Boletín del Día de las Amenazas: parche de root...

SonicWall ha publicado una actualización de firmware que, según afirma, ayudará a los clientes a eliminar el malware rootkit utilizado en los ataques dirigidos a los dispositivos de la serie SMA 100. «Se ha publicado la versión 10.2.2.2-92sv del SonicWall SMA 100 con funciones adicionales de comprobación de archivos, lo que permite eliminar el malware de rootkit conocido presente en los dispositivos SMA», afirma la empresa dijo . «SonicWall recomienda encarecidamente a los usuarios de los productos de la serie SMA 100 (SMA 210, 410 y 500v) que actualicen a la versión 10.2.2.2-92sv». La actualización se produce después de que Google informara de que encontrado un actor de amenazas rastreado mientras se desplegaba la UNC6148 SOBREPASAR malware en los dispositivos SonicWall SMA 100 al final de su vida útil (EoL). SonicWall también tiene divulgado que acelera la fecha de finalización del soporte (eOS) para todos los dispositivos SMA 100 hasta el 31 de octubre de 2025, citando «las importantes vulnerabilidades que presentan los dispositivos VPN antiguos».

Se ha descubierto una vulnerabilidad de elusión de permisos (CVE-2025-10184, puntuación CVSS: 8.2) en varias versiones de OnePlus OxygenOS instaladas en sus dispositivos Android. La deficiencia tiene que ver con el hecho de que los proveedores de contenido interno confidencial son accesibles sin permiso y son vulnerables a la inyección de SQL. «Cuando se aprovecha, la vulnerabilidad permite que cualquier aplicación instalada en el dispositivo lea los datos y metadatos de SMS/MMS del sistema Proveedor de telefonía (el paquete com.android.providers.telephony) sin permiso, interacción del usuario ni consentimiento», Rapid7 dijo . «Tampoco se notifica al usuario que se está accediendo a los datos de SMS». La explotación satisfactoria de la falla podría llevar al robo de información confidencial, como los códigos de autenticación multifactor (MFA) enviados como mensajes SMS. El problema parece haberse introducido como parte de OxygenOS 12, lanzado en 2021. La vulnerabilidad permanece sin parches al momento de escribir este artículo, pero OnePlus ha reconocido que está investigando el problema.

Únase a esta sesión para descubrir por qué la visibilidad del código a la nube se está convirtiendo rápidamente en la piedra angular de la gestión moderna de la postura de seguridad de las aplicaciones (ASPM). Verá cómo mapear los riesgos desde el lugar donde se originan en el código hasta el lugar en el que aparecen en la nube une a los equipos de desarrollo, DevOps y seguridad , lo que permite una priorización más nítida, ciclos de retroalimentación más estrictos y una solución más rápida, antes de que los atacantes puedan aprovechar el eslabón débil.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado un completo aviso de ciberseguridad que detalla cómo los actores de amenazas comprometieron con éxito la red de una agencia del poder ejecutivo civil federal de los EE. UU. el 11 de julio de 2024, al explotar CVE-2024-36401 , una vulnerabilidad crítica de ejecución remota de código en GeoServer. «Durante el período de tres semanas, los actores de la ciberamenaza obtuvieron un acceso inicial independiente a un segundo GeoServer a través de la misma vulnerabilidad y lo trasladaron lateralmente a otros dos servidores», señala la agencia dijo . Una vez comprometidos, los atacantes cargaron (o intentaron subir) web shells, como China Chopper, junto con scripts diseñados para el acceso remoto, la persistencia, la ejecución de comandos y el escalamiento de privilegios. Los responsables de las ciberamenazas también utilizaron técnicas de «vivir de la tierra» (LoTL) para descubrir usuarios, servicios, sistemas de archivos y redes, y confiaron en herramientas como fscan, dirtycow y Anillo Q para el reconocimiento de redes, la escalada de privilegios y la evasión de la defensa, respectivamente.

La semana pasada, tres miembros del famoso grupo de ciberdelincuencia Scattered Spider fueron arrestados. Los arrestos se produjeron poco después de que la tripulación anunciara el cierre de sus operaciones. El grupo, compuesto principalmente por adolescentes de habla inglesa, es conocido por llevar a cabo ataques informáticos utilizando tácticas avanzadas de ingeniería social para entrar en contacto con empresas de alto perfil, robar datos y extorsionarlas. A principios de este año, Noah Urban, un joven de 20 años vinculado al famoso grupo, se declaró culpable a sus cargos de ciberdelito y accedió a pagar millones en concepto de indemnización. En un informe publicado la semana pasada, Bloomberg revelada su papel fundamental como persona que llama, convencer a las personas para que, sin saberlo, les den acceso a sistemas informáticos sensibles mediante la instalación de herramientas de acceso remoto. También dijo que había encontrado un grupo de intercambio de tarjetas SIM a través de Minecraft, cuyo líder le pagaba 50 dólares cada vez que una llamada resultaba en un robo de criptomonedas. Urban también dijo que uno de los colaboradores, Daniel Junk, descubrió una manera de acceder al portal de servicio al cliente de T-Mobile registrando su computadora personal en la red corporativa y usando un software de acceso remoto para acceder a la herramienta de activación de tarjetas SIM de la compañía. Se dice que Junk pagó a Urban para que llamara a las tiendas T-Mobile y engañara al personal para que le entregara sus datos de acceso, afirmando que pertenecía a la dirección de seguridad interna. Pronto, Urban pasó a emplear a sus propias personas para intercambiar tarjetas SIM y utilizó páginas de inicio de sesión falsas de Okta disfrazadas de engañar a un empleado de Twilio para enviar sus credenciales. Pero cuando esa cuenta no tenía los datos que quería, inició sesión en la cuenta de Slack del empleado y envió un mensaje a un empleado sénior que había identificado en LinkedIn, pidiéndole que le enviara datos de clientes de 209 empresas con fines de auditoría. Posteriormente, la información se utilizó para hackear más empresas. En diciembre de 2022, el grupo también robó la información personal de 5,7 millones de clientes de Gemini Trust y la puso a la venta. Este grupo de actividades pasó a conocerse como 0 kg por . Con el tiempo, el grupo amenazador se uniría a otras entidades como LAPSUS$ y Scattered Spider para entrar en Crypto.com y aprovechar un sistema de United Parcel Service Inc., para recopilar los datos personales de las posibles víctimas. Las autoridades estadounidenses allanaron la casa de Urban en marzo de 2023, y fue finalmente arrestado en enero de 2024. El mes pasado, estaba sentenciado a diez años de prisión. «No digo que lo que hice fuera algo bueno, es una comunidad horrible y lo que hice fue malo», dijo a Bloomberg. «Pero me encantaba mi vida. Me gusta lo que soy. Me alegro de haber podido vivir la vida como la viví».

Los actores de amenazas utilizan archivos SVG con trampas explosivas en una campaña de suplantación de identidad por correo electrónico dirigida a usuarios de Colombia, México y Perú como vector de entrega para distribuir sigilosamente malware como AsyncRat mediante un archivo ZIP protegido por contraseña. Los archivos SVG de gran tamaño contienen el «paquete completo», lo que elimina la necesidad de establecer conexiones externas a un servidor remoto para enviar comandos a los dispositivos comprometidos o descargar cargas maliciosas adicionales. «Los atacantes también parecen confiar, al menos en parte, en las herramientas de inteligencia artificial (IA) que les ayudan a generar archivos personalizados para cada objetivo», afirma ESET dijo . «La capacidad de los señuelos SVG para incluir guiones, enlaces incrustados y elementos interactivos hace que sean aptos para el uso indebido, al tiempo que aumenta las probabilidades de que algunas herramientas de seguridad tradicionales no los detecten».

Una vulnerabilidad de hace una década puede abrir la puerta a la suplantación de URL al aprovechar la forma en que los navegadores gestionan los scripts de derecha a izquierda (RTL) y de izquierda a derecha (LTR), lo que permite a los atacantes crear URL que parezcan fiables pero que, en realidad, conduzcan a un destino diferente. El nombre clave del ataque es Intercambio de BiDi de Varonis. Mientras ataques homógrafos de punycode y Exploits de anulación de RTL (RLO) tener hace mucho tiempo abusado para engañar a los usuarios y navegadores para que muestren texto o URL engañosos, BiDi El intercambio implica crear dominios que tengan un subdominio LTR con algunos parámetros RTL para falsificar sitios legítimos.

La CISA ha publicado un aviso sobre la reciente compromiso generalizado de la cadena de suministro apuntando al ecosistema npm que implicaba el uso de un gusano autorreplicante llamado Shai-Hulud para robar credenciales y propagar el malware a otros paquetes. El malware «aprovechó un proceso automatizado para propagarse rápidamente: se autenticó en el registro de npm como el desarrollador comprometido, inyectó código en otros paquetes y publicó las versiones comprometidas en el registro», según CISA dijo . La agencia insta a las organizaciones a revisar las dependencias, fijar las versiones dependientes de los paquetes npm a las versiones seguras conocidas, rotar todas las credenciales de los desarrolladores, exigir la autenticación multifactor (MFA) resistente a la suplantación de identidad en todas las cuentas de desarrolladores, supervisar el comportamiento anómalo de la red, reforzar la seguridad de GitHub eliminando las aplicaciones de GitHub Apps y OAuth innecesarias y habilitando las reglas de protección de las sucursales. «El gusano Shai-Hulud representa una escalada significativa en la serie actual de ataques de NPM dirigidos a la comunidad de código abierto», dijo la unidad 42 de Palo Alto Networks dijo . «Su diseño autorreplicante es particularmente notable, ya que combina eficazmente la recolección de credenciales con un mecanismo de difusión automatizado que aprovecha los derechos de publicación existentes de los mantenedores para proliferar en todo el ecosistema».

Un juego de plataformas en 2D llamado BlockBlasters ha empezado a mostrar señales de actividad maliciosa tras el lanzamiento de un parche el 30 de agosto de 2025, que captura de forma silenciosa la información del sistema, una lista de los productos de seguridad instalados y las extensiones de navegador de monederos de criptomonedas, y elimina el ladrón de información StealC mientras el usuario juega. Este parche afecta a cientos de jugadores que actualmente tienen el juego instalado en sus sistemas, G DATA dijo . Desde entonces, el juego ha sido retirado de Steam.

Se ha observado que los actores de amenazas explotan un servidor de bases de datos Oracle DBS expuesto para ejecutar comandos de forma remota y crear un túnel cifrado con un servidor de comando y control (C2) para, en última instancia, implementar Elons, una variante probable de Proxima/ Sombra negra ransomware que apareció a principios de 2024. Se sospecha que los atacantes utilizaron un túnel cifrado con un servidor C2 para la comunicación en red, Yarix dijo .

Los instaladores de ScreenConnect troyanizados son siendo usado para distribuir AsyncRAT y un PowerShell RAT personalizado como parte de una campaña continua diseñada para facilitar el robo de datos y el acceso a largo plazo. Un análisis de las distintas direcciones IP asociadas a la actividad de Asyncrat ha revelado que se trata de una «infraestructura malintencionada asíncrata resiliente y evasiva que se mantiene para operaciones a largo plazo y no para ataques oportunistas», dijo Hunt.io dijo .

Un hombre de unos cuarenta años de West Sussex ha sido arrestado en relación con un ciberataque que interrumpió las operaciones diarias en varios aeropuertos europeos, incluido Heathrow. La Agencia Nacional contra el Crimen (NCA) del Reino Unido dijo que había sido puesto en libertad bajo fianza condicional. «Si bien este arresto es un paso positivo, la investigación sobre este incidente se encuentra en sus primeras etapas y sigue en curso», dijo el subdirector Paul Foster, jefe de la Unidad Nacional de Ciberdelincuencia de la NCA, dijo . La agencia no nombró al sospechoso ni dijo si actuó solo o como parte de un grupo cibercriminal más amplio. El incidente provocó cientos de retrasos en los vuelos después de que fallara el software de facturación y equipaje de Collins Aerospace utilizado por varias aerolíneas. RTX Corporation, propietaria de Collins Aerospace, dijo se había desplegado un ransomware en el ataque. Aunque la empresa no compartió ningún otro detalle sobre el incidente, el investigador de ciberseguridad Kevin Beaumont dijo los atacantes usaron una variante de ransomware «increíblemente básica» llamada Hard Bit .

Los mantenedores del índice de paquetes de Python (PyPI) tienen prevenido de ataques de suplantación de identidad continuos que utilizan correos electrónicos que confunden dominios y parecen legítimos para engañar a los titulares de cuentas para que se deshagan de sus credenciales engañándolos para que hagan clic en enlaces falsos («pypi-mirror.org») con el pretexto de verificar su dirección de correo electrónico para «procedimientos de mantenimiento y seguridad de la cuenta» o corren el riesgo de que se suspendan sus cuentas. Se recomienda a los responsables del mantenimiento de los paquetes que cambien sus contraseñas con efecto inmediato si ya han hecho clic en el enlace y han proporcionado su información de inicio de sesión. También se recomienda comprobar el historial de seguridad de la cuenta para detectar cualquier actividad sospechosa.

Las autoridades encargadas de hacer cumplir la ley en francés tienen cerrar un mercado web oscuro que atiende a usuarios francófonos. El Antisistema del Francés Oscuro, o DFAS, se creó en 2017 y tenía más de 12 000 usuarios registrados, y se ha convertido en un importante centro de tráfico de drogas, armas, herramientas de hackeo, planes de blanqueo de dinero y otros servicios delictivos. Las autoridades tomaron el control de los servidores y detuvieron a dos sospechosos, uno de ellos supuestamente el administrador principal del sitio y un cómplice que ayudó a probar sus servicios.

Una operación coordinada por INTERPOL que abarcó 40 países y territorios permitió recuperar 342 millones de dólares en monedas respaldadas por los gobiernos, junto con 97 millones de dólares en activos físicos y virtuales. La operación, denominada HAECHI-VI, se llevó a cabo entre abril y agosto de 2025 y se centró en siete tipos de delitos financieros relacionados con la ciberdelincuencia: la suplantación de identidad por voz, las estafas románticas, la sextorsión en línea, el fraude de inversiones, el blanqueo de dinero relacionado con los juegos de azar ilegales en línea, el compromiso con el correo electrónico empresarial y el fraude en el comercio electrónico. Como parte de la esfuerzo continuo , las autoridades bloquearon más de 68 000 cuentas bancarias asociadas, congelaron cerca de 400 carteras de criptomonedas y recuperaron alrededor de 16 millones de dólares en presuntas ganancias ilícitas de carteras de criptomonedas. Además, las fuerzas del orden portuguesas desmantelaron un sindicato que desviaba fondos destinados a ayudar a familias vulnerables, lo que llevó a la detención de 45 sospechosos que accedieron ilegalmente a cuentas de la seguridad social y alteraron datos bancarios, lo que resultó en el robo de 270.000 dólares a 531 víctimas. Las autoridades tailandesas también incautaron 6,6 millones de dólares en activos robados en relación con una sofisticada estafa relacionada con el correo electrónico empresarial llevada a cabo por un grupo delictivo organizado transnacional compuesto por ciudadanos tailandeses y de África occidental. «La banda engañó a una importante empresa japonesa para que transfiriera fondos a un socio comercial ficticio con sede en Bangkok», la INTERPOL dijo .

La popular aplicación de redes sociales TikTok ha estado recopilando información confidencial de cientos de miles de canadienses menores de 13 años, según una investigación conjunta de las autoridades de privacidad. Sin embargo, «como resultado de las inadecuadas medidas de seguridad de edad adoptadas por TikTok, la empresa recopiló la información personal de un gran número de niños canadienses, incluida información que las oficinas consideran confidencial», según el informe dijo . La investigación también encontró que TikTok no explicó adecuadamente su recopilación y uso de información biométrica, como datos faciales y de voz, para el análisis de video, imagen y audio. Los comisionados de privacidad dijeron que TikTok acordó mejorar su verificación de edad y proporcionar avisos por adelantado sobre su amplia recopilación de datos. La empresa también acordó «dejar de permitir de manera efectiva» a los anunciantes dirigirse a usuarios menores de 18 años, excepto en función de categorías amplias, como el idioma y la ubicación aproximada.

Un nuevo informe de Apiiro ha descubierto que los equipos de desarrollo de software que utilizan asistentes de codificación impulsados por inteligencia artificial (IA) han introducido «más de 10 000 nuevos hallazgos de seguridad al mes en los repositorios», lo que representa un aumento de 10 veces desde diciembre de 2024. «Estas fallas abarcan todas las categorías de riesgo de las aplicaciones, desde las dependencias de código abierto hasta los patrones de codificación inseguros, los secretos expuestos y los errores de configuración de la nube», explica Apiiro dijo . «La IA no está multiplicando un tipo de vulnerabilidad, sino todas a la vez». El estudio también descubrió que, si bien los errores de sintaxis en el código escrito por IA disminuyeron un 76% y los errores lógicos disminuyeron más de un 60%, las rutas de escalamiento de privilegios aumentaron un 322% y los defectos de diseño arquitectónico aumentaron un 153%. Además, los desarrolladores asistidos por IA expusieron las claves de API y los principios de servicio relacionados con la nube con casi el doble de frecuencia que los desarrolladores que no utilizaban la IA.

En septiembre de 2024, Microsoft emitido los parches para una función de seguridad Mark-of-TheWeb (MoTW) de Windows eluden la vulnerabilidad rastreada como CVE-2024-38217. También se llama LNK Stomping , la falla aprovecha la forma en que se manejan los archivos de acceso directo de Windows (LNK) para eliminar la etiqueta MotW y eludir las protecciones de seguridad. Según Elastic, hay indicios de que el problema ya había sido explotado en febrero de 2018, mucho antes de que se documentara públicamente. «LNK Stomping es un ataque que manipula la ruta real del programa de ejecución de un archivo de acceso directo de Windows (.lnk) con una ruta de destino o estructura interna anormales», afirma la empresa surcoreana de ciberseguridad ASEC dijo . «A continuación, solicita a explorer.exe que elimine los metadatos del MotW durante el proceso de 'normalización (canonicalización) ', evitando así las comprobaciones de seguridad».

DomainTools reveló que los usuarios indonesios y vietnamitas de Android han sido blanco de troyanos bancarios disfrazados de aplicaciones legítimas de pago e identidad gubernamental desde agosto de 2024. «Los operadores muestran patrones de registro de dominios distintos y, a menudo, reutilizan los certificados TLS y agrupan los dominios para que se dirijan a las mismas direcciones IP, con un fuerte enfoque operativo durante las horas diurnas de Asia Oriental», explica la empresa dijo . Se sospecha que los atacantes utilizan sitios web falsificados que imitan a Google Play Store para engañar a los usuarios para que instalen archivos APK fraudulentos que arrojan un troyano bancario llamado BankBot , cuyo código fuente se filtró en foros en ruso en 2016. Se han identificado más de 100 dominios que se utilizan para la distribución de malware.

Un actor de amenazas respaldado por el estado y vinculado a Rusia tiene como objetivo el próximas elecciones moldavas de 2025 con una campaña de desinformación, creando sitios de noticias falsas para publicar artículos que amplifican las narrativas que intentan disuadir a Moldavia de seguir alineándose con la Unión Europea y muestran prejuicios contra los líderes actuales. La actividad, que dura varios años, se registra con el nombre Storm-1679 (también conocida como Matryoshka). Pulsador silencioso dijo identificó «huellas técnicas» que vinculaban las iniciativas con un sitio de noticias ruso llamado Absatz. También encontró puntos en común entre varios sitios web de desinformación, lo que sugería «la reutilización de la infraestructura y la propiedad común en toda esta campaña». Esto incluye el uso de dos direcciones IP, 95.181.226 [.] 135 y 91.218.228 [.] 51, que se han utilizado para alojar dominios en relación con una campaña de desinformación rusa que se remonta a 2022. «Al buscar la palabra rusa para Moldavia ('Mолдова') en Absatz (absatz [.] media/búsqueda), hay docenas de artículos claramente desinformativos», dijo Silent Push.

En una nueva investigación publicada por CrowdStrike, se descubrió que el motor chino de inteligencia artificial DeepSeek a menudo se niega a ayudar a los programadores o les da código de baja calidad o código que contiene importantes fallas de seguridad cuando dicen que trabajan para el movimiento espiritual prohibido Falun Gong u otros grupos considerados delicados por el gobierno chino. «Producir deliberadamente un código defectuoso puede ser menos notorio que insertar puertas traseras (medios secretos de acceso para usuarios no autorizados, incluidos los gobiernos) y, al mismo tiempo, producir el mismo resultado: hacer que los objetivos sean fáciles de hackear», The Washington Post reportó .