Boletín Threatday: Fallo de RustFS, operaciones...

La empresa de ciberseguridad Resecurity reveló que atraía deliberadamente a actores de amenazas que afirmaban estar asociados con Scattered LAPSUS$ Hunters ( SLH ) hasta convertirse en una trampa, después de que el grupo afirmara en Telegram que había pirateado la empresa y robado datos internos y de clientes. La empresa afirmó que había creado una cuenta trampa repleta de datos falsos diseñados para parecerse a los datos empresariales del mundo real y que había creado una cuenta falsa en un mercado clandestino de credenciales comprometidas tras descubrir que un agente de amenazas intentaba llevar a cabo actividades malintencionadas contra sus recursos en noviembre de 2025 mediante el análisis de varios servicios y aplicaciones de acceso público. También se dice que el autor de la amenaza atacó a uno de sus empleados que no tenía datos confidenciales ni acceso privilegiado. «Esto llevó a que el autor de la amenaza iniciara sesión correctamente en una de las aplicaciones emuladas que contenían datos sintéticos», dijo . «Si bien el inicio de sesión correcto podría haber permitido al actor obtener un acceso no autorizado y cometer un delito, también nos proporcionó pruebas sólidas de su actividad. Entre el 12 y el 24 de diciembre, el autor de la amenaza realizó más de 188 000 solicitudes para intentar volcar datos sintéticos». El 4 de enero de 2025, el grupo retiró de su canal de Telegram la publicación que anunciaba el hackeo. Resecurity dijo que el ejercicio también les permitió identificar al autor de la amenaza y vincular una de sus cuentas de Gmail activas a un número de teléfono estadounidense y a una cuenta de Yahoo. A pesar del revés, las nuevas conclusiones de CYFIRMA indican que este colectivo poco unido ha resurgido con una actividad de contratación cada vez mayor, buscando intermediarios de acceso inicial, colaboradores con información privilegiada y credenciales corporativas. «Los debates en las salas de chat hacen referencia reiteradamente a marcas de amenazas tradicionales, como LizardSquad, aunque estas menciones siguen sin verificarse y es probable que formen parte de una estrategia de intimidación o de inflación de la reputación, más que una prueba de una alianza formal», afirma dijo .

Los actores de amenazas están explotando una falla conocida en GeoServer, CVE-2024-36401 , para distribuir un minero de criptomonedas XMRig mediante comandos de PowerShell. «Además, el mismo actor de amenazas también está distribuyendo un minero de monedas a los servidores de WegLogic», dijo AhnLab dijo . «Parece que están instalando CoinMiner cuando escanean los sistemas expuestos al mundo exterior y encuentran servicios vulnerables». Otros dos actores de amenazas también se han beneficiado del uso indebido de la falla para entregar el minero, AnyDesk para el acceso remoto y un programa de descarga de malware hecho a medida denominado «systemd» desde un servidor externo cuya función exacta se desconoce. «Los actores de amenazas se centran en los entornos en los que está instalado GeoServer y están instalando varios sistemas de extracción de monedas», afirma la empresa. «El autor de la amenaza puede entonces usar NetCat, que se instala junto con el minero de monedas, para instalar otro tipo de malware o robar información del sistema».

Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional Su catálogo de vulnerabilidades conocidas explotadas (KEV) registró 245 vulnerabilidades en 2025, ya que la base de datos creció hasta alcanzar las 1484 fallas de software y hardware con un alto riesgo de ciberataques, lo que representa un aumento de aproximadamente un 20% con respecto al año anterior. En comparación, se agregaron 187 vulnerabilidades en 2023 y 185 en 2024. De las 245 fallas, 24 fueron explotadas por grupos de ransomware. Microsoft, Apple, Cisco, Fortinet, Google Chromium, Ivanti, Linux Kernel, Citrix, D-Link, Oracle y SonicWall representaron 105 del total de vulnerabilidades añadidas al catálogo. Según Cyble, la vulnerabilidad más antigua añadida al catálogo de KEV en 2025 fue la CVE-2007-0671, una vulnerabilidad de ejecución remota de código en Microsoft Office Excel. La vulnerabilidad más antigua del catálogo es la CVE-2002-0367, una vulnerabilidad de escalamiento de privilegios en el subsistema de depuración "smss.exe" de Windows NT y Windows 2000 que se sabe que se utiliza en ataques de ransomware.

OpenAI ha sido pidió entregar más de 20 millones de registros anónimos de ChatGPT en un caso consolidado de derechos de autor de IA en los EE. UU., tras no convencer a un juez federal de que desestimara la orden de un juez de primera instancia, según la empresa, no tuvo suficientemente en cuenta las cuestiones de privacidad. La destacada demanda, que tiene como demandantes a importantes editores de noticias como el New York Times y el Chicago Tribune, se centra en el argumento central de que los datos que impulsan a ChatGPT incluyen millones de obras protegidas por derechos de autor de las organizaciones de noticias sin consentimiento ni pago. OpenAI tiene insistió que el entrenamiento en IA es un uso legítimo, y añadió que «los datos que estamos haciendo accesibles para cumplir con esta orden se han sometido a un proceso de anonimización destinado a eliminar o enmascarar la PII y otra información privada, y se proporcionan bajo estrictos controles de acceso diseñados para evitar que el Times copie e imprima datos que no son directamente relevantes para este caso». Los demandantes de noticias también han alegado que OpenAI destruyó «datos de registro de salida relevantes» al no detener temporalmente sus prácticas de eliminación tan pronto como se inició el litigio, en un aparente esfuerzo por eludir las reclamaciones de derechos de autor.

La Oficina de Seguridad Nacional de Taiwán dijo que los ataques de China contra el sector energético del país se multiplicaron por diez en 2025 en comparación con el año anterior. Los atacantes atacaron infraestructuras críticas en nueve sectores clave, y el número total de ciberincidentes relacionados con China aumentó un 6%. La NSB registró un total de 960.620.609 intentos de ciberintrusión contra la infraestructura crítica de Taiwán, supuestamente por parte del ciberejército chino en 2025. «En promedio, el ciberejército chino lanzó 2,63 millones de intentos de intrusión al día contra la CI de Taiwán en nueve sectores principales, a saber, la administración y las agencias, la energía, las comunicaciones y la transmisión, el transporte, el rescate de emergencia y los hospitales, los recursos hídricos, las finanzas, los parques científicos y los parques industriales, así como la alimentación», dijo la NSB dijo . Los sectores de la energía y el rescate de emergencia y los hospitales experimentaron el aumento interanual más significativo de los ciberataques por parte de actores de amenazas chinos. Los ataques se han atribuido a cinco grupos de hackers chinos, a saber, BlackTech (Canary Typhoon, Circuit Panda y Earth Hundu), Flax Typhoon (también conocido como Ethereal Panda y Storm-0919), HoneyMyte (también conocido como Bronze President, Mustang Panda y Twill Typhoon), APT41 (también conocido como Brass Typhoon, Bronze Atlas, Double Dragon, Leopard Typhoon y Wicked Panda), y UNC3886, que al parecer investigaron los equipos de red y los sistemas de control industrial de las empresas energéticas de Taiwán para instalar malware. «China tiene capacidades militares, de inteligencia, industriales y tecnológicas totalmente integradas en los sectores público y privado para mejorar la profundidad de la intrusión y el sigilo operativo de sus ciberataques externos a través de una amplia gama de tácticas y técnicas de ciberataque», dijo NSB. También se dice que el ciberejército chino ha aprovechado las vulnerabilidades de los sitios web y sistemas de los principales hospitales de Taiwán para eliminar el ransomware y llevar a cabo ataques de tipo adversario intermedio (AiTM) contra las empresas de comunicaciones para robar datos confidenciales.

Microsoft dijo está cancelando indefinidamente los planes anteriores de imponer un límite de porcentaje de destinatarios externos a los buzones de correo en Exchange Online para combatir el abuso y evitar el uso indebido del servicio para enviar spam masivo y otras actividades de correo electrónico malintencionado. «El límite de la tasa de destinatarios y el límite de la tasa de destinatarios externos a nivel de inquilino mencionados en los límites de Exchange Online permanecen sin cambios a partir de este anuncio», afirma la empresa. El gigante tecnológico anunciado por primera vez el límite en abril de 2024, según el cual comenzaría a aplicar un límite de tasa de receptores externos de 2000 destinatarios en 24 horas, a partir de abril de 2026.

Bryan Fleming, el fundador de Tattletale para PC , suplicó culpable a operar acosadores desde su casa en el estado estadounidense de Michigan. En mayo de 2024, la empresa de software espía con sede en EE. UU. dijo que estaba «fuera del negocio y completamente disuelto» después de que un pirata informático desconocido desfiguró su sitio web y publicó gigabytes de datos en su página de inicio. La aplicación, que capturaba de forma encubierta capturas de pantalla de los sistemas de reservas de hoteles, tenía un fallo de seguridad que permitía que las capturas de pantalla estuvieran disponibles para cualquier persona en Internet. La violación afectó más de 138 000 usuarios quién se había registrado en el servicio. Las Investigaciones de Seguridad Nacional (HSI) de los Estados Unidos dijeron que comenzaron a investigar a PCTattletale en junio de 2021 por «espiar subrepticiamente a cónyuges y parejas». Si bien la herramienta estaba comercializado ostensiblemente como software de control parental y monitoreo de empleados, PCTattletale también promovió su capacidad de espiar a los cónyuges y parejas de hecho rastreando cada clic y toque de pantalla. Fleming incluso tuvo un canal de YouTube para promover el spyware. Se espera que sea sentenciado a finales de este año. Este hecho marca un caso poco frecuente de procesamiento penal para los proveedores de programas de acoso, que a menudo actúan abiertamente con impunidad. La anterior condena por uso de software espía en EE. UU. ocurrió en 2014 cuando un ciudadano danés, Hammad Akbar, se declaró culpable de operar el software espía StealthGenie.

Se ha producido una vulnerabilidad de seguridad crítica divulgado en Rust FS que se deriva de la implementación de la autenticación gRPC mediante un token estático codificado que se expone públicamente en el repositorio de código fuente, está codificado de forma rígida tanto en el lado del cliente como en el servidor, no se puede configurar sin ningún mecanismo de rotación de tokens y es universalmente válido en todas las implementaciones de RustFS. «Cualquier atacante con acceso de red al puerto gRPC puede autenticarse con este token conocido públicamente y ejecutar operaciones privilegiadas, como la destrucción de datos, la manipulación de políticas y los cambios en la configuración de los clústeres», afirma RustFS. La vulnerabilidad, que no tiene un identificador CVE, tiene una puntuación CVSS de 9,8. Afecta a las versiones alpha.13 a alpha.77 y se ha parcheado en 1.0.0-alfa.78 lanzado el 30 de diciembre de 2025.

Se ha utilizado un empaquetador y cargador de Windows llamado pkr_mtsi en campañas de publicidad maliciosa y de envenenamiento por SEO a gran escala para distribuir instaladores troyanos para software legítimo como PuTTY, Rufus y Microsoft Teams, lo que permite el acceso inicial y la entrega flexible de las cargas útiles posteriores. Está disponible en formato ejecutable (EXE) y de biblioteca de vínculos dinámicos (DLL). «En las campañas observadas, pkr_mtsi se ha utilizado para distribuir un conjunto diverso de familias de malware, entre las que se incluyen Ostra , Ladrón de Vidar , Vanguard Stealer, Cena , y más, lo que subraya su función como cargador de uso general en lugar de como contenedor de una sola carga útil», ReversingLabs dijo . Observado por primera vez en abril de 2025, el empaquetador ha seguido una trayectoria evolutiva constante en los meses transcurridos desde entonces, añadiendo capas de ofuscación cada vez más sofisticadas, técnicas antianálisis y antidepuración y estrategias evasivas de resolución de API.

Se ha descubierto una falla de seguridad de alta gravedad en Open WebUI en las versiones 0.6.34 y anteriores ( CVE-2025-64496 , puntuación CVSS: 7.3) que afecta a la función de conexiones directas, que permite a los usuarios conectarse a servidores de modelos de IA externos (por ejemplo, la API de OpenAI). «Si un agente de amenazas engaña a un usuario para que se conecte a un servidor malintencionado, puede provocar un ataque de apropiación de la cuenta», dijo Cato Networks dijo . «Si el usuario también tiene habilitado el permiso workspace.tools, puede provocar la ejecución remota de código (RCE). Esto significa que un agente de amenazas puede controlar el sistema que ejecuta Open WebUI». El problema se solucionó en la versión 0.6.35, publicada el 7 de noviembre de 2025. El ataque requiere que la víctima habilite las conexiones directas (deshabilitadas de forma predeterminada) y añada la URL modelo maliciosa del atacante. En esencia, la falla se debe a un fallo de confianza entre los servidores modelo que no son de confianza y la sesión de navegador del usuario. Un servidor hostil puede enviar un mensaje de eventos creado por el servidor que desencadena la ejecución de código JavaScript en el navegador. Esto permite a un atacante robar los tokens de autenticación almacenados en localStorage. Una vez obtenidos, esos tokens otorgan acceso total a la cuenta Open WebUI de la víctima. Los chats, los documentos cargados y las claves de API pueden quedar expuestos.

El grupo estado-nación iraní conocido como MuddyWater ha estado realizando ataques de suplantación de identidad diseñados para ofrecer puertas traseras conocidas, como Fénix y Gángster del UDP mediante archivos ejecutables disfrazados de archivos PDF y DOC con código macro. Ambos implantes vienen equipados con funciones de ejecución de comandos y de carga/descarga de archivos. «Vale la pena señalar que MuddyWater ha reducido gradualmente el uso de programas de control remoto listos para usar, como el RMM, y, en cambio, ha desarrollado y desplegado una variedad de puertas traseras dedicadas a facilitar la penetración en objetivos específicos», el 360 Threat Intelligence Center dijo . «El contenido encubierto de la muestra es israelí, azerbaiyano e inglés, y también lo suben Israel, Azerbaiyán y otras regiones, lo que coincide con el objetivo de ataque de la organización MuddyWater».

La plataforma de intercambio de archivos ownCloud tiene prevenido que los usuarios habiliten la autenticación multifactor (MFA) para bloquear los intentos malintencionados que utilizan credenciales comprometidas para robar sus datos. La alerta se produce a raíz de un informe de Hudson Rock, en el que se denunciaba a un actor de amenazas llamado Zestix (también conocido como Sentap) por subastar datos filtrados de los portales de intercambio de archivos corporativos de unas 50 grandes empresas mundiales. «A diferencia de los ataques que implican el secuestro sofisticado de cookies o la elusión de sesiones, la campaña de Zestix destaca un descuido mucho más pesimista, pero igualmente devastador: la ausencia de la autenticación multifactor (2FA)», dijo Hudson Rock dijo . Los ataques siguen un flujo de trabajo muy detallado: un empleado descarga inadvertidamente un archivo malicioso que conduce al despliegue de malware que roba información. Una vez que la información robada se pone a la venta en los foros de la darknet, el autor de la amenaza utiliza los nombres de usuario y contraseñas válidos extraídos de los registros de los ladrones para iniciar sesión en los populares servicios de intercambio de archivos en la nube ShareFile, Nextcloud y OwnCloud, aprovechando las protecciones de MFA que faltan. Se cree que Zestix ha participado activamente en foros cerrados en ruso desde finales de 2024, motivados principalmente por obtener beneficios económicos al vender el acceso a cambio de pagos con Bitcoin. Se evaluó como de Origen iraní , el agente de acceso inicial ha demostrado tener vínculos con un grupo de ransomware llamado FunkSec .

ANY.RUN tiene publicado un resumen técnico de un sofisticado troyano de acceso remoto llamado GravityRat que ha estado atacando activamente a organizaciones y entidades gubernamentales desde 2016. Es un malware multiplataforma que está equipado para recopilar datos confidenciales, incluidas las copias de seguridad de WhatsApp en dispositivos Android, y cuenta con una amplia gama de funciones antianálisis, como comprobar las versiones de la BIOS, buscar artefactos en el hipervisor, contar los núcleos de la CPU y consultar la temperatura de la CPU mediante el Instrumento de administración de Windows (WMI). «Este control de temperatura es particularmente eficaz porque la mayoría de los hipervisores, incluidos Hyper-V, VMware Fusion, VirtualBox, KVM y Xen, no admiten el monitoreo de la temperatura, lo que hace que devuelvan mensajes de error que revelan inmediatamente la presencia de un entorno virtual», afirma ANY.RUN. El uso de GravityRAT se atribuye principalmente a un actor de amenazas originario de Pakistán, al que se le conoce como Transparent Tribe. En Windows, suele propagarse a través de correos electrónicos de suplantación de identidad que contienen documentos maliciosos de Office con macros o vulnerabilidades. En Android, se hace pasar por una plataforma de mensajería y se distribuye a través de sitios de terceros o mediante ingeniería social. «La RAT funciona a través de una arquitectura de comando y control de infecciones en varias etapas», agregó ANY.RUN. «GravityRAT implementa una arquitectura modular en la que diferentes componentes gestionan funciones específicas».

Las autoridades camboyanas han arrestado y extraditado Chen Zhi, el supuesto autor intelectual de una de las redes de estafas transnacionales más grandes de Asia, a China. Chen , de 38 años, es el fundador y presidente de Prince Group. Fue uno de los tres ciudadanos chinos arrestados el 6 de enero de 2026. Su nacionalidad camboyana fue «revocada por un real decreto» el mes pasado. En octubre de 2025, el Departamento de Justicia de los Estados Unidos (DoJ) Sin sellar una acusación contra Prince Group y Chen (en rebeldía) por operar complejos fraudulentos ilegales de trabajo forzoso en el sudeste asiático para llevar a cabo planes de fraude con criptomonedas, también conocidos como cebo romántico o carnicería de cerdos. En estos casos, los estafadores comienzan por establecer relaciones falsas con usuarios desprevenidos antes de convencerlos para que inviertan sus fondos en plataformas falsas de criptomonedas. A pesar de la escala industrial de la operación, quienes llevan a cabo las estafas suelen ser ciudadanos extranjeros objeto de trata, que son atrapados y coaccionados para llevar a cabo fraudes en línea bajo amenaza de tortura. Los gobiernos del Reino Unido y los Estados Unidos también sancionado Prince Group, designándola como organización delictiva transnacional. En una declaración de noviembre de 2025, Prince Group dijo «rechaza categóricamente» las acusaciones. Ministerio de Seguridad Pública de China descrito El arresto de Chen es «otro gran logro en el marco de la cooperación policial entre China y Camboya». Mao Ning, portavoz del Ministerio de Relaciones Exteriores de China, dijo «Durante bastante tiempo, China ha estado trabajando activamente con países, incluida Camboya, para tomar medidas enérgicas contra los delitos de juego en línea y fraude en las telecomunicaciones, con resultados notables». Pekín también ha colaborado con Tailandia y Myanmar para liberar a miles de personas de los complejos fraudulentos. A pesar de las medidas represivas en curso, la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC) ha dicho que las redes delictivas que administran los centros de estafa están evolucionando a una escala sin precedentes. Según estimaciones de la UNODC, las víctimas de estafas de todo el mundo perdieron entre 18 000 y 37 000 millones de dólares en 2023.

El número de conjuntos de herramientas de suplantación de identidad como servicio (PhaaS) se duplicó en 2025, y el 90% de las campañas de suplantación de identidad de gran volumen aprovecharon estas herramientas en 2025, según un análisis de Barracuda. Algunos de los jugadores notables de PhaaS fueron Sneaky 2FA , COGUI , Cefas , Whisper 2FA , y Marco fantasma . Estos kits incorporan medidas avanzadas de antianálisis, elusión de la MFA y un despliegue sigiloso que dificultan la detección con las medidas tradicionales. La principal ventaja de los kits de PhaaS es que reducen la barrera de entrada, lo que permite que incluso los atacantes con pocos conocimientos técnicos organicen campañas de suplantación de identidad a gran escala y dirigidas con un mínimo esfuerzo. Los temas de suplantación de identidad más frecuentes observados durante el año fueron los mensajes falsos relacionados con los pagos, los mensajes financieros, legales, de firma digital y relacionados con los recursos humanos, diseñados para engañar a los usuarios para que hicieran clic en un enlace, escanearan un código QR o abrieran un archivo adjunto. Entre las técnicas novedosas que utilizan los kits de suplantación de identidad figuran las ofuscaciones para evitar que las detecten e inspeccionen, el CAPTCHA para aumentar la autenticidad, los códigos QR malintencionados, el uso indebido de plataformas en línea legítimas y confiables y ClickFix, entre otras.

Se han revelado dos fallas de seguridad de alta gravedad en IDE de Zed que exponen a los usuarios a la ejecución arbitraria de código al cargar o interactuar con un repositorio de código fuente creado con fines malintencionados. «Zed se cargó automáticamente MCP Configuración del [Protocolo de contexto modelo] desde el espacio de trabajo sin necesidad de la confirmación del usuario», Mindguard dijo acerca de CVE-2025-68433 (Puntuación CVSS: 7,8). «Un proyecto malintencionado podría usar esto para definir herramientas de MCP que ejecutan código arbitrario en el sistema del desarrollador sin permiso explícito». La segunda vulnerabilidad ( CVE-2025-68432 , puntuación CVSS: 7.8) tiene que ver con que el IDE confía implícitamente en el protocolo Language Server suministrado por el proyecto ( LSP ), lo que podría abrir la puerta a la ejecución arbitraria de comandos cuando un usuario abre cualquier archivo de código fuente del repositorio. Tras una divulgación responsable el 14 de noviembre de 2025, Zed publicó versión 0.218.2-pre para abordar los problemas el mes pasado.