Boletín ThreatDay: Pixel Zero-Click, Redis RCE,...

Las entidades gubernamentales de Afganistán han sido objeto de una campaña de suplantación de identidad denominada Operación Nomad Leopard, que emplea documentos administrativos falsos como señuelos para distribuir una puerta trasera llamada FALSECUB mediante un archivo de imagen ISO alojado en GitHub. La campaña se detectó por primera vez a finales de diciembre de 2025. «El archivo ISO contiene tres archivos», Seqrite Lab dijo . «El archivo LNK, doc.PDF.LNK, es responsable de mostrar el PDF a la víctima y ejecutar la carga útil. El archivo PDF, doc.pdf, contiene el señuelo de temática gubernamental». La carga útil final es un ejecutable de C++ que es capaz de recibir comandos de un servidor externo. La actividad no se ha atribuido a ningún país específico ni a ningún grupo de hackers conocido. «La campaña parece estar dirigida por un agente de amenazas centrado en la región con un nivel de sofisticación de bajo a moderado», añadió la empresa india de ciberseguridad.

El gobierno del Reino Unido advierte sobre la continua actividad maliciosa de grupos hacktivistas alineados con Rusia, como Sin nombre 057 (16) atacar infraestructuras críticas y organizaciones gubernamentales locales del país con ataques de denegación de servicio (DoS). El objetivo final de estos ataques es desconectar los sitios web e impedir el acceso a los servicios esenciales. «Si bien los ataques DoS suelen ser poco sofisticados, un ataque exitoso puede interrumpir sistemas enteros y costar a las organizaciones mucho tiempo, dinero y capacidad de recuperación operativa al tener que analizarlos, defenderse y recuperarse de ellos», afirma el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido dijo .

VirusTotal, propiedad de Google, tiene divulgado detalles de una campaña de robo de información que se basa en un ejecutable confiable para engañar al sistema operativo para que cargue una carga útil de DLL (» CoreMessaging.dll «) malintencionada, una técnica denominada Carga lateral de DLL — lo que lleva a la ejecución de ladrones de información en fase secundaria diseñados para filtrar datos confidenciales. Tanto el ejecutable como la DLL se distribuyen mediante archivos ZIP que imitan a los instaladores de aplicaciones legítimas como Malwarebytes (por ejemplo, «malwarebytes-windows-github-io-6.98.5.zip») y otros programas.

El investigador de SpecterOps, Daniel Mayer, ha publicado un archivo de objetos de baliza ( BOB ), un programa compilado en C diseñado para ejecutarse en la memoria de un agente posterior a la explotación como Cobalt Strike Beacon, que interactúa con el subsistema Windows para Linux (WSL) invocando directamente el servicio COM de WSL, evitando por completo la creación de procesos para "wsl.exe» y permitiendo a los operadores enumerar todas las distribuciones de WSL instaladas y ejecutar comandos arbitrarios en cualquier distribución de WSL que encuentre el BOF.

Los investigadores de ciberseguridad han revelado una campaña maliciosa activa que utiliza anuncios colocados en sitios web legítimos para atraer a los usuarios a descargar herramientas de «conversión» para convertir imágenes o documentos. Estos servicios comparten una plantilla de sitio web similar y se conocen con nombres como Easy2Convert, ConvertyFile, Infinite Docs y PowerDoc. Si un usuario termina intentando descargar el programa, se le redirige a otro dominio que realmente aloja los archivos dropper de C#. «En primer plano, estas herramientas suelen funcionar según lo prometido, por lo que los usuarios no sospechan», dijo Nextron Systems dijo . «Sin embargo, en segundo plano, se comportan de manera casi idéntica: instalan troyanos de acceso remoto (RAT) persistentes que brindan al actor de la amenaza un acceso continuo al sistema de la víctima». En concreto, el ejecutable está diseñado para establecer la persistencia mediante una tarea programada, que apunta a la carga útil principal, una aplicación.NET que inicia la comunicación con un servidor remoto, ejecuta los ensamblados.NET recibidos del servidor y devuelve los resultados mediante una solicitud HTTP POST.

Let's Encrypt dijo que sus certificados TLS de corta duración con una vida útil de 6 días ya están disponibles en general. Cada certificado es válido durante un período de 160 horas a partir del momento en que se emite. «Los certificados de corta duración son opcionales y no tenemos previsto convertirlos en los certificados predeterminados en este momento. Los suscriptores que hayan automatizado por completo su proceso de renovación deberían poder cambiar fácilmente a certificados de corta duración si lo desean, pero entendemos que no todo el mundo está en esa posición y, por lo general, se siente cómodo con esta vida útil significativamente más corta», Let's Encrypt dijo . Para solicitar uno, los operadores deben seleccionar el perfil «efímero» en su cliente ACME. Los certificados de corta duración son opcionales y no hay planes para convertirlos en los predeterminados en este momento, agregó la autoridad certificadora sin fines de lucro.

Zendesk ha revelado que se utilizan sistemas de soporte no seguros para enviar correos electrónicos no deseados . Los ataques aprovechan la capacidad de Zendesk de permitir a los usuarios no verificados enviar solicitudes de soporte, que luego generan automáticamente correos electrónicos de confirmación que se envían a la dirección de correo electrónico introducida por el atacante. Este sistema de respuesta automática se está utilizando como arma para convertir la plataforma de soporte en un medio de distribución de correo basura mediante la creación de tickets falsos. «Estos correos electrónicos parecen contactos legítimos de empresas que utilizan Zendesk para comunicarse con sus clientes y son una táctica de spam conocida como spam de retransmisión», explica el proveedor de gestión de relaciones con los clientes (CRM) dijo en un aviso. La empresa lo describió como un «posible efecto secundario» que se produce cuando Zendesk decide permitir que los usuarios no verificados envíen solicitudes, y añadió que está trabajando activamente para reducir el spam y prevenir nuevas campañas de spam. También ha instado a los clientes a eliminar marcadores de posición específicos de los activadores de la primera respuesta y a permitir que solo los usuarios añadidos envíen tickets.

La Comisión Europea ha propuesto nueva legislación sobre ciberseguridad que exige la eliminación de los proveedores de alto riesgo para proteger las redes de telecomunicaciones y reforzar las defensas contra los grupos de ciberdelincuencia respaldados por el estado y que atacan infraestructuras críticas. «La nueva Ley de Ciberseguridad tiene como objetivo reducir los riesgos en la cadena de suministro de TIC de la UE por parte de los proveedores de terceros países con problemas de ciberseguridad», afirma la Comisión dijo . «Establece un marco fiable de seguridad de la cadena de suministro de las TIC basado en un enfoque armonizado, proporcionado y basado en el riesgo. Esto permitirá a la UE y a los Estados miembros identificar y mitigar conjuntamente los riesgos en los 18 sectores críticos de la UE, teniendo en cuenta también los impactos económicos y la oferta del mercado». También se espera que la Ley de Ciberseguridad revisada garantice que los productos y servicios que llegan a los consumidores de los EE. UU. se sometan a pruebas de seguridad de una manera más eficiente mediante un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado. La ley modificada entrará en vigor inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo de la UE. Una vez adoptada, los estados miembros tienen un año para incorporar la directiva a la legislación nacional.

La firma de inteligencia de amenazas GreyNoise ha descubierto una actividad de reconocimiento de complementos de WordPress a gran escala destinada a enumerar los sitios potencialmente vulnerables. El escaneo masivo, que se llevó a cabo entre el 20 de octubre de 2025 y el 19 de enero de 2026, incluyó 994 direcciones IP únicas distribuidas en 145 ASN dirigidas a 706 complementos distintos de WordPress en más de 40 000 eventos de enumeración únicos. Los plugins más segmentados son Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor y Duplicator. La actividad alcanzó un nuevo máximo el 7 de diciembre de 2025, cuando se registraron 6.550 sesiones únicas. Más del 95% del aumento se debió a una sola dirección IP: 112.134.208 [.] 214. Se recomienda a los usuarios de los complementos antes mencionados que los mantengan actualizados.

El proyecto Rust ha actualizado Crates.io para incluir una pestaña de «Seguridad» en las páginas individuales de las cajas. La pestaña muestra los avisos de seguridad extraídos de la base de datos de RustSec y enumera las versiones de una caja que pueden tener vulnerabilidades conocidas. Este cambio ofrece a los desarrolladores una forma sencilla de ver la información de seguridad relevante antes de añadir la caja como dependencia. «La pestaña muestra las vulnerabilidades conocidas de la caja junto con los rangos de versiones afectados», dicen los responsables del mantenimiento dijo . Otras mejoras incluyen una mayor compatibilidad con Trusted Publishing, que ahora funciona con GitLab CI/CD además de con GitHub Actions, y un nuevo modo de publicación confiable que, cuando está habilitado, desactiva la publicación tradicional basada en tokens de API para reducir el riesgo de publicaciones no autorizadas a partir de tokens de API filtrados. Trusted Publishing también se ha actualizado para bloquear los activadores de GitHub Actions pull_request_target y workflow_run. «Estos desencadenantes han sido responsables de múltiples incidentes de seguridad en el ecosistema de GitHub Actions y no vale la pena correr el riesgo», afirma el equipo de Crates.io.

UN nuevo análisis de Hunt.io ha revelado que el espacio de Internet chino aloja más de 18.000 servidores activos de comando y control (C2 o C&C) en 48 proveedores diferentes en los últimos tres meses. China Unicom aloja casi la mitad de todos los servidores observados, con Alibaba Cloud y Tencent siguiendo su ejemplo. Más de la mitad de los servidores C2 (unas 9.427 IP C2 únicas) se utilizan para controlar una botnet de IoT conocida como Mozi . Una parte de los servidores C2 restantes se utiliza para actividades relacionadas con Cobalt Strike (1204), Vshell (830) y Mirai (703). «En los entornos de alojamiento chinos, la mayor parte de la actividad de mando y control observada corresponde a un reducido número de grandes proveedores de telecomunicaciones y de nube, y dan soporte a todo tipo de aplicaciones, desde malware común y redes de bots de IoT hasta operaciones de suplantación de identidad y herramientas vinculadas al estado», señala Hunt.io.

Un exconsultor de TI de 33 años de las Fuerzas Armadas de Suecia ha sido detenido bajo sospecha de haber pasado información al servicio de inteligencia ruso, según la fiscalía sueca. La presunta actividad delictiva tuvo lugar durante 2025 y hasta el 4 de enero de 2026, pero las autoridades suecas sospechan que el espionaje podría haber continuado desde 2022, cuando Rusia lanzó su invasión a gran escala de Ucrania. El sospechoso, que ha negado haber actuado mal, trabajó como consultor de TI para el ejército sueco de 2018 a 2022, según la AFP . Se dice que la investigación aún se encuentra en sus primeras etapas. En febrero de 2021, un consultor tecnológico sueco de 47 años fue cargado con espionaje por supuestamente vender información sobre el fabricante de camiones Scania y Volvo Cars a un diplomático ruso durante varios años. Fue sentenciado a tres años de prisión más tarde en septiembre.

Las vulnerabilidades críticas (desde el CVE-2026-22236 hasta el CVE-2026-22240) se han revelado en el Bluvoyix plataforma de Bluspark Global, una solución basada en la nube que se utiliza para ayudar a los transportistas a gestionar los datos de su cadena de suministro, lo que podría haber permitido a un mal actor hacerse con el control total de la plataforma y acceder a los datos de los clientes y los envíos. Podrían haber permitido el acceso a las cuentas de los clientes y el seguimiento de los envíos de carga y componentes, así como haber permitido el acceso completo a la API de la plataforma sin necesidad de autenticación. Este vacío legal podría haberse convertido en un arma para crear cuentas de administrador con el fin de aprovecharlas posteriormente. Las vulnerabilidades se han parcheado desde entonces, pero no antes proceso de divulgación prolongado . El investigador de seguridad Eaton Zveare, que tiene anteriormente descubierto agujeros de seguridad en plataformas utilizadas por empresas automotrices, dijo el «acceso de administrador permitió ver, modificar e incluso cancelar los envíos de los clientes que se remontan a 2007».

Estafas de criptomonedas recibida al menos 14 000 millones de dólares en criptomonedas en 2025, un aumento con respecto a los 12 000 millones de dólares reportados el año anterior. El pago medio por estafa obtenido de las víctimas también aumentó de 782 dólares a 2.764 dólares. Las inversiones de alto rendimiento y la matanza de cerdos siguieron siendo las categorías más dominantes en términos de volumen, incluso si se compara con las estafas de suplantación de identidad, en las que participan estafadores que se hacen pasar por organizaciones legítimas, como Pase E-Z manipular a las víctimas para que transfieran fondos: aumentó un 1.400%. Según Chainalysis, según las tendencias históricas, se prevé que la cifra para 2025 supere los 17 000 millones de dólares, a medida que se identifiquen más direcciones de monederos ilícitos en los próximos meses. Se ha descubierto que los estafadores utilizan cada vez más la tecnología deepfake y el contenido generado por la inteligencia artificial para crear suplantaciones convincentes en estafas románticas y de inversión. «Las principales operaciones fraudulentas se industrializaron cada vez más, con una infraestructura sofisticada, que incluía herramientas de suplantación de identidad como servicio, copias falsas generadas por inteligencia artificial y redes profesionales de lavado de dinero», afirma la empresa. «Las redes de matanza de cerdos en el sudeste asiático, que recurren en gran medida a las CMLN [redes chinas de lavado de dinero], generan miles de millones de dólares al año y se basan en estructuras estratificadas de monederos, bolsas, sociedades fantasma y canales bancarios informales para blanquear fondos y convertir las criptomonedas en activos del mundo real, incluidos bienes raíces y artículos de lujo».

Un grupo de cinco ciudadanos venezolanos ha se declaró culpable o han sido sentenciados por su participación en un país multiestatal Robos de botes en cajeros automáticos entre el 14 y el 16 de septiembre de 2024, que utilizó malware sofisticado para robar miles de dólares en Georgia, Florida y Kentucky. El grupo, formado por Héctor Alejandro Alvarado Álvarez (20), César Augusto Gil Sánchez (22), Javier Alejandro Suarez-Godoy (20), David Josfrangel Suarez-Sánchez (24) y Giobriel Alexander Valera-Astudillo (26), atacó a varias instituciones financieras mediante el despliegue de malware o el acceso al modo supervisor del cajero automático para activar la retirada de efectivo. Los miembros del grupo fueron captados por una cámara mientras realizaban los ataques y fueron identificados basándose en las huellas dactilares dejadas en los cajeros automáticos. Se enfrentan a hasta 30 años de prisión, seguidos de una deportación inmediata.

Google Project Zero ha publicado un exploit sin clics ( Parte 1 , Parte 2 , y Parte 3 ) que pueden comprometer los teléfonos inteligentes Android a través del decodificador de audio Dolby. El exploit es posible porque la aplicación Google Messages procesa automáticamente los archivos adjuntos de audio entrantes en segundo plano con fines de transcripción y los decodifica sin necesidad de la interacción del usuario. El exploit aprovecha CVE-2025-54957 para obtener la ejecución de código arbitrario en el contexto mediacodec de un Google Pixel 9, y luego hace uso de CVE-2025-36934 , que no se puede usar después en el controlador BigWave, para transferir los privilegios de mediacodec al kernel del dispositivo. «La inversión de tiempo necesaria para encontrar las vulnerabilidades necesarias fue pequeña en comparación con el impacto de este exploit, especialmente en la fase de escalamiento de privilegios», afirma la investigadora Natalie Silvanovich. «Es casi seguro que el tiempo necesario para encontrar los errores de una cadena de exploits con cero clics en Android puede medirse en semanas-persona en el caso de un atacante con muchos recursos». Mientras que Dolby remendado Tras la falla en octubre de 2025, Samsung fue el primer proveedor de dispositivos móviles en corregir la vulnerabilidad al mes siguiente. Los dispositivos Pixel no recibieron el parche hasta el 5 de enero de 2026. La falla del controlador BigWave se envió a los dispositivos Pixel el 6 de enero de 2026.

Una campaña de publicidad maliciosa detectado de Sophos, en septiembre de 2025, utilizó Google Ads para redirigir a las víctimas a sitios engañosos que promocionaban una aplicación de edición de PDF troyanizada llamada AppSuite PDF Editor. La aplicación, una vez instalada, parecía legítima para los usuarios, pero ofrecía sigilosamente un ladrón de información denominado Chef manipulado dirigido a dispositivos Windows. Se sabe que los clústeres de amenazas, en constante evolución, emplean tácticas como retrasar la ejecución y permanecer inactivos durante unos 56 días antes de activar el comportamiento de robo de información para garantizar su persistencia. El período de tiempo se alinea con el ciclo típico de 30 a 60 días de las campañas publicitarias de pago. Se considera que TamperedChef forma parte de una campaña más amplia conocida como EvilAI. Según los datos de telemetría recopilados por la empresa de ciberseguridad, la campaña afectó a más de 100 sistemas, y la mayoría de las víctimas se encontraban en Alemania (~ 15%), el Reino Unido (~ 14%) y Francia (~ 9%). «Las víctimas de esta campaña abarcan una variedad de industrias, especialmente aquellas en las que las operaciones dependen en gran medida de equipos técnicos especializados, posiblemente porque los usuarios de esas industrias buscan con frecuencia en Internet manuales de productos, un comportamiento que la campaña de TamperedChef aprovecha para distribuir software malicioso», dijo la empresa.

Se ha observado una nueva campaña de suplantación de identidad que utiliza facturas farmacéuticas falsas para engañar a los destinatarios para que abran archivos ZIP que contienen JavaScript y que, una vez ejecutados, utilizan PowerShell para descargar una imagen PNG maliciosa alojada en Internet Archive. «Pero en realidad no se trata de un archivo PNG estándar. Bueno, lo es, pero con extras», Swiss Post Cybersecurity dijo . «Los atacantes incrustaron una carga útil codificada en Base64 después de la parte IEND del PNG, que marca el final oficial de los datos de la imagen. El archivo sigue mostrándose como una imagen válida en cualquier visor. El malware propiamente dicho se encuentra entre dos marcadores personalizados, BaseStart- y -BaseEnd». La carga útil extraída entre estos marcadores se usa para lanzar un cargador de malware conocido como VMDetectLoader, que se encarga de la persistencia, las comprobaciones del entorno y el lanzamiento Robador PureLogs , un ladrón de productos básicos desarrollado por un actor de amenazas conocido como PureCoder. Vale la pena señalar que VMDetectLoader ha sido usado anteriormente para lanzar DCRat en los ataques contra Colombia.

Una operación de suplantación de préstamos a gran escala en Perú ha sido descubierto abusar de ofertas de préstamos falsas para recopilar información personal y bancaria confidencial (detalles de tarjetas bancarias, contraseña de banca en línea y un código PIN de 6 dígitos) de usuarios desprevenidos. La campaña se propaga a través de anuncios en las redes sociales. Desde 2024, los responsables de la operación han creado aproximadamente 370 dominios únicos haciéndose pasar por bancos en Perú, Colombia, El Salvador, Chile y Ecuador. «Esta suplantación de identidad en particular se dirige a las personas mediante un proceso de solicitud de préstamo aparentemente legítimo, diseñado para obtener credenciales de tarjetas de crédito válidas y los códigos PIN correspondientes», afirma Group-IB. «Estas credenciales se venden luego en el mercado negro o se utilizan en otras actividades de suplantación de identidad». Tan pronto como se introducen los detalles en los sitios falsos, un script que se ejecuta en segundo plano en la página web valida la información utilizando el Algoritmo de Luhn para garantizar que los datos de la tarjeta de crédito introducidos y el número de identificación gubernamental sean auténticos.

Un actor de amenazas rastreado como Larva-25012 está utilizando un instalador falso de Notepad++ como señuelo para distribuir proxyware en ataques contra Corea del Sur. Los programas de instalación, escritos en C++ y alojados en GitHub, se promocionan a través de páginas publicitarias en sitios web que se hacen pasar por portales de descarga de software descifrado o ilegal. «Estos instaladores descargan el malware de descarga DPLoader. Una vez registrado en el programador de tareas de Windows, DPLoader se ejecuta de forma persistente y recupera los comandos de su servidor de C&C. Todos los scripts de PowerShell observados hasta la fecha incluyen la lógica para instalar varias herramientas de Proxyware», AhnLab dijo . «Además, el atacante está cambiando activamente las técnicas para evadir la detección, como inyectar Proxyware en el proceso del Explorador de Windows o aprovechar los cargadores basados en Python». El objetivo de estos ataques es instalar proxyware en la máquina de la víctima sin su conocimiento y monetizar el ancho de banda de Internet no utilizado vendiéndolo a terceros. Se estima que Larva-25012 está activo desde al menos 2024 y distribuye varios tipos de proxyware, incluidos DigitalPulse, Honeygain e Invatica.