Boletín Threatday: Exploit de clonación de voz ...

Se ha descubierto un fallo de seguridad de gran gravedad en Redis (CVE-2025-62507, puntuación CVSS: 8,8) que podría provocar la ejecución remota de código mediante un desbordamiento del búfer de la pila. Se corrigió en la versión 8.3.2. El análisis de JFrog sobre la falla ha revelada que la vulnerabilidad se activa al utilizar el nuevo comando XACKDEL de Redis 8.2, que se introdujo para simplificar y optimizar la limpieza de transmisiones. Concretamente, reside en la implementación de xackDelCommand (), una función responsable de analizar y procesar la lista de ID de transmisión suministrada por el usuario. «El problema principal es que el código no verifica que la cantidad de ID proporcionada por el cliente se ajuste a los límites de esta matriz asignada por pilas», afirma la empresa. «Como resultado, cuando se suministran más ID de los que puede contener la matriz, la función continúa escribiendo más allá del final del búfer. Esto da como resultado un desbordamiento de búfer clásico basado en pilas». La vulnerabilidad se puede activar de forma remota en la configuración predeterminada de Redis simplemente enviando un único comando XACKDEL que contenga una cantidad suficientemente grande de ID de mensajes. «También es importante tener en cuenta que, de forma predeterminada, Redis no impone ninguna autenticación, por lo que se trata de una ejecución remota de código no autenticada», añade JFrog. En el momento de escribir este artículo, hay 2.924 servidores susceptibles a esta falla.

Cargador Bao , Campañas ClickFix , y Disidente surgieron como las tres principales amenazas entre el 1 de septiembre y el 30 de noviembre de 2025, según ReliaQuest. A diferencia del típico malware que roba certificados, los operadores de BaoLoader son conocidos por registrar empresas legítimas en Panamá y Malasia específicamente para comprar certificados de firma de código válidos de las principales autoridades certificadoras para firmar sus cargas útiles. «Con estos certificados, su malware parece fiable tanto para los usuarios como para las herramientas de seguridad, lo que les permite operar prácticamente sin ser detectados y, al mismo tiempo, ser descartados por considerarlos simplemente programas potencialmente no deseados (PUP)», ReliaQuest dijo . El malware, una vez lanzado, abusa de "node.exe" para ejecutar JavaScript malintencionado con fines de reconocimiento, ejecución de comandos en memoria y acceso por puerta trasera. También dirige el tráfico de comando y control (C2) a través de servicios en la nube legítimos, ocultando el tráfico saliente como una actividad empresarial normal y socavando el bloqueo basado en la reputación.

Los correos electrónicos de suplantación de identidad disfrazados de invitaciones a fiestas navideñas, facturas vencidas, avisos de impuestos, convocatorias de reunión de Zoom o notificaciones de firma de documentos son en uso para ofrecer herramientas de supervisión y gestión remotas (RMM) como LogMeIn Resolve, Naverisk y ScreenConnect en campañas de ataque en varias etapas. En algunos casos, ScreenConnect se usa para ofrecer herramientas secundarias, incluidos otros programas de acceso remoto, junto con HideMouse y WebBrowserPassView. Si bien la estrategia exacta para instalar herramientas de acceso remoto duplicadas no está clara, se cree que los autores de las amenazas pueden estar utilizando licencias de prueba, lo que les obliga a cambiarlas para evitar que caduquen. En otro incidente analizados de CyberProof, los atacantes pasaron de atacar la cuenta PayPal personal de un empleado a establecer una posición empresarial mediante una estrategia de RMM de varios niveles que implicaba el uso de LogMeIn Rescue y AnyDesk, engañando a las víctimas para que instalaran el software por teléfono haciéndose pasar por personal de soporte. El correo electrónico está diseñado para crear urgencia haciéndose pasar por alertas de PayPal.

Las autoridades holandesas dijeron que habían detenido a un joven de 33 años en Schiphol por su presunta participación en la operación de AvCheck , un servicio de lucha contra los antivirus (CAV) que fue desmantelado por una operación policial multinacional en mayo de 2025. «El servicio ofrecido por el sospechoso permitía a los ciberdelincuentes refinar cada vez más la ocultación de archivos maliciosos», dijeron funcionarios holandeses dijo . «Para los ciberdelincuentes es muy importante que el menor número posible de programas antivirus puedan detectar la actividad maliciosa, a fin de maximizar sus posibilidades de éxito en la búsqueda de víctimas. De este modo, el hombre permitió a los delincuentes utilizar el malware que habían desarrollado para acabar con el mayor número posible de víctimas».

Apple y Google han confirmado que la próxima versión de Siri utilizará Gemini y su tecnología en la nube en una colaboración de varios años entre los dos gigantes tecnológicos. «Apple y Google han iniciado una colaboración de varios años en virtud de la cual la próxima generación de modelos Apple Foundation se basará en los modelos Gemini y en la tecnología de nube de Google», dijo Google dijo . «Estos modelos ayudarán a potenciar las futuras funciones de Apple Intelligence, incluida una Siri más personalizada que saldrá este año». Google hizo hincapié en que Apple Intelligence seguirá funcionando en los dispositivos Apple y Computación en nube privada , al tiempo que mantiene los estándares de privacidad líderes del sector de Apple. «Esto parece una concentración de poder irrazonable para Google, dado que también tienen Android y Chrome», dijo Elon Musk, director ejecutivo de Tesla y X dijo .

China ha pedido a las empresas nacionales que dejen de usar el software de ciberseguridad fabricado por aproximadamente una docena de empresas de EE. UU. e Israel por motivos de seguridad nacional, Reuters reportó , citando a «dos personas informadas sobre el asunto». Esto incluye VMware, Palo Alto Networks, Fortinet y Check Point. Según se informa, las autoridades han expresado su preocupación por el hecho de que el software pueda recopilar y transmitir información confidencial al extranjero.

Se han descubierto fallas de seguridad en las bibliotecas Python de código abierto de inteligencia artificial y aprendizaje automático (AI/ML) publicadas por Apple (FlexTok), NVIDIA (NeMo) y Salesforce (Uni2TS) que permiten la ejecución remota de código (RCE) cuando se carga un archivo modelo con metadatos maliciosos. «Las vulnerabilidades se deben a que las bibliotecas utilizan metadatos para configurar modelos y canalizaciones complejos, donde una biblioteca compartida de terceros crea instancias de clases que utilizan estos metadatos», afirma la Unidad 42 de Palo Alto Networks. . «Las versiones vulnerables de estas bibliotecas simplemente ejecutan los datos proporcionados como código. Esto permite a un atacante incrustar código arbitrario en los metadatos del modelo, que se ejecutarían automáticamente cuando las bibliotecas vulnerables cargaran estos modelos modificados». La biblioteca de terceros en cuestión es Hydra de Meta, específicamente una función llamada «hydra.utils.instantiate ()» que permite ejecutar código mediante funciones de Python como os.system (), builtins.eval () y builtins.exec (). Desde entonces, las respectivas empresas han abordado las vulnerabilidades, rastreadas como CVE-2025-23304 (NVIDIA) y CVE-2026-22584 (Salesforce). Hydra también lo ha hecho actualizado su documentación para afirmar que el RCE es posible cuando se usa instantiate () y que ha implementado una lista predeterminada de módulos bloqueados para mitigar el riesgo. «Para evitarlo, defina la var de entorno HYDRA_INSTANTIATE_ALLOWLIST_OVERRIDE con una lista de módulos separados por dos puntos en la lista de permitidos», dijo .

Un grupo de académicos ha ideado una técnica llamada VocalBridge que se puede utilizar para eludir las defensas de seguridad existentes y ejecutar ataques de clonación de voz. «La mayoría de los métodos de purificación existentes están diseñados para contrarrestar el ruido provocado por las agresiones en los sistemas de reconocimiento automático de voz (ASR), en lugar de en los procesos de verificación de los altavoces o clonación de la voz», explica el equipo de la Universidad de Texas en San Antonio dijo . «Como resultado, no suprimen las señales acústicas detalladas que definen la identidad del hablante y, a menudo, son ineficaces contra los ataques de verificación del altavoz (SVA). Para abordar estas limitaciones, proponemos Diffusion-Bridge (VocalBridge), un marco de purificación que aprende a mapear lo latente de la voz perturbada a la voz limpia en el espacio latente de EncodeC. Al utilizar una U-Net 1D con condiciones temporales y un cronograma de ruido cosenoidal, el modelo permite una purificación eficiente y sin necesidad de transcripciones, al tiempo que preserva la estructura discriminatoria entre los hablantes».

El organismo de control de telecomunicaciones de Rusia, Roskomnadzor, ha llamó a 33 operadores de telecomunicaciones por no instalar equipos de inspección de tráfico y filtrado de contenido. Se detectaron un total de 35 casos de infracciones en las redes de los operadores. «Ya se han llevado a cabo acciones judiciales en cuatro casos y se han impuesto multas a los infractores. Se ha enviado al tribunal material sobre seis hechos. Los operadores restantes fueron convocados para elaborar protocolos», dijo el Roskomnadzor. Tras la invasión rusa de Ucrania en 2022, la agencia obligatorio que todos los operadores de telecomunicaciones deben instalar equipos que inspeccionen el tráfico de usuarios y bloqueen el acceso a sitios «no deseados».

Un nuevo análisis de un malware de Turla conocido como Kazuar ha revelado las diversas técnicas que emplea la puerta trasera para evadir las soluciones de seguridad y aumentar el tiempo de análisis. Esto incluye el uso del modelo de objetos componentes (COM), el rastreo de eventos sin parches para Windows (ETW), la elusión de la interfaz de escaneo antimalware (AMSI) y un truco de redireccionamiento del flujo de control para llevar a cabo las principales rutinas maliciosas durante la segunda ejecución de una función llamada «Qtupnngh», que luego lanza tres cargas útiles de Kazuar .NET (KERNEL, WORKER y BRIDGE) mediante una cadena de infección de varias etapas. «La lógica central reside en el núcleo, que actúa como el orquestador principal. Se encarga del procesamiento de tareas, el registro de teclas, la gestión de los datos de configuración, etc.», explica el investigador Dominik Reichel dijo . «El trabajador gestiona la vigilancia operativa supervisando el entorno y la postura de seguridad del huésped infectado, entre otras responsabilidades. Por último, el puente funciona como capa de comunicación, lo que facilita la transferencia y la filtración de datos del directorio de datos local a través de una serie de rutas de complementos de WordPress comprometidas».

Los investigadores de ciberseguridad han revelado detalles de múltiples vulnerabilidades de seguridad críticas que afectan al controlador lógico programable (PLC) DVP-12SE11T de Delta Electronics y que plantean graves riesgos que van desde el acceso no autorizado hasta la interrupción operativa en entornos de tecnología operativa (OT). Las vulnerabilidades incluyen: CVE-2025-15102 (puntuación CVSS: 9,8), un método para eludir la protección con contraseña, CVE-2025-15103 (puntuación CVSS: 9,8), una omisión de autenticación mediante la divulgación parcial de la contraseña, CVE-2025-15358 (puntuación CVSS: 7.5): una denegación de servicio y CVE-2025-15359 (puntuación CVSS: 9,8), una escritura de memoria fuera de los límites. Los problemas se solucionaron mediante actualizaciones del firmware a finales de diciembre de 2025. «Las deficiencias en la autenticación de los PLC y la gestión de la memoria pueden aumentar considerablemente el riesgo operativo en los entornos de OT, especialmente cuando existen sistemas antiguos o una segmentación de red limitada», afirma la unidad 515 del OPSWAT, que descubrió las deficiencias durante una evaluación de seguridad realizada en agosto de 2025.

Mandiant ha lanzado una herramienta de código abierto para ayudar a los administradores de Salesforce a auditar los errores de configuración que podrían exponer datos confidenciales. Llamado Inspector de aura , se ha descrito como una navaja suiza en las pruebas de Salesforce Experience Cloud. «Facilita el descubrimiento de aplicaciones de Salesforce Experience Cloud mal configuradas y automatiza gran parte del proceso de prueba», dice Google dijo . Esto incluye la detección de registros accesibles tanto en contextos invitados como autenticados, la posibilidad de obtener el número total de registros de objetos mediante el método Aura de GraphQL, que no está documentado, la comprobación de las capacidades de autorregistro y la detección de las «URL principales», que podrían permitir el acceso no autorizado a funciones administrativas confidenciales.

Una falla de alta gravedad (puntuación CVSS: 8,4) en el software del chipset Wi-Fi de Broadcom puede permitir que un atacante no autenticado que se encuentre dentro del alcance de la radio desconecte por completo las redes inalámbricas mediante el envío de una sola trama maliciosa, independientemente del nivel de seguridad de la red configurado, lo que obliga a los enrutadores a reiniciarse manualmente antes de poder restablecer la conectividad. La falla afecta a las redes inalámbricas de 5 GHz y provoca que todos los clientes conectados, incluidas las redes invitadas, se desconecten simultáneamente. Las conexiones Ethernet y la red de 2,4 GHz no se ven afectadas. «Esta vulnerabilidad permite a un atacante hacer que el punto de acceso deje de responder a todos los clientes y terminar cualquier conexión de cliente en curso», Black Duck dijo . «Si la transmisión de datos a sistemas posteriores continúa, los datos pueden corromperse o, como mínimo, la transmisión se interrumpirá». El ataque elude las protecciones WPA2 y WPA3, y puede repetirse indefinidamente para provocar interrupciones prolongadas en la red. Broadcom ha publicado un parche para solucionar el problema denunciado. Se han ocultado detalles adicionales debido al riesgo potencial que representa para numerosos sistemas que utilizan el chipset.

Actores de amenazas desconocidos han robado Ether por valor de 26 millones de dólares de la plataforma de criptomonedas Truebit al explotar una vulnerabilidad en el contrato inteligente de cinco años de antigüedad de la empresa. «El atacante se aprovechó de una vulnerabilidad matemática relacionada con el precio del token TRU establecido en el contrato inteligente, lo que hizo que su valor se situara muy cerca de cero», dijo Halborn dijo . «Al tener acceso a una fuente de tokens TRU de bajo coste, el atacante pudo quitarle valor al contrato vendiéndolos al precio completo. El atacante realizó una serie de solicitudes de acuñación de gran valor que le valieron una gran cantidad de fichas TRU a un coste insignificante».

Se ha descubierto que una nueva ola de ataques utiliza señuelos con temática de facturas en los correos electrónicos de suplantación de identidad para engañar a los destinatarios para que abran un archivo adjunto en PDF que muestra un mensaje de error y les indica que descarguen el archivo haciendo clic en un botón. Algunos de los enlaces redirigen a una página disfrazada de Google Drive que imita los archivos de vídeo MP4, pero, en realidad, eliminan herramientas de RMM como Syncro, SuperOps, NinjaOne y ScreenConnect para un acceso remoto persistente. «Como no son programas maliciosos como los de puertas traseras o los troyanos de acceso remoto (RAT), los actores de amenazas los aprovechan cada vez más», dijo AhnLab dijo . «Esto se debe a que estas herramientas se han diseñado para evitar que los productos de seguridad, como los firewalls y las soluciones antimalware, que se limitan a detectar y bloquear las cepas de malware conocidas».

Una cepa de ransomware denominada Cazador loco ha comprometido al menos a seis empresas en Taiwán, la mayoría de ellas hospitales. Se trata de un ransomware basado en Go y una bifurcación del ransomware Prince, que emplea métodos avanzados de cifrado y entrega dirigidos a máquinas basadas en Windows, según Trellix. También mantiene un sitio de filtración de datos para dar a conocer la información de las víctimas. «La solución inicial suele consistir en aprovechar las debilidades de la infraestructura de Active Directory (AD) de una organización, con frecuencia mediante el uso de contraseñas poco seguras en las cuentas de dominio», explican desde la empresa dijo . Se ha descubierto que los atacantes utilizan SharpGPOAbuse para distribuir la carga útil del ransomware a través de objetos de política de grupo (GPO) y propagarla por la red. Un modificado Controlador antimalware Zemana se utiliza para aumentar sus privilegios y acabar con los procesos de seguridad como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD). Se estima que CrazyHunter está activo al menos desde principios de 2025, y las autoridades taiwanesas lo describen como Grupo de hackers chinos compuesto por dos personas, Luo y Xu , quien vendió los datos robados a grupos de traficantes tanto en China como en Taiwán. Dos sospechosos taiwaneses presuntamente involucrados en el tráfico de datos fueron arrestados y posteriormente puesto en libertad bajo fianza el pasado mes de agosto.