⚡ Resumen semanal: Chrome 0-Day, herramientas d...

Date: 22 Sep 2025 | Author: Ciberplaneta Bot cybersecurity

El panorama de la seguridad ahora avanza a un ritmo que ningún ciclo de parches puede igualar. Los atacantes no esperan actualizaciones trimestrales o correcciones mensuales, sino que se adaptan en cuestión de horas y combinan técnicas novedosas con defectos antiguos y olvidados para crear nuevas oportunidades. Una vulnerabilidad que se cerró ayer puede convertirse en el modelo para la brecha de seguridad de mañana.

El resumen de esta semana explora las tendencias que impulsan esa pérdida constante: cómo los actores de amenazas reutilizan tácticas probadas de formas inesperadas, cómo las tecnologías emergentes amplían la superficie de ataque y qué pueden aprender los defensores antes del siguiente giro.

Siga leyendo para ver no solo lo que pasó, sino también lo que significa, para que pueda mantenerse a la vanguardia en lugar de esforzarse por ponerse al día.

⚡ Amenaza de la semana

Los parches de Google explotaron activamente Chrome 0-Day — Google publicó actualizaciones de seguridad para el navegador web Chrome para corregir cuatro vulnerabilidades, incluida una que, según dijo, había sido explotada en estado salvaje. La vulnerabilidad de día cero, CVE-2025-10585, se ha descrito como un problema de confusión de tipos en el motor V8 de JavaScript y WebAssembly. La empresa no dio a conocer detalles adicionales sobre la forma en que se utiliza la vulnerabilidad en ataques reales, ni por quién lo hace, ni sobre la magnitud de dichos esfuerzos. «Google es consciente de que existe una vulnerabilidad contra el CVE-2025-10585 en estado salvaje», reconoció. La CVE-2025-10585 es la sexta vulnerabilidad de día cero de Chrome que se ha explotado activamente o se ha demostrado que funciona como prueba de concepto (PoC) desde principios de año.

Bootcamp de seguridad en la nube virtual 2025. Mejore sus habilidades. Regístrese gratis

Las amenazas en la nube evolucionan rápidamente: ¿sus defensas siguen el ritmo? Únase a los principales expertos y aprenda de la mano de los mejores profesionales de la ciberseguridad en nuestro campamento de entrenamiento gratuito de dos días de talleres de desarrollo de habilidades, capacitación en el mundo real y ponencias magistrales reveladoras.

Regístrate gratis ➝

🔔 Noticias principales

La herramienta de prueba Villager Pen impulsada por IA alcanza las 11.000 descargas de PyPI — Una nueva herramienta de pruebas de penetración nativa de inteligencia artificial (IA) llamada Villager ha alcanzado casi 11 000 descargas en el Python Package Index (PyPI) solo dos meses después de su lanzamiento. La rápida adopción de lo que parece ser una herramienta legítima se hace eco de la trayectoria de Cobalt Strike, Sliver y Brute Ratel C4 ( BrC4 ), que se crearon para un uso legítimo, pero que desde entonces se han convertido en algunas de las herramientas favoritas de los ciberdelincuentes. La publicación de Villager también ha suscitado preocupación por el uso indebido de la tecnología de doble uso, ya que los actores de amenazas podrían utilizarla indebidamente para ejecutar intrusiones avanzadas con rapidez y eficiencia.
Ataque RowHammer contra la RAM DDR5 de SK Hynix — Los investigadores han ideado una nueva técnica para provocar cambios de bits de RowHammer dentro de las celdas de memoria de los módulos RAM DDR5, que se creía que estaban protegidos contra este tipo de ataques. El ataque permite modificar la memoria de forma controlada, lo que provoca ataques de escalamiento de privilegios o la filtración de datos confidenciales almacenados en regiones de memoria restringidas. «Nuestros esfuerzos de ingeniería inversa muestran que hoy en día se necesitan patrones de RowHammer significativamente más largos para eludir estas nuevas protecciones», afirman los investigadores. «Para activar los cambios de bits de RowHammer, estos patrones deben permanecer sincronizados con miles de comandos de actualización, lo cual es todo un desafío. Nuestro nuevo ataque RowHammer, denominado Phoenix, resincroniza estos patrones prolongados según sea necesario para activar los primeros cambios de bits de DDR5 en dispositivos con protecciones TRR tan avanzadas».
Arrestan a miembros de Scattered — Las autoridades encargadas de hacer cumplir la ley del Reino Unido arrestaron a dos miembros adolescentes del grupo de hackers Scattered Spider en relación con su presunta participación en un ciberataque de agosto de 2024 contra Transport for London (TfL), la agencia de transporte público de la ciudad. Thalha Jubair (también conocida como EarthToStar, Brad, Austin y @autistic), de 19 años, del este de Londres, y Owen Flowers, de 18, de Walsall (West Midlands), fueron arrestados en sus domicilios. Paralelamente, el Departamento de Justicia de los Estados Unidos (DoJ) dio a conocer una denuncia en la que acusaba a Jubair de conspiraciones para cometer fraude informático, fraude electrónico y lavado de dinero en relación con al menos 120 intrusiones en redes informáticas y de extorsionar a 47 entidades estadounidenses entre mayo de 2022 y septiembre de 2025. Las víctimas de los ataques de ransomware pagaron al menos 115 millones de dólares en pagos. En un anuncio relacionado pero separado, el Departamento de Policía Metropolitana de Los Ángeles dijo un adolescente se entregó solo el 17 de septiembre de 2025 por presuntamente atacar varios casinos de Las Vegas entre agosto y octubre de 2023. El menor sospechoso ha sido acusado de tres cargos de obtención y uso de información de identificación personal de otra persona para dañar o hacerse pasar por otra persona, un cargo de extorsión, un cargo de conspiración para cometer extorsión y un cargo de actos ilegales relacionados con computadoras. Los arrestos se produjeron cuando 15 grupos conocidos de delincuencia electrónica, entre ellos Scattered Spider, ShinyHunters y LAPSUS$, anunciaron el cierre de sus operaciones. El anuncio colectivo se publicó en BreachForums, donde los grupos afirmaron que habían logrado sus objetivos de exponer las debilidades de la infraestructura digital en lugar de sacar provecho de la extorsión. Si bien es muy posible que algunos de sus miembros hayan decidido dar un paso atrás y disfrutar de sus ganancias, esto no impide que grupos imitadores se levanten y ocupen sus lugares, ni que los actores de amenazas resurjan bajo una marca diferente.
Gameredon y Turla se unen para atacar a Ucrania — El grupo de hackers ruso conocido como Turla ha llevado a cabo algunas de las hazañas de hackeo más innovadoras de la historia del ciberespionaje, incluido el secuestro de las operaciones de otros piratas informáticos para encubrir su propia extracción de datos. Incluso cuando operan en su territorio natal, han adoptado métodos igualmente notables, como controlar a los proveedores de servicios de Internet rusos para instalar software espía directamente en los ordenadores de sus objetivos en Moscú. El enfoque más reciente consiste en aprovechar el acceso obtenido por Gamaredon, otro grupo del FSB, para atacar selectivamente objetivos de alto valor con una puerta trasera conocida como Kazuar. Este desarrollo marca los primeros casos conocidos de colaboración entre Gamaredon y Turla.
Microsoft y Cloudflare desmantelan el PhaaS de Raccoono365 — La Unidad de Delitos Digitales de Microsoft dijo que se asoció con Cloudflare para coordinar la incautación de 338 dominios utilizados por RacCoono365, un grupo de amenazas con motivaciones financieras que estaba detrás de un conjunto de herramientas de suplantación de identidad como servicio (PhaaS) utilizado para robar más de 5000 credenciales de Microsoft 365 de 94 países desde julio de 2024. RacCoono365 se comercializa para otros ciberdelincuentes mediante un modelo de suscripción, lo que les permite organizar ataques de suplantación de identidad y recolección de credenciales a gran escala con poca o ninguna experiencia técnica. Un plan de 30 días cuesta 355 dólares y un plan de 90 días tiene un precio de 999 dólares. Cloudflare afirmó que había prohibido todos los dominios identificados, había colocado delante de ellos páginas intersticiales con «advertencias de suplantación de identidad», había cancelado los scripts de Workers asociados a ellos y había suspendido las cuentas de usuario.
Un gusano autorreplicante llega al registro de npm — Otro ataque a la cadena de suministro de software afectó al registro de npm y, esta vez, infectó varios paquetes con un gusano autorreplicante que busca secretos en las máquinas de los desarrolladores mediante el escáner de credenciales de TruffleHog y los transmite a un servidor externo bajo el control del atacante. El ataque es capaz de atacar sistemas Windows y Linux. Se estima que el incidente afectó a más de 500 paquetes.

‎️ 🔥 CVs de tendencia

Los hackers no esperan. Aprovechan las vulnerabilidades recién descubiertas en cuestión de horas, transformando un parche perdido o un error oculto en un punto crítico de fallo. Un CVE sin parches es todo lo que se necesita para abrir la puerta a un compromiso a gran escala. A continuación se muestran las vulnerabilidades más críticas de esta semana, que están causando sensación en todo el sector. Revise la lista, priorice la aplicación de parches y cierre la ventana de oportunidad antes de que lo hagan los atacantes.

La lista de esta semana incluye: CVE-2025-10585 (Google Chrome), CVE-2025-55241 (Microsoft Azure Entra), CVE-2025-10035 (Transferencia de archivos gestionada de Fortra GoAnywhere), CVE-2025-58434 (Fluido), CVE-2025-58364 , CVE-2025-58060 (CUPS Linux), CVE-2025-8699 (KioSoft), CVE-2025-5821 (Usuario de Case Theme), CVE-2025-41248 , CVE-2025-41249 (Spring Framework), CVE-2025-38501 (KSMBD del núcleo de Linux), CVE-2025-9242 (Firebox WatchGuard), CVE-2025-9961 (TP-Link), CVE-2025-5115 , CVE-2025-59474 (Jenkins), CVE-2025-59340 (HubSpot Jinjava), CVE-2025-58321 (Delta Electronics DiaLink), CVE-2023-49564 (Nokia CloudBand Infrastructure Software and Container Service) y defectos de recorrido de rutas (LVE-2025-0257) y elusión de autenticación o escalamiento de privilegios locales (LVE-2025-0264) en WebOS de LG por televisores inteligentes .

📰 En todo el mundo cibernético

La gran fuga de cortafuegos de China — El Gran Cortafuegos de China (GFW) sufrido es el más grande de la historia violación interna de datos después de que actores desconocidos publicaran un Un tesoro de 600 GB de material confidencial — incluido el código fuente, los registros de trabajo, los archivos de configuración y las comunicaciones internas. Los datos parecen provenir de los servidores de Geedge Networks y del laboratorio de análisis de flujos masivos y efectivos (MESA) del Instituto de Ingeniería de la Información de la Academia de Ciencias de China. Los datos filtrados detallan las iniciativas para llevar a cabo una inspección exhaustiva de los paquetes, la monitorización de Internet móvil en tiempo real, las instrucciones sobre cómo llevar a cabo un control granular del tráfico de datos y las normas de censura adaptadas a las diferentes regiones. IntersecLab también sostiene que los datos indican que las autoridades chinas pueden localizar a los internautas, y añade que las contribuciones de Geedge al Gran Cortafuegos podrían consistir en copias de dispositivos de seguridad fabricados por los vendedores Greynoise y Fortinet. La noticia se produjo cuando Geedge Networks fue señalada por exportar tecnología para construir cortafuegos nacionales contra la censura. Los gobiernos de Kazajstán, Etiopía, Pakistán y Myanmar han comprado e instalado equipos de la empresa. «La empresa no solo presta servicios a los gobiernos locales de Xinjiang, Jiangsu y Fujian, sino que también exporta tecnología de censura y vigilancia a países como Myanmar, Pakistán, Etiopía y Kazajstán en el marco de la Franja y la Ruta», señala el informe Great Firewall.
Es probable que los centros de ciberestafas se trasladen a jurisdicciones vulnerables — Los grupos delictivos transnacionales parecen estar trasladando centros de ciberestafas a países vulnerables a través de la inversión extranjera directa (IED) delictiva. La Oficina de las Naciones Unidas contra la Droga y el Delito (UNDOC) advirtió que había encontrado «indicios de actividad en centros fraudulentos, incluidas tarjetas SIM y dispositivos de Internet por satélite» en un hotel de la Región Administrativa Especial de Oecusse-Ambeno (RAEOA). «Con el aumento de la conciencia y la comprensión de los centros de estafa y las actividades delictivas relacionadas, la presión policial se ha intensificado en todo el sudeste asiático, lo que dificulta que los grupos del crimen organizado operen en las zonas conflictivas tradicionales», dijo UNDOC aconsejado . «Como resultado, los sindicatos crean activamente vías para expandir sus operaciones a nuevas jurisdicciones con una experiencia limitada en la respuesta a los centros de estafa, incluida Timor-Leste».
Las campañas de suplantación de identidad eliminan las herramientas de RMM — Se han observado campañas de suplantación de identidad que hacen caer las herramientas de supervisión y administración remotas (RMM) iTarian (también conocido como Comodo), PDQ, SimpleHelp y Atera, utilizando una variedad de señuelos de ingeniería social, como actualizaciones falsas del navegador, invitaciones a reuniones, invitaciones a fiestas y formularios gubernamentales falsos. «Los adversarios suelen utilizar las herramientas de RMM de forma sigilosa y eficaz para mantener el control de los sistemas comprometidos sin generar alarmas inmediatas», dijo Red Canary, propiedad de ZScaler dijo . «Las acciones prácticas con el teclado permiten al adversario modificar su comportamiento para que se adapte a la actividad diaria del administrador, lo que complica las oportunidades de detección». Incluso se ha descubierto que los ataques que utilizan iTarian aprovechan el acceso para distribuir el malware Hijack Loader y DeerStealer.
Los archivos adjuntos SVG en los correos electrónicos de suplantación de identidad generan RAT — Los actores de amenazas siguen aprovechando los archivos SVG adjuntos en los correos electrónicos de suplantación de identidad para entregar XWorm y Remcos sin archivos a través de scripts por lotes de Windows. «Estas campañas suelen empezar con un archivo ZIP, que normalmente se aloja en plataformas de aspecto fiable, como IMGKit, y están diseñadas para que aparezcan como contenido legítimo con el fin de atraer la interacción de los usuarios», explica Seqrite Labs dijo . Tras la extracción, el archivo ZIP contiene una secuencia de comandos BAT muy ofuscada que sirve como etapa inicial de la cadena de infección. Estos archivos BAT utilizan técnicas avanzadas para evitar la detección estática y se encargan de ejecutar los cargadores basados en PowerShell que inyectan la carga RAT directamente en la memoria».
Detalles de la puerta trasera de Buterat — Se ha identificado una puerta trasera de Windows conocida como Buterat que se distribuye mediante campañas de suplantación de identidad, archivos adjuntos malintencionados o descargas de software troyanizado para tomar el control de los puntos finales infectados de forma remota, implementar cargas útiles adicionales y filtrar información confidencial. «Una vez ejecutado, disfraza sus procesos con tareas legítimas del sistema, modifica las claves de registro para que persistan y utiliza canales de comunicación cifrados u ofuscados para evitar la detección desde la red», señala Wild dijo .
Mac.c Stealer cambia su nombre a MacSync — El ladrón de información centrado en macOS conocido como Mac.c Stealer ha cambiado su nombre a MacSync, pero sigue el mismo modelo de malware como servicio (MaaS). «El antiguo proyecto corría el riesgo de desaparecer por falta de tiempo y financiación, por lo que fue adquirido y seguirá desarrollándose sin insistir en las dificultades del pasado», dijeron los responsables de la amenaza dijo en una entrevista con el investigador de seguridad g0njxa. «MacSync Stealer es un robador fiable con una amplia funcionalidad que hace hincapié en la sencillez y la eficacia. Literalmente, puedes empezar a usarlo inmediatamente después de la compra». Según MacPaw Moonlock Lab, MacSync incluye un agente basado en Go con todas las funciones que actúa como puerta trasera, lo que amplía su funcionalidad mucho más allá de la simple filtración de datos. «Esto convierte a MacSync en uno de los primeros casos conocidos de un ladrón de macOS con funciones modulares de mando y control remoto», afirman desde la empresa dijo . AMOS, que también se actualizó en julio de 2025 con su propia puerta trasera, se basa en componentes basados en C y curl para la comunicación en C2. Por el contrario, el enfoque de MacSync es más sigiloso, ya que utiliza la biblioteca net/http nativa para las solicitudes HTTPS. Las infecciones de MacSync se han detectado en Europa y Norteamérica, y la mayor parte de la actividad proviene de Ucrania, EE. UU., Alemania y el Reino Unido.
Google lanza VaultGemma — Google ha lanzado VaultGemma, un modelo de lenguaje grande (LLM) diseñado para mantener la privacidad de los datos confidenciales durante el entrenamiento. El modelo utiliza técnicas de privacidad diferencial para evitar que los puntos de datos individuales queden expuestos añadiendo ruido calibrado, lo que hace que sea más seguro gestionar información confidencial en los sectores de la salud, las finanzas y el gobierno. «VaultGemma representa un importante paso adelante en el camino hacia la creación de una IA que sea a la vez potente y privada por diseño», dice Google dijo . «Si bien aún existe una brecha de utilidad entre los modelos formados por un PD y los que no lo han hecho, creemos que esta brecha puede reducirse sistemáticamente si se investiga más sobre el diseño de los mecanismos para la formación de DP». El mes pasado, el gigante tecnológico lanzó un nuevo método de aprendizaje activo para recopilar datos de alta calidad que reduce considerablemente los requisitos de datos de formación para perfeccionar los LLM. «El proceso se puede aplicar a conjuntos de datos de cientos de miles de millones de ejemplos para identificar de forma iterativa los ejemplos para los que la anotación sería más valiosa y, a continuación, utilizar las etiquetas de experto resultantes para ajustarlos», apuntado . «La posibilidad de volver a entrenar los modelos con solo unos pocos ejemplos es especialmente valiosa para hacer frente a los rápidos cambios del panorama de los dominios, como la seguridad de los anuncios».
Indonesia es el objetivo de una campaña de malware móvil — Un grupo de amenazas de habla china ha estado explotando el fondo de pensiones estatal de Indonesia, TASPEN, para lanzar una sofisticada campaña de malware móvil dirigida a personas mayores y permitir el robo de datos de amplio espectro y el fraude financiero. El ataque utiliza un sitio web de suplantación de identidad que imita a TASPEN para engañar a los usuarios para que descarguen el archivo APK malicioso. Los usuarios son dirigidos a estos enlaces a través de campañas de envenenamiento por SEO. «Disfrazado como una aplicación oficial, el software espía roba credenciales bancarias, OTP e incluso datos biométricos, lo que permite realizar fraudes a gran escala», dijo CloudSEK dijo . «Más allá de las pérdidas financieras, el ataque erosiona la confianza pública, amenaza la transformación digital de Indonesia y sienta un peligroso precedente para los ataques a los fondos de pensiones en todo el sudeste asiático». Los artefactos técnicos encontrados en la red de distribución y los canales de comunicación del malware, incluidos los mensajes de error y los comentarios de los desarrolladores escritos en chino simplificado, sugieren claramente la participación de un grupo de actores de amenazas bien organizado y de habla china.
Luno Botnet combina funciones de criptominería y DDoS — Una nueva campaña de botnets de Linux denominada Luno ha combinado la minería de criptomonedas, la ejecución remota de comandos y las capacidades modulares de ataque DDoS dirigidas a plataformas de juegos, lo que sugiere una monetización a largo plazo y flexibilidad operativa. Se anuncia a través del dominio main.botnet [.] world. El malware lanza subprocesos de vigilancia que supervisan continuamente el proceso principal y lo regeneran con un nombre encubierto si finaliza. También está diseñado para ignorar las señales de finalización (SIGSEGV, SIGTERM, SIGINT, SIGHUP y SIGPIPE) para protegerse de una cancelación fácil y disfrazarse de bash». «A diferencia de los criptomineros convencionales o las botnets DDoS, LunoC2 presenta procesos de enmascaramiento, sustitución binaria y un sistema de actualización automática, lo que sugiere que el malware está diseñado como una herramienta de infraestructura criminal a largo plazo», explica Cyble dijo .
Usuarios de Apple macOS atacados por Odyssey Stealer — Los actores de amenazas están explotando un sitio de descargas falso de Microsoft Teams para ofrecer Odisea macOS Stealer a través del Haga clic en Fijar táctica de ingeniería social. «Una vez ejecutado, el malware recopila credenciales, cookies, Apple Notes y carteras criptográficas, y filtra los datos a un servidor C2 antes de garantizar su persistencia mediante LaunchDaemons e incluso reemplazar Ledger Live por una versión troyanizada», CloudSEK dijo .
Demostración de la degradación de la autenticación FIDO — Un nuevo FIDO ataque de degradación contra Microsoft Entra ID puede engañar a los usuarios para que se autentiquen con métodos de inicio de sesión más débiles, lo que los hace susceptibles a la suplantación de identidad y al secuestro de sesiones. Los métodos de autenticación más débiles son vulnerables a los ataques de suplantación de identidad tipo «adversarios intermedios» (AiTM), que emplean herramientas como Evilginx, que permiten a los atacantes capturar cookies de sesión válidas y secuestrar las cuentas. El ataque, ideado por Proofpoint, emplea un phishlet personalizado dentro del marco AiTM de Evilginx para falsificar un agente de usuario de un navegador que no es compatible con FIDO. Concretamente, se trata de suplantar la identidad de Safari en Windows, que no es compatible con la autenticación basada en FIDO en Microsoft Entra ID. «Los atacantes pueden aprovechar esta brecha aparentemente insignificante en la funcionalidad», afirman desde la empresa dijo . «Un actor de amenazas puede ajustar el AITM para falsificar un agente de usuario no compatible, que no es reconocido por una implementación de FIDO. Posteriormente, el usuario se vería obligado a autenticarse mediante un método menos seguro. Este comportamiento, observado en las plataformas de Microsoft, es una medida de seguridad que falta». Esto hace que el sistema de autenticación recurra a un método de verificación menos seguro, como las OTP, que permiten al proxy AiTM interceptar las credenciales y los tokens de un usuario. Para evitar este tipo de ataque, los clientes recomendado para implementar métodos de autenticación resistentes a la suplantación de identidad , junto con la aplicación del acceso condicional.
Canadá cierra TradeOgre — La Real Policía Montada de Canadá (RCMP) cerrar la bolsa de criptomonedas TradeOgre y se incautó de más de 40 millones de dólares que se cree que procedían de actividades delictivas, lo que marca la primera vez que las fuerzas del orden canadienses desmantelan una plataforma de intercambio de criptomonedas. La RCMP dijo que la plataforma violaba las leyes canadienses al no registrarse en el Centro de Análisis de Transacciones e Informes Financieros de Canadá (FINTRAC) como una empresa de servicios monetarios y que tiene «motivos para creer que la mayoría de los fondos negociados en TradeOgre provienen de fuentes delictivas». El servicio se desconectó a finales de julio de 2025.
Windows SCM para movimiento lateral — Los investigadores de ciberseguridad han demostrado una técnica de movimiento lateral sigiloso que utiliza Windows Service Control Manager (SCM) para ejecutar comandos en ordenadores remotos de forma discreta. «Los atacantes pueden ejecutar cargas maliciosas sin tener que dejar caer un archivo en el disco modificando de forma remota las configuraciones de los servicios a través de las API integradas, como ChangeServiceConfiga», Trellix dijo . «Este tipo de movimiento lateral sin archivos es extremadamente difícil de detectar con las soluciones de seguridad tradicionales que solo supervisan los puntos finales o los archivos. Los atacantes pueden utilizar credenciales legítimas, evitar escribir en el disco y adoptar un comportamiento administrativo normal, haciendo que sus acciones parezcan benignas».

Fallos de seguridad en los dispositivos ICS de Novakon — Se han producido media docena de fallos de seguridad (desde el CVE-2025-9962 hasta el CVE-2025-9966) descubierto en productos de sistemas de control industrial (ICS) fabricados por Novakon, con sede en Taiwán, que podrían permitir la ejecución remota de código con privilegios de root, recuperar y manipular archivos del sistema y abusar de servicios y procesos poco protegidos. Dado que la empresa no ha publicado ningún parche, se recomienda a los usuarios que restrinjan el acceso de red al dispositivo y deshabiliten la configuración de Ethernet si se utilizan puertos serie para la comunicación mediante PLC.
Estados Unidos hace sonar la alarma en las radios ocultas de los dispositivos que funcionan con energía solar — El Departamento Federal de Carreteras del Departamento de Transporte de los Estados Unidos alertó a las agencias de carreteras y empresas de infraestructura de que «la infraestructura vial que funciona con energía solar, incluidos los cargadores, las estaciones meteorológicas al borde de las carreteras y las cámaras de tráfico, debe escanearse para detectar la presencia de dispositivos no autorizados, como radios ocultas, escondidos dentro de baterías e inversores», según un informe de Reuters, lo que plantea nuevas preocupaciones sobre la cadena de suministro. La nota no especificaba de dónde se habían importado los productos que contenían equipos indocumentados. El riesgo subraya la necesidad de que los proveedores proporcionen algo parecido a una lista de materiales de software ( SBOM ) para inventariar los componentes de hardware de sus equipos para mejorar la visibilidad.
Nueva Zelanda sanciona a piratas informáticos rusos — Nueva Zelanda tiene impuesto sanciones a los piratas informáticos de la inteligencia militar rusa acusados de ciberataques en Ucrania, incluidos los miembros de una notoria unidad de hackeo anteriormente vinculada a campañas destructivas de malware. Las sanciones se dirigen a la unidad 29155 de la agencia de inteligencia rusa GRU, que también es rastreada como Cadet Blizzard y Ember Bear .
DarkCloud Stealer apunta a las organizaciones financieras — Las empresas financieras son el objetivo de una campaña de malware que distribuye DarkCloud Stealer desde agosto de 2025 a través de correos electrónicos de suplantación de identidad con archivos RAR maliciosos. «Las muestras observadas se programaron para atacar a usuarios de Windows y para robar las credenciales de inicio de sesión de los clientes de correo electrónico y FTP y los datos de los navegadores», dijo CyberProof dijo . «También se ve a los operadores de DarkCloud utilizando el cargador DarkCloud integrado en un archivo JPG, que se descarga con PowerShell en la cadena de ataque». El archivo contiene un archivo VBE que, cuando se ejecuta, descarga la imagen JPG, que luego se descomprime para abrir la DLL .NET de DarkCloud loader.
La reutilización del espacio de nombres modelo apunta a las cadenas de suministro de IA — Los investigadores de ciberseguridad demostraron una técnica llamada Model Namespace Reuse que aprovecha una falla fundamental en la cadena de suministro de la IA para obtener la ejecución remota de código (RCE) y capacidades adicionales en las principales plataformas, como Azure AI Foundry de Microsoft, Vertex AI de Google y Hugging Face. «La reutilización del espacio de nombres modelo se produce cuando los catálogos de modelos del proveedor de la nube o el código recuperan un modelo eliminado o transferido por su nombre», unidad 42 de Palo Alto Networks dijo . «Al volver a registrar un espacio de nombres abandonado y recrear su ruta original, los actores malintencionados pueden atacar las canalizaciones que implementan modelos basados únicamente en su nombre. Esto podría permitir a los atacantes implementar modelos maliciosos y obtener capacidades de ejecución de código, entre otras consecuencias». Una consecuencia grave de esta amenaza es que los desarrolladores que confían en los catálogos de modelos fiables de los principales servicios de inteligencia artificial en la nube podrían, sin saberlo, implementar modelos maliciosos alojados originalmente en Hugging Face sin tener que interactuar directamente con Hugging Face. Para mitigar los riesgos asociados con la reutilización del espacio de nombres modelo, se recomienda vincular el modelo utilizado a una confirmación específica, clonar el modelo y almacenarlo en una ubicación de confianza y tratar las referencias a los modelos como cualquier otra dependencia sujeta a políticas y revisiones.

Se detalla la nueva PhaaS de VoidProxy — Se ha descubierto en estado salvaje un nuevo Phishing-as-a-Service (PhaaS) llamado VoidProxy que utiliza Adversary-in-the-Middle ( AITM ) técnicas para interceptar los flujos de autenticación en tiempo real, capturando credenciales, códigos de MFA y cualquier token de sesión establecido durante el evento de inicio de sesión. «VoidProxy es un servicio novedoso y altamente evasivo que utilizan los atacantes para atacar las cuentas de Microsoft y Google», dijo Okta dijo . «El servicio también es capaz de redirigir las cuentas protegidas por proveedores externos de inicio de sesión único (SSO), como Okta, a páginas de suplantación de identidad de segunda fase». Las campañas que se basan en el kit de suplantación de identidad han aprovechado cuentas comprometidas de proveedores de servicios de correo electrónico (ESP) legítimos, como Constant Contact, Active Campaign (Postmarkapp) y NotifyVisitors, para eludir los filtros de spam y enviar mensajes de correo electrónico que engañan a los usuarios para que proporcionen sus credenciales haciendo clic en enlaces que se acortan con abreviadores de URL como TinyURL. Antes de que se cargue cualquiera de los sitios de destino de suplantación de identidad, se presenta al usuario un desafío Captcha de Cloudflare para determinar si la solicitud proviene de un usuario interactivo o de un bot. Los sitios maliciosos se alojan en dominios desechables de bajo coste en .icu, .sbs, .cfd, .xyz, .top y .home, que están protegidos por Cloudflare para ocultar sus direcciones IP reales.
SideWinder ataca Nepal con malware para Android — El actor avanzado de amenazas persistentes SideWinder capitalizado sobre las recientes protestas de la generación Z en Nepal para estafar a entidades gubernamentales e infectarlas con malware para Android y Windows disfrazado de servicios de emergencia legítimos. El malware, diseñado para robar datos confidenciales, se distribuye a través de sitios web de suplantación de identidad que simulan el acceso al Servicio de Emergencia nepalí o a través de una línea telefónica de ayuda de emergencia. En un desarrollo relacionado, el actor de amenazas conocido como Rattlesnake (también conocido como APT-C-24) ha sido observado usar archivos de acceso directo de Windows (LNK) como cargas útiles para ejecutar scripts maliciosos en URL remotas. «Estas secuencias de comandos son complejas y de varios niveles y, con el tiempo, cargan en la memoria los componentes del ataque de ejecución para lograr el control remoto del host objetivo». Otra campaña, atribuida a Patchwork, tiene apalancada El spear-phishing incita a distribuir Quasar RAT, Asyncrat y el mítico marco posterior a la explotación en ataques dirigidos a Pakistán.
La falla del complemento de WordPress está siendo atacada activamente — Los actores de amenazas están explotando una vulnerabilidad (CVE-2025-5821, puntuación CVSS: 9,8) en Case Theme User, un complemento de WordPress que incluye varios temas comerciales de WordPress. «Esta vulnerabilidad permite a un atacante no autenticado acceder a cualquier cuenta de un sitio, incluidas las cuentas utilizadas para administrar el sitio, si el atacante conoce o puede encontrar la dirección de correo electrónico asociada», Wordfence dijo . El complemento está instalado en más de 12 000 sitios web. El 13 de agosto de 2025 se publicó un parche para la falla, y la actividad de explotación comenzó el 22 de agosto.
Google lanza CSE para hojas de cálculo — Google tiene puesto a disposición una herramienta de conversión para convertir archivos descifrados de Google Sheets cifrados con cifrado del lado del cliente en un archivo de Microsoft Excel. Actualmente, el cifrado del lado del cliente es disponible en Google Drive, Docs, Gmail, Calendar y Meet.
El Ministerio de Defensa de Israel ordena la incautación de carteras criptográficas del IRGC — Ministerio de Defensa de Israel anunciado que estaba ordenando la incautación de 187 carteras de criptomonedas que supuestamente pertenecen al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, alegando que se «utilizan para la perpetración de un grave crimen terrorista». Estas direcciones han recibido en conjunto 1.500 millones de dólares en la stablecoin USDT de Tether, aunque por el momento no se sabe si todas las transacciones están directamente vinculadas al IRGC, según la empresa de análisis de cadenas de bloques Elliptic dijo que «algunas de las direcciones pueden estar controladas por servicios de criptomonedas y podrían ser parte de la infraestructura de billetera utilizada para facilitar las transacciones de muchos clientes».
Europol añade a un profesor universitario español a la lista de los más buscados — Europol colocado Enrique Arias Gil (también conocido como Desinformador Ruso), de 37 años, exprofesor universitario español, figura en su lista de los más buscados por acusaciones de ayudar al grupo de hackers prorruso Sin nombre 057 (16) , según la Policía Nacional de España. En un mensaje en su canal de Telegram, Arias Gil exigió esa policía española suelta el estuche en un plazo de 10 horas o corren el riesgo de que se divulgue a altos funcionarios el presunto complot. Noname057 (16) calificó la medida como una cacería de brujas.
Op CopyCopy, partidario del Kremlin, crea nuevos sitios — La operación de influencia encubierta rusa conocida como Copiar , o Storm-1516, ha estado vinculada a una nueva infraestructura desde marzo de 2025. Esto incluye «200 nuevos sitios web de medios ficticios dirigidos a Estados Unidos, Francia y Canadá, además de sitios web que se hacen pasar por marcas de medios y partidos y movimientos políticos en Francia, Canadá y Armenia». También se dice que la red ha establecido una red regionalizada de sitios web que se hacen pasar por una organización ficticia de verificación de datos que publica contenido en turco, ucraniano y swahili, según Recorded Future. En total, el grupo ha creado más de 300 sitios web desde principios de año. Es probable que John Mark Dougan gestione estos sitios web con el apoyo del Centro de Peritaje Geopolítico (CGE), con sede en Moscú, y de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). «Los principales objetivos de influencia de CopyCop siguen erosionando el apoyo público a Ucrania y socavando los procesos democráticos y los líderes políticos de los países occidentales que apoyan a Ucrania», afirma la empresa dijo .
El hackeo de Wi-Fi de Pixie Dust de hace una década todavía afecta a muchos dispositivos — Muchos modelos de enrutadores actuales siguen siendo susceptibles a un ataque Wi-Fi de hace 10 años llamado Polvo de duendecillos , que se dio a conocer por primera vez en 2014. El ataque permite a los atacantes recuperar el PIN de configuración protegida de Wi-Fi (WPS) de un router y acceder a su red Wi-Fi aprovechando las debilidades del mecanismo de generación de claves del protocolo WPS. Según un estudio de NetRise, se ha descubierto que 24 dispositivos, incluidos enrutadores, extensores de alcance, puntos de acceso y productos híbridos de Wi-Fi/Powerline, de seis proveedores, son vulnerables al exploit. «En el momento de escribir este artículo, 13 dispositivos siguen siendo compatibles de forma activa, pero sin parches», afirma la empresa. «Otros siete llegaron al final de su vida útil sin recibir ninguna solución».
TikTok derriba una operación de influencia de Tailandia — TikTok dijo que desmanteló varias redes de operaciones de influencia en julio de 2025 que tenían como objetivo el discurso político en Tailandia, Ucrania, Azerbaiyán e Israel y Palestina, así como la guerra entre Rusia y Ucrania. La red más grande, con 398 cuentas, operaba desde Tailandia y estaba dirigida a audiencias de habla china. «Las personas detrás de esta red crearon cuentas falsas para amplificar las narrativas sobre el dominio chino y las ineficiencias occidentales», dijo TikTok dijo . «Se descubrió que la red utilizaba contenido generado por IA, que a menudo incorporaba varios personajes de animales, como comentario sobre acontecimientos mundiales».
GitHub anuncia la compatibilidad con el intercambio de claves SSH posterior a Quantum — GitHub anunció que añadirá un nuevo algoritmo de intercambio de claves SSH seguro poscuántico, conocido alternativamente como sntrup761x25519-sha512 y sntrup761x25519-sha512@openssh.com, a sus puntos finales SSH para acceder a los datos de Git. Esto forma parte de los esfuerzos para contrarrestar la amenaza de futuros ataques de descifrado una vez que los ordenadores cuánticos estén ampliamente disponibles. «Esto solo afecta al acceso SSH y no afecta en absoluto al acceso HTTPS», dijo GitHub dijo . «Tampoco afecta a GitHub Enterprise Cloud, con datos que residen en la región de los Estados Unidos». El nuevo algoritmo se habilitó el 17 de septiembre de 2025 para GitHub.com y GitHub Enterprise Cloud con residencia de datos. También se espera que se incluya en GitHub Enterprise Server 3.19.
Consumer Reports insta a Microsoft a extender la fecha límite de octubre de 2025 — Consumer Reports convocado Microsoft ampliará la fecha límite del 14 de octubre de 2025 que interrumpirá las actualizaciones de seguridad gratuitas para las computadoras con Windows 10, afirmando que la medida «corre el riesgo de dañar al consumidor y de apropiarse de la máquina para perpetuar los ataques contra otras entidades, poniendo en riesgo la seguridad nacional». En agosto de 2025, alrededor del 46,2 por ciento de las personas de todo el mundo seguían usando Windows 10.
China anuncia requisitos de violación de datos más estrictos — El gobierno chino lo hará requerir operadores de infraestructuras críticas para informe brechas de seguridad dentro de una hora de su detección. La nueva fecha límite exige que todos los incidentes graves se notifiquen a las autoridades pertinentes en un plazo de 60 minutos o, en el caso de eventos «particularmente importantes», en 30 minutos. Las empresas que no denuncien estos incidentes corren el riesgo de ser sancionadas. Las nuevas normas de notificación entrarán en vigor a partir del 1 de noviembre de 2025, según la Administración del Ciberespacio de China (CAC). «Si el operador de la red informa tardíamente, omite, informa falsamente u oculta incidentes de seguridad de la red que causan graves consecuencias perjudiciales, el operador de la red y las personas responsables pertinentes serán sancionados con mayor severidad de conformidad con la ley», advirtió Beijing.
¿Posibles vínculos entre Belsen Group y ZeroSeven Group? — La empresa de ciberseguridad KELA sugirió una posible conexión entre el Grupo Belsen y ZeroSevenGroup, dos entidades ciberdelictivas vinculadas a Yemen que surgieron en enero de 2025 y julio de 2024, respectivamente. Ambos grupos son conocidos por filtrar y monetizar datos robados, así como por compartir similitudes en el estilo de escritura y el formato de las publicaciones. «Si bien estas superposiciones no son concluyentes, sugieren una posible conexión», dijo .
SmokeLoader regresa con nuevos cambios — SmokeLoader, que se interrumpió como parte de Operation Endgame en mayo de 2024, resurgió con una nueva versión en julio de 2025 con un protocolo de red modificado que rompe la compatibilidad con las versiones anteriores. Zscaler ThreatLabz está rastreando la nueva variante como versión 2025. También se detectó a principios de febrero una variante denominada versión 2025 alpha que incluía correcciones de errores que causaban una degradación del rendimiento. «SmokeLoader consta de dos componentes principales: un stager y un módulo principal», Zscaler dijo . «El stager tiene dos propósitos principales: dificultar el análisis, detectar entornos virtuales (y terminar si los hay) e inyectar el módulo principal de SmokeLoader en explorer.exe. El módulo principal ejecuta la mayor parte de las funciones maliciosas, como establecer la persistencia, enviar señales al servidor C2 y ejecutar tareas y complementos». La función principal del cargador es descargar y ejecutar el malware de segunda fase. También puede usar complementos opcionales para realizar tareas como robar datos, lanzar ataques de denegación de servicio distribuidos y extraer criptomonedas.
Los vendedores de spyware de la UE se embolsan subsidios para empresas emergentes — Un nuevo informe de Follow The Money descubrió casos de empresas de espionaje y vigilancia que utilizaban subvenciones a empresas emergentes de la UE para crear herramientas de hackeo que luego se utilizaban contra ciudadanos de la UE. «Entre los beneficiarios figuran algunas grandes empresas del mercado, como Intellexa Alliance, Cy4Gate, Verint Systems y Cognyte, además de pequeñas empresas europeas», señala el informe dijo .
PyPI invalida los tokens robados en el ataque de GhostAction — Los mantenedores del índice de paquetes de Python (PyPI) dijo invalidaron todos los tokens PyPI robados de los repositorios de GitHub mediante una acción maliciosa el 5 de septiembre en un ataque a la cadena de suministro conocido como Acción fantasma . No se abusó de ninguno de los tokens para subir malware al registro, y se ha notificado a los responsables del proyecto afectados. Se recomienda a los usuarios que confían en GitHub Actions para publicar en PyPI que sustituyan los tokens de larga duración por otros de editores de confianza y que revisen el historial de la cuenta para detectar cualquier actividad sospechosa.
El MI6 del Reino Unido lanza Silent Courier — El servicio de inteligencia exterior del Reino Unido, el MI6, lanzado Mensajero silencioso , un portal en línea («mi6govukbfxe5pzxqw3otzd2t4nhi7v6x4dljwba3jmsczozcolx2vqd.onion») alojado en la web oscura diseñado para permitir a los posibles espías de Rusia y otros lugares comunicarse con la inteligencia del Reino Unido. La idea es reclutar espías «en cualquier parte del mundo con acceso a información confidencial relacionada con el terrorismo o actividades de inteligencia hostiles».
Detectados nuevos ladrones de información — Cyble, CYFIRMA y Point Wild compartieron detalles sobre tres nuevas familias de ladrones de información llamadas Maranhão Stealer , Robador de Xillen , y Cuervo , respectivamente.
Detectadas cepas de ransomware nuevas y emergentes — Algunas de las incipientes operaciones de ransomware que se han documentado en las últimas semanas incluyen Cerradura negra , Nevas negras , BLOQUEO , Cripto24 , CyberVolk , EXTENDER , PATADA DE GAGA , Caballero , Bote , Matar a Sec , Lock Beast , NEZHA , Obscura , y Yurei . En particular, se ha observado que el grupo de ransomware Crypto24 utiliza una versión personalizada del código abierto EDR cegadora real herramienta para deshabilitar el software de seguridad que se ejecuta en los hosts infectados antes de implementar el casillero. «La versión personalizada del agente de amenazas emplea la evasión avanzada, probablemente mediante controladores vulnerables desconocidos, lo que demuestra una profunda experiencia técnica y un continuo perfeccionamiento de las herramientas», afirma Trend Micro. «La capacidad del grupo para mantener la persistencia antes del cifrado refleja una paciencia y una planificación estratégica poco comunes en el ransomware convencional».

🎥 Seminarios web sobre ciberseguridad

Flujos de trabajo humanos con IA: su plan simple para una automatización segura : La IA puede acelerar tu trabajo, pero solo si la usas con prudencia. En este seminario web, Thomas Kinsella, cofundador y director de atención al cliente de Tines, mostrará cómo los mejores equipos combinan las habilidades humanas, los pasos basados en reglas y las herramientas de inteligencia artificial para crear flujos de trabajo claros, seguros y fáciles de auditar. Sabrás dónde encaja mejor la IA y cómo evitar las trampas habituales del exceso de ingeniería.
Elimine las costosas infracciones: un plan práctico para una mayor seguridad de las contraseñas : Las contraseñas siguen siendo la forma más fácil de acceder para los atacantes y el mayor quebradero de cabeza para los equipos de TI. Este Halloween, únase a The Hacker News y Specops Software para descubrir historias reales sobre violaciones de contraseñas, comprobar por qué fallan las antiguas reglas de contraseñas y ver una demostración en directo de las herramientas que bloquean las credenciales robadas en tiempo real. Se marchará con un plan claro y sencillo para proteger a su empresa, cumplir con los requisitos de cumplimiento y acabar con los problemas de contraseñas de una vez por todas, sin complicar la vida de los usuarios.
Vea todos los riesgos, desde el código hasta la nube, antes de que los piratas informáticos detecten la brecha : Las aplicaciones modernas se mueven rápidamente (desde los cambios de código hasta la implementación en la nube), pero las brechas ocultas en la visibilidad dan a los atacantes margen para atacar. Únase a nosotros para ver cómo el mapeo del código a la nube une a los desarrolladores, DevOps y los equipos de seguridad en una visión clara del riesgo. Aprenderá a detectar las vulnerabilidades, los secretos y los errores de configuración de forma temprana, a relacionarlos con la exposición real en tiempo de ejecución y a reducir el ruido para que los equipos puedan solucionar los problemas con mayor rapidez y confianza.
Sella cada brecha: pasos prácticos para bloquear los paquetes y contenedores de Python : Los proyectos de Python se enfrentan a mayores riesgos de seguridad que nunca en 2025: los paquetes maliciosos, los secuestros de repositorios y las imágenes base vulnerables pueden abrir la puerta a los atacantes. Únase a nosotros para aprender formas sencillas y comprobadas de proteger su cadena de suministro de Python. Mostraremos ejemplos reales de ataques recientes, haremos demostraciones de las herramientas de escaneo y firma más recientes y compartiremos las medidas que puede tomar ahora para proteger su código, contenedores y dependencias con confianza.

🔧 Herramientas de ciberseguridad

Escáner de malware NPM : Es una herramienta de línea de comandos que le ayuda a detectar paquetes npm peligrosos o sospechosos antes de que lleguen a la producción. Analiza los repositorios o proyectos locales de GitHub, comprueba todos los archivos package.json y marca el malware conocido o las dependencias peligrosas mediante una base de datos integrada. Diseñado para ofrecer resultados rápidos y claros, ofrece a los desarrolladores y a los equipos de seguridad una forma sencilla de proteger sus proyectos de JavaScript sin necesidad de realizar ninguna configuración adicional.
Capa VM Dragons : Es un marco de investigación creado para descubrir y analizar binarios protegidos por la ofuscación basada en máquinas virtuales. Combina técnicas como el seguimiento dinámico de las manchas, la ejecución simbólica, la coincidencia de patrones y el aprendizaje automático para acelerar la ingeniería inversa, que normalmente lleva semanas o meses. Con integraciones para herramientas como Ghidra, IDA Pro y Binary Ninja, ayuda a los investigadores a detectar los protectores basados en máquinas virtuales y a comprender entornos de malware complejos y personalizados mediante análisis estructurados y automatizados.

Descargo de responsabilidad: Las herramientas que se muestran aquí se proporcionan estrictamente con fines educativos y de investigación. No se han sometido a auditorías de seguridad completas y su comportamiento puede presentar riesgos si se utilizan de forma indebida. Antes de experimentar, revise cuidadosamente el código fuente, pruébelo solo en entornos controlados y aplique las medidas de seguridad adecuadas. Asegúrese siempre de que su uso se ajusta a las directrices éticas, los requisitos legales y las políticas de la organización.

🔒 Consejo de la semana

Atrapa torres de telefonía móvil falsas antes de que te atrapen a ti — Los simuladores de sitios celulares, también conocidos como receptores IMSI o «rayas», imitan las torres de telefonía móvil reales para interceptar llamadas o rastrear dispositivos. Aparecen en más lugares y pueden recoger datos de teléfonos cercanos de forma silenciosa.

Utilice herramientas de detección de código abierto para supervisar su entorno. Cazador de rayos , creado por la Electronic Frontier Foundation, funciona en puntos de acceso móviles económicos y controla el tráfico entre el dispositivo y la red móvil. Detecta las conductas sospechosas, como la reducción forzosa de la red 2G o los identificadores de torres falsos, sin entrometerse en tus datos personales.

Otras opciones para explorar:

SnoopSnitch (Android): utiliza el diagnóstico de radio del teléfono para advertir sobre torres falsas.
Cell Spy Catcher: detecta los receptores IMSI al monitorear cambios inusuales en la red.
Aplicaciones de Stingray Detector y proyectos de SDR: para usuarios avanzados con radios definidas por software.

Victoria rápida: Configure una de estas herramientas durante eventos, protestas o cuando viaje a áreas de alto riesgo. Aunque no seas un experto en seguridad, estas herramientas te avisan con antelación y de forma visible cuando alguien intenta espiar el tráfico móvil.

Movimiento profesional: Combine la supervisión de redes móviles con una base sólida: utilice mensajes cifrados de extremo a extremo (como Signal) y mantenga actualizado el sistema operativo del teléfono. Esta defensa en capas hace que a los atacantes les resulte mucho más difícil recopilar datos útiles, incluso si están cerca.

Conclusión

El panorama de amenazas no se ralentizará, pero eso no significa que seas impotente. La toma de conciencia es una ventaja: le permite aplicar parches con mayor rapidez, cuestionar las suposiciones y detectar los puntos débiles antes de que se conviertan en incidentes. Ten en cuenta estas conclusiones, compártelas con tu equipo y convierte las lecciones de hoy en una ventaja para mañana.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS

Volver