Boletín Threatday: malware de inteligencia arti...

Los actores de amenazas detrás de la empresa con sede en Mirai ShadowV2 Se ha observado que las botnets infectan dispositivos de IoT en todas las industrias y continentes. Se dice que la campaña solo estuvo activa durante el funcionamiento de Amazon Web Services (AWS) corte de suministro a finales de octubre de 2025. Se estima que la actividad fue «probablemente una prueba realizada en preparación para futuros ataques», según Fortinet . La botnet explotó varios defectos, entre ellos CVE-2009-2765 (DDWRT), CVE-2020-25506 , CVE-333337055 , CVE-2024-10914 , CVE-2024-10915 (D-Link), CVE-2023-52163 (DigiEver), CVE-2024-3721 (TBK), y CVE-2024-53375 (TP-Link), para reclutar equipo vulnerable para un ejército zombi de dispositivos IoT. Una explotación exitosa es seguida por la ejecución de un script shell de descarga que envía el malware ShadowV2 para ataques DDoS posteriores. «Los dispositivos de IoT siguen siendo un eslabón débil en el panorama más amplio de la ciberseguridad», afirma la empresa. «La evolución de ShadowV2 sugiere un cambio estratégico en la orientación de los actores de amenazas hacia los entornos de IoT». No se trata solo de ShadowV2. Otra botnet de DDoS llamada Rondo Dox , también basada en Mirai, ha utilizado como arma más de una docena de exploits para atacar dispositivos de IoT. «Los atacantes no solo están motivados para atacar los dispositivos vulnerables de la IoT, sino también para saber, si tienen éxito, apoderarse de los dispositivos previamente infectados para añadirlos a sus propias redes de bots», F5 dijo .

Singapur ha ordenado a Apple y Google que bloqueen o filtren los mensajes de la aplicación Message para Android compatible con iMessage y RCS que se hacen pasar por agencias gubernamentales, lo que exige a la empresa implementar nuevas protecciones contra la suplantación de identidad a partir de diciembre de 2025 como parte de los esfuerzos por frenar el aumento de las estafas en línea. Según Straits Times , Apple ha emitido una directiva en virtud de la Ley de Daños Penales en Internet, que exige al gigante tecnológico impedir que las cuentas y los chats grupales de iMessage usen nombres que imiten a las agencias gubernamentales de Singapur o el identificador de remitente «gov.sg».

Los desarrolladores del proyecto Tor están preparando una importante actualización llamada Counter Galois Onion ( CGO ), que reemplaza el antiguo método de cifrado por retransmisión utilizado en la red anónima. «Se basa en un tipo de construcción denominado permutación seudoaleatoria rugosa (RPRP): básicamente, se trata de un diseño para un cifrado de bloques anchos que resiste la maleabilidad en una dirección (para la operación de cifrado, pero no para la operación de descifrado)», el proyecto Tor dijo . «Si lo implementamos de manera que los clientes siempre descifre y los retransmisores siempre cifren, ¡entonces tenemos un cifrado resistente al etiquetado a un costo menor que un SPRP [permutación seudoaleatoria fuerte] completo!» Las actualizaciones tienen como objetivo aumentar el costo de los ataques activos a lo largo de un circuito, como los ataques de etiquetado e interceptación del tráfico, así como evitar que personas malintencionadas manipulen el tráfico cifrado, aumentar el secreto y hacer que la red sea más resiliente.

Kaspersky dijo identificó casi 6,4 millones de ataques de suplantación de identidad dirigidos a usuarios de tiendas en línea, sistemas de pago y bancos en los primeros diez meses de 2025. «Hasta el 48,2% de estos ataques estaban dirigidos contra compradores en línea», afirmó, y añadió que «detectó más de 2 millones de ataques de suplantación de identidad relacionados con los juegos en línea» y «bloqueó más de 146 000 mensajes de spam relacionados con el Black Friday en las dos primeras semanas de noviembre».

ESET ha revelado los detalles de un nuevo conjunto de herramientas denominado QuietEnvelope que se ha desarrollado específicamente para atacar el sistema de protección de correo electrónico MailGates de los servidores de correo electrónico de OpenFind. El conjunto de herramientas incluye scripts de Perl y tres puertas traseras sigilosas, entre otros archivos diversos. «Los scripts de Perl son los principales responsables de implementar tres puertas traseras pasivas: un módulo de kernel cargable (LKM), un módulo de Apache y un código de shell inyectado», dijo ESET dijo . «Juntos, permiten a los atacantes tener acceso remoto a un servidor comprometido». El componente LKM («smtp_backdoor») monitorea el tráfico TCP entrante en el puerto 6400 y se activa cuando los paquetes contienen la cadena mágica EXEC_OPENFIND para ejecutar el comando. «El módulo Apache espera que el comando, que se ejecuta a través de popen, aparezca en el encabezado HTTP personalizado OpenFindMaster», agregó. «La tercera puerta trasera se inyecta en un proceso mgsmtpd en ejecución. Es capaz de recuperar el contenido de los archivos y ejecutar comandos. De forma predeterminada, responde con 250 OK, lo que sugiere que la puerta trasera está conectada al código que puede ser el responsable de generar la respuesta SMTP». Se cree que la herramienta es obra de un actor de amenazas desconocido patrocinado por un estado, dada su sofisticación y su capacidad para integrarse. ESET dijo que encontró cadenas de depuración escritas en chino simplificado, que se usa principalmente en China continental.

Una búsqueda de «belay» en Bing lleva al sitio web «belaysolutions [.] com», que, según se dice, está comprometido con JavaScript malintencionado que realiza una redirección silenciosa a «belaysolutions [.] link», que aloja una carga RAR de doble extensión disfrazada de PDF. Abrir los exploits de carga inicial MSC Evil Twin (CVE-2025-26633) para inyectar código en mmc.exe y, en última instancia, llevar al despliegue de un ejecutable de carga capaz de instalar puertas traseras o ladrones. «Cuando se ejecuta, mmc.exe resuelve las rutas de MUI que cargan el complemento malintencionado en lugar del legítimo, lo que activa los comandos del TaskPad integrados con una carga útil de PowerShell codificada», Zscaler dijo . «Decodificado mediante -EncodedCommand, este script descarga unRAR [.] exe y un RAR protegido con contraseña, extrae la siguiente fase, espera un momento y, a continuación, invoca Expression en el script extraído». El segundo script muestra un PDF señuelo y descarga y ejecuta el archivo binario del cargador. La naturaleza exacta de la carga útil no está clara debido a que la infraestructura de comando y control (C2) no responde. La cadena de ataque se ha atribuido a un grupo de APT alineado con Rusia conocido como Water Gamayun (también conocido como EncryptHub).

El Reino Unido ha denunciado a dos empresas, Smart y TGR, que blanqueaban dinero procedente de la ciberdelincuencia, el tráfico de drogas, el contrabando de armas de fuego y los delitos de inmigración a cambio de una comisión, para crear una criptomoneda «limpia» que el estado ruso podría utilizar para evadir las sanciones internacionales. La Agencia Nacional contra el Crimen (NCA) afirmó que las dos entidades adquirieron un banco en Kirguistán para fingir que sus operaciones eran legítimas. Se sabe que la red opera en al menos 28 ciudades y pueblos del Reino Unido. «Smart y TGR colaboraron para blanquear dinero para grupos delictivos transnacionales involucrados en la ciberdelincuencia y el contrabando de drogas y armas de fuego», dijo la NCA dijo . «También ayudaron a sus clientes rusos a eludir ilegalmente las restricciones financieras para invertir dinero en el Reino Unido, lo que puso en peligro la integridad de nuestra economía».

Microsoft dijo que ha actualizado Defender para Office 365 para ayudar a los equipos de seguridad a eliminar las entradas del calendario creadas automáticamente por Outlook durante la entrega del correo electrónico. Si bien las acciones correctivas como pasar a la bandeja de entrada de los usuarios, eliminar, eliminar de forma parcial y eliminar de forma definitiva se pueden utilizar para eliminar las amenazas de correo electrónico de las bandejas de entrada de los usuarios, estas acciones no afectaron a la entrada del calendario creada en la invitación original. «Con esta actualización, estamos dando el primer paso para cerrar esa brecha», dijeron desde la empresa dijo . «La eliminación definitiva ahora también eliminará la entrada de calendario asociada a cualquier correo electrónico de invitación a una reunión. Esto garantiza que las amenazas se erradiquen por completo, no solo de la bandeja de entrada sino también del calendario, lo que reduce el riesgo de que los usuarios interactúen con contenido malintencionado».

Los reguladores de datos de Tailandia han ordenado Universo mundial TIDC , que presenta en el país la startup Tools for Humanity, fundada por Sam Altman, a detener la colección de la biometría del iris a cambio de pagos con criptomonedas de World (antes Worldcoin). También ha exigido la eliminación de los datos biométricos ya recopilados de 1,2 millones de ciudadanos tailandeses. El proyecto ha sido objeto de prohibiciones similares en Brasil, Filipinas, Indonesia y Kenia.

Timur Kilin, un empresario tecnológico y especialista en ciberseguridad de 21 años, fue arrestado en Moscú el cargos de traición a finales de la semana pasada. Si bien se desconocen los detalles del caso, se sospecha que Kilin pudo haber llamado la atención de las autoridades tras criticar la aplicación de mensajería Max, respaldada por el estado, y la legislación gubernamental contra la ciberdelincuencia.

Los actores de amenazas asociados a la Tríada Smishing han ampliado su enfoque para atacar a Egipto mediante la creación de dominios maliciosos que se hacen pasar por los principales proveedores de servicios egipcios, incluidos Fawry, Egypt Post y Careem. The Smishing Triad es un grupo de ciberdelincuentes de habla china que se especializa en campañas de espionaje a gran escala en todo el mundo mediante un kit de suplantación de identidad llamado Panda. «Más allá de la suplantación de identidad estadounidense, el kit de smishing ofrece una amplia gama de plantillas internacionales, incluidas aquellas que imitan a importantes proveedores de Internet, como Du (Emiratos Árabes Unidos)», Dark Atlas dijo . «Estas plantillas están diseñadas para recopilar información de identificación personal de las víctimas de diferentes regiones, lo que amplía significativamente el alcance mundial de la campaña». Recientemente, Google presentó una demanda civil en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York (SDNY) contra una plataforma masiva de suplantación de identidad como servicio (PhaaS) llamada Lighthouse, que ha atrapado a más de 1 millón de usuarios en 120 países. Lighthouse es uno de los servicios de PhaaS utilizados por Smishing Triad. Los kits de PhaaS son distribuidos principalmente a través de Telegram por un actor de amenazas llamado Wang Duo Yu (@wangduoyu8).

Mozilla tiene anunciado planea cerrar Monitor Plus, un servicio que permitía eliminar los datos de los usuarios de los portales de corredores de datos. El servicio finalizará el 17 de diciembre de 2025. Se ofreció a través de una asociación con Onerep, una controvertida empresa cuyo director ejecutivo bielorruso, Dimitiri Shelest, era atrapado administrando servicios de motores de búsqueda para docenas de personas desde 2010. «El servicio gratuito de monitorización de Mozilla Monitor seguirá proporcionando alertas en tiempo real y guías paso a paso para mitigar los riesgos de una violación de datos», afirma Mozilla.

Un nuevo actor de amenazas llamado NetMedved está atacando a empresas rusas con correos electrónicos de suplantación de identidad que contienen archivos ZIP que incluyen un archivo LNK que se hace pasar por una solicitud de compra, junto con otros documentos señuelo. Al abrir el archivo LNK se desencadena una secuencia de infección en varias etapas que elimina NetSupport RAT. La actividad, por Tecnologías positivas , se observó a mediados de octubre de 2025. El desarrollo viene en forma de F6 detallada nuevos ataques montados por VasyGrek (también conocido como Lobo esponjoso ), un actor de delitos electrónicos de habla rusa conocido por atacar a empresas rusas desde 2016 para entregar troyanos de acceso remoto (RAT) y robar malware. La última serie de ataques registrados entre agosto y noviembre de 2025 involucró el uso del ransomware Pay2Key, así como de malware desarrollado por Pure Coder , incluidos PureCrypter, PureHVNC y PureLogs Stealer.

Los actores de amenazas utilizan sitios web legítimos comprometidos con inyecciones de JavaScript malintencionadas para mostrar a los visitantes del sitio comprobaciones de CAPTCHA falsas que contienen una carga útil codificada en Base64 para mostrar un Haga clic en Fijar señale que sea apropiado para el sistema operativo mediante el Ocultación de éter técnica. Esto implica ocultar las cargas útiles intermedias de JavaScript en la cadena de bloques y utilizar cuatro contratos inteligentes implementados en la cadena inteligente de Binance (BSC) para garantizar que la víctima no sea un bot y dirigirla a un contrato específico del sistema operativo (SO). Sin embargo, el código JavaScript específico del sistema operativo solo se entrega después de llamar a un contrato de acceso que responda «sí» u otro valor. «Esta puerta proporciona al atacante un indicador de función controlado de forma remota», dijo Censys dijo . «Al modificar el estado de la cadena, el operador puede habilitar o deshabilitar de forma selectiva la entrega para víctimas específicas, acelerar la ejecución o deshabilitar temporalmente toda la campaña». Entre las cargas útiles distribuidas por las cadenas hay ladrones habituales, como AMOS y Vidar. También se han descubierto ataques similares realizados desde un mismo punto de vista que muestran verificaciones de CAPTCHA falsificadas que utilizan la táctica ClickFix para eliminar a Lumma Stealer, según Grupo NCC .

Microsoft dijo que el conjunto de herramientas PhaaS conocido como Tycoon 2FA (también conocido como Storm-1747) se ha convertido en la plataforma más prolífica observada por la compañía este año. Solo en octubre de 2025, Microsoft Defender para Office 365 bloqueó más de 13 millones de correos electrónicos maliciosos vinculados a Tycoon 2FA. «Más del 44% de todos los ataques de suplantación de identidad controlados por Captcha y bloqueados por Microsoft se atribuyeron a Tycoon 2FA», dijo . «Tycoon2FA también estuvo directamente relacionado con casi el 25% de todos los ataques de suplantación de identidad con códigos QR detectados en octubre». Descubierto por primera vez en 2023, Tycoon 2FA ha evolucionado hasta convertirse en una potente herramienta que aprovecha las técnicas del tipo Adversary-in-the-Middle (AiTM) en tiempo real para capturar credenciales, robar tokens de sesión y códigos de un solo uso. «La plataforma ofrece páginas de suplantación de identidad de alta fidelidad para Microsoft 365, Gmail y Outlook, y se ha convertido en la herramienta preferida entre los actores de amenazas debido a su modelo operativo basado en suscripciones y de bajo coste», dijo CYFIRMA dijo .

Una nueva versión de Xillen Stealer ha introducido funciones avanzadas para evadir los sistemas de detección basados en la inteligencia artificial al imitar a los usuarios legítimos y ajustar el uso de la CPU y la memoria para imitar las aplicaciones normales. Su objetivo principal es robar credenciales, criptomonedas y datos confidenciales en navegadores, gestores de contraseñas y entornos de nube. Se comercializa en Telegram por entre 99 y 599 dólares al mes. La última versión también incluye código para usar la inteligencia artificial para detectar objetivos de alto valor basándose en indicadores ponderados y palabras clave relevantes definidas en un diccionario. Entre ellas se incluyen las carteras de criptomonedas, los datos bancarios, las cuentas premium, las cuentas de desarrolladores y los correos electrónicos empresariales, además de indicadores de ubicación que incluyen países de alto valor, como EE. UU., el Reino Unido, Alemania y Japón, y otros países y centros financieros favorables a las criptomonedas. Si bien sus autores, Xillen Killen Killers, no han implementado completamente esta función, el desarrollo muestra cómo los actores de amenazas podrían aprovechar la IA en futuras campañas, Darktrace dijo .

La Comisión Federal de Comunicaciones (FCC) ha desechado un conjunto de normas de ciberseguridad de las telecomunicaciones introducidas tras la salida a la luz el año pasado de la campaña de espionaje Salt Typhoon para evitar que piratas informáticos patrocinados por el estado infrinjan en las compañías estadounidenses. Se dictó la sentencia en vigor en enero de 2025. El cambio de rumbo se produce después de lo que, según la FCC, fueron «esfuerzos amplios, urgentes y coordinados» de las compañías aéreas para mitigar los riesgos operativos y proteger mejor a los consumidores. La medida se produce tras «varios meses de colaboración con los proveedores de servicios de comunicaciones, en los que han demostrado una postura más firme en materia de ciberseguridad tras Salt Typhoon», señaló la agencia adicional , y agregó que ha «tomado una serie de medidas para reforzar las redes de comunicaciones y mejorar su postura de seguridad a fin de mejorar el proceso de investigación de la agencia sobre las interrupciones de las redes de comunicaciones que resultan de ciberincidentes». Esto incluyó el establecimiento de un Consejo de Seguridad Nacional y adoptar normas para abordar los riesgos de ciberseguridad para la infraestructura de comunicaciones crítica sin «imponer requisitos inflexibles y ambiguos». Sin embargo, el anuncio de la FCC no ofrece detalles sobre cómo se supervisarán o aplicarán esas mejoras.

Dos adolescentes británicos que fueron acusados de delitos relacionados con la Ley de Uso Indebido de Ordenadores por un ciberataque a Transport for London (TfL) el año pasado se declaró inocente durante una comparecencia ante el tribunal la semana pasada. Thalha Jubair, de 19 años, y Owen Flowers, de 18, eran arrestado en sus hogares del este de Londres y Walsall, respectivamente, por agentes de la Agencia Nacional del Crimen (NCA) en septiembre de 2025.

Se ha descubierto una vulnerabilidad de seguridad en el API de Retell AI , que crea agentes de voz de IA con permisos y funciones excesivos. Esto se debe a la falta de suficientes barreras, lo que hace que su modelo de lenguaje amplio (LLM) genere resultados no deseados. Un atacante podría aprovechar este comportamiento para llevar a cabo campañas de ingeniería social, suplantación de identidad y desinformación a gran escala. «La vulnerabilidad tiene como objetivo la facilidad de implementación y personalización de Retell AI para realizar ataques escalables de suplantación de identidad e ingeniería social», dijo el Centro de Coordinación del CERT (CERT/CC) dijo . «Los atacantes pueden enviar recursos disponibles públicamente, así como algunas instrucciones a la API de Retell AI para generar llamadas falsas automatizadas y de gran volumen. Estas llamadas falsas pueden dar lugar a acciones no autorizadas, violaciones de seguridad, filtraciones de datos y otras formas de manipulación». El problema sigue sin solucionarse.

Un nuevo análisis de Kaspersky ha revelado que la web oscura sigue sirviendo como un mercado laboral paralelo con sus propias reglas, prácticas de contratación y expectativas salariales, a la vez que está influenciada por las fuerzas económicas actuales. «La mayoría de los solicitantes de empleo no especifican un campo profesional, y el 69% se declara dispuesto a aceptar cualquier trabajo disponible», afirman desde la empresa dijo . «Al mismo tiempo, están representadas una amplia gama de funciones, especialmente en TI. Los desarrolladores, las personas que realizan pruebas de penetración y quienes blanquean dinero siguen siendo los especialistas más demandados, y los ingenieros inversos son los que obtienen los salarios promedio más altos. También observamos una presencia significativa de adolescentes en el mercado, muchos de los cuales buscan ganancias pequeñas y rápidas y, a menudo, ya están familiarizados con los esquemas fraudulentos».

Laboratorio Ahn dijo descubrió un malware APK para Android («com.golfpang.golfpanggolfpang») que se hacía pasar por un famoso servicio de entrega coreano, mientras tomaba medidas para evadir los controles de seguridad mediante técnicas de ofuscación y empaquetado. Los datos robados por el malware se filtran a un sitio legítimo violado que se utiliza para C2. «Cuando se lanza la aplicación, solicita al usuario los permisos necesarios para llevar a cabo comportamientos maliciosos», afirma AhnLab. En un desarrollo similar, un programa malicioso disfrazado tan Limpiador a vapor se propaga a través de sitios web que anuncian software descifrado para ofrecer un script Node.js capaz de comunicarse periódicamente con un servidor C2 y ejecutar los comandos emitidos por el atacante. Si bien no se sabe qué comandos se envían a través del canal C2, AhnLab dijo que la actividad podría provocar instalación de proxyware y otras cargas útiles. Los instaladores falsificados se alojan en repositorios de GitHub gestionados por el autor de la amenaza.

El director general de Seguridad, Mike Burgess, jefe de la Organización de Inteligencia de Seguridad (ASIO) de Australia, divulgado que los actores de amenazas que operaban en nombre del gobierno y el ejército de China investigaron la red de telecomunicaciones y la infraestructura clave del país. Burgess advirtió que los regímenes autoritarios «están cada vez más dispuestos a interrumpir o destruir infraestructuras críticas» mediante el cibersabotaje. Se estima que el espionaje le costó al país 12.500 millones de dólares australianos (8.100 millones de dólares) en 2024. Sin embargo, China ha desestimado las declaraciones, afirmando que «difunden narrativas falsas y provocan deliberadamente la confrontación».

Alice Guo, una mujer china de 35 años que se hizo pasar por local y fue elegida alcaldesa de la ciudad de Bamban en 2022, fue sentenciado a cadena perpetua tras ser declarada culpable de trata de personas por su papel en la dirección de una enorme compuesto de estafa cibernética que operaba en casinos en línea, conocidos localmente como Philippine Offshore Gaming Operations (Pogo). Guo, junto con otras tres personas, fue sentenciado a cadena perpetua y a una multa de 2 millones de pesos (33.832 dólares).

Los actores de amenazas han explotado múltiples vulnerabilidades en Microsoft Windows para filtrar los hashes de NTLM y aumentar sus esfuerzos posteriores a la explotación. Entre ellas se incluyen CVE-2024-43451 , que ha sido objeto de abuso por parte de BlinDeagle y Head Mare, CVE-2025-24054 , de la que se ha abusado en ataques de suplantación de identidad dirigidos a Rusia para lanzar Warzone RAT, y CVE-2025-33073 , de la que se ha abusado en «actividades sospechosas» contra un objetivo anónimo que pertenecía al sector financiero de Uzbekistán. En este ataque, el autor de la amenaza aprovechó la falla para comprobar si tenía los privilegios suficientes para ejecutar código mediante archivos por lotes que ejecutaban comandos de reconocimiento, establecían la persistencia, volcaban la memoria LSASS e intentaban, sin éxito, pasar de forma lateral a la unidad administrativa de otro host. No se detectó ninguna actividad adicional. «Si bien Microsoft ha anunciado planes para eliminarlo gradualmente, la presencia generalizada del protocolo en los sistemas antiguos y las redes empresariales hace que sea relevante y vulnerable», dijo Kaspersky dijo . «Los actores de amenazas están aprovechando activamente las fallas recientemente descubiertas para refinar los ataques de transmisión de credenciales, aumentar los privilegios y moverse lateralmente dentro de las redes, lo que subraya que NTLM sigue representando un importante riesgo de seguridad».