Boletín ThreatDay: herramientas de inteligencia...

Han surgido detalles sobre tres vulnerabilidades de seguridad ahora corregidas en la Interfaz de dispositivos gráficos (GDI) de Windows que podrían permitir la ejecución remota de código y la divulgación de información. Estos problemas: CVE-2025-30388 , CVE-2025-53766 , y CVE-2025-47984 — implican un acceso a la memoria fuera de los límites que se desencadena a través de registros de metarchivos mejorados (EMF) y EMF+ mal formados que pueden provocar daños en la memoria durante el procesamiento de la imagen. Tienen su origen en gdiplus.dll y gdi32full.dll, que procesan gráficos vectoriales, texto y operaciones de impresión. Microsoft los solucionó en las actualizaciones del martes de parches realizadas en mayo, julio y agosto de 2025 en las versiones 10.0.26100.3037 a 10.0.26100.4946 y gdi32full.dll 10.0.26100.4652 de gdiplus.dll. «Las vulnerabilidades de seguridad pueden persistir sin ser detectadas durante años y, a menudo, vuelven a aparecer debido a correcciones incompletas», explica Check Point dijo . «Una vulnerabilidad concreta de divulgación de información, a pesar de haber sido abordada formalmente con un parche de seguridad, permaneció activa durante años debido a que el problema original solo recibió una solución parcial. Este ejemplo pone de relieve un dilema básico para los investigadores: introducir una vulnerabilidad suele ser fácil, solucionarla puede resultar difícil, y comprobar que la solución es exhaustiva y eficaz es aún más difícil».

Tres ciudadanos chinos, Yan Peijian, de 39 años, Huang Qinzheng, de 37, y Liu Yuqi, de 33, fueron declarados culpables y condenados a poco más de dos años de prisión en Singapur por su participación en el hackeo de sitios web y empresas de juegos de azar extranjeros con el fin de hacer trampa durante el juego y robar bases de datos con información de identificación personal para comerciar. Las tres personas, que formaban parte de un grupo de cinco ciudadanos chinos y un singapurense, eran arrestado y acusado originalmente en septiembre de 2024. «El jefe del grupo del sindicato encargó a las tres personas acusadas que investigaran sitios de interés para detectar vulnerabilidades en los sistemas, realizar ataques de penetración y filtrar información personal de los sistemas comprometidos», dijo la Policía de Singapur dijo . «Investigaciones posteriores revelaron que el sindicato poseía datos de gobiernos extranjeros, incluidas comunicaciones confidenciales». También se descubrió que los tres acusados estaban en posesión de herramientas como PlugX y «cientos de troyanos de acceso remoto diferentes» para llevar a cabo ciberataques. Según Canal News Asia , los tres hombres ingresaron al país con permisos de trabajo falsos en 2022 y trabajaron para un ciudadano ni-Vanuatu de 38 años llamado Xu Liangbiao. Se les pagaron unos 3 millones de dólares por su trabajo. Se dice que Xu, el presunto líder, abandonó Singapur en agosto de 2023. Se desconoce su paradero actual.

Check Point ha demostrado una forma en la que ChatGPT puede usarse para analizar malware y cambiar la balanza cuando se trata de desarmar troyanos sofisticados como XLoader , que está diseñado de manera que su código solo se descifra en tiempo de ejecución y está protegido por varias capas de cifrado. En concreto, la investigación descubrió que el análisis estático basado en la nube con ChatGPT se puede combinar con el MCP para extraer las claves en tiempo de ejecución y validar la depuración en tiempo real. «El uso de la inteligencia artificial no elimina la necesidad de contar con experiencia humana», afirma Alexey Bukhteyev, investigador de seguridad dijo . «Las protecciones más sofisticadas de XLoader, como la lógica de derivación de claves dispersas y el cifrado de funciones de múltiples capas, aún requieren un análisis manual y ajustes específicos. Sin embargo, el pesado trabajo que suponen la clasificación, la deofuscación y la creación de scripts ahora se puede acelerar de forma espectacular. Lo que antes tomaba días ahora se puede comprimir en horas».

El malware conocido como Rondo Dox ha sido testigo de un Aumento del 650% en los vectores de explotación , pasando de la segmentación de DVR de nicho a la empresa. Esto incluye más de 15 nuevos vectores de explotación dirigidos a dispositivos LB-LINK, Oracle WebLogic Server, PHPUnit, D-Link, NETGEAR, Linksys, Tenda y TP-Link, así como una nueva infraestructura de comando y control (C2) para IP residenciales comprometidas. Una vez eliminado, el malware elimina la competencia eliminando el malware existente, como XMRig y otras botnets, deshabilitando SELinux y AppArmor y ejecutando la carga útil principal que es compatible con la arquitectura del sistema.

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) ha propuesto una enmienda a las regulaciones existentes que rigen el uso y la recopilación de información biométrica. La agencia ha establecido los requisitos para un «sistema sólido de recopilación, almacenamiento y uso de datos biométricos relacionados con la adjudicación de los beneficios de inmigración y otras solicitudes y el desempeño de otras funciones necesarias para administrar y hacer cumplir las leyes de inmigración y naturalización». Como parte del plan, cualquier persona que presente o esté asociada a una solicitud de beneficios u otra solicitud o recopilación de información, incluidos los ciudadanos estadounidenses, los ciudadanos estadounidenses y los residentes permanentes legales, debe presentar datos biométricos, independientemente de su edad, a menos que el DHS exima el requisito de otro modo. La agencia señaló que el uso de datos biométricos para la verificación y gestión de la identidad contribuirá a los esfuerzos del DHS por combatir la trata de personas, confirmar los resultados de las verificaciones biográficas de antecedentes penales y prevenir el fraude. El DHS es tomar comentarios sobre la propuesta hasta el 2 de enero de 2026.

Los investigadores de ciberseguridad han descubierto una nueva infraestructura de ataque a gran escala denominada TruffleNet que se basa en la herramienta de código abierto Trufflehog , que se utiliza para probar sistemáticamente las credenciales comprometidas y realizar reconocimientos en los entornos de Amazon Web Services (AWS). «En un incidente en el que se comprometieron varias credenciales, registramos la actividad de más de 800 servidores únicos en 57 redes de clase C distintas», explica Fortinet dijo . «Esta infraestructura se caracterizó por el uso de TruffleHog, una popular herramienta de análisis de secretos de código abierto, y por configuraciones consistentes, incluidos los puertos abiertos y la presencia de Portainer», una interfaz de usuario de administración de código abierto para Docker y Kubernetes que simplifica el despliegue y la organización de los contenedores. En estas actividades, los actores de amenazas hacen llamadas a las API getCallerIdentity y getSendQuota para comprobar si las credenciales son válidas y abusan del servicio simple de correo electrónico (SES). Si bien Fortinet no observó ninguna acción posterior, se ha determinado que los ataques se originaron en una infraestructura posiblemente escalonada, con algunos nodos dedicados al reconocimiento y otros reservados para las etapas posteriores del ataque. Además de la actividad de reconocimiento de TruffleNet, también se observa el uso indebido del SES para los ataques de correo electrónico empresarial (BEC). Actualmente no se sabe si están conectados directamente entre sí. El desarrollo viene como Fortinet revelada que los adversarios con motivaciones financieras se dirigen a una amplia gama de sectores, pero utilizan los mismos métodos de baja complejidad y alta rentabilidad, y suelen obtener el acceso inicial mediante credenciales comprometidas, servicios remotos externos como las VPN y la explotación de aplicaciones públicas. Estos ataques suelen caracterizarse por el uso de herramientas legítimas de acceso remoto con fines de persistencia secundaria y por aprovecharlas para la filtración de datos a su infraestructura.

PRODAFT tiene revelada que el actor de amenazas con motivaciones financieras conocido como ALETA 7 (también conocido como Savage Ladybug) ha implementado desde 2022 una «puerta trasera basada en SSH específica para Windows al empaquetar un conjunto de herramientas OpenSSH autónomo y un instalador llamado install.bat». La puerta trasera proporciona a los atacantes un acceso remoto persistente y una exfiltración fiable de archivos mediante un túnel SSH inverso y un SFTP salientes.

La empresa de infraestructura web Cloudflare dijo que la Comisión Electoral Central (CEC) de Moldavia sufrió importantes ciberataques en los días previos a las elecciones parlamentarias del país el 28 de septiembre. La CEC también fue testigo de una «serie de ataques concentrados y de gran volumen (DDoS) programados estratégicamente a lo largo del día» del día de las elecciones. Los ataques también se dirigieron a otros sitios web relacionados con las elecciones, la sociedad civil y las noticias. «Estos patrones de ataque reflejaban los dirigidos contra la autoridad electoral, lo que sugiere un esfuerzo coordinado para interrumpir tanto los procesos electorales oficiales como los canales de información pública en los que confían los votantes», agrega dijo , añadiendo que mitigó más de 898 millones de solicitudes maliciosas dirigidas al CEC durante un período de 12 horas entre las 09:06:00 UTC y las 21:34:00 UTC.

El actor de la amenaza rastreado como Lince silencioso Se ha observado que (también conocidos como Cavalry Werewolf, Comrade Saiga, ShadowSilk, SturgeonPhisher y Tomiris) atacan a entidades gubernamentales, misiones diplomáticas, empresas mineras y empresas de transporte. En una campaña, el adversario atacó a las organizaciones que participaban en la diplomacia entre Azerbaiyán y Rusia, utilizando señuelos de suplantación de identidad relacionados con Cumbre de la CEI celebrada en Dushanbe a mediados de octubre de 2025 para ofrecer el shell inverso Ligolo-ng de código abierto y un cargador llamado Silent Loader que se encarga de ejecutar un script de PowerShell para conectarse a un servidor remoto. También se ha instalado un implante de C++ denominado Laplas, que está diseñado para conectarse a un servidor externo y recibir comandos adicionales para su ejecución a través de «cmd.exe». Otra carga útil destacable es SilentSweeper, una puerta trasera de.NET que extrae y ejecuta un script de PowerShell que actúa como un shell inverso. La segunda campaña, por otro lado, tenía como objetivo Relaciones entre China y Asia Central para distribuir un archivo RAR que llevó al despliegue de SilentSweeper. La actividad tiene un nombre en clave Operación Peek-a-Baku de Seqrite Labs.

Organizaciones europeas presenció un aumento del 13% en el ransomware con respecto al año pasado, siendo las entidades del Reino Unido, Alemania, Italia, Francia y España las más afectadas. Un análisis de los sitios en los que se filtraron datos durante el período comprendido entre septiembre de 2024 y agosto de 2025 reveló que el número de víctimas europeas aumentó cada año hasta alcanzar las 1380. Los sectores más afectados fueron la fabricación, los servicios profesionales, la tecnología, la industria, la ingeniería y el comercio minorista. Desde enero de 2024, más de 2.100 víctimas de toda Europa han sido identificadas en sitios donde se filtran información mediante extorsión, y el 92% de ellas ha sido víctima del cifrado de archivos y el robo de datos. Akira (167), LockBit (162), RansomHub (141), INC, Lynx y Sinobi fueron los grupos de ransomware más exitosos durante ese período. CrowdStrike señaló que también está registrando un aumento en las ofertas de violencia como servicio en todo el continente, con el objetivo de conseguir grandes beneficios, incluido el robo físico de criptomonedas. Ciberdelincuentes relacionados con The Com, un colectivo muy unido de jóvenes hackers angloparlantes, y un grupo afiliado a Rusia llamado Renaissance Spider han coordinado ataques físicos, secuestros e incendios a través de redes basadas en Telegram. También se dice que Renaissance Spider, que ha estado activo desde octubre de 2017, envió por correo electrónico falsas amenazas de bomba a entidades europeas, probablemente con el objetivo de socavar el apoyo a Ucrania. Se han producido 17 ataques de este tipo desde enero de 2024, de los cuales 13 tuvieron lugar en Francia.

Los investigadores de ciberseguridad han descubierto aplicaciones que utilizan la marca de servicios establecidos como ChatGPT y DALL-E de OpenAI y WhatsApp. Si bien la falsa aplicación DALL-E para Android («com.openai.dalle3umagic») se utiliza para generar tráfico publicitario, la aplicación contenedora ChatGPT se conecta a las API legítimas de OpenAI y se identifica a sí misma como una «interfaz no oficial» para el chatbot de inteligencia artificial. La suplantación de identidad sin transparencia puede exponer a los usuarios a riesgos de seguridad imprevistos, aunque no sea directamente malintencionada. La aplicación falsa de WhatsApp, denominada WhatsApp Plus, se hace pasar por una versión mejorada de la plataforma de mensajería, pero contiene archivos sigilosos que pueden recopilar contactos, mensajes SMS y registros de llamadas. «La avalancha de aplicaciones clonadas refleja un problema más profundo: la confianza en la marca se ha convertido en un vector de explotación», dijo Appknox dijo . «A medida que la inteligencia artificial y las herramientas de mensajería dominan el panorama digital, los malos actores están descubriendo que imitar la credibilidad suele ser más rentable que crear un nuevo malware desde cero».

Los actores de amenazas siguen lanzando campañas de suplantación de identidad después de su compromiso inicial, aprovechando las cuentas de correo electrónico internas comprometidas para ampliar su alcance tanto dentro de la organización comprometida como externamente a las entidades asociadas. «Las siguientes campañas de suplantación de identidad se orientaron principalmente a la recolección de credenciales», dijo Cisco Talos dijo . «De cara al futuro, a medida que mejoran las defensas contra los ataques de suplantación de identidad, los adversarios buscan formas de mejorar la legitimidad de estos correos electrónicos, lo que probablemente lleve a un mayor uso de cuentas comprometidas después de la explotación».

Se ha descubierto que las recientes campañas de suplantación de identidad en el este y el sudeste asiático aprovechan los señuelos multilingües para los archivos ZIP y las plantillas web compartidas para atacar a las organizaciones gubernamentales y financieras. «Estas operaciones se caracterizan por contar con plantillas web multilingües, incentivos específicos para cada región y mecanismos adaptables de entrega de carga útil, lo que demuestra un claro cambio hacia una infraestructura escalable e impulsada por la automatización», explica Hunt.io dijo . «Desde China y Taiwán hasta Japón y el sudeste asiático, los adversarios han reutilizado continuamente plantillas, nombres de archivos y patrones de alojamiento para mantener sus operaciones y, al mismo tiempo, eludir la detección convencional. La fuerte superposición entre las estructuras de dominio, los títulos de las páginas web y la lógica de creación de scripts indica que se trata de un conjunto de herramientas compartido o de un generador centralizado diseñado para automatizar la entrega de cargas a gran escala. Esta investigación vincula varios clústeres a un conjunto unificado de herramientas de suplantación de identidad que se utiliza en toda Asia».

Las autoridades de Dinamarca han iniciado una investigación tras descubrir que los autobuses eléctricos fabricados por la empresa china Yutong tenían acceso remoto a los sistemas de control de los vehículos y permitían desactivarlos de forma remota. Esto ha suscitado preocupaciones desde el punto de vista de la seguridad, ya que este vacío legal podría aprovecharse para afectar a los autobuses mientras están en tránsito. «Las pruebas revelaron riesgos contra los que ahora estamos tomando medidas», dijo Bernt Reitan Jenssen, director ejecutivo de la autoridad noruega de transporte público Ruter citado diciendo . «Las autoridades nacionales y locales han sido informadas y deben ayudar a adoptar medidas adicionales a nivel nacional».

Cloudflare ha eliminado los dominios asociados con la enorme AISURU botnet desde su mejores clasificaciones de dominios . Según un periodista de seguridad Brian Krebs , los operadores de AISURU utilizan la botnet para mejorar su clasificación de dominios maliciosos y, al mismo tiempo, atacar el servicio de sistema de nombres de dominio (DNS) de la empresa.

Un tribunal de China ha sentenciado cinco miembros de un sindicato delictivo de Myanmar hasta la muerte por su papel en la gestión de complejos de estafa a escala industrial cerca de la frontera con China. Se dictaron sentencias de muerte contra el jefe del sindicato Bai Suocheng y su hijo Bai Yingcang, así como contra Yang Liqiang, Hu Xiaojiang y Chen Guangyi. Otras cinco personas fueron condenadas a cadena perpetua. En total, 21 miembros y asociados del sindicato fueron declarados culpables de fraude, homicidio, lesiones y otros delitos. Según Xinhua , los demandados administraban 41 parques industriales para facilitar el fraude en línea y en las telecomunicaciones a gran escala. Esta dura sanción es la última de una serie de medidas que los gobiernos de todo el mundo han tomado para combatir el aumento del centros de estafa habilitados para el ciberespacio en el sudeste asiático, donde miles de personas son objeto de trata con el pretexto de tener empleos bien remunerados y quedan atrapadas, maltratadas y obligadas a defraudar a otras personas en operaciones delictivas valoradas en miles de millones. En septiembre de 2025, 11 miembros de la familia criminal Ming fueron arrestados durante una campaña de represión transfronteriza en 2023 sentenciado hasta la muerte.

Una operación coordinada de aplicación de la ley contra un esquema masivo de fraude con tarjetas de crédito denominado Chargeback ha llevado al arresto de 18 sospechosos. Las personas arrestadas son ciudadanos alemanes, lituanos, holandeses, austriacos, daneses, estadounidenses y canadienses. «Se sospecha que los presuntos autores crearon un intrincado esquema de suscripciones falsas en línea a servicios de citas, pornografía y streaming, entre otros, que se pagaron con tarjeta de crédito», dijo Eurojust dijo . «Entre los arrestados hay cinco funcionarios ejecutivos de cuatro proveedores de servicios de pago alemanes. Los autores limitaron deliberadamente los pagos mensuales con tarjeta de crédito a sus cuentas por debajo del límite máximo de 50 euros para no despertar sospechas entre las víctimas sobre los elevados importes de transferencia». Se estima que la estafa ilícita defraudó al menos 300 millones de euros a más de 4,3 millones de usuarios de tarjetas de crédito con 19 millones de cuentas en 193 países entre 2016 y 2021. El valor total de los intentos de fraude contra los usuarios de tarjetas asciende a más de 750 millones de euros. Europol dijo los sospechosos utilizaron numerosas empresas fantasma, principalmente registradas en el Reino Unido y Chipre, para ocultar sus actividades.