Boletín Threatday: alertas de spyware, ataques ...

Una nueva variante de la botnet Mirai denominada Broadside ha estado explotando una vulnerabilidad de gravedad crítica en el DVR TBK ( CVE-2024-3721 ) en ataques dirigidos contra el sector de la logística marítima. «A diferencia de las variantes anteriores del Mirai, Broadside emplea un protocolo C2 personalizado, un sistema exclusivo de «Magic Header; signature» y un módulo avanzado de «juez, jurado y verdugo» para garantizar la exclusividad», Cydome dijo . «Técnicamente, difiere del Mirai estándar al utilizar los sockets del núcleo de Netlink para supervisar los procesos de forma sigilosa y basada en eventos (sustituyendo a los ruidosos sondeos del sistema de archivos) y empleando el polimorfismo de carga útil para evadir las defensas estáticas». En concreto, trata de mantener el control exclusivo sobre el host mediante la finalización de otros procesos que coincidan con patrones de ruta específicos, no pasen las comprobaciones internas o que ya hayan sido clasificados como hostiles. Broadside va más allá de los ataques de denegación de servicio, ya que intenta recopilar los archivos de credenciales del sistema (/etc/passwd y /etc/shadow) con el objetivo de establecer una posición estratégica en los dispositivos comprometidos. Mirai es una formidable red de bots que ha generado varias variantes desde que se filtró su código fuente en 2016.

Centro Nacional de Ciberseguridad del Reino Unido dijo las inyecciones rápidas, que se refieren a las fallas en las aplicaciones de inteligencia artificial generativa (GenAI) que les permiten analizar instrucciones maliciosas para generar contenido que de otro modo no sería posible, «nunca se mitigarán adecuadamente» y que es importante crear conciencia sobre el tipo de vulnerabilidad, así como diseñar sistemas que «restrinjan las acciones del sistema, en lugar de simplemente intentar evitar que el contenido malicioso llegue al LLM».

El Grupo de Trabajo Operativo (OTF) GRIMM de Europol ha arrestado a 193 personas y ha desarticulado las redes delictivas que han impulsado el crecimiento de la violencia como servicio (VaaS). El grupo de trabajo se creó en abril de 2025 para combatir esta amenaza, que consiste en reclutar a delincuentes jóvenes e inexpertos para que cometan actos violentos. «Estas personas son preparadas o coaccionadas para que cometan una serie de delitos violentos, desde actos de intimidación y tortura hasta asesinatos», dijo Europol dijo . Se afirma que muchos de los delincuentes involucrados en los planes son miembros de The Com, un colectivo poco unido compuesto principalmente por personas de habla inglesa que participan en ciberataques, intercambios de tarjetas SIM, extorsión y violencia física.

Las fuerzas del orden polacas arrestaron a tres ciudadanos ucranianos por presuntamente intentar dañar los sistemas de TI del país utilizando equipos de hackeo especializados después de que su vehículo fuera detenido e inspeccionado. Han sido acusados de fraude, fraude informático y de adquisición de equipos y programas informáticos adaptados para cometer delitos, incluido el daño a datos informáticos de especial importancia para la defensa del país. «Los agentes registraron minuciosamente el interior del vehículo. Encontraron objetos sospechosos que incluso podían usarse para interferir con los sistemas informáticos estratégicos del país e irrumpir en las redes informáticas y de telecomunicaciones», dijeron las autoridades dijo . «Durante la investigación, los agentes incautaron un detector de dispositivos espía, un equipo avanzado de hackeo Flipper, antenas, computadoras portátiles, una gran cantidad de tarjetas SIM, enrutadores, discos duros portátiles y cámaras». Los tres hombres, de entre 39 y 43 años, afirmaron ser científicos informáticos y «estaban visiblemente nerviosos», pero no explicaron las razones por las que llevaban esas herramientas en primer lugar y fingieron no entender lo que se les decía, dijeron las autoridades.

La Policía Nacional de España ha detenido a un presunto hacker de 19 años en Barcelona, por presuntamente robar e intentar vender 64 millones de registros obtenidos de infracciones en nueve empresas. Se dice que el acusado usó seis cuentas en línea y cinco seudónimos para anunciar y vender las bases de datos robadas. El adolescente enfrenta cargos relacionados con la participación en delitos cibernéticos, el acceso no autorizado y la divulgación de datos privados y violaciones de la privacidad. «El ciberdelincuente accedió a nueve empresas diferentes, donde obtuvo millones de registros personales privados que luego vendió en línea», dijeron las autoridades supuesto . En un acontecimiento relacionado, los oficiales de policía ucranianos anunciado la detención de un ciberdelincuente de 22 años que utilizó un malware personalizado que creó de forma independiente para hackear automáticamente las cuentas de los usuarios en las redes sociales y otras plataformas. Posteriormente, las cuentas comprometidas se vendieron en foros de piratas informáticos. La mayoría de las víctimas residían en EE. UU. y en varios países europeos. El residente de Bukovyn también está acusado de administrar una granja de bots con más de 5000 perfiles en varias redes sociales para implementar varios esquemas y transacciones clandestinas.

Policía rusa dijo han desmantelado una empresa delictiva que robó millones a clientes bancarios del país utilizando un malware basado en Puerta NFC , una herramienta legítima de código abierto que los ciberdelincuentes de todo el mundo explotan cada vez más. Con ese fin, tres sospechosos han sido arrestados por distribuir malware compatible con NFC a través de WhatsApp y Telegram, disfrazándolo de software de bancos legítimos. En primer lugar, se contactó a las víctimas por teléfono y se las persuadió para que instalaran una aplicación bancaria fraudulenta. Durante el falso proceso de «autorización», se las guió para que colocaran su tarjeta bancaria en la parte posterior de su smartphone e introdujeran su PIN, lo que permitió a los atacantes obtener las credenciales de las tarjetas y retirar fondos de los cajeros automáticos de cualquier parte del país sin la participación del titular de la tarjeta. Las pérdidas preliminares superan los 200 millones de rublos (unos 2,6 millones de dólares).

La falla de seguridad de React recientemente revelada ( React 2 Shell , también conocido como CVE-2025-55182) ha sido objeto de una explotación generalizada, incluso dirigida a dispositivos domésticos inteligentes, según Bitdefender . Estos incluyen enchufes inteligentes, teléfonos inteligentes, dispositivos NAS, sistemas de vigilancia, enrutadores, placas de desarrollo y televisores inteligentes. Se ha descubierto que estos ataques generan cargas útiles para las botnets Mirai y RondoDox. Se ha detectado una importante actividad de sondeo en Polonia, EE. UU., los Países Bajos, Irlanda, Francia, Hong Kong, Singapur, China y Panamá. Esto indica una «amplia participación mundial en la explotación oportunista», afirmó la empresa. La empresa de inteligencia de amenazas GreyNoise dijo observó 362 direcciones IP únicas en aproximadamente 80 países que intentaban ser explotadas el 8 de diciembre de 2025. «Las cargas útiles observadas se dividen en grupos distintos: mineros, redes de bots de doble plataforma, actores de VPN enmascarados con el uso de OPSec y clústeres que solo utilizan el reconocimiento», añadía.

Los investigadores de ciberseguridad han descubierto una puerta trasera de Linux previamente indocumentada llamada GhostPenguin. Se trata de una puerta trasera con varios subprocesos escrita en C++ que puede recopilar información del sistema, como la dirección IP, la puerta de enlace, la versión del sistema operativo, el nombre de host y el nombre de usuario, y enviarla a un servidor de comando y control (C&C) durante la fase de registro. «A continuación, recibe y ejecuta los comandos del servidor de C&C. Los comandos compatibles permiten al malware proporcionar una consola remota a través de '/bin/sh' y realizar diversas operaciones con archivos y directorios, como crear, eliminar, cambiar el nombre, leer y escribir archivos, modificar las marcas de tiempo de los archivos y buscar archivos por extensión», Trend Micro dijo . «Toda la comunicación de C&C se produce a través del puerto UDP 53». El descubrimiento se produce cuando Elastic detalló una nueva técnica de conexión de llamadas al sistema denominada Interruptor plegable que se ha ideado a raíz de los cambios fundamentales introducidos en el kernel 6.9 de Linux para permitir que el malware oculte su presencia en los servidores infectados. «Las técnicas tradicionales de rootkit se basaban en la manipulación directa de las tablas de llamadas del sistema, pero los núcleos modernos han pasado a utilizar un mecanismo de distribución basado en comandos de conmutación», explica Remco Sprooten, investigador de seguridad dijo . «En lugar de modificar la tabla syscall, localiza y corrige instrucciones de llamada específicas dentro de la función de envío del kernel. Este enfoque permite una conexión precisa y fiable, y todos los cambios se revierten por completo cuando se descarga el módulo».

Evan Tangeman, un residente de California de 22 años, se declaró culpable de los cargos de conspiración de RICO tras ser acusado de comprar viviendas y lavar 3,5 millones de dólares en nombre de una banda criminal que robó criptomonedas mediante planes de ingeniería social. «La empresa comenzó a más tardar en octubre de 2023 y continuó al menos hasta mayo de 2025. Surgió de amistades forjadas en plataformas de juegos en línea y estaba formada por personas que vivían en California, Connecticut, Nueva York, Florida y en el extranjero», dijo el Departamento de Justicia (DoJ) dijo . «Tangeman blanqueaba dinero para un grupo que también incluía piratas informáticos de bases de datos, organizadores, identificadores de objetivos, personas que llamaban y ladrones residenciales que atacaban carteras de dinero virtual de hardware». Los miembros del grupo eran cobrado anteriormente con el robo de criptomonedas por valor de más de 263 millones de dólares a una víctima en Washington, D.C.

Apple y Google han enviado una nueva ronda de notificaciones de software espía a usuarios de casi 80 países, según un informe de Reuters. Actualmente no hay detalles sobre el tipo de software espía con el que fueron atacadas las víctimas. Ninguna de las empresas proporcionó información sobre el número de usuarios atacados ni sobre quiénes pensaban que estaban detrás de las iniciativas de vigilancia.

La Comisión Europea ha aprobado una propuesta de Meta para dar a los usuarios de Instagram y Facebook la opción de compartir menos datos personales y ver menos anuncios personalizados. La nueva opción entrará en vigor en enero de 2026. «Meta ofrecerá a los usuarios la opción efectiva entre dar su consentimiento para compartir todos sus datos y ver publicidad totalmente personalizada, y optar por compartir menos datos personales para disfrutar de una experiencia con una publicidad personalizada más limitada», según la Comisión dijo . La medida se produce después de que el gigante de las redes sociales fuera multado con 200 millones de euros en abril de 2025 (entonces 227 millones de dólares) por infringir la Ley de Mercados Digitales (DMA) del bloque por la elección binaria permite a los usuarios de la UE pagar para acceder a las versiones sin anuncios de las plataformas o aceptar que se les rastree a cambio de anuncios segmentados. En un post publicado la semana pasada, la organización sin fines de lucro austriaca None of Your Business (noyb) publicado una encuesta que decía que «cuando hay una opción de 'pago', 'consentimiento' y 'publicidad, pero sin rastrear', [...] 7 de cada 10 personas eligen la opción de 'publicidad, pero sin rastrear'».

El Centro Nacional de Ciberseguridad (NCSC) de Nueva Zelanda dijo que está notificando a unos 26 000 usuarios que se han infectado con Ladrón de luma , en lo que describió como la primera divulgación pública a gran escala. «El software malintencionado está diseñado para robar información confidencial, como direcciones de correo electrónico y contraseñas, de dispositivos, normalmente con fines de fraude o robo de identidad», dijo . «El uso de Lumma Stealer y otro malware similar por parte de los ciberdelincuentes es un problema internacional continuo».

Notepad++ ha publicado la versión 8.8.9 para corregir una falla crítica en el editor de texto y código fuente de código fuente de código abierto para Windows. Este error, según el investigador de seguridad Kevin Beaumont, estaba siendo abusado por parte de actores de amenazas en China para secuestrar el tráfico desde WingUp (el actualizador de Notepad++), lo redirige a servidores maliciosos y, a continuación, engaña a las personas para que descarguen malware. «Verifique el certificado y la firma en el instalador de actualizaciones descargado», dice el notas de lanzamiento para la versión 8.8.9. «La revisión de los informes permitió identificar una debilidad en la forma en que el actualizador valida la integridad y la autenticidad del archivo de actualización descargado», mantienen Notepad++ dijo . «Si un atacante logra interceptar el tráfico de red entre el cliente del actualizador y la infraestructura de actualizaciones de Notepad++, puede aprovechar esta debilidad para pedirle al actualizador que descargue y ejecute un archivo binario no deseado (en lugar del archivo binario de actualización legítimo de Notepad++)».

Un nuevo informe de Kaspersky que examina más de 800 canales de Telegram bloqueados que existieron entre 2021 y 2024 ha revelada que «la vida útil media de un canal paralelo de Telegram aumentó de cinco meses en 2021-2022 a nueve meses en 2023-2024». La aplicación de mensajería también parece estar bloqueando cada vez más los canales centrados en la ciberdelincuencia desde octubre de 2024, lo que ha llevado a los actores de amenazas a migrar a otras plataformas.

El Reino Unido ha impuesto nuevas sanciones contra varios rusa y chino organizaciones acusadas de socavar a Occidente mediante ciberataques y operaciones de influencia. Las acciones se dirigen a dos entidades chinas, I-Pronto y el Grupo de Tecnología de Integridad (también conocido como Flax Typhoon), así como un canal de Telegram Ryber y su copropietario, Mikhail Zvinchuk, una organización llamada Pravfond se cree que es una tapadera para el GRU y el Centro de Experiencia Geopolítica, un centro de estudios con sede en Moscú fundado por Aleksandr Dugin. «I-Soon e Integrity Tech son ejemplos de la amenaza que representa la industria cibernética en China, que incluye a las empresas de seguridad de la información, los intermediarios de datos (que recopilan y venden datos personales) y los «piratas informáticos a sueldo», afirmó el gobierno del Reino Unido. «Algunas de estas empresas prestan servicios cibernéticos a los servicios de inteligencia chinos».

Un nuevo análisis de Sonatype ha revelado que alrededor del 13% de todas las descargas de Log4j en 2025 son susceptibles a Log4Shell. «Solo en 2025, hubo casi 300 millones de descargas totales de Log4j», la empresa de seguridad de la cadena de suministro dijo . «De ellas, alrededor del 13% (aproximadamente 40 millones de descargas) seguían siendo versiones vulnerables. Dado que las alternativas seguras llevan casi cuatro años disponibles, cada una de esas descargas vulnerables representa un riesgo que podría haberse evitado». China, Estados Unidos, India, Japón, Brasil, Alemania, el Reino Unido, Canadá, Corea del Sur y Francia representaron una gran parte de las descargas vulnerables.

Según se informa, el gobierno indio está revisando una propuesta de la industria de las telecomunicaciones para obligar a las empresas de teléfonos inteligentes a permitir el rastreo de ubicación por satélite, que siempre está activado para una mejor vigilancia, sin que los usuarios tengan la opción de deshabilitarlo, según Reuters revelada . La idea es obtener ubicaciones precisas cuando se hacen solicitudes legales a las empresas de telecomunicaciones durante las investigaciones, agregó la agencia de noticias. Apple, Google y Samsung se han opuesto a la medida. Amnistía Internacional ha llamada el plan es «profundamente preocupante».

Se ha observado un «aumento concentrado» de más de 7.000 direcciones IP que intentan iniciar sesión en los portales GlobalProtect de Palo Alto Networks. La actividad, que se originó en la infraestructura gestionada por 3xK GmbH, se observó el 2 de diciembre de 2025. GreyNoise dijo la ola de diciembre comparte tres huellas dactilares idénticas de clientes con un ola anterior observado entre finales de septiembre y mediados de octubre. La empresa de inteligencia de amenazas dijo que un día después también había registrado un aumento en el número de escaneos realizados en los terminales de la API SonicWall SonicOS. Ambas oleadas de ataques se han atribuido al mismo actor de amenazas.

Un nuevo análisis de Sonatype ha revelado que alrededor del 13% de todas las descargas de Log4j en 2025 son susceptibles a Log4Shell. «Solo en 2025, hubo casi 300 millones de descargas totales de Log4j», la empresa de seguridad de la cadena de suministro dijo . «De ellas, alrededor del 13% (aproximadamente 40 millones de descargas) seguían siendo versiones vulnerables. Dado que las alternativas seguras llevan casi cuatro años disponibles, cada una de esas descargas vulnerables representa un riesgo que podría haberse evitado». China, Estados Unidos, India, Japón, Brasil, Alemania, el Reino Unido, Canadá, Corea del Sur y Francia representaron una gran parte de las descargas vulnerables.

Según se informa, el gobierno indio está revisando una propuesta de la industria de las telecomunicaciones para obligar a las empresas de teléfonos inteligentes a permitir el rastreo de ubicación por satélite, que siempre está activado para una mejor vigilancia, sin que los usuarios tengan la opción de deshabilitarlo, según Reuters revelada . La idea es obtener ubicaciones precisas cuando se hacen solicitudes legales a las empresas de telecomunicaciones durante las investigaciones, agregó la agencia de noticias. Apple, Google y Samsung se han opuesto a la medida. Amnistía Internacional ha llamada el plan es «profundamente preocupante».

Se ha observado un «aumento concentrado» de más de 7.000 direcciones IP que intentan iniciar sesión en los portales GlobalProtect de Palo Alto Networks. La actividad, que se originó en la infraestructura gestionada por 3xK GmbH, se observó el 2 de diciembre de 2025. GreyNoise dijo la ola de diciembre comparte tres huellas dactilares idénticas de clientes con un ola anterior observado entre finales de septiembre y mediados de octubre. La empresa de inteligencia de amenazas dijo que un día después también había registrado un aumento en el número de escaneos realizados en los terminales de la API SonicWall SonicOS. Ambas oleadas de ataques se han atribuido al mismo actor de amenazas.

Los investigadores de ciberseguridad han advertido sobre una nueva campaña que utiliza un torrente falso para One Battle After Another, película protagonizada por Leonardo DiCaprio, como plataforma de lanzamiento para una compleja cadena de infecciones que cae Agente Tesla malware. «En lugar del archivo de vídeo esperado, los usuarios descargan, sin saberlo, una recopilación de scripts y archivos de imágenes de PowerShell que forman un agente de comando y control (C2) residente en la memoria, también conocido como troyano (RAT — Remote Access Trojan) con el nombre de Agent Tesla», Bitdefender dijo . «Este tipo de malware está diseñado con un único propósito: proporcionar a los atacantes un acceso sin restricciones al ordenador Windows de la víctima». El ataque forma parte de una tendencia creciente de incrustar malware en archivos multimedia falsos. A principios de mayo, se utilizó un cebo para Mission: Impossible — The Final Reckoning para untar Ladrón de lumma.

Un nuevo estudio de Flare descubrió que más de 10 000 imágenes de contenedores de Docker Hub muestran las credenciales de los sistemas de producción, las bases de datos de CI/CD o las claves de modelos de lenguaje grandes (LLM). «El 42% de las imágenes expuestas contenían cinco o más secretos cada una, lo que significa que un solo contenedor podría desbloquear todo un entorno de nube, una canalización de CI/CD y una base de datos», dijo la empresa dijo . «Las claves del modelo LLM de IA fueron las credenciales que se filtraron con más frecuencia, con casi 4.000 expuestas, lo que revela la rapidez con la que la adopción de la IA ha superado los controles de seguridad». La exposición representa riesgos graves, ya que permite el acceso total a los entornos de nube, los repositorios de Git, los sistemas de CI/CD, las integraciones de pagos y otros componentes fundamentales de la infraestructura.

Se han identificado hasta 19 extensiones de Microsoft Visual Studio Code (VS Code) en el Marketplace oficial, y la mayoría de ellas incluyen un archivo malicioso que se hace pasar por una imagen PNG. La campaña, activa desde febrero de 2025, se descubrió la semana pasada. «Los archivos maliciosos abusaron de un paquete npm legítimo [path-is-absolute] para evitar que los detectaran y crearon un archivo que contenía archivos binarios maliciosos que se hacían pasar por una imagen: un archivo con extensión PNG», dijo Petar Kirhmajer, investigador de ReversingLabs dijo . «Para esta última campaña, el actor de amenazas la modificó añadiendo algunos archivos maliciosos. Sin embargo, es importante tener en cuenta que estos cambios en el paquete solo están disponibles cuando se instala localmente a través de las 19 extensiones maliciosas y, de hecho, no forman parte del paquete alojado en npm». El efecto neto es que el paquete armado se usa para lanzar el ataque tan pronto como se usa una de las extensiones maliciosas y se lanza VS Code. El objetivo principal del código malicioso es decodificar lo que parece ser un archivo PNG (» banner.png «), pero que, en realidad, es un archivo que contiene dos archivos binarios que se ejecutan con el binario" cmstp.exe "(lolBin) que se ejecuta mediante un cuentagotas de JavaScript. «Uno de estos binarios es responsable de cerrar el LolBin emulando la pulsación de una tecla, mientras que el otro binario es un troyano de Rust más complicado», afirma ReversingLabs. Desde entonces, Microsoft ha eliminado las extensiones del Marketplace.

Check Point Research dijo que pudo aplicar ingeniería inversa al backdoor de ValleyRAT (también conocido como Winos o Winos4.0) y sus complementos al examinar un constructor filtrado públicamente y su estructura de desarrollo. «El análisis revela las habilidades avanzadas de los desarrolladores de ValleyRAT, lo que demuestra un conocimiento profundo del núcleo de Windows y los componentes internos del modo usuario, y unos patrones de codificación consistentes que sugieren que se trata de un equipo pequeño y especializado», la empresa de ciberseguridad dijo . «El 'complemento de controlador' contiene un rootkit integrado en modo kernel que, en algunos casos, conserva las firmas válidas y se puede cargar en sistemas Windows 11 completamente actualizados, sin pasar por alto las funciones de protección integradas». En concreto, el complemento facilita la instalación sigilosa de los controladores, la inyección de códigos de shell en modo usuario mediante APC y la eliminación forzosa de los controladores AV/EDR. El rootkit se basa en el proyecto de código abierto Hidden, disponible al público. Uno de los otros complementos es un módulo de inicio de sesión que está diseñado para cargar componentes adicionales desde un servidor externo. ValleyRat se atribuye a un grupo de ciberdelincuencia chino conocido como Zorro plateado . Entre noviembre de 2024 y noviembre de 2025 se detectaron aproximadamente 6.000 muestras relacionadas con ValleyRat en estado salvaje, además de 30 variantes distintas del generador ValleyRat y 12 variantes del controlador de rootkit.

En un nueva campaña , los actores de amenazas están abusando de la posibilidad de compartir chats en OpenAI ChatGPT y Grok para mostrarlos en los resultados de búsqueda, ya sea mediante publicidad maliciosa o envenenamiento por optimización de motores de búsqueda (SEO), para engañar a los usuarios para que instalen ladrones como AMOS Stealer cuando buscan «el sonido no funciona en macOS», «espacio libre en disco en macOS» o ChatGPT Atlas en motores de búsqueda como Google. El sesiones de chat se comparten bajo la apariencia de guías de instalación o solución de problemas e incluyen instrucciones tipo ClickFix para iniciar el terminal y pegar un comando para solucionar los problemas a los que se enfrenta el usuario. «Los atacantes están utilizando sistemáticamente múltiples plataformas de IA como armas para envenenar el SEO, y no se limitan a una sola plataforma, página o consulta de IA, lo que garantiza que las víctimas reciben instrucciones engañosas independientemente de la herramienta en la que confíen», dijo Huntress dijo . «En lugar de eso, aparecen de forma orgánica múltiples conversaciones al estilo de la IA a través de términos de búsqueda estándar, cada uno de los cuales apunta a las víctimas hacia el mismo ladrón de macOS en varias etapas». La noticia se produce en un momento en el que plataformas como itch.io y Patreon están siendo utilizadas por actores de amenazas para distribuir Lumma Stealer. «Las cuentas de Itch.io recién creadas envían comentarios de spam en diferentes juegos legítimos, con plantillas de mensajes de texto que muestran enlaces de Patreon a supuestas actualizaciones del juego», G DATA dijo . Estos enlaces dirigen a archivos ZIP que contienen un ejecutable malintencionado compilado con nexo y ejecuta seis niveles de comprobaciones antianálisis antes de eliminar el malware ladrón.