Boletín ThreatDay: 0 días, espías de LinkedIn, ...

REINO UNIDO» La agencia de inteligencia nacional MI5 tiene prevenido los legisladores afirman que los espías chinos están buscando activamente para «reclutarlos y cultivarlos» con lucrativas ofertas de trabajo en LinkedIn a través de cazatalentos o empresas encubiertas. Se dice que los ciudadanos chinos utilizan los perfiles de LinkedIn para llevar a cabo actividades de divulgación a gran escala, supuestamente en nombre del Ministerio de Seguridad del Estado chino. «Su objetivo es recopilar información y sentar las bases para relaciones a largo plazo, utilizando sitios de redes profesionales, agencias de contratación y consultores que actúan en su nombre», dijo Sir Lindsay Hoyle, presidente de la Cámara de los Comunes dijo . Se considera que la actividad es «específica y generalizada». Entre los objetivos figuraban el personal parlamentario, los economistas, los consultores de centros de estudios y los funcionarios gubernamentales. En una declaración compartida con la BBC, un portavoz de la embajada china en el Reino Unido dijo que las acusaciones de espionaje eran «pura invención» y acusó al Reino Unido de estar realizando una «farsa autoinventada». El MI5 no es la única agencia de inteligencia que advierte sobre el potencial de las redes sociales para permitir el espionaje. En julio, Mike Burgess, director general de la Organización de Inteligencia y Seguridad de Australia (ASIO), dijo una agencia de inteligencia extranjera trató de encontrar información sobre un proyecto militar australiano cultivando relaciones con las personas que trabajaban en él.

La Comisión Europea desvelado una propuesta de cambios importantes en el Reglamento General de Protección de Datos (GDPR) y la Ley de IA de la Unión Europea. En el marco del nuevo paquete «global digital», la UE pretende simplificar el Reglamento general de protección de datos (RGPD) y «aclarar la definición de datos personales» para permitir a las empresas procesar legalmente datos personales para la formación en IA sin el consentimiento previo de los usuarios por «interés legítimo» y siempre que no infrinjan ninguna ley. La medida ha sido criticada por complacer los intereses de las grandes empresas tecnológicas. También modifica las normas sobre el consentimiento de las cookies en los sitios web, permitiendo a los usuarios «indicar su consentimiento con un solo clic y guardar sus preferencias de cookies mediante la configuración central de preferencias de los navegadores y sistemas operativos», en lugar de tener que confirmar su elección en cada sitio web que visiten. «En conjunto, estos cambios brindan tanto a las autoridades estatales como a las empresas poderosas más margen para recopilar y procesar información personal con una supervisión limitada y una transparencia reducida», explica la organización European Digital Rights (eDRI) dijo . «Las personas perderán las medidas de protección sencillas y las comunidades minoritarias se enfrentarán a una exposición aún mayor a la elaboración de perfiles, a las decisiones automatizadas y a la vigilancia intrusiva». Nóby austríaco sin fines de lucro dedicado a dijo los cambios «no están 'manteniendo el nivel más alto de protección de datos personales', sino que reducen enormemente las protecciones para los europeos».

Los actores de amenazas utilizan extensiones maliciosas de bloqueo de anuncios y VPN para los navegadores Google Chrome y Microsoft Edge para robar datos confidenciales. En conjunto, las extensiones se instalaron unas 31 000 veces. Las extensiones, una vez instaladas, podían interceptar y redirigir todas las páginas web visitadas por los usuarios, recopilar datos de navegación y una lista de las extensiones instaladas, modificar o deshabilitar otras herramientas de seguridad o proxy y dirigir el tráfico a través de los servidores controlados por los atacantes, LayerX dijo . Los nombres de algunas de las extensiones son VPN Professional: Free Unlimited VPN Proxy, Free Unlimited VPN, VPN-Free.pro (VPN gratuita e ilimitada para una navegación segura), Ads Blocker: bloquea todos los anuncios y protege la privacidad y Ads Cleaner para Facebook.

Un joven de 45 años de Irvine, California, se declaró culpable de lavar al menos 25 millones de dólares robados en un estafa masiva de criptomonedas de 230 millones de dólares . Kunal Mehta (también conocido como «Papá», «El contador» y «Shrek») es el octavo acusado que se declara culpable por su participación en este plan tras los cargos presentados por el Departamento de Justicia en mayo de 2025. El plan utilizó la ingeniería social para robar cientos de millones de dólares en criptomonedas a víctimas de todo el territorio de los EE. UU. mediante elaboradas artimañas cometidas en Internet y números de teléfono falsificados entre octubre de 2023 y marzo de 2025, aproximadamente. según al Departamento de Justicia de los Estados Unidos. Las ganancias robadas se utilizaron para comprar artículos de lujo, casas de alquiler, un equipo de guardias de seguridad privados y automóviles exóticos. «Mehta creó varias sociedades fantasma en 2024 con el propósito de blanquear fondos a través de cuentas bancarias creadas para dar la apariencia de legitimidad», dijo el DoJ. «Para facilitar los servicios de blanqueo de dinero mediante transferencia electrónica mediante criptomonedas, Mehta recibió criptomonedas robadas del grupo, que ya habían blanqueado. Luego, Mehta transfirió la criptomoneda a sus asociados, quienes la blanquearon aún más mediante sofisticadas técnicas de blanqueo basadas en la cadena de bloques. Los fondos robados regresaron a las cuentas bancarias de la empresa fantasma de Mehta mediante transferencias electrónicas entrantes desde otras empresas fantasma organizadas por otros en todo Estados Unidos». Mehta también entregaba efectivo personalmente cuando los miembros lo solicitaban, realizaba transferencias bancarias y facilitaba la compra de automóviles exóticos a cambio de una comisión del 10%.

Los investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el producto Identity Manager de Oracle Fusion Middleware ( CVE-2025-61757 , puntuación CVSS: 9,8), lo que permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer los sistemas vulnerables y tomar el control de ellos. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. «Este RCE previo a la autenticación que descubrimos también podría haber sido capaz de infringir login.us2.oraclecloud.com, ya que ejecutaba tanto OAM como OIM», dijeron Adam Kues y Shubham Shah, de Searchlight Cyber dijo . «La vulnerabilidad que nuestro equipo descubrió sigue un patrón conocido en Java: los filtros diseñados para restringir la autenticación suelen contener defectos de elusión de la autenticación fáciles de explotar. Los defectos lógicos en la forma en que Java interpreta los URI de las solicitudes son un regalo que se sigue dando cuando se combinan con los parámetros matriciales». Oracle abordó la vulnerabilidad el mes pasado.

Un fallo de seguridad crítico en el relé inteligente Shelly Pro 4PM ( CVE-2025-11243 , puntuación CVSS: 8.3) que un atacante podría aprovechar para provocar el reinicio de un dispositivo, lo que limitaría la capacidad de detectar un consumo de energía anormal o exponer los circuitos a riesgos de seguridad no deseados. «Las entradas inesperadas a varios métodos JSON-RPC del Shelly Pro 4PM v1.4.4 pueden agotar los recursos y provocar el reinicio del dispositivo», explica Nozomi Networks dijo . «Si bien este problema no permite la ejecución de código ni el robo de datos, puede utilizarse para provocar interrupciones repetitivas de forma sistemática, lo que repercute en las rutinas de automatización y en la visibilidad tanto en el contexto doméstico como en el de un edificio». Se recomienda a los usuarios que actualicen a la versión 1.6.0 y eviten la exposición directa a Internet.

Keonne Rodriguez y William Lonergan Hill, cofundadores del servicio de mezcla de criptomonedas Samourai Wallet, fueron condenados a cinco y cuatro años de prisión, respectivamente, por su papel en facilitar más de 237 millones de dólares en transacciones ilegales. Ambos acusados se declaró culpable a cargos de transmitir a sabiendas ganancias delictivas en agosto de 2025. Los acusados, según los fiscales estadounidenses, diseñaron Samourai en torno a un servicio de mezcla de bitcoins conocido como Whirlpool y Ricochet para ocultar la naturaleza de las transacciones ilícitas. «Más de 237 millones de dólares de ganancias delictivas blanqueadas a través de Samourai procedían, entre otras cosas, del tráfico de drogas, los mercados de la red oscura, las ciberintrusiones, los fraudes, las jurisdicciones sancionadas, los planes de asesinato a sueldo y un sitio web de pornografía infantil», según el Departamento de Justicia de los Estados Unidos dijo .

Un fallo de seguridad ( CVE-2025-64756 , puntuación CVSS: 7.5) se ha identificado en el indicador -c/--cmd de la CLI global que podría provocar la inyección de comandos del sistema operativo y provocar la ejecución remota de código. «Cuando <command><patterns>se usa glob -c, los nombres de archivo coincidentes pasan a una shell con shell: true, lo que permite que los metacaracteres del shell de los nombres de archivo activen la inyección de comandos y ejecuten código arbitrario con los privilegios de la cuenta de usuario o CI», explica glob maintainers dijo en una alerta. Un atacante podría aprovechar la falla para ejecutar comandos arbitrarios, lo que pondría en peligro la máquina de un desarrollador o allanaría el camino para que se envenenara la cadena de suministro a través de paquetes maliciosos. La vulnerabilidad afecta a las versiones de Glob de la 10.2.0 a la 11.0.3. Se ha corregido en las versiones 10.5.0, 11.1.0 y 12.0.0. Según AISLE, ¿cuál descubierto e informó de la falla junto con Gyde04, «no se verá afectado si solo usa la API de la biblioteca de glob (glob (), globSync (), iteradores asíncronos) sin invocar la herramienta CLI».

Un ciudadano ruso presuntamente afiliado a la Ventisca vacía El grupo de hackers (también conocido como Laundry Bear) ha sido arrestado en Phuket, según a CNN. Denis Obrezko, de 35 años, fue arrestado el 6 de noviembre de 2025, como parte de una operación conjunta entre la Oficina Federal de Investigaciones (FBI) de los Estados Unidos y funcionarios tailandeses. Fue arrestado una semana después entrar en el país en un vuelo a Phuket. A principios de este mes de mayo, Microsoft atribuyó a Void Blizzard las operaciones de espionaje dirigidas a organizaciones que son importantes para los objetivos del gobierno ruso, incluidas las del gobierno, la defensa, el transporte, los medios de comunicación, las organizaciones no gubernamentales (ONG) y los sectores de la salud en Europa y Norteamérica, al menos desde abril de 2024.

X tiene revelada Chat, una actualización cifrada del servicio de mensajería directa de la plataforma que admite videollamadas y llamadas de voz, mensajes que desaparecen y uso compartido de archivos. En una publicación de X, la plataforma de redes sociales decía que los usuarios pueden bloquear las capturas de pantalla y recibir notificaciones de los intentos. X comenzó por primera vez desplegando DM cifrados en mayo de 2023 antes pausar la función el 29 de mayo de 2025, para realizar algunas mejoras. «Al entrar en Chat por primera vez, se crea un par de claves públicas y privadas específico para cada usuario», dijeron desde la empresa dijo . «Se pide a los usuarios que introduzcan un PIN (que nunca sale del dispositivo), que se utiliza para mantener la clave privada almacenada de forma segura en la infraestructura de X. Esta clave privada se puede recuperar de cualquier dispositivo si el usuario conoce el PIN. Además de los pares de claves públicas y privadas, hay una clave por conversación que se utiliza para cifrar el contenido de los mensajes. Los pares de claves públicas y privadas se utilizan para intercambiar la clave de conversación de forma segura entre los usuarios participantes».

Se ha observado una nueva campaña de suplantación de identidad uso de armas Invitaciones de usuarios invitados de Microsoft Entra para engañar a los destinatarios para que hagan llamadas telefónicas a atacantes que se hacen pasar por soporte de Microsoft. La campaña de malware utiliza invitaciones a inquilinos de Microsoft Entra enviadas desde la dirección legítima de invites @microsoft [.] com para eludir los filtros de correo electrónico y generar confianza en los objetivos.

Según se informa, un ciudadano ucraniano que se cree que desarrolló el grupo de ciberdelincuencia Jabber Zeus ha sido extraditado de Italia a los Estados Unidos. Se afirma que el hombre, Yuriy Igorevich Rybtsov, de 41 años, de Donetsk, es MriCQ (también conocido como John Doe #3), según un informe del periodista de seguridad Brian Krebs. Se le acusa de gestionar las notificaciones de entidades recientemente comprometidas, así como de blanquear las ganancias ilícitas del plan. Otro miembro del grupo, Vyacheslav «Tank» Igorevich Penchukov, se declaró culpable a su papel en dos programas de malware diferentes, Zeus e IceDid, en febrero de 2024. Más tarde, ese mismo mes de julio, fue sentenciado a 18 años y se le ordenó pagar más de 73 millones de dólares en concepto de restitución a las víctimas. En declaraciones exclusivas para la BBC a principios de este mes, la joven de 39 años descrito él mismo como un «tipo amable». En un momento dado, abandonó la ciberdelincuencia para fundar una empresa que compraba y vendía carbón, pero volvió a caer en ella debido al atractivo del ransomware. Mientras tanto, también está aprendiendo francés e inglés. Penchukov también reconoció que los grupos de ciberdelincuencia rusos trabajaban con los servicios de seguridad, como el FSB. «No puedes hacer amigos en el cibercrimen, porque al día siguiente, tus amigos serán arrestados y se convertirán en informantes», dijo según fue citado. «La paranoia es una constante amiga de los hackers». En un informe publicado este mes, la investigadora de Analyst1 Anastasia Sentsova dijo , «el estado ruso se ha ensuciado las manos y ha creado varios grupos hacktivistas para apoyar su guerra en Ucrania».

Los EE. UU., el Reino Unido y Australia tienen sancionado Proveedor ruso de alojamiento a prueba de balas (BPH) Media Land y sus ejecutivos , incluido el director general Aleksandr Volosovik (también conocido como Yalishanda), por prestar servicios a grupos de ciberdelincuencia y ransomware como Evil Corp, LockBit, Black Basta, BlackSuit y Play. La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos también designó a Hypercore Ltd., una sociedad ficticia de Grupo Aeza LLC (Grupo Aeza), junto con otras dos personas y dos entidades que han dirigido, apoyado materialmente o actuado en nombre del Grupo Aeza, incluidos Maksim Vladimirovich Makarov, Ilya Vladislavovich Zakirov, Smart Digital Ideas DOO y Datavice MCHJ. «Estos proveedores de servicios de alojamiento a prueba de balas, como Media Land, brindan a los ciberdelincuentes servicios esenciales para ayudarlos a atacar empresas en los Estados Unidos y en los países aliados». dijo El subsecretario del Tesoro para Terrorismo e Inteligencia Financiera, John K. Hurley. Paralelamente, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) emitió una alerta para ayudar a los proveedores de servicios de Internet y a los defensores de las redes a mitigar los riesgos que representan los proveedores de BPH. «Estos proveedores permiten realizar actividades malintencionadas como el ransomware, la suplantación de identidad, la entrega de malware y los ataques de denegación de servicio (DoS), lo que supone un riesgo inminente y significativo para la resiliencia y la seguridad de los sistemas y servicios críticos», dijo la CISA dijo .

Los investigadores de ciberseguridad han publicado una implementación en C# de Fiesta en la piscina , un conjunto de técnicas de inyección de procesos que se dirigen a los grupos de subprocesos de Windows para evadir los sistemas de detección y respuesta de terminales (EDR). SafeBreach presentó PoolParty por primera vez a finales de 2023. Su implementación en C#, con nombre en código Fiesta afilada de Trustwave y Stroz Friedberg, permite utilizar las técnicas de PoolParty en herramientas que aprovechan las tareas de MSBuild en línea en archivos XML.

Los investigadores de ciberseguridad han detallado un nuevo malware robador de macOS llamado NovaStealer que puede filtrar archivos relacionados con carteras, recopilar datos de telemetría y reemplazar las aplicaciones legítimas de Ledger/Trezor por copias manipuladas. «Un cuentagotas desconocido busca y ejecuta mdriversinstall.sh, que instala un pequeño orquestador de scripts en ~/.mdrivers y registra un LaunchAgent denominado application.com.artificialintelligence», un investigador de seguridad con el nombre de Bruce dijo . «Este orquestador extrae otros guiones codificados en b64 del C2, los coloca en ~/.mdrivers/scripts y los ejecuta en sesiones de pantalla independientes en segundo plano. Soporta actualizaciones y gestiona el reinicio de las sesiones de pantalla responsables».