando a miles de sitios web y servicios en línea a nivel mundial. El incidente, que duró más de 14 horas, tuvo su origen en un error dentro de la infraestructura de Amazon DynamoDB, específicamente en su sistema interno de administración de DNS.

El fallo afectó de forma directa a la región US-EAST-1, ubicada en el norte de Virginia, una de las más utilizadas de AWS por empresas, plataformas y servicios críticos en Internet. Debido a su centralidad, la interrupción impactó a usuarios en Estados Unidos, Europa y América Latina, dejando temporalmente inaccesibles aplicaciones empresariales, sistemas de nube híbrida, portales web y servicios de datos esenciales.

La raíz del problema: una condición de carrera en el sistema DNS

De acuerdo con el informe oficial publicado por Amazon el jueves, la interrupción se debió a una condición de carrera latente en el sistema de administración de DNS de DynamoDB. Este error provocó que el sistema generara un registro DNS vacío incorrecto para el punto final regional You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo que eliminó de forma accidental todas las direcciones IP asociadas a ese servicio.

En consecuencia, todos los sistemas y clientes que intentaban conectarse al servicio DynamoDB a través de ese punto de enlace público comenzaron a experimentar errores de resolución de DNS, imposibilitando la conexión con las bases de datos. Esto no solo afectó al tráfico de clientes externos, sino también a los servicios internos de AWS que dependen de DynamoDB, generando un efecto dominó en la infraestructura de la nube.

Citar"La causa raíz fue una condición de carrera en el sistema de administración de DNS de DynamoDB que resultó en un registro DNS vacío para el punto final regional. La automatización no pudo corregir este error, lo que desencadenó fallos en cadena", explicó Amazon en su comunicado técnico.

Impacto global y fallas en cascada dentro de AWS

El error inicial provocó problemas en cascada dentro de la infraestructura de AWS. Al quedar el sistema DNS en un estado inconsistente, los mecanismos de recuperación automática de Amazon no pudieron resolver el problema, lo que obligó a una intervención manual del equipo de operaciones.

Durante este periodo, múltiples servicios dependientes de DynamoDB y de la capa DNS de AWS experimentaron degradaciones de rendimiento, interrupciones intermitentes y fallos de conexión. Algunos clientes reportaron problemas con aplicaciones basadas en microservicios, almacenamiento de datos, e incluso con herramientas internas de Amazon que utilizan DynamoDB como base estructural.

El incidente generó gran preocupación en la comunidad tecnológica, ya que AWS es uno de los pilares fundamentales del ecosistema en la nube, utilizado por gigantes tecnológicos, startups, instituciones financieras y organismos gubernamentales.

Medidas correctivas y lecciones aprendidas

Amazon confirmó que, tras identificar la causa raíz, deshabilitó globalmente la automatización de DNS con errores y adoptó una serie de medidas preventivas para evitar que un evento similar vuelva a ocurrir. Entre ellas destacan:

• Implementación de controles de protección adicionales para evitar eliminaciones accidentales de registros DNS.
• Mejoras en los mecanismos de limitación para reducir el riesgo de condiciones de carrera.
• Creación de un nuevo conjunto de pruebas automatizadas que permitirá detectar errores similares durante las etapas de desarrollo e implementación.

Citar"Nos disculpamos por el impacto que este evento causó a nuestros clientes. Sabemos lo críticos que son nuestros servicios para sus aplicaciones y negocios", declaró Amazon. "Aprenderemos de este incidente y usaremos sus lecciones para mejorar aún más la disponibilidad y resiliencia de AWS".

Un recordatorio sobre la fragilidad del ecosistema digital

Aunque Amazon mantiene uno de los historiales de disponibilidad más sólidos de la industria, este evento demuestra que incluso las infraestructuras más robustas pueden ser vulnerables a errores internos y condiciones imprevistas en sistemas altamente automatizados.

La interrupción también subraya la importancia de contar con estrategias de resiliencia multirregional y multicloud, especialmente para organizaciones que dependen de servicios en la nube para operaciones críticas. En un mundo cada vez más interconectado, una falla de DNS puede tener efectos globales que trascienden fronteras, sectores y plataformas.

En fin...

La reciente interrupción de AWS provocada por una falla de DNS en DynamoDB representa uno de los incidentes más significativos del año en términos de infraestructura en la nube. La respuesta de Amazon muestra su compromiso con la transparencia y la mejora continua, aunque también plantea interrogantes sobre la dependencia global en infraestructuras centralizadas.

Con las nuevas medidas implementadas, Amazon busca reforzar la estabilidad, redundancia y confiabilidad de AWS, reafirmando su posición como líder mundial en servicios en la nube. Sin embargo, este evento sirve como un llamado de atención tanto para proveedores como para clientes: la redundancia y la planificación de contingencias siguen siendo esenciales en la era del cómputo distribuido.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha incorporado una nueva vulnerabilidad crítica a su catálogo de vulnerabilidades explotadas conocidas (KEV), tras confirmar su explotación activa en la naturaleza. Se trata de la falla CVE-2025-61932, que afecta a Motex Lanscope Endpoint Manager, una popular plataforma japonesa de administración y monitoreo de endpoints utilizada por organizaciones públicas y privadas en todo el mundo.

Una vulnerabilidad crítica con impacto directo en la seguridad empresarial

La vulnerabilidad CVE-2025-61932, con una puntuación CVSS v4 de 9.3, representa una amenaza de alta severidad. Según CISA, el fallo radica en una verificación incorrecta de la fuente del canal de comunicación, lo que permitiría a un atacante remoto ejecutar código arbitrario en los sistemas afectados enviando paquetes especialmente diseñados.

En la práctica, esto otorga a los atacantes la posibilidad de tomar control total del sistema afectado, instalar puertas traseras, robar información confidencial o usar los dispositivos comprometidos como punto de entrada para moverse lateralmente dentro de la red corporativa. Dado que Lanscope Endpoint Manager se usa para monitorear y gestionar múltiples equipos desde una consola central, la explotación exitosa de esta vulnerabilidad puede comprometer infraestructuras completas en cuestión de minutos.

Versiones afectadas y actualizaciones disponibles

El fallo de seguridad afecta a las versiones 9.4.7.1 y anteriores de Lanscope Endpoint Manager, tanto en el programa cliente como en el agente de detección. Motex ha lanzado una serie de actualizaciones que mitigan el problema y corrigen la vulnerabilidad. Las versiones seguras incluyen:

• 9.3.2.7
• 9.3.3.9
• 9.4.0.5
• 9.4.1.5
• 9.4.2.6
• 9.4.3.8
• 9.4.4.6
• 9.4.5.4
• 9.4.6.3
• 9.4.7.3

Los administradores de sistemas deben actualizar de inmediato a cualquiera de estas versiones seguras para evitar la explotación activa. Motex ha confirmado que la vulnerabilidad fue abordada en estas actualizaciones y ha instado a sus clientes a implementar los parches de manera urgente.

Explotación activa confirmada en Japón

Aunque CISA no ha revelado detalles técnicos sobre los ataques en curso ni sobre los grupos responsables, múltiples fuentes japonesas han confirmado la explotación de esta vulnerabilidad.

El portal Japan Vulnerability Notes (JVN) publicó una alerta en la que señaló que Motex había detectado intentos de explotación dirigidos a un cliente que recibió un paquete malicioso sospechoso relacionado con CVE-2025-61932.

Asimismo, el JPCERT/CC (Japan Computer Emergency Response Team Coordination Center) reconoció la recepción de paquetes no autorizados en puertos específicos de varios entornos empresariales en Japón. Estas actividades, según el organismo, se han venido registrando desde abril de 2025, lo que indica que la vulnerabilidad podría haber sido explotada de forma encubierta durante meses antes de su divulgación pública.

Los indicios sugieren que los atacantes estarían utilizando la falla para implantar puertas traseras personalizadas, permitiendo un acceso persistente a los sistemas comprometidos y facilitando futuras intrusiones o robo de datos.

Alerta oficial de CISA y fecha límite para aplicar el parche

Ante la confirmación de explotación activa, CISA ha exigido a todas las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches de seguridad correspondientes antes del 12 de noviembre de 2025. Esta medida busca garantizar que los entornos gubernamentales y críticos no sigan expuestos a un vector de ataque altamente peligroso que podría ser aprovechado para comprometer infraestructuras sensibles.

CISA también ha recomendado a las organizaciones privadas seguir las mismas directrices, reforzando sus medidas de protección y adoptando las versiones seguras del software sin demora.

Riesgos y posibles impactos de la vulnerabilidad

La explotación de CVE-2025-61932 puede tener consecuencias graves en términos de confidencialidad, integridad y disponibilidad de los sistemas. Entre los riesgos más relevantes se incluyen:

• Ejecución remota de código (RCE): permite a los atacantes ejecutar comandos con privilegios elevados.
• Robo de credenciales o datos confidenciales: acceso a información corporativa, registros de usuarios y configuraciones críticas.
• Instalación de malware o backdoors: posibilidad de mantener acceso persistente a la red.
• Movimiento lateral: uso del sistema comprometido para atacar otros equipos de la infraestructura.
• Interrupción operativa: manipulación o sabotaje de sistemas administrados por Lanscope.

Recomendaciones de mitigación

Para reducir el riesgo de explotación, se recomienda adoptar las siguientes medidas de seguridad:

• Actualizar inmediatamente Lanscope Endpoint Manager a una de las versiones seguras publicadas por Motex.
• Restringir el acceso a los puertos de comunicación utilizados por Lanscope, limitándolo solo a redes internas confiables.
• Implementar monitoreo de tráfico para detectar paquetes no autorizados o comportamientos anómalos.
• Verificar la integridad del sistema en busca de archivos o procesos sospechosos que puedan indicar presencia de una puerta trasera.
• Revisar las políticas de segmentación de red, minimizando el movimiento lateral en caso de compromiso.
• Realizar copias de seguridad regulares y mantenerlas aisladas para facilitar la recuperación ante incidentes.

En fin...

La inclusión de CVE-2025-61932 en el catálogo KEV de CISA marca una nueva alerta crítica para organizaciones que dependen de Motex Lanscope Endpoint Manager. Su explotación activa demuestra que los ciberdelincuentes continúan aprovechando vulnerabilidades en herramientas de administración de endpoints para comprometer infraestructuras corporativas.

Actualizar el software sin demora y fortalecer las defensas de red son pasos imprescindibles para prevenir intrusiones. En un contexto donde los ataques dirigidos son cada vez más sofisticados, la gestión proactiva de vulnerabilidades es la clave para mantener la resiliencia y continuidad operativa de las organizaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de Unit 42 (Palo Alto Networks) han revelado una campaña altamente sofisticada de fraude con tarjetas de regalo operada por un actor de amenazas conocido como Jingle Thief. Este grupo cibercriminal se enfoca en organizaciones de los sectores minorista y de servicios al consumidor, aprovechando ataques de phishing y smishing para obtener credenciales y luego abusar de entornos en la nube, especialmente Microsoft 365, con el objetivo de emitir y revender tarjetas de regalo fraudulentas por ganancias económicas.

Vector de entrada: phishing y smishing dirigidos

El modus operandi inicial de Jingle Thief combina tácticas tradicionales de ingeniería social con una ejecución sumamente precisa. El grupo lanza campañas personalizadas de correos electrónicos y mensajes SMS que imitan portales corporativos, engañando a los empleados para que ingresen sus credenciales. Una vez comprometidas las cuentas, los atacantes acceden directamente a la infraestructura en la nube sin necesidad de desplegar malware, lo que les permite pasar desapercibidos para muchas soluciones de seguridad basadas en endpoints.

Las páginas falsas utilizadas en sus campañas replican con gran detalle las interfaces de Microsoft 365, utilizando los logotipos, fuentes y estructuras reales de autenticación. Este enfoque aumenta la tasa de éxito y reduce la posibilidad de que las víctimas sospechen de la falsificación.

Movimiento lateral, persistencia y abuso de identidades

Tras obtener acceso inicial, Jingle Thief realiza un reconocimiento exhaustivo del entorno comprometido. Analizan SharePoint, OneDrive y otras plataformas colaborativas en busca de información relacionada con la emisión de tarjetas de regalo, configuraciones de VPN, procesos financieros y flujos de trabajo internos. Su objetivo es entender cómo opera la empresa para aprovechar sus propios sistemas contra ella.

Además, los atacantes registran aplicaciones de autenticación no autorizadas y llegan a inscribir dispositivos falsos en Entra ID, lo que les permite mantener acceso incluso después de que los administradores cambien contraseñas o revoquen tokens de sesión. Este nivel de persistencia hace que su eliminación sea especialmente compleja, prolongando la exposición de las víctimas durante meses.

Emisión de tarjetas fraudulentas y técnicas de sigilo

El fin último de Jingle Thief es la emisión y monetización de tarjetas de regalo no autorizadas. Para ello, acceden a las aplicaciones internas de las organizaciones emisoras y crean tarjetas de alto valor, que posteriormente son revendidas en mercados grises o foros clandestinos.

El grupo destaca por su sigilo y precisión operativa. Implementan reglas de bandeja de entrada para reenviar correos importantes a direcciones bajo su control, eliminan rastros forenses moviendo los correos enviados a carpetas de elementos eliminados y minimizan las actividades que puedan generar registros sospechosos. Se han documentado casos donde mantuvieron acceso durante más de 10 meses, infiltrando hasta 60 cuentas de usuario en una sola organización.

Atribución y conexiones con otros grupos

El conjunto de actividades atribuidas a Jingle Thief es rastreado por Unit 42 bajo el identificador CL-CRI-1032, donde "CL" significa cluster y "CRI" se refiere a motivación criminal. El grupo ha sido vinculado con Atlas Lion y Storm-0539, actores de amenazas motivados financieramente y asociados a campañas de fraude con tarjetas de regalo. Según informes de Microsoft, estas operaciones tienen su origen en Marruecos y se han mantenido activas al menos desde finales de 2021.

Por qué Jingle Thief representa una amenaza crítica

• Operación cloud-first sin malware: el grupo evita instalar software malicioso, centrando sus acciones en el abuso de identidades legítimas, lo que les permite pasar inadvertidos.
• Persistencia prolongada: su capacidad para mantener accesos durante meses facilita el reconocimiento profundo de los entornos corporativos.
• Escalabilidad del fraude: el modelo basado en la nube permite emitir y revender grandes volúmenes de tarjetas sin dejar rastros evidentes.
• Baja visibilidad para los defensores: las actividades se mezclan con tráfico legítimo, dificultando la detección temprana.

Señales de compromiso a monitorear

• Inicio de sesión desde ubicaciones inusuales o dispositivos desconocidos.
• Nuevas reglas de bandeja de entrada o reenvíos automáticos a dominios externos.
• Registro de aplicaciones sospechosas en Entra ID.
• Acceso o descarga masiva de archivos desde SharePoint o OneDrive.
• Cambios inesperados en configuraciones de emisión de tarjetas o sistemas financieros internos.

Medidas de mitigación recomendadas

• Refuerzo de autenticación: habilitar MFA robusto, revisar métodos de autenticación y eliminar los no reconocidos.
• Supervisión de reglas de correo: implementar alertas para detectar creación o modificación de reglas en bandejas de entrada.
• Endurecimiento de Microsoft 365: aplicar políticas de acceso condicional, limitar privilegios administrativos y registrar toda actividad sensible.
• Segmentación de procesos críticos: aislar las aplicaciones de emisión de tarjetas de regalo y aplicar el principio de menor privilegio.
• Revisión continua de dependencias y credenciales: auditar accesos, rotar contraseñas y deshabilitar cuentas inactivas o comprometidas.
• Capacitación de empleados: reforzar la conciencia sobre phishing y smishing, con simulaciones periódicas de ataque.

En fin...

La operación Jingle Thief ilustra la evolución del fraude digital: actores criminales capaces de combinar ingeniería social avanzada con explotación de identidades en la nube para ejecutar ataques financieros discretos y rentables. Su enfoque sin malware y su aprovechamiento de herramientas legítimas lo convierten en una amenaza particularmente difícil de erradicar.

Para las empresas emisoras de tarjetas de regalo, así como para cualquier organización que gestione flujos financieros digitales, resulta esencial reforzar la seguridad de identidades, auditar accesos cloud y aplicar controles de emisión seguros. En un escenario donde los atacantes prefieren la infiltración silenciosa al ataque visible, la prevención, la segmentación y la vigilancia continua son las únicas defensas efectivas contra campañas tan persistentes y rentables como la de Jingle Thief.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de alta gravedad en la biblioteca async-tar de Rust, ahora abandonada, y sus múltiples bifurcaciones está siendo catalogada como una amenaza crítica para la cadena de suministro de software. Rastreada como CVE-2025-62518, esta falla lógica —bautizada como TARmageddon por la firma de ciberseguridad Edera— puede permitir a atacantes no autenticados ejecutar código remoto en sistemas que utilicen software sin parchear.

El descubrimiento ha generado gran preocupación dentro de la comunidad de desarrollo de Rust, ya que afecta directamente a bibliotecas muy utilizadas para la manipulación y extracción de archivos TAR, pilares en numerosas herramientas de empaquetado y despliegue automatizado.

Un fallo lógico con potencial de ejecución remota de código

La vulnerabilidad CVE-2025-62518 es el resultado de un problema de desincronización lógica que ocurre cuando el analizador TAR procesa archivos anidados con encabezados extendidos ustar y PAX que no coinciden. Esta falta de validación provoca que el sistema confunda partes del contenido con encabezados TAR legítimos, lo que abre la puerta a la inyección de entradas de archivo adicionales por parte de un atacante.

En términos prácticos, este error permite que un actor malicioso inserte o sobrescriba archivos arbitrarios durante el proceso de extracción, pudiendo reemplazar componentes esenciales del sistema, alterar configuraciones o incluso ejecutar código malicioso de manera remota.

Edera, responsable del hallazgo, advirtió que esta vulnerabilidad puede tener un impacto directo en la seguridad de la cadena de suministro, especialmente en proyectos que realizan empaquetado automatizado o compilaciones distribuidas, donde la manipulación de archivos TAR es una operación común.

TARmageddon: una amenaza a la cadena de suministro de software

El nombre TARmageddon no es casual. Según Edera, el exploit puede ser utilizado para sobrescribir archivos críticos durante procesos de instalación o despliegue, comprometiendo la integridad de los entornos de desarrollo y producción.

Citar"Los actores de amenazas pueden aprovechar TARmageddon para reemplazar archivos de configuración y secuestrar backends de compilación en ataques a la cadena de suministro", indicó Edera en su informe técnico.

La vulnerabilidad afecta tanto a la biblioteca async-tar original como a tokio-tar, una bifurcación muy popular que ha acumulado más de 7 millones de descargas en el registro oficial de paquetes de Rust, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Lo más preocupante es que ambas versiones han sido abandonadas, lo que deja a los desarrolladores sin soporte oficial y expone a miles de proyectos que aún las utilizan.

Impacto masivo en el ecosistema Rust

A pesar de que algunas bifurcaciones activas de async-tar y tokio-tar han recibido actualizaciones de seguridad, el alcance del impacto sigue siendo difícil de medir. Edera reconoció que la distribución descentralizada y la reutilización masiva de estas bibliotecas hace imposible estimar con precisión cuántos proyectos permanecen vulnerables.

Citar"Debido a la naturaleza generalizada del tokio-tar en varias formas, no es posible cuantificar realmente el radio de explosión de este insecto en todo el ecosistema", explicó Edera.

Además, la compañía subrayó que, aunque bifurcaciones mantenidas activamente —como astral-tokio-tar— ya han sido parchadas, tokio-tar original sigue sin recibir correcciones oficiales, lo que representa un desafío sistémico importante para la seguridad en el desarrollo con Rust.

Proyectos afectados por TARmageddon

El impacto de CVE-2025-62518 se extiende a una gran variedad de proyectos y plataformas que utilizan tokio-tar o async-tar como dependencia. Entre los más destacados se encuentran:

• Binstalk, un gestor de dependencias ampliamente usado en entornos DevOps.
• uv, el administrador de paquetes de Python desarrollado por Astral.
• wasmCloud, una plataforma de aplicaciones universales basada en WebAssembly.
• liboxen, una biblioteca de gestión de datos descentralizada.
• testcontainers, una herramienta de código abierto utilizada para pruebas de integración con contenedores.

Según Edera, mientras algunos proyectos han anunciado planes para migrar a versiones parcheadas o eliminar la dependencia vulnerable, otros aún no han respondido a las notificaciones. Esto sugiere que un número desconocido de aplicaciones críticas podrían seguir utilizando versiones afectadas, incrementando el riesgo de ataques a la cadena de suministro.

Recomendaciones para desarrolladores y equipos de seguridad

Edera ha emitido una serie de recomendaciones urgentes para mitigar el riesgo asociado con la vulnerabilidad TARmageddon:

• Actualizar inmediatamente a una versión parcheada de las bibliotecas afectadas.
• Eliminar la dependencia vulnerable de tokio-tar o async-tar si no se dispone de una versión segura.
• Migrar a la bifurcación mantenida activamente:
• astral-tokio-tar, respaldada por Astral Security.
• Revisar las dependencias indirectas (downstream) que podrían estar utilizando versiones vulnerables.
• Implementar controles de integridad en la cadena de suministro, como la firma de paquetes y la verificación de hashes SHA256.

Edera también confirmó que su propia bifurcación asíncrona, krata-tokio-tar, será archivada para evitar confusión y fomentar la adopción de las versiones oficiales mantenidas por Astral.

Un recordatorio sobre la fragilidad de la cadena de suministro

La vulnerabilidad TARmageddon (CVE-2025-62518) pone en evidencia los riesgos inherentes del software de código abierto abandonado, especialmente cuando su uso se extiende de manera masiva en ecosistemas modernos como Rust. La dependencia de componentes sin mantenimiento puede convertirse en un punto único de fallo con potencial para comprometer infraestructuras enteras.

Las organizaciones deben adoptar una postura proactiva: auditar dependencias, aplicar parches sin demora y migrar hacia bifurcaciones seguras. De lo contrario, el ecosistema Rust podría enfrentarse a un nuevo "apocalipsis TAR", con consecuencias devastadoras para la seguridad de la cadena de suministro global.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están explotando de manera activa la vulnerabilidad crítica SessionReaper (CVE-2025-54236) que afecta a las plataformas Adobe Commerce (anteriormente conocidas como Magento), una de las soluciones de comercio electrónico más utilizadas a nivel mundial. La firma especializada Sansec, experta en seguridad de tiendas online, ha confirmado cientos de intentos de ataque registrados en los últimos días, marcando una nueva ola de explotación masiva que amenaza a miles de negocios digitales.

Una vulnerabilidad catalogada como una de las más graves de Adobe Commerce

La vulnerabilidad CVE-2025-54236, identificada en septiembre de 2025, fue descrita por Sansec como "uno de los errores de seguridad más graves en la historia del producto". Adobe emitió una advertencia oficial el 8 de septiembre, indicando que la falla proviene de una validación incorrecta de entrada, un problema crítico que permite a los atacantes tomar el control de sesiones de usuario sin interacción alguna del cliente.

Las versiones afectadas incluyen:

• Adobe Commerce 2.4.9-alpha2
• Adobe Commerce 2.4.8-p2
• Adobe Commerce 2.4.7-p7
• Adobe Commerce 2.4.6-p12
• Adobe Commerce 2.4.5-p14
• Adobe Commerce 2.4.4-p15 y versiones anteriores

Un atacante que aproveche exitosamente esta vulnerabilidad puede secuestrar sesiones activas de cuentas de clientes, accediendo a información confidencial, modificando pedidos o incluso tomando control total del panel de administración. Según Adobe, la explotación se realiza principalmente a través de la API REST de Commerce, lo que la convierte en un vector de ataque especialmente peligroso.

Sansec confirma la explotación activa en la naturaleza

Seis semanas después de que Adobe lanzara el parche de emergencia, Sansec ha confirmado la explotación activa en entornos reales.

Citar"Sansec Shield detectó y bloqueó los primeros ataques del mundo real hoy, lo cual es una mala noticia para las miles de tiendas que permanecen sin parches", alertaron los investigadores.

Durante las últimas 24 horas, Sansec reportó más de 250 intentos de explotación dirigidos a múltiples tiendas en línea. Los ataques se originaron desde cinco direcciones IP principales:

• 34.227.25.4
• 44.212.43.34
• 54.205.171.35
• 155.117.84.134
• 159.89.12.166

Los atacantes están utilizando webshells PHP y sondas phpinfo para recopilar información del sistema y verificar configuraciones vulnerables. Estas herramientas permiten al atacante comprobar si el entorno utiliza almacenamiento de sesión en el sistema de archivos, una configuración predeterminada en la mayoría de las instalaciones de Magento, y el principal punto débil que facilita la explotación de SessionReaper.

Incremento en los intentos tras la publicación del análisis técnico

A esta situación se suma un nuevo factor de riesgo: el análisis técnico detallado publicado por los investigadores de Searchlight Cyber, que describe con precisión cómo podría explotarse CVE-2025-54236. Este informe, aunque con fines académicos y de concientización, puede facilitar a los cibercriminales la reproducción del exploit, acelerando el aumento de ataques en los próximos días.

Sansec advierte que la publicación de estos detalles podría incentivar a actores maliciosos a lanzar campañas automatizadas contra sitios vulnerables, especialmente aquellos que no han implementado las actualizaciones críticas de Adobe.

El 62% de las tiendas aún sigue sin parchear

Pese a la gravedad del fallo, el ritmo de actualización ha sido alarmantemente lento. Según los datos de Sansec, el 62% de las tiendas de Magento aún no ha instalado el parche de seguridad y continúa expuesta a los ataques de SessionReaper.
Diez días después del lanzamiento de la solución, solo uno de cada tres sitios había aplicado la actualización, y actualmente tres de cada cinco tiendas siguen siendo vulnerables.

Este retraso en la aplicación de parches deja a miles de empresas en riesgo de robo de información, suplantación de identidad de clientes y manipulación de pedidos, afectando tanto la reputación de las marcas como la confianza de los consumidores.

Recomendaciones para proteger las tiendas Adobe Commerce

Ante la explotación activa de CVE-2025-54236, Adobe y Sansec recomiendan a los administradores de tiendas en línea tomar medidas inmediatas para mitigar el riesgo:

• Aplicar de inmediato el parche de seguridad oficial de Adobe para las versiones afectadas.
• Revisar la configuración del almacenamiento de sesión, moviéndolo fuera del sistema de archivos local hacia una base de datos o Redis.
• Monitorear logs del servidor en busca de conexiones sospechosas desde las IP identificadas.
• Implementar una solución de seguridad avanzada, como Sansec Shield o un WAF (Web Application Firewall) con reglas específicas para Adobe Commerce.
• Auditar los permisos de usuario y las sesiones activas, cerrando todas las que no sean reconocidas.

La rápida acción es esencial: cada hora sin parche aumenta el riesgo de que un atacante automatizado tome control del sistema y robe datos críticos.

En fin...

La vulnerabilidad SessionReaper (CVE-2025-54236) marca un punto crítico en la seguridad del comercio electrónico basado en Adobe Commerce. Su capacidad para permitir el secuestro de sesiones sin interacción del usuario y el hecho de que la mayoría de las tiendas sigan vulnerables la convierten en una amenaza real y urgente.
Las organizaciones deben actuar con rapidez, instalando los parches, reforzando la configuración del servidor y monitoreando constantemente la actividad sospechosa, para evitar ser víctimas del creciente número de ataques que ya están ocurriendo en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han desentrañado las capacidades internas del malware PolarEdge, un backdoor tipo ELF basado en TLS que ha sido observado comprometiendo routers y dispositivos NAS de fabricantes como Cisco, ASUS, QNAP y Synology. El análisis técnico revela un implante sofisticado que escucha conexiones entrantes, ejecuta comandos remotos y se comunica con un servidor de comando y control (C2) mediante un servidor TLS implementado con mbedTLS, lo que complica su detección y análisis.

Origen, alcance y objetivos observados

PolarEdge fue documentado por primera vez por Sekoia a principios de 2025, y desde entonces su infraestructura ha sido mapeada por compañías como Censys, que describieron la red troncal y la arquitectura adyacente como consistente con una Operational Relay Box (ORB) —es decir, una red de retransmisión diseñada para anonimizar, proxificar o monetizar el tráfico de dispositivos comprometidos—. Hay indicios de actividad ligada a esta familia desde mediados de 2023 y un crecimiento sostenido en 2024–2025.

Vector de infección y cadena de ataque

En las campañas registradas en febrero de 2025, los operadores explotaron una vulnerabilidad conocida en ciertos routers Cisco (CVE-2023-20118) para descargar un script de instalación (denominado "q") por FTP que, a su vez, descarga y ejecuta la puerta trasera PolarEdge en el objetivo. Una vez desplegado, el implante envía una huella digital del host al servidor C2 y abre un servidor TLS que espera comandos en un protocolo binario propietario.

Diseño técnico y capacidades del backdoor

• Implante ELF con TLS incorporado: PolarEdge implementa un servidor TLS con mbedTLS v2.8.0, aceptando conexiones entrantes y procesando solicitudes en un protocolo binario que incluye un campo HasCommand. Si HasCommand == 0x01, la puerta trasera extrae y ejecuta el comando contenido en Command y retransmite la salida.
• Modos de operación: soporta un modo de conexión (cliente TLS para descargar archivos remotos) y un modo de depuración (interactivo para cambiar parámetros en caliente).
• Configuración incrustada y ofuscada: la configuración está ubicada en los últimos 512 bytes del binario ELF y está ofuscada con un XOR de un solo byte (clave 0x11), lo que dificulta su extracción rápida.
• Técnicas anti-análisis y enmascaramiento: durante la inicialización el proceso se renombra aleatoriamente con nombres legítimos (por ejemplo, igmpproxy, httpd, upnpd, /sbin/dhcpd) para evadir detección basada en procesos; además crea un proceso hijo que vigila la existencia del proceso padre y lo reinicia si desaparece, ofreciendo una forma rudimentaria de resiliencia post-fallo.

Comportamiento post-infección y posibles objetivos

Tras la ejecución, PolarEdge puede invocar utilidades del sistema (/usr/bin/wget, /sbin/curl) y eliminar archivos específicos en dispositivos infectados —acciones cuyo propósito operativo no siempre es evidente—. La evidencia recogida por Censys y otros sugiere que la botnet está orientada a construir una red de proxies residenciales o relays (un ORB) que pueden usarse para fraude, evasión geográfica o como parte de cadenas de monetización criminales.

Relación con GhostSocks y la monetización del acceso

El descubrimiento de PolarEdge coincide con informes sobre GhostSocks, un servicio/MaaS que convierte endpoints comprometidos en proxies SOCKS5 residenciales, y que se ha integrado en familias de malware como Lumma Stealer para monetizar accesos. GhostSocks facilita que un cliente de malware aprovisione proxies a partir de dispositivos comprometidos y mantenga persistencia de acceso para fraude y abuso online. Estas sinergias resaltan la cadena completa: explotación → implantación (por ejemplo PolarEdge) → aprovisionamiento del proxy (GhostSocks) → monetización.

Indicadores de compromiso (IOCs) y mitigación inmediata

Los informes técnicos de Sekoia incluyen IOCs, encabezados HTTP observados, hashes de archivos y patrones de red que los equipos de seguridad deben integrar en reglas IDS/IPS, YARA y listas de bloqueo. Como medidas prácticas inmediatas se recomiendan:

• Aplicar parches y remediar CVE-2023-20118 en equipos Cisco afectados (o aislarlos si el parche no está disponible).
• Escanear la red en busca de procesos y archivos con las firmas públicas de PolarEdge.
• Bloquear y monitorear conexiones TLS sospechosas a servidores C2 identificados y patrones de comportamiento binario.
• Segmentar y restringir acceso de dispositivos edge/NAS a la red interna y limitar el uso de FTP/servicios expuestos.
• Correlacionar telemetría con IOCs de Sekoia y Censys e implementar reglas de detección en SIEM y appliances de red.

En fin...

PolarEdge representa una evolución en amenazas contra dispositivos de borde: un backdoor TLS con capacidades de comando remoto, ofuscación y un diseño coherente con infraestructuras ORB, integrado en un ecosistema criminal que monetiza el acceso mediante proxies residenciales como GhostSocks. La combinación de explotación de vulnerabilidades conocidas, técnicas anti-análisis y la infraestructura de retransmisión subraya la necesidad de una defensa en profundidad: parcheo oportuno, segmentación de redes, monitoreo continuo y respuesta coordinada. Integrar los IOCs publicados por Sekoia y Censys en las defensas es hoy una prioridad para minimizar el impacto de esta botnet en entornos empresariales y domésticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Meta anunció nuevas medidas diseñadas para reducir el riesgo de estafas en WhatsApp y Messenger, con especial foco en proteger a usuarios vulnerables ante técnicas de engaño como el "cebo romántico" y los fraudes de inversión. Las novedades incluyen advertencias antes de compartir la pantalla en videollamadas con contactos desconocidos y una configuración opcional de detección de estafas en Messenger que usa señales automatizadas y revisión con IA cuando el usuario lo autoriza.

¿Qué cambios introduce Meta y cómo funcionan?

En WhatsApp, la compañía desplegará una advertencia visible cuando un usuario intente iniciar la compartición de pantalla con una persona que no está en su lista de confianza. El objetivo es evitar que las víctimas revelen información sensible —por ejemplo, datos bancarios, códigos 2FA o pantallas con información privada— bajo la presión de un interlocutor que se hace pasar por soporte técnico o un interés sentimental.

En Messenger, Meta añade una nueva opción en Configuración > Privacidad y seguridad llamada "Detección de estafas". Si el usuario la activa, Messenger analizará localmente (en el dispositivo) los mensajes entrantes para identificar patrones sospechosos. Ante una alerta, el servicio preguntará al usuario si desea enviar los mensajes recientes a una revisión con IA; si el usuario acepta, esos mensajes dejarán de estar cifrados de extremo a extremo para permitir la evaluación automatizada y humana. El proceso es totalmente opt-in: el envío para revisión requiere consentimiento explícito del usuario.

Por qué estas medidas importan (y sus límites)

Las tácticas de los estafadores han evolucionado: desde cuentas falsas de "atención al cliente" hasta redes organizadas que atraen víctimas por mensajería, aplicaciones de citas y redes sociales. Meta señala que sus equipos han detectado y desarticulado cerca de 8 millones de cuentas relacionadas con centros de estafa este año, además de tomar medidas contra decenas de miles de páginas y cuentas que se hacen pasar por soporte legítimo. Estas cifras muestran la escala del problema y la necesidad de múltiples frentes de defensa —herramientas de producto, detección automatizada y campañas de concienciación— para reducir el daño.

No obstante, las nuevas funciones tienen límites: la revisión con IA requiere consentimiento para romper el cifrado E2EE y, por tanto, su eficacia dependerá de la disposición del usuario a colaborar. Además, las advertencias no impiden que los estafadores adapten sus técnicas; en última instancia, las herramientas son un complemento —no un sustituto— de la formación y las buenas prácticas digitales.

Qué tipos de estafa buscan mitigar

Meta especifica que las alertas y la guía están orientadas a patrones comunes:

• Ofertas de trabajo que piden pago o datos como condición para comenzar.
• Promesas de dinero rápido o inversiones "garantizadas", frecuentemente ligadas a criptomonedas.
• Cuentas que suplantan soporte para obtener credenciales o inducir a compartir pantallas.

Cuando la revisión confirma riesgos, la plataforma ofrece información educativa sobre señales de alerta, y opciones directas para bloquear o denunciar la cuenta sospechosa.

Recomendaciones prácticas para usuarios y administradores

Para aprovechar las nuevas protecciones y reducir la probabilidad de caer en un fraude, se recomiendan acciones concretas:

• Activar la detección de estafas en Messenger si deseas soporte adicional para filtrar mensajes sospechosos.
• No compartir la pantalla ni introducir códigos o credenciales por videollamada con contactos no verificados.
• Verificar identidades por canales externos (llamada telefónica oficial, sitio web verificado) antes de facilitar datos sensibles.
• Rechazar solicitudes de pago o inversión que presionen para actuar con urgencia o secretismo.
• Reportar y bloquear cuentas y páginas sospechosas para alimentar los mecanismos de detección y protección de la plataforma.

Impacto y contexto: respuesta a redes organizadas

La actualización de Meta llega en medio de una campaña continua para desmantelar redes de estafa organizadas, muchas de las cuales operan desde centros ubicados en el sudeste asiático y otras regiones. Estas operaciones combinan ingeniería social, explotación de apps de mensajería y técnicas de manipulación emocional para conseguir depósitos crecientes de dinero por parte de las víctimas. Meta afirma que sus equipos siguen interceptando cuentas y cerrando redes de este tipo, pero reconoce que el fenómeno requiere coordinación internacional y vigilancia constante por parte de plataformas, autoridades y usuarios.

En fin...

Las nuevas advertencias y la detección opcional con IA de Meta son pasos bienvenidos para reducir fraudes en WhatsApp y Messenger, especialmente entre población vulnerable. Sin embargo, su efectividad dependerá tanto de la adopción por parte de los usuarios como de las medidas complementarias (educación, bloqueo de redes criminales y colaboración entre plataformas y autoridades). En un entorno donde los estafadores refinan constantemente sus técnicas, la mejor defensa sigue siendo la combinación de herramientas productivas y prácticas digitales prudentes por parte de cada usuario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los entornos de desarrollo integrados (IDE) Cursor y Windsurf, ampliamente utilizados por programadores de software impulsados por inteligencia artificial, han sido encontrados vulnerables a más de 94 fallas de seguridad conocidas y ya parcheadas en el navegador Chromium y el motor JavaScript V8. De acuerdo con una investigación publicada por Ox Security, alrededor de 1,8 millones de desarrolladores podrían estar actualmente expuestos a riesgos críticos de ejecución de código, denegación de servicio y corrupción de memoria.

IDE modernos, pero con cimientos obsoletos

Cursor y Windsurf se presentan como alternativas impulsadas por IA a Visual Studio Code (VS Code), diseñadas para asistir a los desarrolladores mediante modelos de lenguaje (LLM) que generan código y automatizan tareas de programación. Sin embargo, ambos entornos comparten un problema estructural: su dependencia de versiones antiguas del framework Electron, que integra componentes del navegador Chromium y el motor V8 de Google.

Electron permite crear aplicaciones multiplataforma usando tecnologías web como HTML, CSS y JavaScript, empaquetando un motor de navegador completo dentro del IDE. Esto significa que cuando una versión de Electron queda desactualizada, también lo hacen Chromium y V8, arrastrando consigo vulnerabilidades que ya fueron corregidas en las versiones más recientes.

Según Ox Security, Cursor y Windsurf están basados en versiones antiguas de VS Code y Electron, lo que implica que ambos heredan vulnerabilidades conocidas de los componentes del navegador. Los investigadores confirmaron que los IDE utilizan compilaciones antiguas de Chromium, afectadas por al menos 94 CVE (Common Vulnerabilities and Exposures) ya documentadas y reparadas por Google en versiones posteriores.

Citar"Dado que Electron incorpora Chromium y V8, esto significa que los IDE se basan en motores obsoletos, exponiéndolos a vulnerabilidades que ya han sido parcheadas en versiones más recientes", explican los investigadores de Ox Security.

CVE-2025-7656: una prueba de concepto que demuestra el riesgo

Para demostrar la magnitud del problema, Nir Zadok y Moshe Siman Tov Bustan, investigadores de Ox Security, desarrollaron un exploit funcional dirigido al IDE Cursor. El ataque aprovecha la vulnerabilidad CVE-2025-7656, un desbordamiento de enteros (integer overflow) en el motor V8 de Google Chrome que fue corregido el 15 de julio de 2025.

El exploit se ejecuta mediante un enlace profundo que ordena al IDE abrir una URL remota que contiene una carga maliciosa en JavaScript. Al procesarla, el motor V8 vulnerable provoca una condición de denegación de servicio (DoS), bloqueando el renderizador del entorno.

Aunque la prueba de concepto (PoC) solo causó un bloqueo del IDE, los investigadores advierten que la ejecución de código arbitrario es posible en escenarios reales, lo que podría permitir a un atacante tomar control del sistema del desarrollador o infiltrarse en su entorno de trabajo.

Citar"La superficie de ataque es masiva. Desde la última actualización de Chromium en marzo de 2025, se han publicado al menos 94 CVE conocidos. Solo hemos explotado uno, pero los riesgos potenciales son mucho mayores", señaló Ox Security.

Cómo podrían explotar los atacantes las vulnerabilidades

Las posibilidades de explotación son diversas y preocupantes. Según Ox Security, los ciberdelincuentes podrían:

• Usar extensiones maliciosas dentro del IDE para activar exploits.
• Inyectar código malicioso en documentación o tutoriales que se previsualizan en Cursor o Windsurf.
• Realizar ataques de phishing que redirijan a los desarrolladores a enlaces manipulados.
• Contaminar repositorios en GitHub o GitLab con archivos README o scripts que ejecuten cargas maliciosas al abrirse en el entorno vulnerable.

Estas técnicas son especialmente peligrosas porque los entornos de desarrollo son blancos estratégicos. Un ataque exitoso no solo compromete la máquina del desarrollador, sino que puede insertar puertas traseras en proyectos de software, afectando a miles de usuarios finales o clientes corporativos.

Falta de respuesta de Cursor y Windsurf

Ox Security informó responsablemente las vulnerabilidades el 12 de octubre de 2025, sin embargo, la respuesta de los desarrolladores ha sido decepcionante. Según el informe, Cursor consideró el reporte "fuera de alcance" al argumentar que el exploit causaba un DoS autoinfligido, mientras que Windsurf no respondió al contacto.

Esta postura, según los investigadores, minimiza la gravedad del problema y pasa por alto el potencial de explotación más amplio, que incluye corrupción de memoria, ejecución remota de código (RCE) y otros riesgos derivados de las múltiples vulnerabilidades no parcheadas.

Por su parte, Ox Security aclara que el Visual Studio Code original no es vulnerable, ya que Microsoft actualiza regularmente las versiones de Electron, Chromium y V8 en sus lanzamientos oficiales, mitigando cualquier CVE conocida.

La importancia de mantener los entornos de desarrollo actualizados

La investigación de Ox Security resalta una lección crucial para la comunidad de desarrolladores: los IDE basados en tecnologías web deben actualizar sus componentes con la misma frecuencia que los navegadores modernos.

Cuando un entorno de desarrollo no actualiza su base de Chromium o V8, las vulnerabilidades acumuladas pueden convertirse en un vector de ataque peligroso. Esto se agrava si los IDE son ampliamente utilizados por desarrolladores que manejan código sensible o trabajan en entornos corporativos.

En este contexto, se recomienda a todos los usuarios de Cursor y Windsurf:

• Evitar abrir enlaces o documentación externa dentro del IDE hasta que se publiquen actualizaciones de seguridad.
• Deshabilitar o eliminar extensiones no verificadas.
• Ejecutar los IDE en entornos aislados (sandbox o contenedores) para minimizar el impacto en caso de explotación.
• Supervisar los procesos y conexiones salientes del entorno de desarrollo.
• Mantener copias de seguridad actualizadas del código y la configuración.

En fin...

Las revelaciones de Ox Security subrayan una realidad incómoda: incluso las herramientas modernas impulsadas por inteligencia artificial pueden volverse vectores de ataque si se construyen sobre cimientos desactualizados. Cursor y Windsurf, al depender de versiones antiguas de Chromium y V8, exponen a millones de desarrolladores a un conjunto de vulnerabilidades críticas que podrían ser explotadas con relativa facilidad.

Hasta que los desarrolladores de ambos IDE lancen actualizaciones que integren las versiones más recientes de Electron, los usuarios deben extremar precauciones y limitar el uso de estas herramientas en entornos sensibles.

La seguridad en el desarrollo de software comienza con la actualización de las herramientas. En un panorama donde los ataques a la cadena de suministro son cada vez más comunes, ignorar vulnerabilidades conocidas puede ser un error costoso para toda la comunidad tecnológica.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TP-Link ha emitido una advertencia urgente sobre dos vulnerabilidades críticas de inyección de comandos que afectan a sus dispositivos de puerta de enlace Omada, ampliamente utilizados por pequeñas y medianas empresas (PYMES) como soluciones integradas de enrutador, firewall y VPN. Estas fallas podrían ser explotadas por atacantes para ejecutar comandos arbitrarios en el sistema operativo de los dispositivos comprometidos, poniendo en riesgo la integridad de redes corporativas enteras.

Vulnerabilidades críticas en los dispositivos Omada

De acuerdo con el aviso de seguridad publicado por TP-Link, ambas vulnerabilidades conducen al mismo resultado: la ejecución arbitraria de comandos del sistema operativo, lo que podría otorgar control total del dispositivo afectado. Sin embargo, difieren en su nivel de criticidad y las condiciones necesarias para ser explotadas.

La primera vulnerabilidad, identificada como CVE-2025-6542, recibió una calificación crítica de 9.3 en la escala CVSS. Esta falla puede ser explotada de forma remota y sin necesidad de autenticación, lo que la convierte en una amenaza especialmente peligrosa. Un atacante podría aprovecharla simplemente enviando solicitudes manipuladas al dispositivo objetivo, comprometiendo así su sistema operativo subyacente.

La segunda vulnerabilidad, CVE-2025-6541, obtuvo una puntuación de 8.6 y requiere que el atacante tenga acceso a la interfaz de administración web. Aun así, representa un riesgo importante, ya que un usuario autenticado podría ejecutar comandos arbitrarios con privilegios elevados, lo que facilitaría ataques internos o posteriores movimientos laterales dentro de la red.

"Un comando arbitrario del sistema operativo puede ser ejecutado en las puertas de enlace de Omada por el usuario que puede iniciar sesión en la interfaz de administración web o por un atacante remoto no autenticado", señaló TP-Link en su aviso oficial.

Impacto y riesgos asociados

El impacto potencial de estas vulnerabilidades es considerable. Al permitir la ejecución de código remoto, los atacantes pueden lograr un compromiso total del dispositivo, acceder a datos sensibles, modificar configuraciones críticas, desplegar malware o establecer persistencia en la red. Además, dado que las puertas de enlace Omada actúan como puntos centrales de conexión entre redes internas y externas, un ataque exitoso podría tener un efecto en cadena sobre múltiples sistemas conectados.

Entre las posibles consecuencias se incluyen:

• Robo de datos confidenciales de usuarios o clientes.
• Manipulación del tráfico de red o espionaje de comunicaciones.
• Instalación de puertas traseras (backdoors) para acceso persistente.
• Interrupciones del servicio que afecten la continuidad operativa.

Modelos afectados y versiones vulnerables

TP-Link confirmó que 13 modelos de puerta de enlace Omada están afectados por las vulnerabilidades CVE-2025-6541 y CVE-2025-6542. A continuación, se incluyen los modelos impactados junto con las versiones de firmware vulnerables y las actualizaciones corregidas:



Actualizaciones y recomendaciones de seguridad

TP-Link ha publicado actualizaciones de firmware que corrigen ambas vulnerabilidades, y recomienda actualizar inmediatamente los dispositivos afectados. Además, la compañía aconseja verificar las configuraciones tras la instalación del nuevo firmware para garantizar que todos los parámetros de red y seguridad permanezcan correctos.

En un boletín adicional, TP-Link también alertó sobre otras dos vulnerabilidades graves que afectan a los mismos dispositivos:

• CVE-2025-8750 (CVSS: 9.3): inyección de comandos autenticados que puede ser explotada por atacantes con credenciales de administrador.
• CVE-2025-7851 (CVSS: 8.7): podría permitir acceso de shell con privilegios de root al sistema operativo del dispositivo.

Ambas fallas pueden comprometer por completo la seguridad de los equipos si no se aplica la versión de firmware más reciente.

Cómo proteger tus dispositivos Omada

Para mitigar el riesgo, TP-Link recomienda las siguientes acciones:

• Actualizar inmediatamente el firmware a las versiones corregidas indicadas.
• Deshabilitar el acceso remoto a la interfaz de administración cuando no sea necesario.
• Utilizar contraseñas seguras y únicas para cada dispositivo.
• Restringir el acceso administrativo solo a direcciones IP confiables.
• Supervisar el tráfico de red en busca de actividades anómalas tras la actualización.

En fin...

Las vulnerabilidades CVE-2025-6541, CVE-2025-6542, CVE-2025-8750 y CVE-2025-7851 ponen en evidencia la importancia de mantener actualizados los dispositivos de red empresariales. TP-Link ha actuado rápidamente al lanzar parches de seguridad, pero la responsabilidad final recae en los administradores de sistemas, quienes deben garantizar que sus infraestructuras estén protegidas frente a posibles ataques de ejecución remota de comandos (RCE).

Actualizar hoy podría marcar la diferencia entre una red segura y un ataque devastador.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Europol ha anunciado un golpe histórico contra la ciberdelincuencia organizada. La agencia europea de seguridad, en coordinación con múltiples autoridades, ha logrado interrumpir una sofisticada infraestructura de cibercrimen como servicio (CaaS) que operaba una extensa granja de SIM utilizada para cometer fraudes, suplantación de identidad y otros delitos digitales a nivel internacional.

El operativo, denominado "Operación SIMCARTEL", representa uno de los mayores desmantelamientos de una red dedicada al uso ilícito de tarjetas SIM en Europa. Según informó Europol el pasado viernes, la acción conjunta incluyó 26 registros domiciliarios, el arresto de siete sospechosos y la incautación de más de 1.200 dispositivos de caja SIM, que contenían 40.000 tarjetas SIM activas. De los detenidos, cinco son ciudadanos letones.

Una operación internacional coordinada

La Operación SIMCARTEL fue posible gracias a la colaboración de las autoridades policiales de Austria, Estonia, Finlandia y Letonia, junto con el apoyo operativo de Europol y Eurojust. Además de las detenciones, las autoridades desmantelaron cinco servidores y confiscaron dos dominios web utilizados para ofrecer los servicios ilícitos:

• gogetsms[.]com
• apisim[.]com

Ambos sitios mostraban al 10 de octubre de 2025 una pancarta oficial de incautación, señal del control total de la infraestructura por parte de las fuerzas de seguridad. Durante el operativo también se confiscaron cuatro vehículos de lujo y se bloquearon fondos en diversas cuentas bancarias y criptoactivos, incluyendo 431.000 euros en bancos tradicionales y 266.000 euros en criptomonedas.

Fraudes multimillonarios y delitos globales

Según los datos publicados por Europol, la red delictiva estaba vinculada a más de 1.700 casos de fraude cibernético en Austria y 1.500 en Letonia, lo que se traduce en pérdidas combinadas de aproximadamente 4,5 millones de euros (5,25 millones de dólares) y 420.000 euros (489.000 dólares) respectivamente.

Los investigadores destacaron que la infraestructura técnica de SIMCARTEL era extremadamente avanzada, permitiendo a delincuentes de todo el mundo utilizar servicios de cajas SIM para ejecutar una amplia gama de delitos, desde phishing y smishing hasta fraude financiero, tráfico de personas y distribución de material de abuso sexual infantil (CSAM).

Granja de SIM: el núcleo del cibercrimen como servicio

La red ofrecía números telefónicos registrados en más de 80 países, los cuales podían ser adquiridos por suscriptores criminales para ocultar su identidad real y crear perfiles falsos en redes sociales, plataformas de mensajería y servicios de inversión.

Se estima que SIMCARTEL permitió la creación de más de 49 millones de cuentas en línea falsas, que luego fueron utilizadas para:

• Ejecutar campañas masivas de phishing y smishing.
• Engañar a víctimas con falsos esquemas de inversión.
• Suplantar familiares o contactos cercanos en WhatsApp, solicitando transferencias de dinero bajo pretextos de emergencia.

Un ejemplo recurrente detectado fue el del supuesto "mensaje del hijo o hija" que afirmaba haber cambiado de número, pidiendo a sus padres transferir dinero urgente, una táctica clásica en los fraudes de ingeniería social.

Monetización de tarjetas SIM y falsas promesas

Los sitios GoGetSMS y ApiSim no solo servían para alquilar números temporales, sino que también ofrecían a usuarios comunes la posibilidad de monetizar sus propias tarjetas SIM. Según sus promociones archivadas en Internet Archive, los administradores aseguraban que los participantes podían "convertir sus SIM en activos que generan ingresos pasivos" mediante su software automatizado.

Este modelo de negocio, presentado como legítimo, ocultaba una operación de blanqueo de infraestructura que alimentaba el ecosistema del cibercrimen global. Usuarios desprevenidos, sin saberlo, prestaban sus recursos de red a actividades ilícitas, recibiendo pequeños pagos a cambio.

Quejas y rastros digitales

En plataformas como Trustpilot, usuarios que pagaron por los servicios de GoGetSMS denunciaron fraudes y falta de soporte, afirmando que no recibieron los números temporales prometidos. Un usuario escribió:

Citar"Lo intenté varias veces, perdí tiempo y dinero. El soporte no responde en absoluto: no hay ayuda, no hay reembolso, nada."

Estos testimonios fueron clave para que los investigadores rastrearan los patrones de fraude y conectaran las operaciones con los sospechosos detenidos en Letonia y otros países europeos.

Impacto global y declaraciones oficiales

La Policía Estatal de Letonia afirmó que la plataforma facilitó comunicaciones y pagos anónimos a escala internacional, afectando a más de 3.200 víctimas en múltiples países.

Europol destacó que el caso demuestra la profesionalización del cibercrimen moderno, donde los servicios CaaS permiten a delincuentes sin conocimientos técnicos acceder a herramientas avanzadas de fraude digital. Estas operaciones "como servicio" están transformando el panorama delictivo al democratizar el acceso a tecnologías ilícitas que antes solo estaban disponibles para grupos altamente especializados.

Un paso más en la lucha contra el cibercrimen organizado

La Operación SIMCARTEL refuerza el compromiso de Europol y sus socios internacionales por desmantelar las infraestructuras que sostienen el cibercrimen global. El desmantelamiento de esta red no solo interrumpe un flujo de millones de euros en ganancias ilícitas, sino que también envía un mensaje contundente a los grupos criminales que ofrecen servicios digitales para el fraude y la suplantación de identidad.

Con esta acción, Europol consolida su posición como pilar estratégico en la defensa de la ciberseguridad europea, fortaleciendo la cooperación entre países y demostrando que ninguna red criminal es inmune a la acción coordinada internacional.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El conflicto digital entre China y Estados Unidos ha escalado una vez más. El Ministerio de Seguridad del Estado de China (MSS) acusó oficialmente a la Agencia de Seguridad Nacional de Estados Unidos (NSA) de haber llevado a cabo un ataque cibernético "premeditado" contra el Centro Nacional de Servicio Horario (NTSC), una entidad clave en la infraestructura tecnológica del país asiático.

En una publicación oficial difundida a través de la plataforma WeChat, el MSS afirmó haber descubierto "pruebas irrefutables" que vinculan directamente a la agencia estadounidense con la intrusión, la cual se remonta al 25 de marzo de 2022. Según el comunicado, el ataque fue finalmente frustrado por las autoridades chinas, evitando lo que calificaron como un intento de sabotaje con consecuencias potencialmente graves para el funcionamiento nacional.

El NTSC: el corazón del tiempo en China

Fundado en 1966 y operando bajo la Academia de Ciencias de China (CAS), el Centro Nacional de Servicio Horario (NTSC) es responsable de generar, mantener y transmitir el estándar nacional de tiempo, conocido como la "hora de Beijing". Este servicio es esencial para la sincronización de redes, sistemas financieros, telecomunicaciones, energía, transporte e incluso misiones espaciales.

El MSS advirtió que cualquier ataque contra estas instalaciones "pondría en peligro el funcionamiento seguro y estable de la hora de Beijing", pudiendo provocar fallas masivas de comunicación, interrupciones financieras, apagones eléctricos, parálisis del transporte y fallos en lanzamientos espaciales.

Citar"Esta operación frustró los intentos de Estados Unidos de robar secretos y realizar sabotajes cibernéticos, salvaguardando plenamente la seguridad de la hora de Beijing", declaró el Ministerio.

Cómo se habría ejecutado el ataque según China

El informe chino sostiene que la NSA explotó vulnerabilidades en un servicio de SMS perteneciente a una marca extranjera no identificada, comprometiendo dispositivos móviles del personal del NTSC para infiltrarse en la red interna. A través de esta brecha, los atacantes habrían robado información confidencial y credenciales de acceso, sin que se especificaran los detalles técnicos de las fallas utilizadas.

Posteriormente, el 18 de abril de 2023, la NSA supuestamente utilizó repetidamente las credenciales robadas para acceder a los sistemas del centro, analizar su infraestructura interna y preparar una operación más amplia. Entre agosto de 2023 y junio de 2024, China afirma que la agencia estadounidense desplegó una "plataforma de guerra cibernética" compuesta por 42 herramientas especializadas diseñadas para lanzar ataques de alta intensidad contra los sistemas de red del NTSC.

El objetivo principal, según el MSS, habría sido interrumpir un sistema terrestre de cronometraje de alta precisión, pieza fundamental para la exactitud del estándar horario chino.

Ataques sofisticados y ocultamiento de rastros

Los ataques, lanzados entre la medianoche y el amanecer hora de Beijing, supuestamente se apoyaron en una infraestructura global de servidores privados virtuales (VPS) con base en Estados Unidos, Europa y Asia, lo que permitió a los atacantes ocultar su origen real y enmascarar el tráfico malicioso.

El MSS también afirmó que los atacantes falsificaron certificados digitales y utilizaron algoritmos de cifrado avanzados para evadir el software antivirus y borrar cualquier evidencia de su actividad, dificultando la atribución directa del ataque.

Citar"No dejaron piedra sin remover en sus esfuerzos por llevar a cabo ataques cibernéticos e infiltraciones encubiertas", señaló el ministerio.

Respuesta de China y medidas de contención

Las agencias de seguridad nacional chinas informaron haber neutralizado el ataque y desplegado nuevas capas de defensa y monitoreo para proteger los sistemas críticos relacionados con la infraestructura de cronometraje.

El MSS aprovechó la acusación para reforzar su narrativa de que Estados Unidos es el principal responsable del caos en el ciberespacio global, señalando que Washington mantiene operaciones de espionaje y sabotaje digital en diversas regiones del mundo.

Citar"Estados Unidos es un imperio de hackers y la mayor fuente de caos en el ciberespacio", afirmó el Ministerio en su comunicado.

Según el MSS, la NSA no solo habría dirigido ataques contra China, sino también contra naciones del sudeste asiático, Europa y América del Sur, utilizando infraestructuras tecnológicas en Filipinas, Japón y Taiwán para encubrir su implicación y desviar la atención internacional.

Acusaciones cruzadas y guerra informativa

El comunicado también acusa a Washington de manipular la opinión pública internacional mediante campañas de desinformación y narrativas orientadas a desprestigiar a China.

Citar"Simultáneamente, Estados Unidos ha recurrido al grito de lobo, exagerando repetidamente la 'teoría de la amenaza cibernética de China', sancionando a empresas tecnológicas chinas y procesando a ciudadanos chinos, en un intento inútil de confundir al público y distorsionar la verdad", añadió el MSS.

Este intercambio de acusaciones forma parte de una guerra informativa y tecnológica cada vez más intensa, donde ambos países se acusan mutuamente de espionaje digital, robo de propiedad intelectual y sabotaje cibernético.

Contexto geopolítico y ciberseguridad global

El incidente se produce en un contexto de creciente rivalidad tecnológica entre China y Estados Unidos, marcada por disputas sobre semiconductores, inteligencia artificial, redes 5G y ciberseguridad.

Expertos en inteligencia coinciden en que este tipo de acusaciones reflejan una batalla por el control del ciberespacio y la soberanía digital, donde las potencias buscan no solo proteger sus infraestructuras críticas, sino también controlar la narrativa internacional.

Mientras tanto, la falta de pruebas técnicas verificables por terceros independientes mantiene el caso en la zona gris del espionaje cibernético, donde la atribución precisa es extremadamente difícil debido al uso de técnicas avanzadas de ocultamiento y falsificación.

Una nueva escalada en la guerra cibernética global

La acusación de China contra la NSA representa un nuevo capítulo en la creciente tensión digital entre las dos principales potencias del mundo. Aunque Estados Unidos no ha emitido una respuesta oficial, el incidente podría aumentar la desconfianza y las medidas defensivas de ambos lados.

La revelación subraya la importancia estratégica del tiempo, la infraestructura digital y la ciberdefensa nacional, recordando que en la era moderna, el poder se mide tanto en misiles como en megabytes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha comenzado a implementar una solución para corregir un problema crítico que afecta a Active Directory Domain Services (AD DS) en Windows Server 2025, después de la instalación de las actualizaciones de seguridad publicadas desde septiembre de 2025.

El fallo, reconocido oficialmente por la compañía el pasado martes, ha generado interrupciones en la sincronización de directorios que impactan directamente en Microsoft Entra Connect Sync y en las aplicaciones que dependen del control de sincronización de directorios (DirSync) de Active Directory.

Un error que afecta la sincronización de grandes grupos de seguridad

De acuerdo con la explicación de Microsoft, el problema ocurre únicamente en entornos con Windows Server 2025 que han recibido la actualización KB5065426 o versiones posteriores.

"Las aplicaciones que usan el control de sincronización de directorios de Active Directory (DirSync) para Active Directory Domain Services (AD DS) local, como cuando se usa Microsoft Entra Connect Sync, pueden experimentar una sincronización incompleta de grandes grupos de seguridad de AD que superen los 10,000 miembros", explicó Microsoft.

En términos prácticos, esto significa que las organizaciones con estructuras complejas de usuarios o grupos empresariales extensos podrían experimentar sincronizaciones parciales o fallidas, lo que a su vez puede afectar la autenticación, el acceso a recursos y la integridad de los servicios en la nube vinculados a Entra ID (antes Azure AD).

Implementación temporal mediante directiva KIR

Para mitigar el impacto de esta falla, Microsoft ha puesto a disposición de los administradores una solución temporal mediante la funcionalidad Known Issue Rollback (KIR), una característica diseñada para revertir automáticamente cambios en el sistema que generan errores conocidos.

La compañía indicó que los administradores de TI pueden aplicar la directiva de grupo KIR en dispositivos gestionados dentro de entornos empresariales. Esta política permite revertir los componentes problemáticos relacionados con el error sin necesidad de desinstalar las actualizaciones de seguridad.

Microsoft también ha proporcionado una guía detallada sobre cómo implementar y configurar la política KIR en el Centro de soporte técnico oficial, donde se explican los pasos para desplegar la corrección de forma segura en entornos de producción.

Solución manual para equipos no administrados

Mientras la actualización oficial se prepara para su lanzamiento en el martes de parches de noviembre de 2025, Microsoft ofrece un método alternativo para usuarios avanzados y administradores de entornos no gestionados.

La compañía recomienda agregar manualmente una clave del Registro de Windows para evitar interrupciones en la sincronización de Microsoft Entra Connect Sync:

Ruta: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides
Nombre: 2362988687
Tipo: REG_DWORD
Valor: 0

Este procedimiento restaura temporalmente la compatibilidad con la versión anterior del proceso de sincronización hasta que el parche oficial esté disponible. Microsoft enfatiza que esta medida debe aplicarse con precaución, preferiblemente en entornos de prueba antes de implementarla a gran escala.

Otros errores detectados en Windows Server 2025 y Windows 11 24H2

Además del problema con Active Directory, Microsoft también ha reconocido otros errores que afectan a las versiones más recientes de su sistema operativo.

Uno de los fallos más reportados está relacionado con el instalador independiente de Windows Update (WUSA), el cual presenta fallas al instalar actualizaciones desde recursos compartidos de red en dispositivos con Windows 11 24H2 y Windows Server 2025. Este inconveniente puede interrumpir los flujos de actualización en entornos corporativos donde las actualizaciones se distribuyen de manera interna.

Problemas de autenticación con tarjetas inteligentes

El pasado viernes, Microsoft publicó también una guía técnica para solucionar errores de autenticación con tarjetas inteligentes, un problema que afecta a todas las versiones compatibles de Windows 10, Windows 11 y Windows Server.

Estos errores surgieron después de las actualizaciones de seguridad de octubre de 2025 y pueden impedir el inicio de sesión en redes corporativas que dependen de autenticación de dos factores o certificados digitales.

Microsoft ofreció pasos de mitigación temporales, aunque adelantó que un parche permanente será liberado en la próxima ronda de actualizaciones acumulativas.

Correcciones recientes y retenciones levantadas

Un día antes, la compañía también resolvió un problema conocido que afectaba las conexiones HTTP/2 localhost (127.0.0.1), el cual fue introducido por actualizaciones de seguridad recientes. Esta corrección permitió a los desarrolladores y servicios locales restaurar la comunicación interna entre aplicaciones.

Asimismo, Microsoft eliminó dos bloqueos de compatibilidad que impedían a ciertos dispositivos realizar la actualización a Windows 11 mediante Windows Update, mejorando la transición de equipos corporativos a la versión más reciente del sistema operativo.

Estabilidad progresiva en el ecosistema Microsoft

Con estas acciones, Microsoft demuestra su compromiso con la estabilidad y la seguridad del ecosistema Windows, ofreciendo soluciones ágiles para problemas críticos que pueden afectar a empresas de todo el mundo.

La compañía continúa desplegando parches y herramientas de mitigación a través de su programa Known Issue Rollback (KIR) y el Centro de soporte técnico de Microsoft, asegurando que los administradores de sistemas puedan mantener la disponibilidad de los servicios de directorio y autenticación.

Mientras se acerca el próximo martes de parches, se recomienda a los equipos de TI monitorear activamente los entornos de Windows Server 2025 y aplicar las soluciones temporales proporcionadas, garantizando así la continuidad de operaciones y la integridad de los datos corporativos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La semana inició con una de las interrupciones más significativas del año en la infraestructura digital mundial. Durante la madrugada de este lunes, Amazon Web Services (AWS), la plataforma de servicios en la nube más grande del planeta, sufrió una caída masiva que dejó fuera de servicio a numerosas páginas y aplicaciones críticas, afectando a millones de usuarios en todo el mundo.

Según reportes de The Verge y DownDetector, entre las plataformas más afectadas se encuentran You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, Prime Video, Fortnite, Snapchat, ChatGPT, Epic Games Store, Canva, Roblox, Hulu, Mercado Libre, BBVA, Mercado Pago y Perplexity AI, entre muchas otras.

AWS: el corazón de internet

Amazon Web Services (AWS) es la columna vertebral de la infraestructura digital moderna. Su red global ofrece servicios de cómputo, almacenamiento, bases de datos y seguridad a miles de empresas, startups y gobiernos. Grandes plataformas tecnológicas, servicios bancarios, aplicaciones móviles y sitios web dependen de AWS para funcionar de manera continua.

En lugar de mantener servidores propios, muchas compañías confían en la infraestructura de Amazon para reducir costos operativos, mejorar la escalabilidad y garantizar disponibilidad global. Sin embargo, esta dependencia también significa que una falla en AWS puede tener un efecto dominó, afectando a casi todo internet, como ocurrió en este incidente.

Detalles del apagón digital

De acuerdo con la página de estado de AWS, los primeros reportes de fallas comenzaron alrededor de la 1:11 a.m. (hora local). Amazon confirmó que los problemas se concentraron principalmente en la región US-EAST-1, ubicada en la costa este de Estados Unidos, una de las zonas más críticas de su infraestructura.

En la actualización de las 4:35 a.m., AWS indicó que "la mayoría de los servicios ya funcionaban con normalidad", aunque muchos usuarios aún reportaban intermitencias, lentitud y errores de conexión. A lo largo de la mañana, DownDetector México continuó registrando fallas en plataformas financieras y de comercio electrónico.

La causa: problemas con DNS y balanceadores de carga

Aunque Amazon no ha revelado públicamente la causa exacta del incidente, los reportes internos apuntan a un problema de resolución DNS en el punto de enlace de la API de DynamoDB, una base de datos crítica utilizada por miles de servicios. Más tarde, la empresa confirmó que también existían problemas en los balanceadores de carga de red (Network Load Balancers), los cuales causaban interrupciones generalizadas.

AWS explicó en su última actualización que había implementado acciones de mitigación adicionales para restaurar la conectividad y monitorear la recuperación de los servicios. "Hemos identificado los pasos necesarios para mitigar las limitaciones en los lanzamientos de nuevas instancias EC2 y estamos viendo mejoras en la conectividad de las API", indicó la compañía.

Empresas y servicios afectados

El impacto del apagón de AWS fue inmediato y global. Entre los principales afectados se encuentran:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y Prime Video, con interrupciones en las búsquedas y el proceso de compra.
• Fortnite y Epic Games, cuyos servicios de inicio de sesión quedaron fuera de línea.
• Perplexity AI, que informó la caída total de su aplicación de chat.
• Canva, que experimentó errores masivos en la edición de imágenes y el acceso a cuentas.
• Roblox, Hulu, Snapchat, Clash of Clans, Clash Royale, Palworld, Robinhood y Grammarly, que presentaron desconexiones y tiempos de carga excesivos.

Reacciones y actualizaciones

Empresas como Epic Games confirmaron en X (antes Twitter) que sus usuarios no podían iniciar sesión debido a la interrupción en los servidores de AWS. Por su parte, Canva publicó en su portal de estado:

Citar"Actualmente estamos experimentando un aumento significativo en las tasas de error que afectan la funcionalidad de Canva. Nuestro equipo trabaja activamente para restaurar el acceso completo lo antes posible".

A las 5:25 a.m. EDT, AWS declaró que los servicios habían sido completamente restaurados. Sin embargo, horas más tarde, la compañía reconoció problemas persistentes con algunos balanceadores de carga, afectando a servicios empresariales que dependen de ellos para gestionar el tráfico y las conexiones entre servidores.

Impacto en México y otras regiones

En México, diversos usuarios continuaron reportando fallas intermitentes durante la mañana, especialmente en plataformas bancarias y de comercio electrónico. DownDetector confirmó interrupciones parciales en BBVA, Mercado Libre y Mercado Pago, mientras que algunos servicios de Amazon presentaban errores de búsqueda y cargas incompletas.

Una advertencia sobre la centralización en la nube

El incidente de este lunes vuelve a poner sobre la mesa un debate crucial: la dependencia global de infraestructuras centralizadas. AWS, junto con Microsoft Azure y Google Cloud, controla la mayor parte del mercado de servicios en la nube. Si uno de estos gigantes sufre una falla, las consecuencias pueden paralizar sectores enteros, desde el entretenimiento y la educación hasta las finanzas y el comercio electrónico.

Esta interrupción masiva demuestra que, aunque la nube promete alta disponibilidad y resiliencia, ningún sistema está exento de fallos. Los expertos en ciberseguridad recomiendan a las empresas diversificar sus proveedores de nube y fortalecer sus planes de contingencia, para reducir el impacto de futuras interrupciones.

En Fin...

La caída global de AWS del 20 de octubre de 2025 se suma a la lista de los apagones tecnológicos más importantes de la década. Con millones de usuarios y servicios afectados, el incidente demuestra la fragilidad del ecosistema digital moderno y la importancia de una infraestructura más descentralizada y resiliente.

Mientras Amazon trabaja para garantizar que el problema no se repita, la industria tecnológica enfrenta una lección clave: la nube puede ser poderosa, pero no infalible.

Fuentes: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una investigación forense sobre una infraestructura comprometida en Amazon Web Services (AWS) reveló un rootkit GNU/Linux novedoso y altamente sigiloso bautizado LinkPro, según el análisis publicado por la empresa francesa Synacktiv. LinkPro combina módulos eBPF (Berkeley Packet Filter extendido) y técnicas en espacio de usuario para ocultarse, activarse mediante un "paquete mágico" y proporcionar control remoto y túneles proxy a los atacantes.

Vectores iniciales y entrega: Jenkins, Docker y Kubernetes

El actor aprovechó un Jenkins expuesto vulnerable (CVE-2024-23897) como punto de entrada para comprometer clústeres Kubernetes y desplegar una imagen maliciosa de Docker Hub identificada como kvlnt/vv (el repositorio fue eliminado tras la investigación). La imagen incluía una base Kali Linux y una carpeta app con scripts y binarios responsables del acceso remoto y la descarga de cargas útiles cifradas. Estas cadenas de ataque permitieron a los operadores pivotar dentro de clústeres y entregar múltiples familias de malware, incluido LinkPro.

Componentes observados: vnt, vGet, vShell y LinkPro

La imagen maliciosa y los artefactos desplegados contenían: (1) You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que inicia SSH y ejecuta componentes maliciosos; (2) link (un binario vnt que actúa como servidor VPN/proxy); y (3) vGet, un descargador en Rust que obtiene una carga útil vShell cifrada desde un bucket S3 y establece comunicación con un servidor C2 vía WebSocket. Además, se entregaron droppers que instalaban vShell y el rootkit LinkPro, codificado en Golang, para facilitar persistencia y ocultación.

Arquitectura y modos de operación de LinkPro

LinkPro emplea dos módulos eBPF principales: Hide (ocultación) y Knock (activación basada en paquete). Dependiendo de la configuración, puede operar en:

• Modo activo/forward: el agente inicia la conexión C2; soporta HTTP, WebSocket, UDP, TCP y DNS.
• Modo pasivo/reverse: espera a que un "paquete mágico" desencadene la ventana de activación y usa solo HTTP para comunicarse.

El "paquete mágico" identificado por Synacktiv es un paquete TCP con tamaño de ventana 54321; cuando Knock lo detecta almacena la IP origen y abre una ventana de una hora para recibir comandos desde esa IP, además de manipular encabezados TCP para sortear correlaciones en registros de firewall frontales. Estas técnicas complican enormemente la detección y la correlación forense.

Técnicas de ocultación y persistencia: eBPF y ld.so.preload

Para permanecer indetectable, LinkPro usa:

• eBPF (tracepoints y kretprobe) para interceptar syscalls como getdents y ocultar archivos/procesos y sus propios programas BPF. Esto requiere configuraciones kernel específicas como CONFIG_BPF_KPROBE_OVERRIDE.
• Fallback en espacio de usuario: si la instalación eBPF falla o no es posible, el rootkit modifica /etc/ld.so.preload para cargar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una biblioteca compartida maliciosa que engancha funciones libc y altera resultados de llamadas para ocultar artefactos en tiempo de ejecución.
• Persistencia mediante creación de un servicio systemd y mecanismos para reinstalar módulos o restaurar el sistema tras señales de terminación, además de limpieza ordenada si se interrumpe la operación.

Capacidades C2 y comandos admitidos

LinkPro permite ejecutar comandos remotos en un pseudo-terminal, ejecutar comandos de shell, listar y manipular archivos, descargar y subir ficheros, y configurar túneles SOCKS5, entre otras acciones. La flexibilidad para elegir puertos y protocolos (con reemplazo de puertos en paquetes entrantes) facilita eludir reglas de firewall y evadir correlaciones simples entre registros de perímetro y actividad interna.

Impacto y motivación del atacante

Aunque el investigador no atribuye públicamente LinkPro a una operación APT conocida, los hallazgos indican una motivación principalmente financiera: uso de servidores comprometidos como proxies o pivotes, despliegue de loaders y ladrones de información (stealers) y potencial uso para fraude o exfiltración de credenciales. La combinación de Kubernetes, imágenes Docker maliciosas y un rootkit eBPF hace que las infraestructuras cloud sean objetivos atractivos.

Recomendaciones prácticas y medidas de mitigación (prioritarias)

• Corregir y endurecer Jenkins: parchear CVE-2024-23897 y limitar el acceso público al panel y CLI de Jenkins. Monitorizar accesos y patrones de CLI atípicos.
• Control de imágenes y registries: bloquear imágenes no autorizadas, habilitar firmas de imágenes (Content Trust), y escanear imágenes en CI/CD antes de desplegar en Kubernetes.
• Hunting en entornos Kubernetes: auditar Deployments, DaemonSets y contenedores con privilegios, buscar kvlnt/vv y artefactos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y conexiones a dominios/IPs señalados por la investigación.
• Detección eBPF y archivos preload: monitorizar cambios en /etc/ld.so.preload, cargas inusuales de BPF y llamadas sys_bpf; usar herramientas de integridad de kernel y EDR con visibilidad a eBPF.
• Segmentación y bloqueo de C2: bloquear en firewalls salidas hacia IPs y dominios C2 conocidos; limitar comunicaciones salientes desde pods a destinos aprobados.
• Respuesta ante incidentes: si sospecha compromiso, aislar nodos, obtener volcado de memoria, volcar eBPF programs y proceder a análisis forense de imágenes y configuraciones. Coordinar notificación y medidas de remediación.

En fin...

LinkPro demuestra la convergencia entre técnicas kernel-level (eBPF), supply-chain y abuso de entornos cloud (Jenkins + Docker + Kubernetes) para lograr persistencia y evasión avanzadas. Su capacidad para alternar entre eBPF y mecanismos de espacio de usuario lo hace adaptable a distintos entornos de kernel. Las organizaciones que operan en la nube deben priorizar parches de Jenkins, control estricto de imágenes y detección enfocada en eBPF y ld.so.preload para minimizar riesgo.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han identificado una sofisticada campaña de malware atribuida al grupo de amenazas UNC5142, un actor motivado financieramente que utiliza contratos inteligentes de blockchain para distribuir ladrones de información (stealers) en sistemas Windows y macOS. Esta técnica, que aprovecha la infraestructura de BNB Smart Chain, representa un cambio innovador y peligroso en la forma en que los ciberdelincuentes ocultan y distribuyen sus cargas útiles maliciosas.

EtherHiding: el camuflaje perfecto en la blockchain

Según un informe del Google Threat Intelligence Group (GTIG), UNC5142 combina el uso de sitios WordPress comprometidos con una técnica denominada EtherHiding, descubierta originalmente por Guardio Labs en octubre de 2023. EtherHiding permite a los atacantes ocultar código malicioso dentro de una cadena de bloques pública, utilizando contratos inteligentes para almacenar y distribuir los scripts necesarios para ejecutar los ataques.

Desde junio de 2025, Google ha identificado más de 14,000 páginas web infectadas con código JavaScript inyectado relacionado con esta campaña. Aunque no se ha observado actividad desde el 23 de julio de 2025, los investigadores creen que el grupo podría estar reestructurando su infraestructura o desarrollando nuevas variantes.

El enfoque de UNC5142 demuestra un uso inteligente de la tecnología blockchain para eludir detección y censura, mezclando su tráfico malicioso con la actividad legítima de Web3.

CLEARSHORT: el descargador de varias etapas

La pieza central de la cadena de infección es CLEARSHORT, un descargador de JavaScript en múltiples fases que se utiliza para distribuir malware a través de los sitios WordPress comprometidos.

• Primera etapa: los atacantes inyectan un script malicioso en archivos de complementos, temas o incluso en la base de datos del sitio. Este script se comunica con un contrato inteligente alojado en la blockchain BNB Smart Chain para recuperar la siguiente etapa.
• Segunda etapa: el contrato inteligente redirige a la víctima a una página de destino maliciosa (landing page), alojada generalmente en dominios .dev de Cloudflare.
• Ingeniería social: se despliega una táctica llamada ClickFix, diseñada para engañar al usuario y hacerlo ejecutar comandos en el cuadro de diálogo "Ejecutar" de Windows o en la Terminal de macOS, bajo el pretexto de una "actualización del navegador".

Una vez ejecutado el comando, el sistema se infecta con uno de varios ladrones de información (stealers), entre ellos Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) y Vidar, capaces de robar credenciales, datos financieros y cookies del navegador.

Ataques específicos contra Windows y macOS

En los sistemas Windows, la secuencia maliciosa descarga un archivo HTA (HTML Application) desde MediaFire, que ejecuta un script de PowerShell. Este script elude las defensas del sistema, descarga la carga final desde GitHub, MediaFire o la infraestructura del atacante, y ejecuta el malware directamente en memoria para evitar dejar rastros en disco.

En macOS, las campañas observadas entre febrero y abril de 2025 usaron señuelos similares de ClickFix, pidiendo al usuario que ejecutara un comando bash en Terminal. Dicho comando ejecuta un script de shell que utiliza curl para descargar el Atomic Stealer, un malware diseñado para robar datos de carteras de criptomonedas y contraseñas almacenadas en el sistema.

La evolución del ataque: de ClearFake a CLEARSHORT

El marco CLEARSHORT se considera una evolución directa de ClearFake, una campaña anterior analizada por Sekoia en marzo de 2025. ClearFake introdujo el uso de JavaScript falso para descargar malware de manera encubierta, técnica que UNC5142 refinó al incorporar contratos inteligentes de blockchain y cifrado avanzado.

Desde diciembre de 2024, las páginas de destino empleadas por CLEARSHORT comenzaron a servirse en formato cifrado, incrementando la dificultad para que los investigadores rastreen las cargas maliciosas y mitiguen las infecciones.

Contratos inteligentes y agilidad operativa

Una característica notable de la operación de UNC5142 es su uso adaptativo de contratos inteligentes. Inicialmente, el grupo utilizaba un solo contrato en BNB Smart Chain, pero a partir de noviembre de 2024 evolucionó hacia un sistema de tres contratos interconectados, basado en el patrón proxy.

Este diseño divide las funciones en tres partes:

• Contrato de enrutamiento: gestiona las solicitudes entrantes.
• Contrato lógico: almacena las variables dinámicas (como URLs o claves de descifrado).
• Contrato de almacenamiento: mantiene los datos persistentes de la campaña.

Gracias a esta arquitectura, los atacantes pueden actualizar rápidamente componentes críticos —como la URL del payload o la clave de descifrado— sin modificar el código JavaScript en los sitios infectados. Cada actualización cuesta apenas entre $0.25 y $1.50 en tarifas de red, lo que hace que el mantenimiento de la infraestructura maliciosa sea barato y resiliente.

Dos infraestructuras paralelas y resiliencia en la operación

El análisis de GTIG revela que UNC5142 opera con dos infraestructuras distintas:

• Infraestructura principal: creada el 24 de noviembre de 2024, con un flujo constante de actualizaciones y considerada el núcleo de la operación.
• Infraestructura secundaria: financiada el 18 de febrero de 2025, usada para probar nuevas tácticas, desplegar campañas temporales o reforzar la resiliencia operativa.

Esta estructura dual ha permitido al grupo mantener alta disponibilidad y distribuir múltiples familias de malware sin interrupciones, a pesar de los esfuerzos de detección y desmantelamiento.

La amenaza emergente del malware impulsado por blockchain

El caso de UNC5142 marca un punto de inflexión en la evolución del malware moderno. Al aprovechar las propiedades de inmutabilidad y descentralización de la blockchain, los atacantes han encontrado una forma eficaz de ocultar su infraestructura y dificultar su eliminación.

El uso de contratos inteligentes como intermediarios en campañas de distribución de malware demuestra cómo las tecnologías Web3 pueden ser arma de doble filo, ofreciendo tanto innovación legítima como nuevos vectores de ataque.

Los administradores de sitios WordPress deben reforzar la seguridad, aplicar parches regulares y auditar sus archivos y bases de datos para detectar inyecciones de JavaScript sospechosas. Asimismo, es esencial bloquear el acceso a la blockchain BNB Smart Chain desde servidores vulnerables y educar a los usuarios sobre los riesgos de ejecutar comandos no verificados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente sobre la explotación activa de una vulnerabilidad crítica en Adobe Experience Manager (AEM), una de las plataformas más utilizadas a nivel empresarial para la gestión de experiencias digitales y formularios web. Esta falla, identificada como CVE-2025-54253, permite la ejecución remota de código (RCE) y ya está siendo aprovechada por actores de amenazas para comprometer sistemas que no han sido actualizados.

Una vulnerabilidad crítica con impacto global

De acuerdo con CISA, CVE-2025-54253 afecta específicamente a Adobe Experience Manager Forms en las versiones 6.5.23 y anteriores basadas en JEE (Java Enterprise Edition). El problema radica en una configuración incorrecta dentro del componente de Struts DevMode, que deja expuestos servicios internos del sistema a solicitudes externas no autenticadas.

Esta debilidad puede ser explotada de manera remota, sin interacción del usuario y con baja complejidad técnica, lo que la convierte en un blanco atractivo para campañas automatizadas y ataques dirigidos. En caso de explotación exitosa, el atacante puede eludir los mecanismos de autenticación y ejecutar código arbitrario con privilegios del sistema, abriendo la puerta a la instalación de malware, robo de datos sensibles o control completo del servidor afectado.

Descubrimiento y demora en el parcheo

La vulnerabilidad fue descubierta por los investigadores Adam Kues y Shubham Shah, de Searchlight Cyber, quienes notificaron a Adobe sobre tres fallos críticos en abril de 2025:

• CVE-2025-54253 – Omitir autenticación y ejecutar código remoto (RCE).
• CVE-2025-54254 – Inyección de comandos a través de variables no sanitizadas.
• CVE-2025-49533 – Vulnerabilidad corregida parcialmente en abril.

Pese a la notificación responsable, Adobe solo parcheó uno de los tres problemas en abril, dejando los otros sin resolver durante más de 90 días. Los investigadores decidieron entonces publicar el 29 de julio un informe técnico detallando el funcionamiento de las vulnerabilidades, incluyendo ejemplos de explotación y medidas de mitigación.

Tras la publicación del artículo y la creciente preocupación en la comunidad de seguridad, Adobe lanzó actualizaciones el 9 de agosto de 2025 para mitigar la vulnerabilidad CVE-2025-54253, confirmando que ya existía un exploit de prueba de concepto (PoC) disponible públicamente.

Detalles técnicos del exploit

Según Searchlight Cyber, el ataque aprovecha el modo de desarrollo de Apache Struts (DevMode) para ejecutar comandos de manera no autenticada. Este vector de ataque se origina cuando la instancia de AEM Forms está expuesta directamente a Internet y opera en un entorno donde DevMode no ha sido deshabilitado, lo que brinda a los atacantes un punto de entrada.

La explotación del fallo permite ejecutar scripts maliciosos, manipular formularios, acceder a datos almacenados e incluso instalar webshells para obtener persistencia dentro del servidor. Por ello, los expertos recomiendan restringir el acceso externo a los sistemas AEM Forms y limitar su exposición pública, especialmente en entornos donde no sea posible aplicar de inmediato las actualizaciones de seguridad.

CISA incluye CVE-2025-54253 en su catálogo de vulnerabilidades explotadas

Debido a la gravedad del fallo y su explotación activa, CISA añadió CVE-2025-54253 a su Catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities Catalog). Esto activa automáticamente la aplicación de la Directiva Operativa Vinculante (BOD) 22-01, que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) de Estados Unidos a corregir el fallo antes del 5 de noviembre de 2025.

Aunque la directiva se aplica principalmente a entidades gubernamentales federales, CISA insta también a las organizaciones privadas a priorizar el parcheo inmediato y a seguir las recomendaciones del proveedor para reducir la superficie de ataque.

Citar"Aplique mitigaciones según las instrucciones del proveedor, siga la guía BOD 22-01 aplicable para los servicios en la nube o suspenda el uso del producto si las mitigaciones no están disponibles", advirtió CISA.

La agencia subrayó que vulnerabilidades como esta "son vectores de ataque frecuentes para los actores cibernéticos maliciosos y plantean riesgos significativos para la infraestructura digital, tanto pública como privada".

Recomendaciones de seguridad y mitigación

Para minimizar el riesgo de compromiso, los expertos de CISA y Searchlight Cyber recomiendan las siguientes acciones inmediatas:

• Actualizar a la versión más reciente de AEM Forms JEE (6.5.24 o superior) publicada por Adobe el 9 de agosto de 2025.
• Deshabilitar Struts DevMode en todos los entornos de producción.
• Restringir el acceso externo a AEM Forms mediante listas de control de acceso (ACL) o túneles VPN.
• Monitorear los logs en busca de actividad sospechosa relacionada con solicitudes HTTP inusuales o ejecución de código remoto.
• Implementar WAFs (firewalls de aplicaciones web) que bloqueen patrones de explotación conocidos.

Establecer una política de actualización continua, asegurando que todos los sistemas AEM mantengan configuraciones seguras y parches recientes.

En fin...

La vulnerabilidad CVE-2025-54253 representa un recordatorio claro de cómo las configuraciones inseguras pueden transformar entornos corporativos complejos como Adobe Experience Manager en puntos de entrada para ataques críticos. La respuesta tardía de los proveedores, combinada con la divulgación pública de los exploits, ha acelerado la explotación activa por parte de ciberdelincuentes.

En este contexto, actualizar y endurecer los sistemas AEM debe ser una prioridad inmediata. Las organizaciones que dependan de esta plataforma deben aplicar los parches oficiales, limitar su exposición a Internet y reforzar la monitorización de seguridad para evitar convertirse en el próximo objetivo de esta amenaza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han identificado una campaña activa —denominada Operación Zero Disco— que aprovecha la vulnerabilidad CVE-2025-20352 en el subsistema SNMP de Cisco IOS y IOS XE para ejecutar código remoto y desplegar un rootkit Linux en equipos de red desprotegidos y con firmware antiguo. Esta intrusión permite al atacante obtener acceso persistente y realizar manipulaciones profundas en switches afectados, lo que representa un riesgo severo para la disponibilidad e integridad de la red empresarial.

La vulnerabilidad, clasificada con un CVSS alto (7.7), es un desbordamiento de pila en la implementación de SNMP que puede dar lugar a ejecución remota de código si el atacante posee credenciales SNMP válidas (SNMPv1/v2c read-only community string o credenciales SNMPv3) y, para el escalado total a root, credenciales administrativas o privilegios de nivel 15 en el dispositivo. Cisco identificó la falla como explotada en entornos reales y publicó un boletín de seguridad para su mitigación y parcheo.

Qué hace el rootkit y por qué es peligroso

Según el análisis de Trend Micro, el rootkit desplegado por los atacantes incluye funcionalidades avanzadas de persistencia y evasión: instala un controlador UDP que puede escuchar en puertos arbitrarios; habilita una contraseña universal que contiene la palabra "disco" (de ahí el nombre de la operación); alterna o elimina registros, omite listas de control de acceso (ACL), suprime accesos AAA/VTY, y oculta elementos de la configuración en ejecución, además de manipular marcas de tiempo para frustrar la detección forense. Estas capacidades permiten al adversario permanecer oculto después de reinicios y moverse lateralmente dentro de la infraestructura de red.

En pruebas controladas, los investigadores demostraron además que el atacante puede deshabilitar el registro (logging), realizar suplantación ARP para fingir la IP de un gateway, evadir reglas de firewall internas y desplazarse entre VLAN, lo que convierte a un switch comprometido en una plataforma para ataques internos más amplios. Aunque modelos más recientes incluyen mitigaciones como ASLR (Address Space Layout Randomization), Trend Micro advierte que estas protecciones no garantizan inmunidad; la orientación persistente del actor podría comprometer incluso hardware relativamente moderno si no está completamente parcheado o monitoreado.

Equipos afectados y vectores observados

Las observaciones de campo indican que los ataques tuvieron éxito principalmente contra switches Cisco de generaciones anteriores: series Catalyst 9400, 9300 y equipos heredados 3750G que carecían de detección endpoint/EDR para la respuesta y detección en el plano del sistema. Además de CVE-2025-20352, los atacantes intentaron explotar una vulnerabilidad histórica (CVE-2017-3881) para ampliar sus capacidades de lectura/escritura en memoria.


Detección — limitaciones y recomendaciones forenses

Trend Micro señala que no existe actualmente una herramienta fiable que identifique de forma automática y definitiva si un switch ha sido comprometido por esta campaña. Por ello, ante sospechas de intrusión la recomendación es realizar un análisis forense de firmware y una inspección de la región ROM a bajo nivel, además de validar integridad de imágenes y comparar hashes con copias de confianza. También se aconseja revisar registros fuera de línea, volcar la memoria cuando sea posible y buscar indicadores asociados con la contraseña universal y hooks en procesos IOSd.

Medidas urgentes para equipos y administradores de red

• Aplicar parches de inmediato: implementar las actualizaciones publicadas por Cisco para las versiones afectadas de IOS/IOS XE. Cisco ya publicó parches y mitigaciones en su boletín oficial; aplíquelos de forma prioritaria en los dispositivos expuestos.
• Cambiar credenciales SNMP: asegurar strings de comunidad SNMPv1/v2c y revisar/rotar usuarios SNMPv3; limitar el uso de SNMP antiguo y migrar a configuraciones seguras.
• Segmentación y monitoreo: reforzar segmentación de red, implementar inspección profunda en perímetros y controles de tráfico entre VLAN; monitorizar anomalías en el tráfico UDP y actividad SNMP inusual.
• Revisión de logs y detección de persistencia: auditar registros, comprobar cambios en configuraciones en ejecución, y buscar evidencia de hooks en procesos del sistema o restablecimiento de marcas de tiempo. Si hay sospecha, realizar análisis de firmware/ROM.
• Respuesta y limpieza: ante confirmación de compromiso, aislar el equipo afectado, restaurar desde imágenes de firmware e imágenes de configuración verificadas, y reemplazar el hardware si la integridad no puede garantizarse. Notificar a stakeholders y, según procedimientos, coordinar con el fabricante y equipos de respuesta (PSIRT).

En fin...

Operaciones como Zero Disco muestran cómo vulnerabilidades en servicios de gestión de red (SNMP) pueden transformarse en puertas para compromisos persistentes a nivel de infraestructura. La combinación de parches oportunos, endurecimiento de SNMP, monitoreo continuo y capacidad forense son esenciales para mitigar el riesgo. Priorice la actualización de los dispositivos Cisco afectados, evalúe la necesidad de auditoría de firmware en equipos críticos y coordine una investigación profesional si existe sospecha de intrusión.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login