El ciberespionaje patrocinado por estados se ha convertido en una de las principales amenazas para gobiernos, organizaciones académicas y empresas de todo el mundo. Uno de los actores más activos en este terreno es TA415, un grupo de amenazas alineado con China que ha sido vinculado a las operaciones de APT41 y Brass Typhoon.

Según un análisis de Proofpoint, TA415 ha lanzado entre julio y agosto de 2025 una serie de campañas de spear-phishing altamente dirigidas contra el gobierno de Estados Unidos, think tanks y organizaciones académicas, utilizando señuelos basados en temas económicos entre EE. UU. y China.

Suplantación de instituciones y líderes políticos

Lo que distingue a estas campañas es la sofisticada suplantación de identidad utilizada por los atacantes. Los correos maliciosos imitaban a:

• El presidente del Comité Selecto de Competencia Estratégica entre Estados Unidos y el Partido Comunista Chino (PCCh).
• El Consejo Empresarial Estados Unidos-China.

Los mensajes estaban diseñados para atraer a personas con roles clave en el comercio internacional, la política económica y las relaciones bilaterales, invitándolos a supuestas sesiones informativas privadas sobre temas de Taiwán y las tensiones comerciales entre EE. UU. y China.

Técnicas de spear-phishing empleadas por TA415

Los correos se enviaban desde la dirección "uschina@zohomail[.]com" y estaban cuidadosamente elaborados para parecer auténticos. Para evadir la detección y ocultar el origen de la actividad, el grupo utilizó el servicio VPN Cloudflare WARP.

Dentro de los correos, los enlaces redirigían a archivos protegidos con contraseña alojados en Zoho WorkDrive, Dropbox y OpenDrive, lo que aumentaba la credibilidad del ataque. Estos archivos contenían:

• Un acceso directo de Windows (LNK).
• Archivos adicionales ocultos en carpetas invisibles para el usuario.

El archivo LNK actuaba como vector inicial, ejecutando un script por lotes que desplegaba un cargador malicioso de Python llamado WhirlCoil, mientras mostraba en primer plano un documento PDF señuelo para distraer a la víctima.

WhirlCoil: la pieza clave del ataque

El cargador WhirlCoil no es nuevo. Proofpoint señala que versiones anteriores descargaban componentes desde Pastebin y desde el propio sitio oficial de Python. En esta campaña, WhirlCoil fue incluido directamente en el archivo descargado, lo que reduce la exposición de la cadena de infección.

Entre sus capacidades destacan:

• Persistencia mediante la creación de tareas programadas con nombres que simulan procesos legítimos, como GoogleUpdate o MicrosoftHealthcareMonitorNode.
• Ejecución con privilegios SYSTEM si la víctima cuenta con permisos administrativos.
• Establecimiento de un túnel remoto de Visual Studio Code, utilizado como puerta trasera para control persistente.
• Recolección de datos del sistema y directorios de usuarios.

La información recopilada se envía a servicios gratuitos de registro de solicitudes como requestrepo[.]com, en forma de blobs codificados en base64 dentro de peticiones HTTP POST. Esto permite al atacante autenticar el túnel y acceder de manera remota al sistema comprometido para ejecutar comandos arbitrarios.

Objetivo: espionaje económico y político

El contexto de estas campañas coincide con las conversaciones comerciales entre Estados Unidos y China. Proofpoint señala que es altamente probable que TA415 esté respaldado por intereses estatales chinos y que su objetivo principal sea la recolección de inteligencia estratégica.

El grupo no solo busca acceso a datos gubernamentales, sino también a información generada por:

• Think tanks especializados en relaciones internacionales y comercio exterior.
• Organizaciones académicas con investigaciones relevantes para la política económica global.
• Entidades privadas vinculadas al comercio EE. UU.-China.

Este tipo de espionaje tiene como finalidad anticipar movimientos políticos y económicos, así como influir en la toma de decisiones estratégicas.

Conexión con APT41 y Brass Typhoon

Los investigadores de ciberseguridad han identificado superposiciones técnicas entre TA415 y grupos más conocidos como APT41 y Brass Typhoon (antes Bium). Estas conexiones incluyen:

• Infraestructura compartida en ataques anteriores.
• Similitudes en las herramientas de malware utilizadas.
• Patrones de ataque coincidentes con campañas anteriores atribuidas a China.

APT41 es uno de los grupos de ciberespionaje más estudiados por su capacidad para combinar operaciones patrocinadas por el Estado chino con ataques criminales para beneficio financiero, lo que sugiere que TA415 podría operar bajo un modelo híbrido similar.

Advertencia del Congreso de EE. UU.

Los hallazgos de Proofpoint se publicaron poco después de que el Comité Selecto de la Cámara de Representantes de EE. UU. sobre China emitiera una advertencia sobre una serie de campañas activas de ciberespionaje chino.

En uno de los casos mencionados, actores de amenazas se hicieron pasar por el congresista republicano John Robert Moolenaar en correos de phishing diseñados para distribuir malware de robo de información.

Esto confirma que la campaña de TA415 forma parte de una operación más amplia y en curso, con múltiples vectores de ataque dirigidos a diferentes sectores estratégicos.

En fin...

El caso de TA415 refleja la evolución del spear-phishing como herramienta de ciberespionaje patrocinado por estados. Al combinar técnicas avanzadas de ingeniería social con malware personalizado como WhirlCoil, el grupo logra infiltrarse en sistemas críticos y obtener información de alto valor estratégico.

Para organizaciones en sectores sensibles —gobierno, academia, comercio internacional—, este tipo de ataques representa una amenaza directa. Las medidas más efectivas para mitigar el riesgo incluyen:

• Autenticación multifactor en todos los accesos sensibles.
• Capacitación continua para la detección de correos sospechosos.
• Monitoreo de tráfico inusual y uso de servicios VPN desconocidos.
• Análisis de indicadores de compromiso (IoCs) asociados a TA415 y APT41.

En un entorno geopolítico marcado por tensiones crecientes, el ciberespionaje seguirá siendo un campo de batalla clave entre potencias mundiales. Y TA415 es una prueba más de que la seguridad cibernética y la seguridad nacional están cada vez más entrelazadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El cibercrimen organizado encontró durante años un punto de encuentro en BreachForums, uno de los foros de piratería más notorios en inglés. Hoy, su creador y administrador, Conor Brian Fitzpatrick, conocido en línea como Pompompurin, enfrenta nuevamente la justicia. Tras una apelación del Departamento de Justicia de Estados Unidos (DOJ), un tribunal federal revocó su sentencia anterior y le impuso tres años de prisión, marcando un precedente en la lucha contra las plataformas que facilitan delitos cibernéticos.

De RaidForums a BreachForums: el ascenso de Pompompurin

La historia de Fitzpatrick comienza en 2022, cuando creó BreachForums poco después de que el FBI desmantelara RaidForums, otro foro clandestino popular para la compraventa de datos robados. Bajo el alias de Pompompurin, el joven neoyorquino de 22 años construyó un sitio que rápidamente se consolidó como uno de los mayores mercados de ciberdelincuencia en inglés, alcanzando más de 330,000 miembros registrados.

En BreachForums se ofrecían:

• Bases de datos robadas de empresas privadas y agencias gubernamentales.
• Acceso a redes corporativas comprometidas.
• Servicios ilegales vinculados con fraudes financieros y filtraciones de información.

El foro ganó notoriedad internacional cuando se utilizó para vender los datos robados tras la violación de DC Health Link, un proveedor de seguros médicos que atiende a miembros de la Cámara de Representantes de EE. UU., su personal y familiares. Este incidente colocó a BreachForums en el centro de la agenda de ciberseguridad del gobierno estadounidense.

Arresto y confesión de Fitzpatrick

El 15 de marzo de 2023, Fitzpatrick fue arrestado y acusado de conspiración para solicitar la venta de dispositivos de acceso no autorizados. Durante su detención, admitió ante agentes del FBI ser tanto Pompompurin como el administrador principal de BreachForums.

Unos meses después, en julio de 2023, se declaró culpable de conspiración para cometer fraude de dispositivos de acceso, solicitud con fines ilícitos y posesión de material de explotación infantil (CSAM). Estos cargos reflejaban no solo su rol en el ecosistema criminal digital, sino también delitos adicionales que agravaban su situación judicial.

La primera sentencia y las violaciones a la libertad supervisada

En enero de 2024, Fitzpatrick recibió una sentencia considerada indulgente: tiempo cumplido (17 días de cárcel) y 20 años de libertad supervisada. Esta decisión, sin embargo, pronto sería cuestionada.

La sentencia incluía condiciones estrictas:

• Confinamiento domiciliario con monitoreo GPS durante dos años.
• Prohibición de acceso a Internet durante el primer año de liberación.
• Instalación obligatoria de software de monitoreo en sus dispositivos.
• Tratamiento de salud mental como parte de su rehabilitación.

No obstante, los documentos judiciales revelaron que Fitzpatrick violó estas condiciones. Utilizó VPNs para ocultar su actividad en línea y empleó dispositivos electrónicos no autorizados, lo que demostró una clara intención de evadir la supervisión. Estas acciones se convirtieron en un factor clave para endurecer su sentencia.

La apelación del Departamento de Justicia

El Departamento de Justicia consideró que la primera condena era insuficiente dada la gravedad de los crímenes. En enero de 2025, el Tribunal de Apelaciones del Cuarto Circuito de EE. UU. revocó la sentencia inicial y remitió el caso para una nueva resolución.

Hoy, tras este proceso, Fitzpatrick fue finalmente condenado a tres años de prisión por tres cargos principales:

• Conspiración para cometer fraude de dispositivos de acceso.
• Solicitud con el propósito de ofrecer acceso ilegal.
• Posesión de material de explotación infantil (CSAM).

Impacto de BreachForums en la ciberdelincuencia

El cierre de BreachForums representó un golpe estratégico contra el cibercrimen internacional, pero también expuso la magnitud de estos foros clandestinos.

A través de su plataforma, se traficaron datos robados de:

• Empresas de telecomunicaciones y redes sociales.
• Instituciones financieras y de inversión.
• Hospitales y proveedores de salud.
• Agencias gubernamentales de Estados Unidos y otros países.

El foro no solo facilitaba la compraventa de información, sino que además favorecía el acceso inicial para ataques de ransomware y fraudes masivos, convirtiéndose en una amenaza directa para la seguridad económica y social.

Un precedente en la lucha contra el cibercrimen

El caso de Conor Brian Fitzpatrick envía un mensaje claro: los administradores de foros de piratería no están fuera del alcance de la ley. La colaboración entre agencias de seguridad, tribunales y equipos de ciberinteligencia permitió desmantelar una de las plataformas más influyentes del cibercrimen en inglés.

No obstante, expertos advierten que el vacío dejado por BreachForums será ocupado por otros foros o mercados clandestinos, como ya ocurrió con la transición de RaidForums a BreachForums en 2022.

En fin...

La nueva sentencia de tres años de prisión para Fitzpatrick refleja la importancia de aplicar sanciones proporcionales a la gravedad de los delitos cibernéticos. Aunque BreachForums ya no existe, su impacto sigue presente como recordatorio del alcance del cibercrimen organizado y de la necesidad de fortalecer la ciberseguridad global.

El caso de Pompompurin no solo marca el fin de una etapa en la piratería digital, sino que también resalta el desafío constante que enfrentan las autoridades: perseguir a los responsables mientras el ecosistema del cibercrimen evoluciona y se adapta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El cibercrimen sigue evolucionando, y una de sus ramas más peligrosas es el Phishing-as-a-Service (PhaaS), donde los atacantes ofrecen kits listos para ejecutar campañas maliciosas a gran escala. En septiembre de 2025, Microsoft y Cloudflare lograron un golpe estratégico al interrumpir una de las operaciones de PhaaS más grandes de los últimos años: RaccoonO365. Este servicio ayudó a ciberdelincuentes a robar miles de credenciales de Microsoft 365, afectando a organizaciones de sectores críticos como la salud y las finanzas.

¿Qué es RaccoonO365?

RaccoonO365 era una plataforma de phishing bajo suscripción diseñada específicamente para atacar a usuarios y empresas que utilizaban servicios de Microsoft 365. El grupo criminal detrás de esta operación, identificado por Microsoft como Storm-2246, alquilaba sus kits de phishing en un canal privado de Telegram con más de 840 miembros activos.

Los kits de phishing de RaccoonO365 se caracterizaban por:

• Uso de páginas CAPTCHA falsas, diseñadas para dar apariencia legítima.
• Técnicas anti-bot, que evitaban el análisis automatizado de seguridad.
• Diseños idénticos a los portales de Microsoft, lo que engañaba incluso a usuarios experimentados.

Gracias a estas técnicas, los atacantes pudieron robar más de 5,000 credenciales de Microsoft en 94 países, incluyendo accesos a OneDrive, SharePoint y correos electrónicos corporativos.

Una operación global interrumpida por Microsoft y Cloudflare

A principios de septiembre de 2025, la Unidad de Delitos Digitales (DCU) de Microsoft, en coordinación con los equipos Cloudforce One y Trust and Safety de Cloudflare, ejecutó una operación de desmantelamiento. El resultado fue la incautación de 338 sitios web maliciosos y cuentas de trabajadores vinculados a RaccoonO365.

Según Microsoft, esta intervención fue clave para proteger a miles de usuarios y empresas que estaban en la mira de los atacantes.

Un ejemplo claro del alcance de esta operación ocurrió en abril de 2025, cuando RaccoonO365 lanzó una campaña masiva de phishing con temática fiscal dirigida a más de 2,300 organizaciones en Estados Unidos. El ataque también se extendió al sector de la salud, impactando a más de 20 organizaciones hospitalarias en el país.

Consecuencias de las credenciales robadas

El robo de credenciales en este tipo de ataques no se limita al acceso inmediato. Los datos sustraídos por RaccoonO365 fueron utilizados en:

• Fraudes financieros mediante transferencias no autorizadas.
• Extorsiones cibernéticas, aprovechando información confidencial de empresas.
• Acceso inicial para otros ataques, incluyendo malware y ransomware.

Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, advirtió:

Citar"Los correos de phishing de RaccoonO365 son a menudo un precursor de malware y ransomware, lo que genera un impacto devastador en hospitales y organizaciones críticas".

Los efectos de estos ataques incluyen interrupciones en cuidados intensivos, retrasos en resultados de laboratorio, filtración de datos sensibles y pérdidas financieras millonarias.

El modelo de negocio de RaccoonO365

El atractivo de RaccoonO365 para los ciberdelincuentes residía en su modelo de suscripción PhaaS. Los precios variaban entre:

• USD 355 por un plan de 30 días.
• USD 999 por una suscripción de 90 días.

Los pagos se realizaban en criptomonedas como USDT (TRC20, BEP20, Polygon) y Bitcoin (BTC), lo que dificultaba el rastreo financiero.

Microsoft estima que el grupo obtuvo al menos USD 100,000 en pagos en criptomonedas, aunque el número real de suscripciones vendidas podría ser mucho mayor, probablemente entre 100 y 200 licencias activas al momento de la intervención.

Identidad del líder: Joshua Ogundipe

Durante la investigación, Microsoft DCU identificó al líder de RaccoonO365 como Joshua Ogundipe, residente en Nigeria. Según el análisis, Ogundipe posee experiencia en programación avanzada, y se cree que fue el autor principal del código utilizado en los kits de phishing.

Un error de seguridad operacional cometido por el grupo permitió rastrear una billetera secreta de criptomonedas, lo que facilitó a Microsoft vincular directamente a Ogundipe con la operación. Actualmente, se ha enviado una remisión penal a las fuerzas del orden internacionales para procesar al responsable.

Cloudflare también sospecha que el grupo mantiene colaboración con ciberdelincuentes de habla rusa, debido al uso del idioma ruso en su bot de Telegram.

Un paso más en la lucha contra el cibercrimen

Este no es el primer esfuerzo de Microsoft en la lucha contra el cibercrimen como servicio. En mayo de 2025, la compañía también incautó 2,300 dominios vinculados al malware Lumma, otro servicio basado en suscripción enfocado en el robo de información.

El desmantelamiento de RaccoonO365 representa un golpe contundente contra el ecosistema del phishing, pero también evidencia que el mercado del cibercrimen sigue creciendo mediante modelos de negocio similares a las suscripciones legítimas.

En fin...

La interrupción de RaccoonO365 por parte de Microsoft y Cloudflare es un ejemplo claro de cómo la colaboración internacional y el uso de inteligencia cibernética avanzada son esenciales para combatir las crecientes amenazas digitales.

Sin embargo, el caso también deja una advertencia: el phishing como servicio se ha convertido en una industria global que profesionaliza el cibercrimen, facilitando que atacantes sin grandes conocimientos técnicos puedan acceder a kits avanzados y lanzar campañas a gran escala.

Para empresas y usuarios, la lección es clara: reforzar la ciberseguridad, implementar autenticación multifactor y capacitar a los empleados en la detección de phishing son medidas imprescindibles para prevenir futuros ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ecosistema de Android se vio nuevamente afectado por una operación de fraude publicitario a gran escala, descubierta bajo el nombre de SlopAds. Esta campaña maliciosa empleó 224 aplicaciones en Google Play para generar más de 2.3 mil millones de solicitudes de anuncios por día, afectando a usuarios de 228 países y acumulando más de 38 millones de descargas antes de ser interrumpida.

El hallazgo fue realizado por el equipo de Inteligencia de Amenazas Satori de HUMAN, que reveló el nivel de sofisticación detrás de este ataque, el cual combinaba técnicas de ofuscación, esteganografía y cargas dinámicas para evadir las defensas de Google y los sistemas de seguridad móviles.

¿Qué fue la campaña SlopAds?

Los investigadores denominaron la operación SlopAds porque las aplicaciones asociadas parecían producidas en masa, con un estilo que imita a los contenidos de "AI slop" o de baja calidad, y porque los atacantes usaban un servidor C2 (comando y control) lleno de servicios y apps con temática de inteligencia artificial.

El objetivo era claro: simular tráfico publicitario masivo y generar ingresos ilegítimos a través de clics e impresiones falsas. Para ello, los atacantes diseñaron aplicaciones aparentemente inofensivas que, bajo ciertas condiciones, activaban comportamientos maliciosos.

Impacto global del fraude publicitario

La campaña tuvo un alcance mundial:

• 30% del tráfico fraudulento se originó en Estados Unidos.
• 10% en India.
• 7% en Brasil.

Con más de 2.3 mil millones de solicitudes de anuncios diarios, el volumen de tráfico fue tan elevado que llegó a afectar el ecosistema de subastas programáticas de anuncios digitales, generando pérdidas para anunciantes y plataformas de publicidad legítimas.

Técnicas utilizadas por SlopAds

La operación de SlopAds destacaba por su sofisticación técnica, que incluía múltiples capas de evasión y módulos ocultos que solo se activaban bajo condiciones específicas.

1. Evasión en Google Play

Las aplicaciones maliciosas estaban diseñadas para parecer legítimas.

• Si el usuario instalaba la app de forma orgánica desde Google Play, funcionaba de manera normal, cumpliendo con lo que prometía.
• En cambio, si la instalación provenía de una campaña publicitaria controlada por los atacantes, se activaba la fase maliciosa.

2. Configuración remota cifrada

Las apps usaban Firebase Remote Config para descargar un archivo cifrado que contenía:

• Direcciones URL para el módulo de fraude publicitario.
• Servidores de cashout (retiro de dinero).
• Una carga útil de JavaScript maliciosa.

3. Esteganografía en imágenes PNG

Una de las técnicas más llamativas fue el uso de imágenes PNG que ocultaban fragmentos de malware mediante esteganografía.

• Las imágenes descargadas se descifraban en el dispositivo.
• Posteriormente, se ensamblaban para formar un APK malicioso completo, conocido como FatModule.

4. WebViews ocultos para fraude

Una vez activo, FatModule creaba WebViews invisibles en el dispositivo para:

• Recopilar datos del dispositivo y navegador.
• Navegar a dominios falsos controlados por los atacantes.
• Generar clics e impresiones fraudulentas de anuncios en segundo plano.

Gracias a esta técnica, los atacantes llegaron a simular más de 2 mil millones de impresiones publicitarias fraudulentas por día.

Infraestructura de SlopAds

El fraude estaba soportado por una amplia infraestructura digital:

• Múltiples servidores de comando y control (C2).
• Más de 300 dominios promocionales vinculados a la operación.

Esto demuestra que los atacantes tenían planes de expandir la campaña más allá de las 224 aplicaciones inicialmente identificadas, lo que convierte a SlopAds en una de las operaciones de fraude publicitario más grandes jamás vistas en Android.

Respuesta de Google y HUMAN

Tras el informe de HUMAN, Google eliminó todas las aplicaciones maliciosas de Play Store. Además, Google Play Protect se actualizó para advertir a los usuarios sobre la presencia de estas apps en sus dispositivos y recomendar su desinstalación inmediata.

Sin embargo, HUMAN advirtió que, debido al alto nivel de sofisticación de SlopAds, es muy probable que los atacantes intenten reactivar la operación en el futuro con nuevas variantes y técnicas mejoradas.

Lecciones de seguridad para usuarios y anunciantes

La campaña SlopAds deja varias lecciones clave:

• Los usuarios de Android deben extremar precauciones:

• Descargar apps solo de desarrolladores confiables.
• Revisar permisos solicitados por las aplicaciones.
• Mantener Google Play Protect activado y actualizado.

Los anunciantes enfrentan pérdidas millonarias por fraudes de este tipo, lo que obliga a reforzar la verificación de tráfico publicitario y colaborar con equipos de inteligencia de amenazas.

El fraude publicitario evoluciona constantemente:

• Los atacantes usan técnicas avanzadas como esteganografía, WebViews ocultos y configuración dinámica.
• Esto demuestra que la seguridad debe ser un esfuerzo continuo y colaborativo entre empresas tecnológicas y usuarios finales.

En fin, la operación SlopAds es un ejemplo alarmante de cómo los actores de amenazas aprovechan la popularidad de Android y la magnitud de Google Play para desplegar campañas globales de fraude publicitario. Con más de 38 millones de descargas, 224 aplicaciones involucradas y 2.3 mil millones de solicitudes de anuncios por día, este ataque se ubica entre los más grandes jamás detectados en la plataforma.

Aunque Google actuó rápidamente para eliminar las aplicaciones y actualizar sus defensas, el caso de SlopAds confirma que el fraude publicitario seguirá siendo un desafío crítico para el ecosistema digital. Los usuarios deben mantenerse alerta y las empresas de seguridad continuar innovando para detectar este tipo de campañas masivas antes de que generen un impacto mayor.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Copilot Chat, también llamado Microsoft 365 Copilot Chat, es un asistente de conversación basado en IA que se integra directamente en las aplicaciones de Microsoft 365. Su función principal es permitir a los usuarios interactuar con agentes de inteligencia artificial para resolver dudas, resumir información, generar contenido o explicar funciones dentro de los documentos y correos electrónicos en los que se esté trabajando.

A diferencia de Microsoft 365 Copilot, que tiene acceso completo al contenido de la organización (documentos internos, correos, reuniones, chats y datos compartidos), Copilot Chat solo funciona con datos de la web. Esto significa que ofrece una experiencia más limitada, pero al mismo tiempo más segura, ya que no procesa información corporativa sensible a menos que se adquiera la licencia avanzada.

Acceso sin costo adicional para clientes de Microsoft 365

Uno de los puntos más llamativos es que Microsoft asegura que Copilot Chat está incluido sin costo adicional para determinados usuarios de Microsoft 365. No obstante, esta gratuidad aplica únicamente para clientes con cuentas de Entra y licencias específicas como:

• Microsoft 365
• Microsoft 365 Business
• Microsoft Teams
• Office 365

La lista completa de licencias compatibles puede consultarse en el documento de soporte técnico oficial de Microsoft.

Según Seth Patton, gerente general del equipo de marketing de productos de Microsoft 365 Copilot:

Citar"Copilot Chat es un chat seguro de IA basado en la web, y ahora está disponible en las aplicaciones de Microsoft 365. Es consciente del contenido, lo que significa que comprende rápidamente en qué está trabajando, adaptando las respuestas al archivo que tiene abierto. Y se incluye sin costo adicional para los usuarios de Microsoft 365".

Integración directa en las aplicaciones de Microsoft 365

La gran ventaja de Copilot Chat es que se puede abrir en un panel lateral dentro del mismo archivo que se está utilizando. Esto elimina la necesidad de copiar y pegar información, cargar documentos o cambiar constantemente entre aplicaciones.

Por ejemplo:

• En Word, puede sugerir redacciones, resumir informes extensos o corregir el estilo de un documento.
• En Excel, es capaz de explicar fórmulas, analizar tendencias de datos o generar tablas dinámicas.
• En PowerPoint, ayuda a estructurar presentaciones o proponer diseños visuales atractivos.
• En Outlook, redacta correos profesionales o resume largas cadenas de mensajes.
• En OneNote, organiza ideas, genera esquemas y facilita la toma de apuntes inteligentes.

Esta integración hace que la experiencia de usuario sea más fluida y productiva, ya que el asistente está "donde ocurre el trabajo".

Diferencias entre Copilot Chat y Microsoft 365 Copilot

Aunque comparten nombre, Copilot Chat y Microsoft 365 Copilot ofrecen experiencias distintas:

Copilot Chat (versión gratuita con licencias básicas):

• Funciona con datos de la web.
• Solo interpreta el archivo abierto en la aplicación.
• Ideal para tareas rápidas, redacción y generación de ideas.

Microsoft 365 Copilot (versión avanzada con licencia de pago):

• Accede a todos los datos corporativos, incluidos documentos compartidos, correos electrónicos, reuniones y chats.
• Permite un análisis más profundo y contextualizado.
• Está pensado para organizaciones que buscan explotar al máximo la IA en la gestión de su información.

Tal como explicó Seth Patton:

"Una licencia de Microsoft 365 Copilot desbloquea la versión más poderosa de Copilot Chat, razonando no solo sobre el archivo o correo electrónico que tiene abierto, sino sobre todos sus datos de trabajo".

Despliegue automático en dispositivos Windows

A partir del próximo mes y hasta mediados de noviembre, Microsoft anunció que comenzará a instalar automáticamente la aplicación Microsoft 365 Copilot en dispositivos Windows fuera de la región del Espacio Económico Europeo (EEE). Esto aplicará a los equipos que tengan instaladas las aplicaciones cliente de escritorio de Microsoft 365.

Sin embargo, los administradores de TI mantendrán la capacidad de optar por no participar en esta implementación a través del Centro de administración de aplicaciones.

Expansión de Copilot a Microsoft Edge

En línea con su objetivo de ampliar la presencia de la IA en todas sus plataformas, Microsoft también informó en agosto que añadirá agentes de Microsoft 365 Copilot a la barra lateral de Edge a partir de finales de septiembre de 2025. Esto permitirá a los usuarios acceder a Copilot mientras navegan por la web, mejorando la experiencia multitarea.

En fin, la llegada de Copilot Chat a Word, Excel, PowerPoint, Outlook y OneNote supone un paso significativo en la estrategia de Microsoft para democratizar el acceso a la IA dentro de su ecosistema. Aunque la versión gratuita es limitada frente a Microsoft 365 Copilot, sigue siendo una herramienta valiosa para agilizar el trabajo diario, reducir tiempos de búsqueda y aumentar la productividad.

Con su integración directa en las aplicaciones más utilizadas, Microsoft refuerza su posición en el mercado y acerca la inteligencia artificial a millones de usuarios de todo el mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple anunció el lanzamiento de una nueva función de seguridad innovadora para sus dispositivos insignia: Memory Integrity Enforcement (MIE). Esta tecnología, integrada en los iPhone 17 y iPhone Air, busca ofrecer protección de memoria siempre activa frente a algunas de las vulnerabilidades más críticas que aprovechan los ciberatacantes, incluidos los operadores de software espía mercenario.

La compañía de Cupertino señaló que MIE se ejecuta de forma nativa en los nuevos procesadores A19 y A19 Pro, diseñados específicamente para soportar esta función sin afectar el rendimiento del sistema.

¿Qué es Memory Integrity Enforcement (MIE)?

MIE se define como un mecanismo de protección de seguridad de memoria siempre activa que cubre tanto el kernel como más de 70 procesos de usuario en los iPhone de última generación.

Apple explica que MIE se apoya en tres pilares:

• Asignadores de memoria seguros.
• Extensión de etiquetado de memoria mejorada (EMTE) en modo sincrónico.
• Políticas avanzadas de confidencialidad de etiquetas (TCE).

El objetivo es prevenir ataques basados en desbordamientos de búfer o errores de uso después de liberar (use-after-free), dos de las vulnerabilidades más comunes que suelen derivar en corrupción de memoria y que, en manos de atacantes, pueden abrir la puerta a la ejecución de código malicioso o al robo de datos sensibles.

La base tecnológica: EMTE, una evolución del estándar de Arm

El corazón de MIE es la Extensión de Etiquetado de Memoria Mejorada (EMTE), una evolución de la Memory Tagging Extension (MTE) introducida por Arm en 2019.

Mientras MTE se diseñó como una herramienta de depuración para detectar corrupción de memoria, EMTE —lanzada en 2022 tras una colaboración entre Arm y Apple— lleva este concepto al siguiente nivel, habilitando la detección y bloqueo en tiempo real de accesos ilegítimos a memoria.

Gracias a EMTE, los dispositivos Apple pueden:

• Bloquear accesos fuera de límites que intentan manipular memoria adyacente.
• Reetiquetar memoria liberada para evitar ataques de uso después de liberar.
• Asegurar que el hardware también verifique el acceso a memoria no etiquetada, limitando las opciones de evasión de los atacantes.

CitarEn palabras de Apple: "Con MTE mejorado, especificamos que acceder a la memoria no etiquetada desde una región etiquetada requiere conocer la etiqueta de esa región, lo que hace significativamente más difícil para los atacantes aprovechar errores fuera de los límites."

Tag Confidentiality Enforcement (TCE): defensa contra ataques especulativos

Apple complementa MIE con Tag Confidentiality Enforcement (TCE), un mecanismo diseñado para blindar los asignadores de memoria frente a ataques de ejecución especulativa y de canal lateral como TikTag.

En 2024, se descubrió que MTE podía ser vulnerado mediante filtraciones de etiquetas durante ejecuciones especulativas. TCE mitiga este riesgo al asegurar que los chequeos de etiquetas no generen diferencias de estado de caché explotables por los atacantes.

El resultado, según Apple, es un sistema capaz de ofrecer verificación de etiquetas sincrónicas en todas las cargas de trabajo con un impacto mínimo en el rendimiento, manteniendo la experiencia del usuario totalmente fluida.

Comparación con otras iniciativas de la industria

Aunque Apple marca un hito al integrar EMTE y MIE de forma nativa en dispositivos de producción, no es la única empresa que apuesta por este enfoque de seguridad de memoria:

• Google ya implementó soporte para MTE en los dispositivos Pixel 8 y Pixel 8 Pro, aunque inicialmente como una función opcional orientada a desarrolladores en Android 13.
• Microsoft, por su parte, ha incorporado tecnologías de integridad de memoria en Windows 11, con el fin de mitigar vulnerabilidades similares en el ecosistema de PC.

Expertos en seguridad como Mark Brand, de Google Project Zero, han calificado a MTE como una mejora crucial para la ciberseguridad moderna, destacando que puede reducir la efectividad de ataques de día cero al dificultar la explotación de vulnerabilidades relacionadas con corrupción de memoria.

Impacto de MIE en la seguridad de iPhone 17 y iPhone Air

Con la llegada de MIE, Apple busca reforzar su liderazgo en seguridad móvil, especialmente frente a amenazas avanzadas como el spyware mercenario Pegasus o campañas de explotación de vulnerabilidades de día cero dirigidas a altos perfiles políticos, periodistas y defensores de derechos humanos.

Entre los beneficios clave de MIE destacan:

• Protección en tiempo real contra errores críticos de memoria.
• Reducción del riesgo de explotación de día cero.
• Seguridad sin impacto en el rendimiento, gracias a la integración en los chips A19 y A19 Pro.
• Defensa contra ataques sofisticados, incluidos los basados en ejecución especulativa.

Esto convierte a los nuevos iPhone no solo en dispositivos de alta gama desde el punto de vista tecnológico, sino también en plataformas móviles más seguras para usuarios y organizaciones que requieren protección frente a espionaje digital avanzado.

En fin, la introducción de Memory Integrity Enforcement (MIE) en los iPhone 17 y iPhone Air representa un paso significativo en la evolución de la seguridad en dispositivos móviles. Al transformar la extensión de etiquetado de memoria de Arm en una defensa activa y permanente, Apple eleva el listón en la protección contra vulnerabilidades de corrupción de memoria.

Con MIE y TCE, Apple no solo responde a las tendencias actuales de ciberataques, sino que también anticipa escenarios futuros, donde los exploits de día cero y los ataques de espionaje altamente dirigidos seguirán en aumento.

En definitiva, MIE consolida a Apple como pionero en seguridad móvil y marca un referente en la industria al combinar innovación en hardware y software para blindar la memoria, uno de los puntos más críticos en la defensa contra amenazas modernas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El panorama del cibercrimen en 2025 continúa evolucionando con el descubrimiento de nuevas familias de malware altamente sofisticadas. Recientemente, investigadores de Jamf Threat Labs y Sysdig alertaron sobre dos amenazas críticas que destacan por su persistencia, modularidad y alcance multiplataforma: CHILLYHELL, diseñado para macOS, y ZynorRAT, un troyano de acceso remoto que afecta a Windows y Linux.

CHILLYHELL: espionaje avanzado en macOS

Origen y atribución a UNC4487

Según el análisis de Jamf Threat Labs, CHILLYHELL está escrito en C++, desarrollado para arquitecturas Intel y vinculado al grupo de amenazas UNC4487, un presunto actor de espionaje activo desde al menos octubre de 2022.

Google Mandiant ha identificado a UNC4487 como responsable de comprometer sitios web de entidades gubernamentales ucranianas con fines de espionaje, utilizando técnicas de ingeniería social para redirigir a víctimas hacia la ejecución de Matanbuchus o CHILLYHELL.

Descubrimiento y distribución

El 2 de mayo de 2025, Jamf identificó una nueva muestra de CHILLYHELL en VirusTotal. El malware había sido notariado por Apple en 2021 y alojado públicamente en Dropbox, lo que facilitó su propagación. Tras el hallazgo, Apple revocó los certificados de desarrollador vinculados.

Métodos de persistencia y evasión

Una vez ejecutado, CHILLYHELL realiza un perfil exhaustivo del host comprometido y establece persistencia mediante:

• Instalación como LaunchAgent o LaunchDaemon.
• Modificación de perfiles de shell (.zshrc, .bash_profile o .profile) para inyectar comandos maliciosos.
• Uso de timestomping para alterar marcas de tiempo y evitar detección.

Si no dispone de permisos elevados, utiliza comandos de shell como:

• touch -c -a -t
• touch -c -m -t

para falsificar fechas y ocultar su actividad.

Capacidades principales

CHILLYHELL es un malware modular y flexible. Entre sus funciones destacadas:

• Shell inverso hacia servidores C2 (93.88.75[.]252 o 148.72.172[.]53).
• Descarga de versiones actualizadas o payloads adicionales.
• Módulo ModuleSUBF para enumerar usuarios de /etc/passwd.
• Ataques de fuerza bruta con contraseñas predefinidas.

Según Jamf, estas características lo convierten en un hallazgo inusual y peligroso para macOS, recordando que no todo malware carece de firma digital, ya que CHILLYHELL fue notariado por Apple en su origen.

ZynorRAT: una RAT multiplataforma distribuida por Telegram
Origen y atribución

En paralelo, los investigadores de Sysdig descubrieron ZynorRAT, un troyano de acceso remoto (RAT) escrito en Go y distribuido a través de un bot de Telegram denominado @lraterrorsbot.

El análisis sugiere que podría tratarse de la obra de un actor solitario de origen turco, dado el idioma observado en los chats del canal.

Capacidades en Linux

La versión de Linux de ZynorRAT ofrece un amplio rango de comandos, entre ellos:

• /fs_list → enumerar directorios.
• /fs_get → exfiltrar archivos.
• /metrics → perfilado del sistema.
• /proc_list → listar procesos en ejecución.
• /proc_kill → finalizar procesos mediante PID.
• /capture_display → tomar capturas de pantalla.
• /persist → establecer persistencia con systemd.

Versión para Windows

La variante para Windows es casi idéntica, pero aún depende de mecanismos de persistencia basados en Linux, lo que indica que su desarrollo está en fase temprana.

Infraestructura y distribución

ZynorRAT se gestiona de manera centralizada a través de Telegram, utilizado como canal de comando y control (C2).

Además, los investigadores hallaron que las cargas útiles se distribuyen mediante el servicio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y que el propio autor podría estar probando el malware en máquinas personales antes de desplegarlo a gran escala.


En fin, el descubrimiento de CHILLYHELL y ZynorRAT pone de manifiesto la evolución constante del malware moderno. Ambos destacan por su sofisticación técnica, persistencia múltiple y modularidad, lo que los convierte en amenazas altamente adaptables.

Mientras CHILLYHELL refleja la actividad de un grupo de espionaje bien organizado (UNC4487) contra objetivos estratégicos, ZynorRAT muestra cómo incluso actores individuales pueden crear malware multiplataforma potente aprovechando infraestructuras accesibles como Telegram.

La lección es clara: tanto en macOS, como en Windows y Linux, el riesgo de nuevas variantes de malware es real. Las organizaciones deben reforzar su monitoreo de seguridad, actualizar sistemas y aplicar inteligencia de amenazas proactiva para mitigar estos ataques antes de que alcancen un impacto masivo.

Microsoft ha confirmado la resolución de un problema crítico que afectaba a la transmisión con NDI (Network Device Interface) en Windows 10 y Windows 11. Los errores comenzaron a manifestarse después de instalar las actualizaciones de seguridad de agosto de 2025, provocando retrasos, tartamudeos y fallos de audio y video en aplicaciones de transmisión ampliamente utilizadas, como OBS Studio (Open Broadcaster Software) y NDI Tools.

La compañía de Redmond reconoció que el fallo impactaba directamente en la experiencia de transmisión profesional y doméstica, generando frustración entre streamers, creadores de contenido y empresas que dependen de estas herramientas.

Los orígenes del fallo: actualizaciones KB5063878 y KB5063709

El problema surgió específicamente tras la instalación de las actualizaciones:

• KB5063878 en Windows 11 24H2
• KB5063709 en Windows 10 21H2 y 22H2

Tras aplicarlas, numerosos usuarios reportaron tartamudeos severos, audio entrecortado y caídas repentinas del tráfico NDI, lo que hacía prácticamente inutilizable el software en entornos de transmisión en tiempo real.

El equipo de NDI confirmó que los fallos se producían únicamente con conexiones RUDP (Reliable UDP), mientras que las transmisiones mediante UDP tradicional o Single-TCP no resultaban afectadas.

Microsoft publica actualizaciones correctivas

Consciente de la magnitud del problema, Microsoft liberó nuevas actualizaciones para resolver la incidencia:

• KB5065426 para Windows 10
• KB5065429 para Windows 11

Ambas correcciones fueron publicadas el 9 de septiembre de 2025, dentro del ciclo de actualizaciones conocido como "martes de parches".

La compañía recomendó a los usuarios instalar inmediatamente las actualizaciones acumulativas más recientes, que incluyen mejoras de estabilidad y correcciones críticas. Además, aclaró que quienes actualicen a KB5065429 o superior ya no necesitarán implementar soluciones temporales.

Solución temporal para quienes no pueden actualizar de inmediato

Mientras Microsoft trabajaba en la corrección oficial, NDI ofreció una alternativa provisional para mitigar los problemas de transmisión.

El proceso consistía en modificar el modo de recepción de NDI desde RUDP hacia TCP o UDP único mediante la aplicación gratuita NDI Tools.

Los pasos fueron los siguientes:

• Descargar e instalar NDI Tools.
• Abrir la aplicación NDI Access Manager.
• Acceder a la pestaña Avanzado.
• Cambiar la opción "Modo de recepción" a TCP o UDP único.

Si bien esta solución no era definitiva, permitió a miles de usuarios continuar transmitiendo sin interrupciones graves hasta la llegada del parche oficial de Microsoft.

Otros problemas resueltos en septiembre de 2025

El caso NDI no fue el único inconveniente introducido por las actualizaciones de agosto. Microsoft también corrigió en septiembre otros problemas conocidos que afectaban a la experiencia de los usuarios de Windows. Entre ellos destacan:

Avisos inesperados del Control de cuentas de usuario (UAC) que dificultaban la instalación de aplicaciones en cuentas no administrativas.

Fallos en Windows Server Update Services (WSUS) que provocaban errores 0x80240069 al intentar instalar actualizaciones de seguridad, especialmente tras la aplicación de KB5063878.

Errores en operaciones de restablecimiento y recuperación de Windows, que aparecieron después de instalar KB5063875 (Windows 11), KB5063709 (Windows 10) y KB5063877 (Windows 10 Enterprise).

Estos problemas, aunque variados, evidencian la complejidad y los riesgos asociados a las actualizaciones acumulativas de gran alcance, donde una mejora de seguridad puede introducir errores inesperados en otros componentes del sistema operativo.

Impacto en la comunidad de streamers y creadores

El error en NDI tuvo un impacto significativo en la comunidad de streamers, productores audiovisuales y creadores de contenido digital. OBS y NDI se han convertido en herramientas esenciales para transmisiones en directo, grabaciones profesionales y producción en la nube.

Las interrupciones afectaron especialmente a:

• Eventos en vivo y conferencias online, donde la estabilidad de audio y video es crítica.
• Creadores de contenido en Twitch, YouTube y Facebook Live, que dependen de transmisiones fluidas para mantener a su audiencia.
• Empresas de medios y broadcasting, que usan NDI en flujos de trabajo híbridos y remotos.

La rápida respuesta de Microsoft y NDI evitó que los problemas se prolongaran, aunque el episodio refuerza la importancia de contar con planes de contingencia y pruebas antes de desplegar actualizaciones en entornos de producción.

En fin, el caso de los fallos NDI en Windows 10 y Windows 11 es un recordatorio de que incluso las actualizaciones de seguridad más necesarias pueden introducir errores imprevistos en funciones críticas.

Microsoft, al reconocer rápidamente la incidencia y lanzar los parches KB5065426 y KB5065429, logró contener el problema y restaurar la confianza de los usuarios afectados.

A su vez, la colaboración del equipo de NDI al ofrecer una solución temporal fue clave para que miles de profesionales pudieran mantener sus transmisiones activas mientras esperaban las correcciones oficiales.

En definitiva, este episodio demuestra la importancia de mantener sistemas actualizados, contar con soporte técnico confiable y aplicar medidas de mitigación oportunas cuando surgen vulnerabilidades o errores derivados de las actualizaciones de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ciudadano kosovar Liridon Masurica, de 33 años, conocido en línea como @blackdb, se declaró culpable de dirigir el mercado de ciberdelincuencia You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una de las plataformas ilegales más relevantes en el ecosistema del cibercrimen global. Este sitio, activo desde 2018, fue un centro de compraventa de datos robados, credenciales comprometidas e información financiera de miles de víctimas en todo el mundo, con especial impacto en ciudadanos y empresas de Estados Unidos.

Arresto, extradición y cargos en Estados Unidos

Masurica fue arrestado el 14 de diciembre de 2024 por las autoridades kosovares tras una investigación coordinada con el FBI. Posteriormente, fue extraditado a Estados Unidos el 9 de mayo de 2025, compareciendo ante un tribunal en Tampa el 12 de mayo, donde quedó formalmente detenido.

El Departamento de Justicia lo acusó de ser el administrador principal de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login entre 2018 y 2025. Los cargos en su contra incluyen:

• Cinco cargos de uso fraudulento de dispositivos de acceso no autorizados.
• Un cargo de conspiración para cometer fraude de dispositivos de acceso.

En caso de ser declarado culpable de todos los cargos, Masurica podría enfrentar hasta 55 años en una prisión federal de Estados Unidos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: un mercado negro de datos comprometidos

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login operó durante casi siete años como un punto de encuentro entre ciberdelincuentes de diferentes países. En esta plataforma se ofrecían:

• Credenciales de acceso comprometidas a servidores y cuentas online.
• Datos de tarjetas de crédito robadas listos para su uso en fraudes financieros.
• Información de identificación personal (PII), como números de seguridad social, direcciones y documentos oficiales.

Estos datos fueron utilizados en actividades ilícitas como:

• Fraude con tarjetas de crédito.
• Fraude fiscal mediante declaraciones falsas.
• Robo de identidad y suplantación digital.

El impacto de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se extendió a miles de víctimas y generó pérdidas millonarias a instituciones financieras, empresas privadas y ciudadanos de diferentes países.

Investigación internacional y cooperación policial

El caso de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login destaca la importancia de la cooperación internacional en la lucha contra el cibercrimen. La investigación fue liderada por el FBI, en colaboración con la Dirección de Investigación de Delitos Cibernéticos de la Policía de Kosovo, la Oficina de Asuntos Internacionales del Departamento de Justicia y la Oficina del Agregado Legal del FBI en Sofía.

Gracias a este esfuerzo coordinado, se logró la detención, extradición y procesamiento judicial de Masurica en territorio estadounidense.

Otros mercados de ciberdelitos desmantelados

El arresto de Masurica forma parte de una tendencia más amplia de operaciones internacionales contra mercados ilegales de la dark web. En diciembre de 2024, una acción conjunta de las autoridades europeas permitió:

• La incautación del mercado Rydox.
• El arresto de tres administradores kosovares: Ardit Kutleshi, Jetmir Kutleshi y Shpend Sokoli.

Poco antes, las autoridades alemanas lograron cerrar Crimenetwork y Manson, considerado el mercado de ciberdelitos más grande de Alemania.

En paralelo, Ucrania arrestó al presunto administrador del foro ruso XSS, a petición de la fiscalía de París. Asimismo, en Francia fueron detenidos cinco operadores del foro BreachForums, otro espacio ampliamente usado para la compraventa de datos robados.

Estos casos evidencian que las redes de ciberdelincuencia internacional están bajo la mira constante de las autoridades y que la cooperación transnacional es clave para desarticular estas operaciones.

Impacto del caso You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en la ciberseguridad global

El cierre de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login representa un duro golpe al cibercrimen organizado, pero también plantea importantes lecciones:

• Persistencia de los mercados ilegales: aunque uno es cerrado, otros intentan ocupar su lugar, lo que exige vigilancia constante.
• Necesidad de cooperación internacional: el arresto de Masurica solo fue posible gracias a la colaboración entre Estados Unidos, Kosovo y la Unión Europea.
• Protección de datos personales: millones de credenciales e identidades robadas alimentan estos mercados, por lo que la ciberseguridad individual y corporativa debe reforzarse continuamente.

En fin, el caso de Liridon Masurica y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login confirma la magnitud de las amenazas cibernéticas actuales. Aunque su extradición y juicio en Estados Unidos representan un avance en la lucha contra la ciberdelincuencia, la batalla contra el robo de datos, el fraude digital y el comercio ilícito en la dark web continúa.

La historia de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login deja claro que los mercados de ciberdelitos son una amenaza real y global, y que solo mediante la colaboración internacional, la inversión en ciberseguridad y la aplicación rigurosa de la ley se puede frenar su impacto en la sociedad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El panorama de las amenazas cibernéticas en 2025 sigue evolucionando hacia técnicas cada vez más sofisticadas que combinan cryptojacking, abuso de redes anónimas como TOR, explotación de APIs expuestas y servicios en la nube. Recientes hallazgos de Akamai y Wiz revelan nuevas variantes de ataques que comprometen infraestructuras críticas como Docker y Amazon Web Services (AWS), ampliando los riesgos para empresas de todos los sectores.

Ataques de cryptojacking mediante Docker y TOR

Los investigadores de Akamai identificaron en agosto de 2025 una nueva variante de malware que aprovecha API de Docker mal configuradas para desplegar contenedores maliciosos y ejecutar el minero de criptomonedas XMRig, utilizando dominios .onion en la red TOR para mantener el anonimato y complicar la detección.

El análisis muestra que los atacantes bloquean a competidores para monopolizar el acceso a la API de Docker y ejecutan cargas útiles codificadas en Base64. Posteriormente, descargan un script desde un dominio TOR, lo que permite instalar herramientas adicionales como Masscan, libpcap y torsocks, diseñadas para reconocimiento y persistencia.

Este enfoque refuerza la hipótesis de que la campaña no solo busca minado de criptomonedas, sino también la construcción de una botnet compleja capaz de lanzar ataques más amplios como DDoS, robo de datos o movimientos laterales en la red.

Técnicas avanzadas de persistencia y propagación

El malware utiliza contenedores basados en Alpine Docker para montar el sistema de archivos del host y ganar control sobre la infraestructura comprometida. Entre sus capacidades más destacadas se encuentran:

• Alteración de configuraciones SSH para garantizar persistencia.
• Análisis de sesiones activas en el sistema mediante la revisión de archivos como utmp.
• Inclusión de elementos inusuales, como un emoji en el código fuente, lo que sugiere la posible generación mediante modelos de lenguaje (LLM).
• Escaneo masivo en Internet para detectar otros servicios Docker en el puerto 2375 y replicar la infección.

Además, el binario del malware integra lógicas adicionales para explotar el puerto 23 (Telnet) y el 9222 (depuración remota de navegadores Chromium), aunque estas funcionalidades aún no están completamente activas. Esto abre la puerta a futuras evoluciones en las que los atacantes podrían forzar credenciales predeterminadas en routers o incluso secuestrar sesiones de navegadores Chromium para robar cookies y datos confidenciales.

Objetivo: construir una botnet global

Las evidencias indican que los atacantes buscan más que minar criptomonedas. El uso de Go como lenguaje de programación, junto con librerías como chromedp, permite a los cibercriminales automatizar interacciones con navegadores y establecer un control más sofisticado de los sistemas afectados.

El malware ya incluye un endpoint denominado httpbot/add, lo que sugiere la posibilidad de alistar equipos comprometidos en una botnet orientada a ataques de gran escala. La combinación de TOR, APIs Docker expuestas y propagación automatizada convierte esta amenaza en una de las más serias para entornos de contenedores en 2025.

Abuso de AWS SES para campañas de phishing

Paralelamente, la firma de seguridad en la nube Wiz denunció una campaña que explotó Amazon Simple Email Service (SES) mediante el uso de claves de acceso de AWS comprometidas. Los atacantes utilizaron estas credenciales para verificar identidades falsas de remitentes y enviar campañas masivas de phishing dirigidas a empresas de múltiples sectores.

Estos correos electrónicos imitaban notificaciones fiscales y empresariales para redirigir a los destinatarios hacia páginas de robo de credenciales, aumentando la credibilidad al provenir de dominios legítimos verificados en AWS.

La gravedad radica en que, si SES está habilitado, los atacantes pueden enviar correos aparentemente legítimos en nombre de una organización, lo que abre la puerta a fraude, spear phishing, robo de datos corporativos y suplantación de procesos críticos de negocio.

Medidas de mitigación y protección recomendadas

Frente a estas campañas de cryptojacking y phishing masivo, los expertos en ciberseguridad recomiendan implementar medidas preventivas tanto en entornos de contenedores como en plataformas en la nube:

Seguridad en Docker

• Limitar la exposición de APIs al Internet público.
• Implementar autenticación fuerte y segmentación de red.
• Monitorear actividades sospechosas en puertos 2375, 23 y 9222.

Protección de credenciales y entornos en la nube

• Rotar claves de acceso de AWS con regularidad.
• Aplicar el principio de mínimos privilegios.
• Configurar alertas para detectar usos anómalos de SES.

Concienciación y formación

• Capacitar al personal en la detección de correos de phishing.
• Simular ataques internos para evaluar la resiliencia de la organización.

En fin, las campañas de cryptojacking mediante Docker y TOR, combinadas con el abuso de AWS SES para phishing, evidencian que los atacantes están ampliando sus tácticas para comprometer tanto la infraestructura de TI como los servicios en la nube.

La convergencia entre minería ilícita de criptomonedas, construcción de botnets y ataques de ingeniería social marca un punto de inflexión en la evolución del cibercrimen en 2025. Las organizaciones deben adoptar un enfoque de seguridad proactiva y multinivel para mitigar los riesgos y fortalecer sus defensas frente a estas amenazas en expansión.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas están evolucionando y adoptando técnicas más avanzadas para burlar las defensas de seguridad tradicionales. Una de las más recientes involucra el abuso de Axios, una popular herramienta de cliente HTTP, junto con la función Direct Send de Microsoft 365 (M365). De acuerdo con un informe de ReliaQuest, esta combinación ha permitido crear una canalización de ataque altamente eficiente en campañas de phishing que han logrado tasas de éxito sin precedentes.

Aumento masivo en el uso de Axios en ataques

ReliaQuest reveló que entre junio y agosto de 2025 se observó un incremento del 241% en la actividad del agente de usuario de Axios, cifra que supera ampliamente el crecimiento del 85% registrado por otros agentes combinados. En total, Axios representó el 24,44% de toda la actividad maliciosa detectada en ese período.

El abuso de Axios no es nuevo. En enero de 2025, Proofpoint ya había documentado campañas que lo utilizaban para ataques de apropiación de cuentas (ATO) en entornos Microsoft 365. Axios, al permitir enviar y recibir solicitudes HTTP de forma sencilla, es una herramienta atractiva para atacantes de todo nivel, desde operadores de kits de phishing hasta actores de amenazas avanzadas (APT).

Según ReliaQuest, su versatilidad garantiza que seguirá siendo adoptado en campañas maliciosas debido a su capacidad para imitar flujos de trabajo legítimos y manipular autenticaciones.

Cómo se combina Axios con Microsoft Direct Send

La técnica observada explota Direct Send, una funcionalidad legítima de Microsoft 365 que permite a los usuarios enviar correos electrónicos directamente sin necesidad de autenticación tradicional en SMTP. Al abusar de este método, los atacantes logran falsificar identidades de confianza y distribuir mensajes de phishing que evaden filtros de seguridad y se entregan directamente en las bandejas de entrada de las víctimas.

La combinación de Axios con Direct Send multiplica la efectividad de los ataques:

• Los correos falsificados logran tasas de entrega mucho más altas.
• Axios permite interceptar, modificar y reproducir solicitudes HTTP en tiempo real.
• Los atacantes pueden capturar tokens de sesión o códigos de autenticación multifactor (MFA).
• Se han reportado tasas de éxito cercanas al 70% en campañas recientes, superando con creces las técnicas tradicionales.

Sectores más atacados y evolución de la campaña

ReliaQuest indicó que esta campaña comenzó en julio de 2025, inicialmente dirigida a ejecutivos y gerentes en sectores financieros, de salud y manufactura. Sin embargo, pronto se expandió para atacar a usuarios en todos los niveles, demostrando su escalabilidad.

Los ataques no solo se enfocan en robar credenciales, sino también en interceptar tokens SAS en Azure y otros flujos de autenticación, permitiendo acceso directo a datos corporativos críticos.

Técnicas de phishing empleadas

Las campañas descritas utilizan múltiples capas de engaño para aumentar sus probabilidades de éxito:

• Señuelos en correos electrónicos con temáticas de compensaciones o documentos importantes.
• PDFs maliciosos con códigos QR, que al ser escaneados dirigen a páginas falsas de inicio de sesión de Outlook.
• Infraestructura en Google Firebase, aprovechando la reputación de esta plataforma para evadir bloqueos.
• Branding dinámico, donde las páginas fraudulentas imitan automáticamente la identidad corporativa del dominio de la víctima.
• Alojamiento distribuido y evasión avanzada, incluyendo filtrado geográfico, bloqueo de IP de proveedores de seguridad y rotación de subdominios.

El resultado es una campaña que se asemeja a operaciones de nivel empresarial, difuminando la línea entre tráfico legítimo y malicioso.

Más allá de Axios: Salty2FA y PhaaS

El informe de ReliaQuest se suma a otros hallazgos recientes que muestran cómo el phishing se ha transformado en una industria madura. Por ejemplo, la oferta de phishing como servicio (PhaaS) conocida como Salty2FA está permitiendo a atacantes eludir MFA mediante la simulación de hasta seis métodos de autenticación distintos: SMS, aplicaciones móviles, llamadas telefónicas, notificaciones automáticas, códigos de respaldo y tokens físicos.

Además, compañías como Mimecast han reportado campañas dirigidas a la industria hotelera, haciéndose pasar por plataformas confiables como Expedia Partner Central y Cloudbeds, enviando correos de reservas falsas para recolectar credenciales.

Recomendaciones para mitigar esta amenaza

Ante el riesgo creciente, los especialistas recomiendan implementar medidas inmediatas para reducir la exposición a estos ataques:

• Revisar y deshabilitar Direct Send en Microsoft 365 si no es estrictamente necesario.
• Aplicar políticas anti-spoofing y DMARC en las puertas de enlace de correo electrónico.
• Monitorear patrones de uso de Axios, identificando tráfico sospechoso en los entornos corporativos.
• Entrenar a los empleados para detectar correos de phishing, especialmente los que contienen códigos QR.
• Bloquear dominios e IPs sospechosas, así como aplicar filtrado geográfico cuando corresponda.
• Adoptar soluciones avanzadas de detección de phishing que analicen flujos de autenticación y tráfico API.

En fin, el aumento del 241% en el abuso de Axios y su combinación con Microsoft Direct Send representan un cambio de juego en las tácticas de phishing. Estas campañas logran superar las barreras tradicionales, evadir MFA y escalar operaciones de robo de credenciales a gran velocidad.

El panorama confirma que el phishing ha madurado hasta convertirse en una operación empresarial altamente sofisticada, capaz de explotar debilidades en flujos de autenticación y de aprovechar la confianza en marcas reconocidas como Microsoft, Google o Expedia.

Las organizaciones deben actuar con urgencia, revisando configuraciones, reforzando defensas y entrenando al personal. De lo contrario, la combinación de Axios y Direct Send seguirá consolidándose como una de las herramientas más efectivas en manos de cibercriminales durante 2025.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los dispositivos Cisco ASA han sido el foco de intensos escaneos de red durante finales de agosto de 2025, lo que ha generado advertencias de la comunidad de ciberseguridad sobre la posibilidad de que estos movimientos sean la antesala de una nueva vulnerabilidad crítica en los productos del fabricante.

La alerta surge tras los hallazgos de GreyNoise, una firma especializada en inteligencia de amenazas, que identificó picos significativos de actividad en las últimas semanas, lo que indica que actores maliciosos están dedicando recursos importantes a mapear y sondear los portales de inicio de sesión de Cisco ASA y Cisco IOS Telnet/SSH.

GreyNoise detecta dos olas de escaneo dirigidas a Cisco ASA

GreyNoise informó que la primera ola de escaneos comenzó a finales de agosto, alcanzando hasta 25,000 direcciones IP únicas que participaron en la actividad maliciosa. Posteriormente, el 26 de agosto de 2025, se registró una segunda oleada aún más preocupante, impulsada en gran parte por una botnet de origen brasileño, responsable de alrededor del 80% del tráfico malicioso con 17,000 direcciones IP activas.

Los atacantes utilizaron agentes de usuario falsificados que imitaban a navegadores Chrome, lo que sugiere un posible origen común detrás de ambas campañas. Este patrón de actividad refleja técnicas de encubrimiento utilizadas por los operadores de botnets para evadir sistemas de detección y análisis.

En cuanto a los países más afectados, el objetivo principal fue Estados Unidos, seguido por el Reino Unido y Alemania, lo que refuerza la hipótesis de que los actores maliciosos están priorizando infraestructuras empresariales y gubernamentales de alto valor estratégico.

Escaneos como preludio de vulnerabilidades críticas

Según GreyNoise, en el 80% de los casos documentados, este tipo de actividad de reconocimiento masivo suele anticipar la divulgación de nuevas vulnerabilidades en los productos objetivo. Aunque la correlación es algo más débil en el caso de Cisco frente a otros proveedores, sigue siendo un indicador de riesgo que los defensores no deben ignorar.

La firma explicó que los escaneos masivos suelen tener dos finalidades:

• Explotar vulnerabilidades conocidas que aún no han sido parchadas por algunos administradores.
• Enumerar y mapear dispositivos vulnerables, con el objetivo de preparar ataques a gran escala en caso de descubrirse nuevas fallas de día cero.

Informe adicional de Rat5ak: picos de 200,000 intentos en 20 horas

Un informe paralelo publicado por el administrador del sistema "NadSec – Rat5ak" respalda los hallazgos de GreyNoise. Según el reporte, la actividad comenzó el 31 de julio con escaneos oportunistas de bajo nivel, pero escaló rápidamente a mediados de agosto, culminando el 28 de agosto con una campaña de gran magnitud.

Rat5ak registró más de 200,000 intentos de conexión en terminales Cisco ASA en apenas 20 horas, con un tráfico uniforme de 10,000 solicitudes por dirección IP, lo que confirma la automatización masiva detrás de los ataques.

El tráfico malicioso se originó principalmente en tres sistemas autónomos (ASN):

• Nybula
• Cheapy-Host
• Global Connectivity Solutions LLP

Este patrón sugiere que los atacantes están alquilando o comprometiendo infraestructura de hosting para orquestar campañas de escaneo a gran escala.

Recomendaciones para administradores de Cisco ASA

Dado el nivel de riesgo y la escala de la actividad detectada, los expertos en ciberseguridad recomiendan a las organizaciones que utilicen Cisco ASA aplicar las siguientes medidas preventivas:

• Actualizar los dispositivos con los últimos parches de seguridad liberados por Cisco para corregir vulnerabilidades conocidas.
• Habilitar autenticación multifactor (MFA) en todos los accesos remotos a Cisco ASA, reduciendo la posibilidad de intrusiones en caso de robo de credenciales.
• Evitar la exposición directa a Internet de rutas críticas como /+CSCOE+/logon.html, WebVPN, Telnet y SSH.
• Utilizar un concentrador VPN, un proxy inverso o una puerta de enlace de acceso seguro, en caso de que se requiera conectividad remota, aplicando así capas adicionales de control de acceso.
• Implementar bloqueo geográfico y limitación de velocidad para restringir conexiones desde regiones que no forman parte del ámbito de operación de la organización.
• Aprovechar los indicadores de compromiso (IoC) publicados por GreyNoise y Rat5ak para filtrar tráfico sospechoso y bloquear intentos de explotación tempranos.

Cisco bajo la lupa: ¿qué esperar a corto plazo?

La compañía Cisco aún no ha emitido comentarios oficiales sobre la actividad observada. Sin embargo, la experiencia pasada demuestra que estos picos de reconocimiento masivo suelen ser la antesala de campañas de explotación que se intensifican en cuanto se hace pública una vulnerabilidad crítica o se libera un exploit funcional.

Por este motivo, las organizaciones deben anticiparse y reforzar su postura de seguridad antes de que surjan ataques más agresivos. La superficie de ataque de Cisco ASA, por su amplia implementación en redes empresariales y gubernamentales, representa un vector prioritario para actores de amenazas avanzadas y grupos criminales organizados.

En fin, los recientes escaneos masivos contra Cisco ASA y Cisco IOS Telnet/SSH detectados por GreyNoise y Rat5ak constituyen una señal de alerta que los defensores no deben pasar por alto. Aunque algunos de estos intentos pueden corresponder a explotaciones fallidas de vulnerabilidades previamente parcheadas, el volumen y la coordinación sugieren una preparación para explotar nuevas fallas de seguridad.

La lección principal es clara: los administradores de Cisco deben actuar ahora, aplicando actualizaciones, endureciendo configuraciones y utilizando inteligencia de amenazas compartida para minimizar la exposición. Una respuesta proactiva marcará la diferencia entre resistir una oleada de ataques o convertirse en víctima de una intrusión con consecuencias potencialmente devastadoras.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SAP, el gigante mundial del software empresarial, ha publicado su boletín de seguridad correspondiente a septiembre de 2025, en el que aborda 21 nuevas vulnerabilidades que afectan a diferentes soluciones de su ecosistema. Entre ellas, destacan tres fallas críticas que impactan directamente en SAP NetWeaver, una de las plataformas más utilizadas por grandes corporaciones a nivel global.

SAP NetWeaver es un middleware modular que sirve de base para aplicaciones clave como ERP, CRM, SRM y SCM, y se implementa ampliamente en las infraestructuras tecnológicas de empresas que gestionan información de misión crítica. Esto convierte a cualquier vulnerabilidad en esta plataforma en un blanco altamente atractivo para los atacantes.

Vulnerabilidad crítica CVE-2025-42944 en SAP NetWeaver

La falla más grave identificada en el boletín es CVE-2025-42944, que ha recibido la puntuación máxima en la escala CVSS: 10.0/10. Se trata de una vulnerabilidad de deserialización no segura en SAP NetWeaver (RMIP4), ServerCore 7.50.

Un atacante no autenticado podría explotar este fallo enviando un objeto Java malicioso a través del módulo RMI-P4 hacia un puerto abierto del servidor. Esto permitiría la ejecución arbitraria de comandos en el sistema operativo, comprometiendo completamente la seguridad de la infraestructura.

El protocolo RMI-P4 es utilizado por SAP NetWeaver AS Java para la comunicación interna entre instancias de SAP y también para la administración. Aunque en principio está destinado a comunicaciones internas, configuraciones incorrectas en firewalls o políticas de red pueden dejarlo expuesto a Internet, lo que aumenta el riesgo de explotación.

Vulnerabilidad crítica CVE-2025-42922 en Deploy Web Service

La segunda vulnerabilidad crítica, identificada como CVE-2025-42922 y con una puntuación CVSS v3.1 de 9.9, reside en el módulo Deploy Web Service de NetWeaver AS Java (J2EE-APPS 7.50).

Este fallo se debe a operaciones de archivos inseguras, lo que permite a un atacante con acceso autenticado (pero sin privilegios administrativos) cargar archivos arbitrarios. En un escenario real, esta técnica podría ser utilizada para introducir código malicioso que comprometa completamente el sistema SAP afectado.

Vulnerabilidad crítica CVE-2025-42958 en autenticación

La tercera falla crítica, CVE-2025-42958, con una puntuación CVSS de 9.1, corresponde a una verificación de autenticación faltante en NetWeaver.

Mediante su explotación, un usuario no autorizado con privilegios elevados podría leer, modificar o eliminar datos sensibles, además de acceder a funcionalidades administrativas que deberían estar restringidas. Esto representa un riesgo considerable para la integridad y confidencialidad de los sistemas empresariales que dependen de SAP.

Otras vulnerabilidades de alta gravedad en SAP

Además de las tres fallas críticas, el boletín de SAP de septiembre incluye múltiples correcciones para vulnerabilidades de alta severidad, entre ellas:

• CVE-2025-42933 (SAP Business One SLD): almacenamiento inseguro de datos confidenciales, como credenciales, que podrían ser extraídos y abusados por atacantes.
• CVE-2025-42929 (servidor de replicación SLT): falta de validación de entrada que permite manipular datos replicados mediante inyecciones maliciosas.
• CVE-2025-42916 (S/4HANA): carencia de validación de entrada en componentes principales, lo que abre la puerta a la manipulación no autorizada de datos.

SAP, un blanco frecuente para ciberataques

Las soluciones de SAP son ampliamente utilizadas por grandes organizaciones para gestionar procesos financieros, logísticos, comerciales y de producción. Esto las convierte en objetivos prioritarios para grupos de cibercriminales y actores de amenazas avanzadas (APT) que buscan acceso a datos de alto valor o incluso el control de sistemas críticos.

De hecho, a principios de este mes se reportó la explotación activa de otra vulnerabilidad crítica, CVE-2025-42957, que afectaba a S/4HANA, Business One y NetWeaver. Este fallo permitía la inyección de código malicioso y demostró cómo los atacantes reaccionan rápidamente para aprovechar debilidades recién descubiertas.

Recomendaciones para administradores y clientes de SAP

Ante el alto nivel de riesgo de estas fallas, los expertos en ciberseguridad recomiendan a todas las organizaciones que utilicen SAP:

• Aplicar de inmediato los parches de seguridad oficiales publicados por SAP en su portal de soporte.
• Revisar configuraciones de red y firewall, asegurándose de que puertos sensibles como P4 no estén expuestos a Internet.
• Implementar controles de acceso estrictos, minimizando el número de usuarios con privilegios elevados.
• Monitorear los sistemas SAP en busca de indicadores de compromiso relacionados con estas vulnerabilidades.
• Actualizar planes de respuesta a incidentes contemplando escenarios de explotación en plataformas SAP.

La compañía ha puesto a disposición de sus clientes con cuenta activa la documentación detallada para aplicar las medidas de mitigación y parches correspondientes a CVE-2025-42944, CVE-2025-42922 y CVE-2025-42958.

En fin, las vulnerabilidades críticas recién descubiertas en SAP NetWeaver y otros productos ponen de manifiesto la importancia de mantener los sistemas ERP y middleware actualizados. La explotación de estas fallas podría derivar en ejecución remota de código, escalamiento de privilegios y filtración de datos confidenciales, lo que representa un riesgo severo para cualquier organización.

Las empresas que dependen de SAP deben actuar con urgencia, aplicar los parches disponibles y reforzar sus defensas de seguridad para prevenir incidentes que podrían tener consecuencias millonarias en pérdidas operativas, financieras y reputacionales.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Lazarus Group, uno de los grupos de ciberamenazas más activos y sofisticados vinculados a Corea del Norte, ha sido señalado nuevamente en una campaña dirigida contra el sector de las finanzas descentralizadas (DeFi). La operación fue documentada por Fox-IT, parte del NCC Group, y muestra cómo los atacantes utilizaron técnicas de ingeniería social combinadas con malware avanzado para comprometer a una organización del sector.

El ataque, detectado en 2024, involucró la distribución de tres piezas diferentes de malware multiplataforma: PondRAT, ThemeForestRAT y RemotePE. Estas herramientas se utilizaron de manera secuencial, escalando la sofisticación del ataque a medida que los atacantes obtenían control sobre la red de la víctima.

Ingeniería social como punto de entrada

La campaña comenzó con un vector de ingeniería social. Los atacantes se hicieron pasar por un empleado de confianza de una empresa comercial en Telegram, estableciendo comunicación con la víctima. Para reforzar su credibilidad, crearon sitios falsos que imitaban plataformas legítimas como Calendly y Picktime, que fueron utilizados para programar reuniones falsas.

Aunque el vector inicial exacto no se conoce con certeza, los investigadores sospechan que se explotó un día cero en Google Chrome para instalar un cargador llamado PerfhLoader. Este malware actuó como punto de apoyo inicial para desplegar la primera fase del ataque: el troyano de acceso remoto PondRAT.

PondRAT: la primera fase del ataque

PondRAT se considera una variante simplificada de POOLRAT (también conocido como SIMPLESEA). Aunque sus capacidades son limitadas, cumple con su función de establecer un canal de comunicación con los atacantes.

Este malware puede:

• Leer y escribir archivos en el sistema.
• Iniciar procesos maliciosos.
• Ejecutar shellcode bajo demanda.
• Mantener comunicación con un servidor de comando y control (C2) mediante HTTP(S).

Fox-IT señala que PondRAT ha estado en uso al menos desde 2021, lo que refuerza la persistencia de las tácticas de Lazarus en sus operaciones.

ThemeForestRAT: sigilo y mayor capacidad

Tras comprometer el sistema, los atacantes desplegaron un segundo malware más sofisticado: ThemeForestRAT, cargado directamente en la memoria ya sea mediante PondRAT o un cargador especializado.

ThemeForestRAT ofrece una gama más amplia de funcionalidades, incluyendo:

• Enumeración de archivos y directorios.
• Ejecución de comandos arbitrarios.
• Control de procesos en ejecución.
• Descarga y carga de archivos.
• Inyección de shellcode.
• Monitoreo de sesiones de Escritorio Remoto (RDP).
• Capacidad de hibernación para evadir detección.

Los analistas remarcan que ThemeForestRAT guarda similitudes con el malware RomeoGolf, utilizado por Lazarus en el histórico ataque contra Sony Pictures Entertainment en 2014, documentado en la Operación Blockbuster.

RemotePE: herramienta reservada para objetivos de alto valor

La etapa final de la cadena de ataque consistió en el despliegue de RemotePE, un RAT avanzado escrito en C++. Su instalación se realiza a través de un cargador denominado RemotePELoader, el cual es activado previamente por DPAPILoader.

A diferencia de PondRAT, RemotePE está diseñado para operaciones más complejas y probablemente sea reservado para objetivos de alto valor, lo que coincide con el interés de Lazarus en comprometer el ecosistema DeFi y robar activos financieros digitales.

Herramientas adicionales empleadas en la campaña

Además de los RAT mencionados, Lazarus desplegó un arsenal de utilidades que fortalecieron el ataque:

• Keyloggers para registrar pulsaciones de teclado.
• Stealers para robar credenciales y cookies del navegador Chrome.
• Capturadores de pantalla.
• Mimikatz, herramienta ampliamente usada para la extracción de credenciales.
• FRPC y MidProxy, usados para conexiones proxy y movimiento lateral.

Este conjunto de herramientas permitió a los atacantes mapear la red interna, moverse lateralmente y mantener persistencia, mientras se mantenían bajo el radar de las defensas de seguridad.

Implicaciones para el sector DeFi

El ataque confirma que Lazarus Group sigue centrando su atención en el sector DeFi, uno de los más lucrativos para los cibercriminales debido al volumen de activos digitales en circulación. La combinación de ingeniería social, exploits potenciales de día cero y malware modular demuestra un alto grado de sofisticación y planificación.

La estrategia de emplear un malware inicial más simple (PondRAT), seguido de herramientas más avanzadas (ThemeForestRAT y RemotePE), refleja un modelo escalonado de ataque. De esta forma, Lazarus puede mantener un equilibrio entre sigilo, persistencia y capacidades ofensivas.

En fin, el grupo Lazarus, patrocinado por el Estado norcoreano, continúa siendo una de las amenazas más persistentes y peligrosas en el panorama de la ciberseguridad global. Su capacidad de combinar técnicas de ingeniería social con la distribución de malware multiplataforma como PondRAT, ThemeForestRAT y RemotePE refuerza la necesidad de que las organizaciones del sector financiero, especialmente las vinculadas a DeFi, fortalezcan sus medidas de defensa.

La investigación de Fox-IT demuestra que estos ataques no solo buscan comprometer sistemas individuales, sino que están orientados a obtener acceso prolongado, robar credenciales y, en última instancia, desviar activos financieros digitales.

En un escenario donde los grupos APT como Lazarus perfeccionan constantemente sus tácticas, la concienciación de los empleados, la protección proactiva contra ingeniería social y la detección temprana de anomalías en la red son factores clave para mitigar los riesgos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han identificado una red IP con sede en Ucrania como responsable de campañas masivas de fuerza bruta y pulverización de contraseñas contra servicios críticos como SSL VPN y RDP, en un periodo que abarcó entre junio y julio de 2025. La actividad fue rastreada al sistema autónomo FDN3 (AS211736), de acuerdo con un informe publicado por la empresa francesa de ciberseguridad Intrinsec.

Este descubrimiento refuerza las preocupaciones sobre cómo las infraestructuras abusivas y a prueba de balas alimentan las operaciones de grupos de ciberdelincuentes, incluidos ransomware-as-a-service (RaaS), que utilizan estas tácticas como vectores de acceso inicial en ataques dirigidos a redes corporativas.

El papel de FDN3 y sus redes asociadas

Intrinsec señaló que el sistema autónomo FDN3 no opera de forma aislada. Según el análisis, forma parte de una infraestructura más amplia que incluye otras dos redes ucranianas, VAIZ-AS (AS61432) y ERISHENNYA-ASN (AS210950), así como un sistema autónomo en Seychelles conocido como TK-NET (AS210848).

Todas estas redes, asignadas en 2021, intercambian frecuentemente prefijos IPv4 entre sí para evadir bloqueos de seguridad y mantener actividades maliciosas en funcionamiento. Esta práctica les permite sortear listas negras y reconfigurar sus operaciones rápidamente cuando alguna de sus direcciones IP es bloqueada por proveedores de seguridad.

Actualmente, AS61432 anuncia el prefijo 185.156.72[.]0/24, mientras que AS210950 gestiona dos prefijos: 45.143.201[.]0/24 y 185.193.89[.]0/24. Una parte de estas direcciones también se anuncia a través de AS210848, reforzando la teoría de un ecosistema interconectado diseñado para actividades abusivas.

Conexiones con alojamientos a prueba de balas

El informe de Intrinsec destaca que estas redes comparten acuerdos de peering con IP Volume Inc. (AS202425), una empresa registrada en Seychelles. IP Volume Inc. fue creada por los propietarios de Ecatel, compañía infame por ofrecer servicios de alojamiento a prueba de balas en Países Bajos desde 2005.

Los prefijos trasladados de AS61432 y AS210950 actualmente son anunciados por redes sospechosas operadas por empresas ficticias como:

• Global Internet Solutions LLC (gir.network)
• Global Connectivity Solutions LLP
• Verasel
• IP Volume Inc.
• Telkom Internet LTD

Este patrón revela un ecosistema de operadores que enmascaran su infraestructura bajo empresas pantalla, lo que dificulta las acciones legales en su contra.

Vínculos internacionales y superposición operativa

El análisis de Intrinsec también encontró que algunos de los prefijos anunciados por estas redes ucranianas y de Seychelles habían sido utilizados previamente por una red rusa, SibirInvest OOO (AS44446), y por un servicio de alojamiento a prueba de balas con sede en EE. UU. llamado Virtualine.

Uno de estos rangos, 88.210.63[.]0/24, está directamente vinculado a los ataques masivos de fuerza bruta y pulverización de contraseñas que alcanzaron su punto máximo entre el 6 y el 8 de julio de 2025.

Los intentos de intrusión identificados se prolongaron hasta tres días, enfocándose principalmente en SSL VPN y RDP, servicios críticos para el acceso remoto a redes corporativas. Estas técnicas son frecuentemente utilizadas por grupos de ransomware como Black Basta, GLOBAL GROUP y RansomHub, que las emplean para obtener acceso inicial antes de desplegar sus cargas maliciosas.

Conexiones con Rusia y Bulgaria

Otros dos prefijos anunciados por FDN3 en junio de 2025, 92.63.197[.]0/24 y 185.156.73[.]0/24, estaban previamente bajo la gestión de AS210848, lo que confirma un alto grado de superposición operativa.

El prefijo 92.63.197[.]0/24 además muestra vínculos con redes de spam búlgaras como ROZA-AS (AS212283), reforzando la hipótesis de una infraestructura internacional que conecta redes de spam, distribución de malware y ataques de fuerza bruta bajo un mismo paraguas.

Posible operador común detrás de la infraestructura

Intrinsec sostiene que las similitudes entre estas redes —incluyendo su configuración, el contenido alojado y las fechas de creación— apuntan a que están gestionadas por un administrador de alojamiento a prueba de balas común.

Un análisis más detallado incluso descubrió conexiones con la empresa rusa Alex Host LLC, que en el pasado estuvo relacionada con servicios abusivos como TNSECURITY, utilizados para alojar la infraestructura del grupo de amenazas Doppelganger.

El rol de los ISP y el anonimato en el extranjero

El caso pone en evidencia cómo los proveedores de servicios de Internet (ISP) con sede en países que ofrecen protección de anonimato, como Seychelles, permiten que redes más pequeñas y abusivas prosperen gracias a acuerdos de peering y al alojamiento de prefijos IPv4.

Esto crea un vacío legal que dificulta responsabilizar directamente a los propietarios de dichas infraestructuras, incluso cuando se demuestra su rol en actividades delictivas como el spam, los ataques de red y el alojamiento de malware de comando y control (C2).

PolarEdge: la amenaza en paralelo

El informe de Intrinsec se publicó en paralelo con los hallazgos de Censys, que identificó un sistema de administración de proxies asociado a la botnet PolarEdge, actualmente activo en más de 2.400 hosts.

Este sistema, identificado como un servidor RPX, funciona como una puerta de enlace proxy inversa capaz de administrar nodos proxy y exponer servicios de conexión. Aunque su relación directa con PolarEdge aún no está confirmada, los investigadores advierten que podría tratarse de una infraestructura complementaria para gestionar redes de bots a gran escala.

Una amenaza persistente y en evolución

La atribución de los ataques de fuerza bruta y pulverización de contraseñas a redes IP ucranianas y de Seychelles confirma la existencia de un ecosistema internacional de infraestructuras abusivas que alimenta campañas de ransomware, spam y distribución de malware.

El caso FDN3 refleja que la seguridad corporativa ya no depende solo de la protección interna, sino de la capacidad de detectar y bloquear rápidamente tráfico malicioso proveniente de sistemas autónomos conocidos por sus abusos.

El llamado de Intrinsec es claro: las empresas deben reforzar sus defensas en torno a VPN, SSL y RDP, aplicar autenticación multifactor y mantener una vigilancia constante frente a intentos de intrusión que pueden escalar hacia ataques de ransomware devastadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sector financiero en América Latina vuelve a estar en el centro de atención tras un sofisticado ciberataque dirigido al sistema de pagos en tiempo real (Pix) de Brasil, en el que piratas informáticos intentaron robar 130 millones de dólares de la subsidiaria brasileña de Evertec, Sinqia S.A..

La compañía, uno de los principales proveedores de servicios tecnológicos financieros en la región, confirmó que el ataque ocurrió el 29 de agosto de 2025 y que los criminales utilizaron credenciales robadas para acceder de forma no autorizada al entorno Pix. Aunque parte de los fondos fueron recuperados, la investigación sigue en curso y el incidente refleja los crecientes riesgos que enfrentan las infraestructuras críticas de pago en Latinoamérica.

Evertec y Sinqia: actores clave en el ecosistema financiero

Evertec, Inc. es un gigante de la tecnología financiera con operaciones en América Latina, Puerto Rico y el Caribe, especializado en procesamiento de transacciones y soluciones integrales para bancos, fintechs y comercios.

En 2023, Evertec adquirió Sinqia S.A., empresa pública con sede en São Paulo, reconocida por su software financiero y servicios de TI para el sector bancario y de inversiones en Brasil. La filial opera soluciones para más de 24 instituciones financieras locales, entre ellas bancos de renombre, lo que explica la magnitud del impacto del ataque.

Cómo se llevó a cabo el ataque al sistema Pix

Según la presentación de Evertec ante la Comisión de Bolsa y Valores de Estados Unidos (SEC), los atacantes lograron comprometer el entorno Pix de Sinqia tras obtener credenciales de un proveedor de TI, lo que les permitió intentar transacciones no autorizadas entre instituciones financieras clientes de la filial.

El sistema Pix, lanzado en 2020 por el Banco Central de Brasil, permite transferencias inmediatas las 24 horas del día, los 7 días de la semana, y se ha convertido en el método de pago más utilizado en el país. Su popularidad lo ha convertido también en un objetivo recurrente de malware bancario y fraudes digitales.

En este caso, los ciberdelincuentes intentaron mover fondos de manera ilícita entre dos instituciones financieras. Aunque medios locales señalaron la participación de HSBC, el banco aclaró que los fondos y datos de sus clientes no se vieron comprometidos.

Reacción de Sinqia y medidas de contención

Al detectar la actividad maliciosa, Sinqia activó de inmediato su protocolo de respuesta a incidentes, suspendiendo las operaciones en su entorno Pix y colaborando con expertos forenses externos en ciberseguridad.

En paralelo, el Banco Central de Brasil revocó el acceso de Sinqia al sistema Pix, una medida preventiva que busca proteger la estabilidad de la red de pagos. Actualmente, la filial trabaja para restablecer el acceso, proporcionando información detallada a las autoridades y reforzando sus controles de seguridad.

Evertec aclaró que no existen indicios de que los datos personales de clientes hayan sido expuestos, y que el ataque no se extendió más allá del entorno Pix. Sin embargo, el impacto financiero y reputacional para la compañía aún se está evaluando.

Recuperación de fondos y evaluación del impacto

De los 130 millones de dólares comprometidos, Evertec señaló que una parte ya fue recuperada, aunque no especificó la cifra exacta. Los esfuerzos de recuperación continúan en coordinación con las autoridades brasileñas y las instituciones afectadas.

• El incidente, sin embargo, podría tener consecuencias significativas:
• Impacto financiero directo: pérdidas potenciales por las transacciones fraudulentas.
• Impacto reputacional: pérdida de confianza entre clientes bancarios e inversionistas.
• Impacto regulatorio: mayor escrutinio por parte del Banco Central de Brasil y posibles sanciones si se detectan deficiencias en los controles internos.

En palabras de la propia compañía:

Citar"El impacto financiero y reputacional del incidente, incluido cualquier efecto en los controles internos, aún no se conoce y podría ser material".

Un nuevo frente en los ciberataques financieros en América Latina

El ataque contra Sinqia pone de relieve una tendencia cada vez más clara: los sistemas de pago en tiempo real y las infraestructuras fintech son blancos prioritarios para los ciberdelincuentes.

Brasil, con más de 150 millones de usuarios de Pix, se ha convertido en terreno fértil para bandas de cibercrimen organizado que utilizan desde malware bancario para Android hasta ingeniería social y robo de credenciales de proveedores.

En este contexto, la seguridad de la cadena de suministro tecnológica cobra una relevancia central. El hecho de que el acceso se haya producido mediante la cuenta de un proveedor externo evidencia la necesidad de reforzar las políticas de gestión de terceros y accesos privilegiados.

Lecciones del ataque a Sinqia y Evertec

El intento de robo de 130 millones de dólares a través del entorno Pix de Sinqia es un caso emblemático del nivel de sofisticación del cibercrimen financiero en la región. Aunque el sistema de pagos en tiempo real de Brasil es un modelo innovador y ampliamente adoptado, este incidente demuestra que ninguna infraestructura está exenta de riesgos.

Las principales lecciones que deja este ataque son:

• La importancia de la seguridad en proveedores y terceros, punto crítico de acceso para atacantes.
• El refuerzo de controles en sistemas de pago en tiempo real, dada su criticidad en la economía.
• La necesidad de protocolos de respuesta inmediatos, como los aplicados por Sinqia, que permitieron contener el ataque rápidamente.
• La colaboración con autoridades y expertos en ciberseguridad, indispensable para la recuperación de fondos y la restauración de confianza.

El caso de Evertec y Sinqia marcará un antes y un después en la gestión de ciberseguridad en el ecosistema financiero de América Latina, donde el equilibrio entre innovación y seguridad seguirá siendo un desafío constante.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cloudflare, una de las compañías más relevantes en materia de seguridad y servicios de Internet, confirmó recientemente que se convirtió en una de las últimas víctimas dentro de la ola de ciberataques que ha afectado a clientes de Salesforce. El incidente está vinculado a las brechas de seguridad de Salesloft Drift, una campaña a gran escala contra la cadena de suministro revelada la semana pasada y que ya afecta a cientos de organizaciones en todo el mundo.

La compañía reveló el martes que los atacantes lograron obtener acceso a una instancia de Salesforce utilizada para la gestión de casos internos de clientes y servicios de soporte, lo que permitió exfiltrar 104 tokens API de la plataforma Cloudflare. Aunque hasta el momento no se ha detectado un uso malicioso de estos tokens, el riesgo potencial es considerable, ya que podrían emplearse para acceder a credenciales críticas y lanzar ataques dirigidos.

Cómo ocurrió la filtración de datos en Cloudflare

De acuerdo con el informe oficial, Cloudflare fue notificado de la violación de seguridad el 23 de agosto, iniciando de inmediato un proceso de análisis y mitigación. Posteriormente, el 2 de septiembre alertó a los clientes afectados, rotando de forma preventiva los 104 tokens exfiltrados para minimizar cualquier riesgo.

La compañía detalló que la mayor parte de la información comprometida estaba relacionada con datos de contacto de clientes y registros de soporte, aunque algunas interacciones podrían incluir información sensible como configuraciones internas, credenciales de acceso o contraseñas compartidas durante procesos de asistencia técnica.

En palabras de Cloudflare:

"Dado que los datos de los casos de soporte de Salesforce contienen tickets e interacciones con clientes, cualquier información compartida en ese canal —incluidos registros, tokens o contraseñas— debe considerarse comprometida. Recomendamos encarecidamente rotar cualquier credencial enviada por este medio."

Cronología del ataque y alcance de la brecha

La investigación de Cloudflare determinó que los atacantes realizaron una primera fase de reconocimiento el 9 de agosto. Posteriormente, entre el 12 y el 17 de agosto, lograron exfiltrar texto asociado a los objetos de caso en Salesforce, lo que incluye:

• Líneas de asunto de los tickets de soporte.
• Cuerpos de los casos, que en algunos casos podrían contener claves, secretos o credenciales.
• Información de contacto del cliente, como nombre de empresa, correo electrónico, teléfono, dominio corporativo y país.

Aunque los atacantes no accedieron a archivos adjuntos, el material obtenido ya representa un riesgo significativo de seguridad, pues podría facilitar campañas posteriores de phishing o intentos de intrusión en sistemas corporativos.

Una campaña más amplia contra Salesforce y Salesloft Drift

Este incidente no se considera aislado. Cloudflare advirtió que el actor de amenazas responsable parece tener como objetivo la recopilación de credenciales y datos sensibles de clientes con fines de ataques futuros.

La ola de violaciones de seguridad está vinculada al grupo de extorsión ShinyHunters, que desde principios de 2025 ha perfeccionado el uso de phishing de voz (vishing) para convencer a empleados de vincular aplicaciones OAuth maliciosas con instancias de Salesforce corporativas. Esta técnica ha permitido el robo masivo de bases de datos, utilizadas posteriormente para la extorsión y la venta de información en foros clandestinos.

Entre las empresas afectadas por esta campaña se encuentran nombres de gran peso como Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas y filiales del grupo LVMH (Louis Vuitton, Dior y Tiffany & Co.).

Aunque algunos investigadores sugieren que los ataques de Salesloft Drift están conectados con ShinyHunters, hasta ahora Google no ha encontrado evidencia concluyente que confirme este vínculo directo.

Confirmación de Palo Alto Networks y búsqueda de secretos

Otra empresa afectada fue Palo Alto Networks, que confirmó que los atacantes también lograron robar información de soporte en Salesforce, principalmente datos de contacto y comentarios de clientes. Al igual que en el caso de Cloudflare, los sistemas y productos principales de la compañía no se vieron comprometidos.

Los atacantes mostraron un interés particular en buscar claves de acceso de AWS (AKIA), credenciales de VPN y SSO, tokens de Snowflake y palabras clave sensibles como "secreto", "contraseña" o "clave". Este comportamiento refuerza la hipótesis de que la campaña está diseñada para obtener accesos privilegiados y penetrar en más plataformas en la nube, con el objetivo de ejecutar futuros ataques de extorsión y robo de datos.

Medidas de seguridad recomendadas

El ataque contra Cloudflare y otras compañías demuestra el creciente riesgo que representan los ataques a la cadena de suministro en entornos SaaS. Los CRM como Salesforce, al centralizar información crítica de clientes, se han convertido en un objetivo atractivo para los actores de amenazas.

Entre las principales recomendaciones de seguridad destacan:

• Rotación inmediata de credenciales compartidas en canales de soporte o sistemas de CRM.
• Monitoreo continuo de tokens API y claves de acceso para detectar comportamientos anómalos.
• Implementación de políticas Zero Trust para minimizar el riesgo de movimientos laterales en caso de una intrusión.
• Concienciación contra técnicas de vishing y phishing que buscan engañar a empleados para aprobar integraciones maliciosas.
• Segmentación de datos sensibles y reducción de la información compartida en tickets de soporte.

El caso de Cloudflare es un recordatorio claro de que la seguridad en la nube no solo depende de la infraestructura de una compañía, sino también de la resiliencia de toda la cadena de proveedores y servicios interconectados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques cibernéticos están evolucionando rápidamente gracias al uso indebido de herramientas legítimas que, en condiciones normales, deberían servir para reforzar la seguridad. Investigadores de la Unidad de Contraamenazas de Sophos han revelado un incidente en el que actores maliciosos aprovecharon Velociraptor, una herramienta forense digital y de monitoreo de endpoints de código abierto, para implementar tácticas avanzadas de infiltración.

Este hallazgo evidencia una tendencia cada vez más común: los ciberdelincuentes utilizan programas legítimos con fines maliciosos, reduciendo la necesidad de desplegar malware tradicional y aumentando las dificultades de detección.

Velociraptor como arma cibernética

Según Sophos, en este incidente los atacantes descargaron y ejecutaron Visual Studio Code a través de Velociraptor con la aparente intención de establecer un túnel hacia un servidor de comando y control (C2). Este acceso remoto les habría permitido ejecutar código malicioso en los sistemas comprometidos y mantener persistencia sin levantar sospechas.

El análisis reveló que los atacantes explotaron la utilidad msiexec de Windows, descargando un instalador MSI desde dominios configurados en Cloudflare Workers. Este archivo desplegaba Velociraptor y posteriormente descargaba herramientas adicionales como una solución de túnel de Cloudflare y la utilidad de administración remota Radmin.

Una vez instalado, Velociraptor contactaba con un dominio malicioso para permitir descargas adicionales. A través de un comando en PowerShell, los atacantes ejecutaban Visual Studio Code con la opción de túnel habilitada, facilitando tanto el acceso remoto como la ejecución remota de código (RCE).

Sophos advirtió que estos comportamientos deben tratarse como indicadores de un ataque de ransomware en preparación, ya que proporcionan a los actores maliciosos control total sobre los endpoints comprometidos.

La evolución de las tácticas: más allá del malware

El uso de herramientas legítimas con fines ofensivos se enmarca dentro de la estrategia conocida como Living off the Land (LotL), en la que los atacantes aprovechan software existente en los sistemas para reducir huellas digitales. La adopción de Velociraptor marca un paso adicional, ya que se trata de una herramienta utilizada normalmente en respuestas a incidentes y análisis forense digital.

Esto significa que, en manos equivocadas, un software diseñado para la defensa puede convertirse en un arma para la intrusión silenciosa y el robo de datos.

Phishing en Microsoft Teams: otra puerta de entrada

La amenaza no se limita al abuso de Velociraptor. Investigadores de Hunters y Permiso han reportado una campaña que utiliza Microsoft Teams como canal para comprometer organizaciones.

En este caso, los actores de amenazas crean inquilinos maliciosos o utilizan cuentas comprometidas para enviar mensajes directos y llamadas a empleados, haciéndose pasar por equipos de soporte técnico de TI. Bajo este disfraz, inducen a las víctimas a instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, con lo cual obtienen control sobre el sistema de la víctima.

Lo que distingue a estas campañas es que evitan el tradicional phishing por correo electrónico, dirigiéndose directamente a un canal de comunicación corporativa confiable. Una vez que logran acceso, los atacantes descargan cargas útiles de PowerShell que permiten robar credenciales, mantener persistencia e incluso ejecutar ransomware.

Escenarios de engaño altamente efectivos

Los atacantes en Teams utilizan señuelos aparentemente rutinarios, como mensajes de mantenimiento, advertencias de rendimiento o solicitudes de verificación de configuración. Estas interacciones se camuflan entre la comunicación laboral cotidiana, lo que las hace menos sospechosas y más eficaces.

Además, en algunos casos los usuarios son redirigidos a páginas de inicio de sesión falsas de Microsoft 365, configuradas mediante Active Directory Federation Services (ADFS) en inquilinos personalizados. Esto permite a los atacantes recopilar credenciales directamente, incluso con la validación de Microsoft como intermediario.

El vínculo con ransomware y malware avanzado

Estas técnicas se asemejan a las empleadas por grupos de ransomware como Black Basta, que desde mediados de 2024 han explotado herramientas de acceso remoto en sus campañas. Otros malwares conocidos como DarkGate y Matanbuchus también se han propagado usando estrategias similares.

La combinación de phishing en Teams, abuso de Velociraptor y el uso de utilidades nativas de Windows (como msiexec y PowerShell) demuestra una sofisticación creciente en la cadena de ataque.

Recomendaciones de seguridad

Expertos coinciden en que estas campañas deben considerarse como una advertencia clara para las organizaciones. Entre las medidas recomendadas destacan:

• Implementar un sistema de detección y respuesta de endpoints (EDR).
• Monitorear el uso inesperado de herramientas como Velociraptor o Radmin.
• Revisar los registros de auditoría en Teams (ChatCreated, MessageSent) para identificar anomalías.
• Capacitar a los empleados en detección de phishing corporativo.
• Mantener copias de seguridad actualizadas y aisladas.

En fin, el abuso de Velociraptor y el phishing en Microsoft Teams demuestran que los atacantes están explotando la confianza en herramientas legítimas para desplegar ciberataques cada vez más avanzados. Estos incidentes no solo son un recordatorio de que la seguridad debe ser proactiva, sino que también confirman que la frontera entre software defensivo y ofensivo es cada vez más difusa.

Las organizaciones que no refuercen sus sistemas de detección, respuesta y concienciación estarán más expuestas a ransomware, robo de credenciales y ataques dirigidos que aprovechan canales internos de comunicación y programas de uso diario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo informe de ciberseguridad revela que el grupo de hackers ScarCruft, también conocido como APT37, vinculado a Corea del Norte, está detrás de una sofisticada campaña de phishing cuyo objetivo es el espionaje y el robo de información confidencial. La operación, bautizada como HanKook Phantom por los investigadores de Seqrite Labs, utiliza el malware RokRAT, una herramienta avanzada de intrusión y exfiltración de datos.

Según el análisis, los principales objetivos de la campaña incluyen figuras académicas, ex funcionarios gubernamentales e investigadores asociados con la Asociación Nacional de Investigación de Inteligencia en Corea del Sur. El propósito es claro: obtener acceso a información sensible y mantener presencia en los sistemas comprometidos.

El inicio del ataque: spear-phishing altamente dirigido

La cadena de ataque comienza con un correo electrónico de spear-phishing disfrazado de boletín legítimo titulado "Boletín de la Sociedad Nacional de Investigación de Inteligencia – Número 52". Este boletín pertenece a una institución real que estudia inteligencia nacional, relaciones laborales, seguridad y energía en Corea del Sur.

El correo incluye un archivo adjunto ZIP, que contiene un acceso directo de Windows (LNK) camuflado como documento PDF. Al abrirlo, el usuario ve un archivo señuelo que aparenta ser el boletín, mientras en segundo plano se ejecuta la descarga e instalación de RokRAT en el dispositivo comprometido.

RokRAT: el malware insignia de ScarCruft

RokRAT es una herramienta ya conocida en operaciones previas de APT37. Sus capacidades incluyen:

• Recolección de información del sistema comprometido.
• Ejecución de comandos arbitrarios.
• Enumeración y exploración del sistema de archivos.
• Captura de capturas de pantalla.
• Descarga y ejecución de cargas útiles adicionales.
• Exfiltración de datos mediante servicios legítimos como Dropbox, Google Cloud, pCloud y Yandex Cloud.

Este uso de plataformas en la nube permite a los atacantes ocultar el tráfico malicioso entre comunicaciones legítimas, lo que complica la detección por parte de soluciones de seguridad.

Segunda variante: PowerShell y documentos señuelo

Seqrite Labs también descubrió una segunda campaña paralela en la que el archivo LNK servía como puente hacia un script de PowerShell ofuscado. Este, a su vez, desplegaba un documento señuelo de Microsoft Word y ejecutaba un script por lotes encargado de soltar un cuentagotas malicioso.

El objetivo: implementar una carga útil de segunda etapa capaz de robar información sensible mientras camuflaba el tráfico como si fuera una subida de archivos de Google Chrome.

En este caso, el documento utilizado como señuelo era una declaración oficial de Kim Yo Jong, subdirectora del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea, fechada el 28 de julio, rechazando intentos de reconciliación de Seúl.

Técnicas avanzadas de evasión

El análisis técnico subraya que APT37 continúa perfeccionando tácticas como:

• Archivos LNK maliciosos en lugar de ejecutables tradicionales.
• Ejecución sin archivos mediante PowerShell para evitar detección.
• Uso de mecanismos de exfiltración encubiertos a través de servicios en la nube.
• Documentos señuelo de alta relevancia política y estratégica.

Estas técnicas confirman que se trata de una operación de espionaje a largo plazo, dirigida principalmente a Corea del Sur y sus instituciones críticas.

Contexto geopolítico y vínculos con otros grupos norcoreanos

El descubrimiento de esta campaña coincide con otras actividades recientes atribuidas a grupos de hackers de Corea del Norte, entre ellos el Lazarus Group. Investigadores de QiAnXin documentaron ataques al estilo ClickFix, en los que se usaba una falsa actualización de NVIDIA para distribuir el malware BeaverTail (ladrón en JavaScript) y la puerta trasera InvisibleFerret en Python.

Estos ataques reflejan una estrategia común: utilizar señuelos de confianza (como actualizaciones de software o documentos oficiales) para comprometer a los usuarios y abrir la puerta a operaciones de espionaje o robo financiero.

Sanciones internacionales y el rol de los trabajadores de TI

El informe de Seqrite se suma a un panorama más amplio en el que Estados Unidos, a través de la Oficina de Control de Activos Extranjeros (OFAC), ha impuesto sanciones contra individuos y entidades involucrados en esquemas de trabajadores de TI remota de Corea del Norte.

Investigaciones del Grupo Chollima revelaron conexiones entre Moonstone Sleet (otro APT norcoreano) y el desarrollo del juego blockchain DefiTankLand, utilizado como fachada para generar ingresos ilícitos mediante la industria de las criptomonedas y los videojuegos play-to-earn (P2E).

Se identificó que Logan King, supuesto CTO de DefiTankLand, sería en realidad un trabajador de TI norcoreano. La investigación también mostró vínculos con empresas sospechosas como ICICB y redes de ciberdelincuencia en China, reforzando la hipótesis de que el ecosistema blockchain está siendo explotado para financiar al régimen.

En fin, la campaña Operación HanKook Phantom confirma una vez más la agresividad y sofisticación del grupo ScarCruft (APT37) en sus operaciones de espionaje cibernético. El uso del malware RokRAT, combinado con tácticas de spear-phishing y técnicas avanzadas de evasión, muestra la intención clara de Corea del Norte de infiltrarse en sectores críticos de Corea del Sur.

Este ataque no es un evento aislado, sino parte de una estrategia global de ciberespionaje y generación de ingresos ilícitos que incluye el uso de videojuegos blockchain, fraudes de TI remota y campañas de phishing cada vez más personalizadas.

Para los gobiernos, instituciones de investigación y organizaciones académicas, este tipo de amenazas subraya la necesidad de reforzar la ciberseguridad, capacitar al personal en la detección de phishing y establecer mecanismos de defensa avanzados.

ScarCruft y Lazarus continúan siendo recordatorios de que la ciberseguridad y la geopolítica están más interconectadas que nunca.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes han lanzado una sofisticada campaña publicitaria en plataformas de Meta (Facebook e Instagram) para engañar a los usuarios con supuestas ofertas de una aplicación gratuita de TradingView Premium, que en realidad propaga el peligroso malware Brokewell en dispositivos Android.

La campaña, que ha estado activa desde al menos el 22 de julio de 2025, tiene como objetivo principal a los usuarios interesados en criptomonedas. De acuerdo con la investigación de Bitdefender, se identificaron alrededor de 75 anuncios localizados que utilizan de forma fraudulenta la marca TradingView para atraer a sus víctimas.

¿Qué es Brokewell y por qué es tan peligroso?

El malware Brokewell apareció a principios de 2024 y rápidamente se convirtió en una amenaza crítica para dispositivos móviles debido a su amplio arsenal de capacidades de espionaje, robo de información y control remoto.

Entre sus funcionalidades más destacadas se encuentran:

• Robo de credenciales bancarias, datos de BTC, ETH, USDT y números de cuentas (IBAN).
• Interceptación de códigos de Google Authenticator, lo que le permite evadir sistemas de autenticación de dos factores (2FA).
• Superposición de pantallas falsas para robar accesos a aplicaciones de banca, criptomonedas y redes sociales.
• Grabación de pantalla, captura de pulsaciones de teclado, robo de cookies, acceso a cámara, micrófono y geolocalización.
• Secuestro de la aplicación de SMS para interceptar mensajes y códigos de verificación bancarios.
• Control remoto completo del dispositivo, con la capacidad de enviar mensajes, realizar llamadas, instalar o desinstalar apps e incluso ejecutar su autodestrucción para borrar evidencias.

Bitdefender documentó más de 130 comandos distintos que Brokewell es capaz de ejecutar, lo que lo convierte en uno de los troyanos más completos y versátiles de la actualidad.

Cómo operan los anuncios falsos de TradingView en Meta

La campaña detectada utiliza anuncios de Meta Ads que aparentan ser legítimos, presentando logos, imágenes y mensajes idénticos a los de TradingView, una de las plataformas más utilizadas por traders e inversores.

Los investigadores señalan que el ataque está específicamente diseñado para usuarios móviles Android. Si un usuario accede desde un dispositivo con otro sistema operativo, como Windows o iOS, es redirigido a un contenido inofensivo.

En cambio, desde Android, el anuncio conduce a una página web clonada del sitio oficial de TradingView, desde donde se ofrece un archivo malicioso llamado tw-update.apk, alojado en dominios fraudulentos como tradiwiw[.]online.

El truco del falso mensaje de actualización

Una vez instalada, la supuesta app de TradingView solicita permisos de accesibilidad. Tras concederlos, la pantalla se cubre con un mensaje de "actualización falsa", mientras en segundo plano la aplicación se otorga a sí misma todos los permisos necesarios para tomar el control del dispositivo.

Incluso intenta engañar al usuario para que introduzca su PIN o contraseña de desbloqueo, simulando una actualización del sistema Android. De esta forma, los atacantes logran acceso directo al dispositivo y a las aplicaciones críticas instaladas.

Brokewell, un paso más allá en el robo de criptomonedas

La motivación principal detrás de esta campaña es el robo de activos digitales. Brokewell está diseñado para detectar y robar claves privadas, billeteras de Bitcoin, Ethereum y Tether, además de interceptar transacciones en tiempo real.

Su capacidad para interceptar 2FA y manipular aplicaciones de autenticación representa un riesgo grave para quienes gestionan inversiones en criptomonedas desde sus teléfonos.

Además, el malware aprovecha redes de anonimato como Tor y WebSockets para comunicarse con sus operadores, dificultando la detección por parte de las soluciones de ciberseguridad tradicionales.

Relación con campañas anteriores

Bitdefender advierte que esta operación forma parte de un esquema más amplio. En campañas previas, los atacantes ya habían utilizado anuncios de Facebook que suplantaban la identidad de docenas de marcas reconocidas con el fin de distribuir malware dirigido a usuarios de Windows.

El salto a dispositivos Android muestra la evolución de la amenaza, ya que los cibercriminales buscan atacar el ecosistema donde las víctimas realizan transacciones financieras y de criptomonedas en movilidad.

Cómo protegerse de Brokewell y campañas similares

Para reducir el riesgo de caer en este tipo de ataques, los expertos recomiendan:

• Descargar aplicaciones solo desde Google Play o sitios oficiales. Nunca instalar APKs desde enlaces externos.
• Verificar la autenticidad de los anuncios y desconfiar de ofertas demasiado atractivas, como versiones "gratuitas" de apps premium.
• Mantener actualizado Android y activar Google Play Protect.
• Usar soluciones de seguridad móvil que detecten comportamientos sospechosos.
• Habilitar medidas adicionales de seguridad en exchanges y billeteras de criptomonedas, como hardware wallets.

En fin, la campaña maliciosa que utiliza anuncios falsos de TradingView Premium en Meta para propagar el malware Brokewell en Android confirma una tendencia alarmante: los ciberdelincuentes están combinando ingeniería social, publicidad digital y malware avanzado para robar información sensible y criptomonedas.

Con su capacidad para espiar, robar datos financieros y tomar el control total de un dispositivo, Brokewell representa una de las amenazas más graves para los usuarios móviles en 2025.

La mejor defensa frente a este tipo de ataques sigue siendo la prevención, la conciencia del usuario y el uso de medidas de seguridad proactivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login