Boletín Threatday: cargadores sigilosos, chatbo...

Los malos actores están aprovechando una herramienta de monitoreo de código abierto llamada Nezha para obtener acceso remoto a los hosts comprometidos. Su capacidad para permitir a los administradores ver el estado del sistema, ejecutar comandos, transferir archivos y abrir sesiones de terminal interactivas también lo convierte en una opción atractiva para los actores de amenazas. En un incidente investigado de Ontinue, la herramienta se implementó como una herramienta de acceso remoto posterior a la explotación mediante un script bash, mientras apuntaba a un panel remoto alojado en la infraestructura de Alibaba Cloud ubicada en Japón. «La militarización de Nezha refleja una estrategia de ataque moderna y emergente, en la que los atacantes abusan sistemáticamente del software legítimo para lograr la persistencia y el movimiento lateral, al tiempo que eluden las defensas basadas en firmas», afirma Mayuresh Dani, director de investigación de seguridad de Qualys. El uso indebido de Nezha forma parte de iniciativas más amplias en las que los atacantes utilizan herramientas legítimas para eludir la detección de firmas, combinarlas con las actividades habituales y reducir el esfuerzo de desarrollo.

Corea del Sur comenzará a exigir a las personas que se sometan al reconocimiento facial cuando registren un nuevo número de teléfono móvil en un intento por combatir las estafas y el robo de identidad, según el Ministerio de Ciencia y TIC. «Si comparamos la foto de una tarjeta de identidad con el rostro real del titular en tiempo real, podemos evitar por completo que se activen teléfonos registrados con un nombre falso utilizando identificaciones robadas o inventadas», afirma el ministerio dijo . La nueva política, que se aplica a SK Telecom, Korea Telecom y LG Uplus, y a otros operadores de redes virtuales móviles, entra en vigor el 23 de marzo, después de un piloto tras un juicio que comenzó esta semana . El Ministerio de Ciencia tiene enfatizado que no se almacenará ningún dato como parte de la nueva política. «Somos muy conscientes de que el público está preocupado por una serie de incidentes de hackeo en operadores móviles locales», dijo el ministerio. «Contrariamente a las preocupaciones planteadas por algunos, no se almacena ni guarda información personal, y se borra inmediatamente una vez que se verifica la identificación».

Los datos de ESET han revelado que las detecciones de malware para Android que abusan de la NFC aumentaron un 87% entre el primer y el segundo semestre de 2025. Este aumento se ha sumado a la creciente sofisticación del malware basado en la tecnología NFC, como la recolección de los contactos de las víctimas, la desactivación de la verificación biométrica y reuniendo Ataques NFC con funciones de troyanos de acceso remoto (RAT) y capacidades de sistema de transferencia automatizada (ATS). En estas campañas, se utilizan aplicaciones malintencionadas que distribuyen malware, como Tarjeta Phantom incitan a las víctimas a colocar su tarjeta de pago cerca del teléfono e introducir su PIN para la autenticación. En el proceso, la información capturada se transmite a los atacantes. «Las innovaciones recientes en el ámbito de la NFC demuestran que los actores de amenazas ya no confían únicamente en los ataques de retransmisión: están combinando la explotación de la NFC con capacidades avanzadas, como el acceso remoto y las transferencias automatizadas», explica ESET dijo . «La eficiencia de las estafas se ve impulsada aún más por la ingeniería social avanzada y las tecnologías que pueden eludir la verificación biométrica».

Los actores de amenazas ahora atacan a profesionales y estudiantes sin experiencia en el campo de la seguridad de la información con exploits falsos de prueba de concepto (PoC) para detectar fallos de seguridad, como el CVE-2025-59295, el CVE-2025-10294 y el CVE-2025-59230, con el fin de engañarlos para que instalen WebRat utilizando un archivo ZIP alojado en los repositorios. «Para generar confianza, prepararon cuidadosamente los repositorios e incorporaron información detallada sobre las vulnerabilidades en las descripciones», dijo Kaspersky dijo . Los repositorios incluyen secciones detalladas con descripciones generales de la vulnerabilidad, el impacto en el sistema, las guías de instalación, los pasos de uso e incluso consejos de mitigación. La coherencia del formato de un artículo profesional sobre PoC sugiere que las descripciones están generadas automáticamente para evitar ser detectadas. En el archivo ZIP hay un ejecutable llamado "rasmanesc.exe», que es capaz de aumentar los privilegios, deshabilitar Microsoft Defender y obtener WebRat de un servidor externo. Webrat es una puerta trasera que permite a los atacantes controlar el sistema infectado y robar datos de carteras de criptomonedas y cuentas de Telegram, Discord y Steam. También puede realizar funciones de software espía, como la grabación de pantalla, la vigilancia a través de una cámara web y un micrófono y el registro de teclas. WebRat es vendido por Equipo NYASH , que también anuncia DCrat.

Distribución de campañas Cargador de GU (también conocido como CloudEye) alcanzó un nuevo máximo entre septiembre y noviembre de 2025, según ESET , con el pico de detección más alto registrado en Polonia el 18 de septiembre. «CloudEye es un malware de varias etapas; el programa de descarga es la fase inicial y se propaga a través de scripts de PowerShell, archivos JavaScript y ejecutables del NSIS», afirma la empresa. «Luego descargan la siguiente fase, que contiene el componente de cifrado con la carga final prevista en su interior. Todas las etapas de CloudEye están muy confusas, lo que significa que son deliberadamente difíciles de detectar y analizar, ya que su contenido se comprime, cifra, codifica u oculta de otro modo».

Se han producido múltiples vulnerabilidades divulgado en el chatbot público de inteligencia artificial (IA) de Eurostar, que podría permitir eludir las barreras al aprovechar el hecho de que la interfaz transmite todo el historial de chats a la API y comprueba únicamente el último mensaje para garantizar que es seguro. Esto abre la puerta a una situación en la que un atacante podría manipular mensajes anteriores, lo que, al introducirlos en la API del modelo, provocaría que devolviera respuestas no deseadas mediante una inyección inmediata. Otros problemas identificados fueron la posibilidad de modificar los identificadores de los mensajes para que pudieran comprometer a varios usuarios, así como la posibilidad de introducir código HTML debido a la falta de validación de los datos introducidos. «Un atacante podría filtrar las indicaciones, dirigir las respuestas y ejecutar scripts en la ventana de chat», afirma Pen Test Partners. «La lección principal es que las antiguas debilidades de la web y las API siguen existiendo incluso cuando se está realizando un LLM». Algunas de estas vulnerabilidades se han solucionado desde entonces, pero no antes de que se iniciara un confuso proceso de divulgación, en el que el jefe de seguridad de Eurostar en LinkedIn acusó de chantajear a la empresa de pruebas de penetración tras preguntar: «¿Habría ayudado un simple acuse de recibo de la información de correo electrónico original?»

Un concurso de hackeo organizado por Wiz, zeroday.cloud, llevó al descubrimiento de 11 vulnerabilidades críticas de día cero que afectaban a los componentes fundamentales de código abierto utilizados en la infraestructura de nube crítica, incluidos los tiempos de ejecución de contenedores, la infraestructura de IA como vLLM y Ollama, y bases de datos como Redis, PostgreSQL y MariaDB. La falla más grave se descubrió en Linux. «La vulnerabilidad permite escapar de un contenedor, lo que a menudo permite a los atacantes escapar de un servicio en la nube aislado, dedicado a un usuario específico, y extenderse a la infraestructura subyacente que gestiona a todos los usuarios», explica Wiz dijo . «Esto rompe la promesa fundamental de la computación en nube: la garantía de que diferentes clientes que utilizan el mismo hardware permanezcan separados e inaccesibles entre sí. Esto refuerza aún más la idea de que los contenedores no deben ser la única barrera de seguridad en los entornos con varios usuarios».

Las organizaciones industriales y gubernamentales de Italia, Finlandia y Arabia Saudí son el objetivo de una nueva campaña de suplantación de identidad que utiliza un cargador de productos básicos para entregar una amplia gama de malware, como PureLogs, xWorm, Katz Stealer , CRAT y Remcos RAT. «Esta campaña utiliza técnicas avanzadas y emplea una amplia gama de vectores de infección, incluidos documentos de Office convertidos en armas ( CVE-2017-11882 ), archivos SVG maliciosos y archivos ZIP que contienen atajos de enlace», Cyble dijo . «A pesar de la variedad de métodos de entrega, todos los vectores aprovechan un cargador de productos unificado». El uso del cargador para distribuir una variedad de malware indica que es probable que el cargador sea compartido o vendido entre diferentes grupos de actores de amenazas. Un aspecto destacable de la campaña es el uso de técnicas esteganográficas para alojar archivos de imágenes en plataformas de distribución legítimas, lo que permite que el código malintencionado pase desapercibido en los sistemas de detección basados en archivos haciéndose pasar por tráfico benigno. Basándose en campañas similares detalladas por Sistemas Nextron y Escalador Z .

Microsoft ha anunciado que Teams habilitará automáticamente las funciones de seguridad de la mensajería de forma predeterminada, incluida la protección de tipos de archivos apta para armas, la protección de URL maliciosas y la notificación de detecciones incorrectas. El cambio se implementará a partir del 12 de enero de 2026 para los usuarios que no hayan modificado previamente la configuración de seguridad de la mensajería y sigan utilizando la configuración predeterminada. «Estamos mejorando la seguridad de la mensajería en Microsoft Teams al habilitar las principales protecciones de seguridad de forma predeterminada», dijo Microsoft dijo en una actualización del centro de mensajes de Microsoft 365. «Esta actualización ayuda a proteger a los usuarios del contenido malintencionado y ofrece opciones para denunciar las detecciones incorrectas». Además, el fabricante de Windows dijo que los administradores de seguridad podrán bloquear a los usuarios externos de Microsoft Teams a través de la lista de inquilinos permitidos o bloqueados del portal Microsoft Defender. Se espera que la función se lance a principios de enero de 2026 y se complete a mediados de enero. «Este enfoque centralizado mejora la seguridad y el cumplimiento al permitir a las organizaciones controlar el acceso de los usuarios externos a los servicios de Microsoft 365», afirma la empresa dijo .

Docker ha corregido una vulnerabilidad en Pregúntale a Gordon , su asistente de inteligencia artificial integrado en Docker Desktop y la CLI de Docker. La falla, descubierta por Pillar Security en la versión beta, consiste en un caso de inyección inmediata que permite a los atacantes secuestrar el asistente y extraer datos confidenciales envenenando los metadatos del repositorio de Docker Hub con instrucciones malintencionadas. Un atacante podría haber creado un repositorio malintencionado de Docker Hub que contenía instrucciones diseñadas para que la IA filtrara datos confidenciales cuando desarrolladores desprevenidos pedían al chatbot que describiera el repositorio. «Aprovechando la confianza que Gordon depositaba en el contenido de Docker Hub, los atacantes pueden incrustar instrucciones que activan la ejecución automática de las herramientas y obtener cargas útiles adicionales de los servidores controlados por los atacantes, todo ello sin el consentimiento o conocimiento del usuario», explica Eilon Cohen, investigador de seguridad dijo . El problema se abordó en versión 4.50.0 lanzado el 6 de noviembre de 2025.

Los investigadores han demostrado cómo violar los dispositivos de Internet de las cosas (IoT) a través de firewalls, sin necesidad de ningún tipo de vulnerabilidad de software. «Presentamos una nueva técnica de ataque que permite a los atacantes de cualquier parte del mundo hacerse pasar por los dispositivos de intranet objetivo, secuestrar los canales de comunicación en la nube, falsificar la nube y eludir la autenticación de aplicaciones complementarias y, en última instancia, lograr la ejecución remota de código (RCE) con privilegios de root», afirman los investigadores Jincheng Wang y Nik Xe dijo . «Nuestra investigación revela las fallas en los mecanismos de autenticación de dispositivos en la nube existentes y la ausencia generalizada de mecanismos de verificación de canales adecuados».

Microsoft dijo que está implementando BitLocker acelerado por hardware en Windows 11 para equilibrar una seguridad sólida con un impacto mínimo en el rendimiento. «A partir de la actualización de Windows de septiembre de 2025 para Windows 11 24H2 y el lanzamiento de Windows 11 25H2, además del soporte existente para la tecnología de cifrado en línea UFS (almacenamiento flash universal), BitLocker aprovechará las próximas capacidades de sistema en chip (SoC) y unidad de procesamiento central (CPU) para lograr un mejor rendimiento y seguridad para las unidades NVMe actuales y futuras», dijo la empresa dijo . Como parte de este esfuerzo, BitLocker empaquetará con hardware las claves de cifrado masivo de BitLocker y descargará las operaciones criptográficas masivas de la CPU principal a un motor de cifrado dedicado. «Al habilitar BitLocker, los dispositivos compatibles con unidades NVMe, junto con uno de los nuevos SoC con capacidad para la descarga criptográfica, utilizarán BitLocker acelerado por hardware con el algoritmo XTS-AES-256 de forma predeterminada», añadió el gigante tecnológico.

Las empresas de tecnología de la información (TI), proveedores de servicios gestionados (MSP), recursos humanos y desarrollo de software en Israel se han convertido en el objetivo de un grupo de amenazas probablemente originario de Asia occidental que ha utilizado señuelos de suplantación de identidad escritos en hebreo y diseñados para parecerse a las comunicaciones internas rutinarias para infectar sus sistemas con implantes basados en Python y Rust rastreados como PYTRIC y RUSTRIC. La actividad ha sido rastreada por Seqrite Labs con los nombres UNG0801 y Operation IconCat. «Un patrón recurrente en todas las campañas observadas es que el actor recurre en gran medida a la suplantación de identidad de los iconos de los antivirus», afirman desde la empresa dijo . «Se abusa de las marcas de proveedores de seguridad conocidos, sobre todo SentinelOne y Check Point, para crear una falsa sensación de legitimidad». El archivo PDF adjunto de los mensajes de correo electrónico indica a los destinatarios que descarguen un escáner de seguridad haciendo clic en el enlace de Dropbox que contiene el malware. PYTRIC está equipado para escanear el sistema de archivos y borrar todo el sistema. Las cadenas de ataque distribuyen. RUSTRIC aprovecha los documentos de Microsoft Word con una macro maliciosa, que luego extrae y lanza el malware. Además de enumerar los programas antivirus instalados en el host infectado, recopila información básica del sistema y contacta con un servidor externo.

Un actor de amenazas conocido como AlphaGhoul está promocionando una herramienta llamada NTKiller que, según afirman, puede eliminar sigilosamente las soluciones antivirus y de seguridad, como Microsoft Defender, ESET, Kaspersky, Bitdefender y Trend Micro. La funcionalidad principal, por Puesto avanzado 24 , está disponible por 500 dólares, con un complemento de rootkit y un complemento de UAC Bypass que cuestan 300 dólares cada uno. La revelación se produce semanas después de que un investigador de seguridad, conocido con el nombre de Zero Salarium, demostrada cómo pueden ser los programas de detección y respuesta de puntos finales (EDR) socavado en Windows mediante el uso del controlador Bind Filter (» bindflt.sys «). En los últimos meses, la comunidad de seguridad también ha identificado maneras de baipás firewalls de aplicaciones web (WAF) al abusar de la contaminación de parámetros de ASP.NET, subvertir Los EDR utilizan un cargador ejecutable portátil (PE) en memoria e incluso manipular Microsoft Defender Antivirus descargará las DLL y eliminará los archivos ejecutables para evitar que el servicio se ejecute aprovechando su mecanismo de actualización para secuestrar su carpeta de ejecución.

La empresa de inteligencia artificial Anthropic dijo que Claude Opus 4.5, Claude Sonnet 4.5 y GPT-5 desarrollaron exploits en los contratos inteligentes de la cadena de bloques que habrían permitido el robo de activos digitales por valor de 4,6 millones de dólares. «Ambos agentes descubrieron dos nuevas vulnerabilidades de tipo día cero y generaron exploits por valor de 3.694 dólares. GPT-5 lo hizo con un coste de API de 3.476 dólares», dijo el equipo de Frontier Red de Anthropic dijo . «Esto demuestra, como prueba de concepto, que la explotación autónoma rentable y en el mundo real es técnicamente factible, un hallazgo que subraya la necesidad de adoptar proactivamente la IA para la defensa».

El actor de amenazas norcoreano conocido como Scarcruft se ha vinculado a una nueva campaña denominada Artemis, en la que el adversario se hace pasar por guionista de programas de televisión coreanos para llegar a los destinatarios para organizar el casting o las entrevistas. «Una breve presentación personal y unas instrucciones que parezcan legítimas sirven para generar confianza», dijo Genians dijo . «El atacante distribuye un archivo HWP malintencionado disfrazado de cuestionario previo a la entrevista o documento de guía del evento». El objetivo final de estos ataques es provocar la descarga lateral de una DLL fraudulenta que, en última instancia, entregue RokRat, que utiliza Yandex Cloud para el comando y el control (C2). La campaña recibe su nombre del hecho de que uno de los documentos de HWP identificados tiene el valor «Artemis» en el campo «Último guardado por».

La operación de influencia rusa Copiar (también conocida como Storm-1516) utiliza herramientas de inteligencia artificial para ampliar sus esfuerzos a un alcance global, desplegando discretamente más de 300 sitios web no auténticos disfrazados de medios de comunicación locales, partidos políticos e incluso organizaciones de verificación de datos dirigidos a audiencias de Norteamérica, Europa y otras regiones, incluidas Armenia, Moldavia y partes de África. El objetivo principal es promover los objetivos geopolíticos de Rusia y erosionar el apoyo occidental a Ucrania. «Lo que diferencia a CopyCop de las operaciones de influencia anteriores es el uso a gran escala de la inteligencia artificial», según Recorded Future dijo . «La red se basa en LLM autohospedados, específicamente versiones sin censura de un popular modelo de código abierto, para generar y reescribir contenido a escala. Diariamente se producen y publican miles de noticias falsas e «investigaciones», que combinan fragmentos de hechos con falsedades deliberadas para crear la ilusión de un periodismo creíble».

Se ha vinculado un grupo de amenazas denominado SHADOW-VOID-042 con una campaña de spear-phising de noviembre de 2025 que consistía en una estrategia de ingeniería social con el tema de Trend Micro para engañar a las víctimas de los sectores de la defensa, la energía, la química, la ciberseguridad (incluidas Trend y una filial) y las TIC con mensajes en los que se les indica que instalen una actualización falsa por presuntos problemas de seguridad en Trend Micro Apex One. La actividad, según Trend Micro, comparte coincidencias con campañas anteriores atribuidas a RomCom (también conocido como Void Rabisu), un actor de amenazas con motivaciones financieras y de espionaje alineadas con los intereses rusos. Sin embargo, a falta de una conexión definitiva, estas últimas oleadas de ataque están siendo rastreadas en un conjunto independiente de intrusiones temporales. Además, la campaña de noviembre de 2025 comparte coincidencias tácticas y de infraestructura con otra campaña de octubre de 2025, que utilizó las denuncias de acoso y la participación en investigaciones como señuelos de ingeniería social. «La campaña utilizó un enfoque de varias etapas, adaptando cada etapa a la máquina objetivo específica y entregando cargas útiles intermedias a un número selecto de objetivos», dijo Trend Micro dijo . Las URL incrustadas en los correos electrónicos redirigen a las víctimas a una página de destino falsa que se hace pasar por Cloudflare, mientras que, en segundo plano, se intenta aprovechar una falla de seguridad de Google Chrome (CVE-2018-6065), ahora corregida, mediante un archivo JavaScript. En caso de que la explotación fracase, son redirigidas a un sitio web engañoso llamado TDMSec, en el que se hace pasar por Trend Micro. El archivo JavaScript también contiene un shellcode que se encarga de recopilar información del sistema y contactar con un servidor externo para obtener una carga útil de la segunda fase, que actúa como cargador de un componente cifrado que, a continuación, entra en contacto con un servidor para obtener un malware no especificado para la siguiente fase. Si bien Void Rabisu ya ha aprovechado los días cero en el pasado, los nuevos hallazgos plantean la posibilidad de que esté siendo objeto de varios cambios.