Boletín Threatday: hackeo de Wi-Fi, npm Worm, r...

Actores de amenazas desconocidos han explotado una vulnerabilidad crítica dirigida al pool yETH de Yearn Finance en Ethereum, lo que ha provocado el robo de aproximadamente 9 millones de dólares del protocolo. Se dice que el ataque se aprovechó de una falla en la forma en que el protocolo gestiona su contabilidad interna, debido al hecho de que una caché que contenía valores calculados para ahorrar en las tarifas del gas nunca se borró cuando la piscina se vació por completo. «El atacante lo consiguió acuñando una cantidad astronómica de fichas —235 septillones de yeth (un número de 41 dígitos) — y depositando solo 16 wei, por un valor aproximado de 0.000000000000000045 dólares», explica Check Point dijo . «Esto representa una de las vulnerabilidades más eficientes en términos de capital de la historia de DeFi».

Fortinet dijo que descubrió 151 nuevas muestras de Puerta BPF y tres de Simbionte aprovechar los filtros de paquetes de Berkeley (EBPF) ampliados para mejorar el sigilo mediante la compatibilidad con IPv6, el tráfico UDP y el salto dinámico de puertos para una comunicación encubierta de comando y control (C2). En el caso de Symbiote, las instrucciones de BPF muestran que la nueva variante solo acepta paquetes IPv4 o IPv6 para los protocolos TCP, UDP y SCTP en los puertos no estándar 54778, 58870, 59666, 54879, 57987, 64322, 45677 y 63227. Al llegar a BPFDoor, se ha descubierto que los artefactos recientemente identificados son compatibles con IPv4 e IPv6, además de cambiar a un mecanismo de paquetes mágicos completamente diferente. «Los creadores de malware están mejorando sus filtros BPF para aumentar sus posibilidades de evitar ser detectados. Symbiote utiliza el salto de puerto en los puertos con un nivel alto de UDP y BPFDoor implementa la compatibilidad con IPv6», explica Axelle Apvrille, investigadora de seguridad dijo .

Microsoft dijo que detectó y bloqueó el 26 de noviembre de 2025 una campaña de suplantación de identidad de gran volumen de un actor de amenazas llamado Storm-0900. «La campaña utilizó el tema de las multas de estacionamiento y los resultados de las pruebas médicas, e hizo referencia al Día de Acción de Gracias para dar credibilidad y reducir las sospechas de los destinatarios» dijo . «La campaña consistió en decenas de miles de correos electrónicos y se dirigió principalmente a usuarios de los Estados Unidos». Las URL redirigían a una página de destino controlada por un atacante que primero obligaba a los usuarios a resolver un CAPTCHA deslizante haciendo clic y arrastrando un control deslizante, seguido de Haga clic en Fijar , que engañaba a los usuarios para que ejecutaran un script malicioso de PowerShell con el pretexto de completar un paso de verificación. El objetivo final de los ataques era lanzar un malware modular conocido como Gusano X que permite el acceso remoto, el robo de datos y el despliegue de cargas útiles adicionales. «Storm-0900 es un prolífico actor de amenazas que, cuando está activo, lanza campañas de suplantación de identidad cada semana», afirma Microsoft.

Se ha observado una nueva campaña de suplantación de identidad que distribuye correos electrónicos falsos en los que se afirma que se trata de una beca de rendimiento profesional que los atrae con supuestas subvenciones monetarias. «Incluye un código postal protegido con contraseña y detalles personalizados para que parezca legítimo, e insta a la víctima a abrir el 'paquete digital seguro' adjunto para hacerse con el premio, lo que crea la cadena que sigue a continuación para la suplantación de identidad y el malware», Trustwave dijo . El archivo ZIP contiene una página HTML diseñada para robar sus credenciales de correo web y enviarlas a un bot de Telegram. A continuación, se utiliza una imagen SVG malintencionada para activar una cadena de PowerShell ClickFix que instala el ladrón de información Stealerium para solucionar un supuesto problema con Google Chrome.

Una nueva ola de actividad de spear-phising vinculada al conjunto de intrusiones Russia-Nexus RÍO FRÍO ha tenido como objetivo a la organización sin fines de lucro Reporteros sin Fronteras (RSF), que el Kremlin calificó de entidad «indeseable» en agosto de 2025. El ataque, registrado en marzo de 2025, tenía su origen en una dirección de Proton Mail, en la que se instaba a los atacantes a revisar un documento malintencionado compartiendo un enlace que probablemente redirigiera a una URL de Proton Drive que contenía un archivo PDF. En otro caso dirigido a otra víctima, el PDF se adjuntó al mensaje de correo electrónico. «El archivo recuperado es un típico señuelo de Calisto: muestra un icono y un mensaje en el que se afirma que el PDF está cifrado y se indica al usuario que haga clic en un enlace para abrirlo en Proton Drive», Sekoia dijo . «Cuando el usuario hace clic en el enlace, primero se le redirige a un redirector de Calisto alojado en un sitio web comprometido, que luego lo reenvía al kit de suplantación de identidad del actor de la amenaza». El redirector es un script PHP que se implementa en sitios web comprometidos y que, en última instancia, lleva a las víctimas a una página de suplantación de identidad (AiTM) que puede capturar sus credenciales de Proton. Desde entonces, Proton ha eliminado las cuentas controladas por los atacantes.

Google se ha expandido protección contra estafas durante la llamada en Android para Cash App y JPMorganChase en EE. UU., tras probar la función en el Reino Unido, Brasil , y India . «Cuando ejecutas una aplicación financiera participante mientras compartes la pantalla y realizas una llamada telefónica con un número que no esté guardado en tus contactos, tu dispositivo Android te avisará automáticamente de los posibles peligros y te dará la opción de finalizar la llamada y dejar de compartir la pantalla con solo un toque», Google dijo . «La advertencia incluye un período de pausa de 30 segundos antes de que puedas continuar, lo que ayuda a romper el «hechizo» de la ingeniería social del estafador y a interrumpir la falsa sensación de urgencia y pánico que se suele utilizar para manipularte para que cometas una estafa». La función es compatible con dispositivos Android 11+.

En un ataque de ransomware de Qilin en septiembre de 2025, que antes no estaba documentado, se utilizó un empaquetador de malware para Windows llamado TangleCrypt para ocultar cargas maliciosas, como el asesino STONESTOP EDR, mediante el uso del TRABAJADOR DEL ABISMO controlador como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD) para cerrar por la fuerza los productos de seguridad instalados en el dispositivo. «La carga útil se almacena dentro de los recursos de PE mediante varias capas de codificación base64, compresión LZ78 y cifrado XOR», con Secure dijo . «El cargador admite dos métodos para lanzar la carga útil: en el mismo proceso o en un proceso secundario. El método elegido se define mediante una cadena anexada a la carga útil integrada. Para dificultar el análisis y la detección, utiliza algunas técnicas comunes, como el cifrado de cadenas y la resolución dinámica de importaciones, pero se descubrió que todas ellas eran relativamente fáciles de eludir. Aunque la empacadora tiene un diseño interesante en general, hemos identificado varios defectos en la implementación del cargador que pueden provocar que la carga se bloquee o muestre otro comportamiento inesperado».

Let's Encrypt ha anunciado oficialmente sus planes para reducir el período máximo de validez de sus certificados SSL/TLS de 90 a 45 días. La transición, que se completará en 2028, se alinea con los cambios más amplios del sector exigidos por los requisitos básicos del CA/Browser Forum. «Reducir la validez de los certificados ayuda a mejorar la seguridad de Internet, ya que limita el alcance de los riesgos y hace que las tecnologías de revocación de certificados sean más eficientes», Let's Encrypt dijo . «También estamos reduciendo el período de reutilización de las autorizaciones, que es el tiempo que permitimos emitir certificados para ese dominio después de validar el control del dominio. Actualmente es de 30 días, que se reducirá a 7 horas en 2028».

Se ha publicado una extensión maliciosa de Visual Studio Code (VS Code) llamada «prettier-vscode-plus» en el mercado oficial de VS Code, que se hace pasar por el formateador legítimo de Prettier. El ataque comienza con un programa de creación de scripts de Visual Basic diseñado para ejecutar un script de PowerShell incorporado para extraer las cargas útiles de la siguiente fase. «La extensión sirvió como punto de entrada para una cadena de malware en varias etapas, empezando por el cargador Anivia, que descifraba y ejecutaba las cargas útiles adicionales en la memoria», Hunt.io dijo . «OctoRAT, la carga útil de la tercera etapa lanzada por el cargador Anivia, proporcionaba un acceso remoto completo, que incluía más de 70 comandos para la vigilancia, el robo de archivos, el control remoto del escritorio, la persistencia, la escalada de privilegios y el acoso». Algunos aspectos del ataque fueron divulgado el mes pasado por Checkmarx.

Las agencias de ciberseguridad e inteligencia de Australia, Canadá, Alemania, los Países Bajos, Nueva Zelanda, el Reino Unido y los EE. UU. publicado nuevas directrices para la integración segura de la inteligencia artificial (IA) en entornos de tecnología operativa (OT). Los principios clave incluyen educar al personal sobre los riesgos de la IA y sus impactos, evaluar los casos empresariales, implementar marcos de gobierno para garantizar el cumplimiento de la normativa y mantener la supervisión, teniendo en cuenta la seguridad y la protección. «Este tipo de coordinación es poco frecuente y demuestra la importancia de este problema», afirma Floris Dankaart, director principal de productos de detección y respuesta ampliadas gestionadas de NCC Group. «Es igualmente importante que la mayoría de las directrices sobre inteligencia artificial se refieran a la TI, no a la OT (los sistemas que mantienen en funcionamiento las redes eléctricas, el tratamiento del agua y los procesos industriales). Resulta alentador y necesario ver que los reguladores reconocen los riesgos específicos de la OT y proporcionan principios prácticos para integrar la IA de forma segura en estos entornos».

El gobierno indio ha revelado que las autoridades locales han detectado falsificaciones e interferencias del GPS en ocho aeropuertos principales, incluidos los de Delhi, Calcuta, Amritsar, Bombay, Hyderabad, Bangalore y Chennai. Sin embargo, el ministro de Aviación Civil, Ram Mohan Naidu Kinjarapu, no proporcionó ningún detalle sobre el origen de la suplantación o interferencia, pero señaló que los incidentes no causaron ningún daño. «Para mejorar la ciberseguridad frente a las amenazas globales, la AAI [Autoridad Aeroportuaria de la India] está implementando soluciones avanzadas de ciberseguridad para las redes e infraestructuras de TI», dijo Naidu dijo .

El segundo ataque a la cadena de suministro de Shai-Hulud atacar el registro de npm expuso alrededor de 400 000 secretos sin procesar únicos tras comprometer más de 800 paquetes y publicar datos robados en 30 000 repositorios de GitHub. De estos, solo alrededor del 2,5% están verificados. «El vector de infección dominante es el paquete @postman /tunnel-agent-0.6.7, y @asyncapi /specs-6.8.3 es el segundo más frecuente», explica Wiz dijo . «Estos dos paquetes representan más del 60% del total de infecciones. PostHog, que proporcionó un autopsia detallada del incidente, se cree que es el «paciente cero» de la campaña. El ataque se debió a una falla en la configuración del flujo de trabajo de CI/CD que permitía que el código malicioso de una solicitud de extracción se ejecutara con los privilegios suficientes para capturar secretos de gran valor. «En este momento, se ha confirmado que el vector de acceso inicial de este incidente fue el abuso de pull_request_target mediante una solicitud de PWN», añadió Wiz. Se ha descubierto que el gusano autorreplicante roba credenciales de la nube y las usa para «acceder a los servicios de administración de secretos nativos de la nube», además de liberar código destructivo que borra los datos de los usuarios si el gusano no logra propagarse más.

Michael Clapsis, un australiano de 44 años, ha sido condenado a más de siete años de prisión por establecer puntos de acceso Wi-Fi falsos para robar datos personales. El acusado, que era cargado en junio de 2024, instaló puntos de acceso Wi-Fi gratuitos falsos en los aeropuertos de Perth, Melbourne y Adelaida durante varios vuelos nacionales y en el trabajo. Se desplegó redes gemelas malvadas para redirigir a los usuarios a páginas de suplantación de identidad y capturar credenciales, utilizando posteriormente la información para acceder a cuentas personales y recopilar fotos y vídeos íntimos de mujeres. Clapsis también pirateó a su empleador en abril de 2024 y accedió a los correos electrónicos entre su jefe y la policía tras su detención. La investigación se inició ese mes después de que un empleado de una aerolínea descubriera una red Wi-Fi sospechosa durante un vuelo doméstico. «El hombre usó un dispositivo portátil de acceso inalámbrico, también conocido como Wi-Fi Pineapple, para escuchar pasivamente las solicitudes de sondeo del dispositivo», informó la Policía Federal Australiana (AFP) dijo . «Al detectar una solicitud, el Wi-Fi Pineapple crea instantáneamente una red coincidente con el mismo nombre, engañando al dispositivo haciéndole creer que es una red confiable. De este modo, el dispositivo se conectaría automáticamente».

Las autoridades de Corea del Sur han arrestado cuatro personas, que se cree trabajaban de forma independiente, por hackear colectivamente más de 120.000 cámaras de protocolo de Internet. Se dice que tres de los sospechosos han tomado las imágenes grabadas desde casas particulares e instalaciones comerciales, incluida una clínica de ginecólogo , y creó cientos de materiales de explotación sexual para venderlos a un sitio extranjero para adultos (denominado «Sitio C»). Además, tres personas que compraron ese contenido ilegal en el sitio web ya han sido detenidas y se enfrentan a penas de hasta tres años de prisión.

Un análisis de unos 5,6 millones de repositorios públicos en GitLab ha revelada más de 17,000 secretos en vivo verificados, según TruffleHog. Las credenciales de Google Cloud Platform (GCP) fueron el tipo de secreto que más se filtró en los repositorios de GitLab, seguidas de MongoDB, Telegram bots, OpenAI, OpenWeather, SendGrid y Amazon Web Services. Los 17 430 secretos filtrados pertenecían a 2804 dominios únicos, y el primer secreto válido data del 16 de diciembre de 2009.

La alianza cibercriminal conocida como Cazadores de LAPSUS$ dispersos se ha observado que persiguen a los servidores de Zendesk para robar datos corporativos que pueden utilizar para operaciones de rescate. ReliaQuest dijo que había detectado más de 40 dominios con errores tipográficos y suplantando la identidad de los entornos de Zendesk. «Algunos de los dominios alojan páginas de suplantación de identidad con portales falsos de inicio de sesión único (SSO) diseñados para robar credenciales y engañar a los usuarios», dijo . «También tenemos pruebas que sugieren que los tickets fraudulentos se envían directamente a los portales legítimos de Zendesk operados por organizaciones que utilizan la plataforma para el servicio de atención al cliente. Estos envíos falsos están diseñados para atacar al personal de soporte y servicio de asistencia, infectándolo con troyanos de acceso remoto (RAT) y otros tipos de malware». Si bien los patrones de infraestructura apuntan al conocido grupo de ciberdelincuencia, ReliaQuest dijo que no se podía descartar la posibilidad de que se tratara de imitadores inspirados en el éxito del grupo.

Cato Networks ha demostrado que es posible aprovechar los Claude Skills , que permite a los usuarios crear y compartir módulos de código personalizados que amplían las capacidades del chatbot de IA para ejecutar un ataque de ransomware MedusaLocker. La prueba muestra «cómo una habilidad confiable puede desencadenar un comportamiento real de ransomware de principio a fin en el mismo contexto de aprobación», según la empresa dijo . «Como las habilidades se pueden compartir libremente a través de repositorios públicos y canales sociales, una habilidad convincente de «productividad» podría propagarse fácilmente mediante la ingeniería social, convirtiendo una función diseñada para ampliar las capacidades de la IA en un vector de distribución de malware». Sin embargo, Anthropic ha respondido a la prueba de concepto (PoC) afirmando que la función está diseñada por diseño y añadiendo que «las habilidades están diseñadas intencionalmente para ejecutar código» y que se pregunta y advierte explícitamente a los usuarios antes de ejecutar una habilidad. Cato Networks ha argumentado que la principal preocupación es confiar en la habilidad. «Una vez que se aprueba una habilidad, obtiene permisos permanentes para leer y escribir archivos, descargar o ejecutar código adicional y abrir conexiones salientes, todo ello sin más indicaciones ni visibilidad», señaló. «Esto crea una brecha de consentimiento: los usuarios aprueban lo que ven, pero los ayudantes ocultos pueden seguir realizando acciones delicadas entre bastidores».

Se ha observado que un cargador.NET utiliza técnicas esteganográficas para entregar varios troyanos de acceso remoto, como Quasar RAT y Loki Bot . El cargador, según Splunk, se disfraza de documento empresarial legítimo para engañar a los usuarios para que descompriman y abran el archivo. Una vez lanzado, descifra y carga un módulo adicional directamente en el espacio de memoria asignado al proceso. Loki Bot «Se dirige principalmente a Windows (y a las variantes posteriores de Android), ya que recopila credenciales de navegadores y aplicaciones, carteras de criptomonedas y pulsaciones de teclas, y puede proporcionar puertas traseras para más cargas útiles», afirma Splunk.

Deep Instinct ha analizado un binario de 64 bits vinculado a un grupo de hackers conocido como Mantícora Nimbus . Está compilado con Microsoft Visual C/C++ y Microsoft Linker. El malware, además de ofrecer capacidades avanzadas para cargar de forma dinámica componentes adicionales durante el tiempo de ejecución y ocultarse de las herramientas de análisis estático, intenta moverse lateralmente por la red y obtener un acceso elevado. «Este malware no se conforma con instalarse en una sola máquina comprometida», afirma la empresa dijo . «Quiere expandirse, obtener acceso administrativo y posicionarse para lograr el máximo impacto en toda su infraestructura».

Se ha descubierto que los actores de amenazas se hacen pasar por personal de TI en ataques de ingeniería social a través de Microsoft Teams para contactar a las víctimas y engañarlas para que instalen Quick Assist tras proporcionar sus credenciales en un enlace de suplantación de identidad compartido en la plataforma de mensajería. También se ejecutaron órdenes de reconocimiento, mando y control (C2) y de exfiltración de datos, así como para eliminar lo que parecía ser un ladrón de información compilado por Python. Sin embargo, el aspecto más destacable del ataque es que aprovecha la función de acceso de invitados de Teams para enviar invitaciones. «El 4 de noviembre de 2025, se observó una actividad sospechosa en el entorno de un cliente a través de la función «Chatea con cualquier persona» de Microsoft Teams, que permite enviar mensajes directos a usuarios externos a través de direcciones de correo electrónico», CyberProof dijo . «Un usuario externo (mostafa.s@dhic.edu [.] por ejemplo) se puso en contacto con el usuario en Teams y afirmó que era del departamento de soporte de TI».

Se ha utilizado un descargador de C++ llamado Matanbuchus en las campañas que distribuyen el ladrón de información Rhadamanthys y el NetSupport RAT. Este malware, que se detectó por primera vez en 2020, está diseñado principalmente para descargar y ejecutar cargas útiles de segunda fase. La versión 3.0 de Matanbuchus fue identificados en estado salvaje en julio de 2025. «En la versión 3.0, el desarrollador del malware agregó Protocol Buffers (Protobufs) para serializar los datos de comunicación de red», dijo Zscaler dijo . «Matanbuchus implementa una serie de técnicas de ofuscación para evitar la detección, como agregar código basura, cadenas cifradas y resolver las funciones de la API de Windows mediante hash. Entre las funciones antianálisis adicionales se incluyen una fecha de caducidad codificada que impide que Matanbuchus funcione indefinidamente y establece la persistencia mediante el código shell descargado que crea una tarea programada».