Boletín del Día de las Amenazas: Codespaces RCE...

En señal de que el actor de la amenaza ha superado los objetivos gubernamentales, los países alineados con Pakistán APARTAMENTO 36 Se ha observado que un actor de amenazas apunta al ecosistema de empresas emergentes de la India, utilizando archivos ISO y atajos de LNK maliciosos que utilizan señuelos sensibles con temática de empresas emergentes para entregar RATA carmesí , lo que permite una vigilancia integral, la exfiltración de datos y el reconocimiento del sistema. El vector de acceso inicial es un correo electrónico de suplantación de identidad que contiene una imagen ISO. Una vez ejecutada, la ISO contiene un archivo de acceso directo malintencionado y una carpeta que contiene tres archivos: un documento señuelo, un script por lotes que actúa como mecanismo de persistencia y la última carga útil de Crimson RAT, disfrazada de un ejecutable llamado Excel. «A pesar de esta expansión, la campaña sigue estrechamente alineada con el enfoque histórico de Transparent Tribe en la recopilación de información relacionada con el gobierno y la defensa de la India, y la superposición sugiere que las personas vinculadas a empresas emergentes pueden ser atacadas por su proximidad a las operaciones gubernamentales, policiales o de seguridad», Acronis dijo .

El clúster de actividad de amenazas conocido como Shadow Syndicate se ha vinculado a dos marcadores SSH adicionales que conectan docenas de servidores al mismo operador de ciberdelincuencia. Luego, varios grupos de amenazas vinculados a Cl0p, BlackCat, Ryuk, Malsmoke y Black Basta utilizan estos hosts para una amplia gama de actividades maliciosas. Un hallazgo notable es que el actor de amenazas tiende a transferir servidores entre sus clústeres de SSH. ShadowSyndicate sigue asociado a kits de herramientas como Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, Asyncrat, MeshaGent y Brute Ratel. «El actor de amenazas tiende a reutilizar la infraestructura empleada anteriormente y, a veces, rota varias claves SSH entre sus servidores», dijo Group-IB dijo . «Si esta técnica se ejecuta correctamente, la infraestructura se transfiere posteriormente, como en un escenario legítimo, cuando un servidor pasa a un nuevo usuario».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) modificó 59 avisos de vulnerabilidad explotados activamente en 2025 para reflejar su uso por parte de grupos de ransomware. Esa lista incluye 16 entradas para Microsoft, seis para Ivanti, cinco para Fortinet, tres para Palo Alto Networks y tres para Zimbra. «Cuando pase de «Desconocido» a «Conocido», vuelve a evaluarlo, especialmente si has estado restando prioridad a ese parche porque «aún no está relacionado con el ransomware», dijo Glenn Thorpe, de GreyNoise dijo .

Las autoridades polacas han detenido un empleado del Ministerio de Defensa del país de 60 años el sospecha de espiar para una agencia de inteligencia extranjera. El sospechoso trabajaba en el departamento de estrategia y planificación del Ministerio de Defensa Nacional, incluso en proyectos de modernización militar, dijeron las autoridades. Si bien no se reveló el nombre del país, funcionarios estatales polacos dijeron a los medios locales que el sospechoso había trabajado con los servicios de inteligencia rusos y bielorrusos. En un acontecimiento relacionado, la Oficina Central de Lucha contra la Ciberdelincuencia (CBZC) de Polonia dijo un hombre de 20 años ha sido arrestado por presuntamente llevar a cabo ataques distribuidos de denegación de servicio (DDoS) en sitios web de alto perfil, incluidos aquellos de importancia estratégica. El individuo se enfrenta a seis cargos y a una posible sentencia de cinco años de prisión.

Se han revelado varios vectores de ataque en GitHub Codespaces que permiten la ejecución remota de código simplemente abriendo un repositorio o una solicitud de extracción malintencionados. Los vectores identificados incluyen: (1) .vscode/settings.json con la inyección PROMPT_COMMAND, (2) .devcontainer/devcontainer.json con la inyección PostCreateCommand y (3) .vscode/tasks.json con tareas de ejecución automática de FolderOpen. «Al abusar de los archivos de configuración integrados en VScode que Codespaces respeta automáticamente, un adversario puede ejecutar comandos arbitrarios, filtrar los tokens y secretos de GitHub e incluso abusar de las API ocultas para acceder a modelos Copilot premium», dijo Roi Nisimi, investigador de Orca Security dijo . Microsoft ha considerado que el comportamiento es deliberado.

El sector financiero de los países nórdicos ha sido atacado por el Grupo Lazarus, vinculado a Corea del Norte, como parte de una campaña de larga duración denominada Entrevista contagiosa que deja caer un ladrón y descarga uno llamado BeaverTail. «BeaverTail contiene una funcionalidad que permite buscar automáticamente en la máquina de la víctima datos relacionados con las criptomonedas, pero también se puede utilizar como una herramienta de acceso remoto para futuros ataques», afirma TRUESEC.

En un nuevo análisis, SocRadar dijo que el grupo hacktivista prorruso conocido como Sin nombre 057 (16) está utilizando un arma DDoS distribuida por voluntarios llamada Proyecto DDoSIA para interrumpir los sitios web gubernamentales, de los medios de comunicación y de las instituciones vinculados a Ucrania y a los intereses políticos occidentales. A través de sus canales activos de Telegram con más de 20 000 seguidores, el grupo califica los ataques perturbadores (pero no destructivos) de «defensa propia» contra la agresión occidental y proporciona pruebas en tiempo real de que los ataques han tenido éxito. Sus campañas impulsadas por la ideología suelen coincidir con los principales acontecimientos geopolíticos, y contrarrestan las sanciones y los anuncios de ayuda militar con ciberataques de represalia. «A diferencia de las botnets tradicionales, que ponen en peligro los sistemas sin que el usuario lo sepa, DDoSIA se basa en una premisa inquietante: miles de participantes dispuestos a instalar la herramienta a sabiendas y coordinan los ataques contra los objetivos designados por los operadores del grupo», dijo SocRadar dijo . «Mediante la propaganda, la gamificación y las recompensas en criptomonedas, NoName057 (16) ha creado una fuerza de ataque distribuida que requiere una habilidad técnica mínima para unirse, pero que demuestra una notable sofisticación operativa». Según Censos , los objetivos de la herramienta especialmente diseñada se centran en gran medida en Ucrania, los aliados europeos y los estados de la OTAN en los sectores gubernamental, militar, de transporte, de servicios públicos, financiero y turístico.

Una importante operación ciberdelictiva denominada Rublevka Team se especializa en el robo de criptomonedas a gran escala desde su creación en 2023, y ha generado más de 10 millones de dólares a través de campañas de agotamiento de carteras impulsadas por afiliados. «El equipo de Rublevka es un ejemplo de «equipo de tráfico», compuesto por una red de miles de especialistas en ingeniería social encargados de dirigir el tráfico de las víctimas a páginas maliciosas», dijo Recorded Future dijo . «A diferencia de los enfoques tradicionales basados en el malware, como los que utilizan los equipos de traficantes Markopolo y Maldad loca , el equipo de Rublevka implementa scripts de JavaScript personalizados a través de páginas de destino falsas que se hacen pasar por servicios criptográficos legítimos, engañando a las víctimas para que conecten sus carteras y autoricen transacciones fraudulentas». El equipo Rublevka ofrece a los afiliados acceso a bots de Telegram totalmente automatizados, generadores de páginas de destino, funciones de evasión y soporte para más de 90 tipos de monederos. Esto reduce aún más la barrera técnica de entrada, lo que permite a los actores de las amenazas crear un amplio ecosistema de filiales globales capaces de lanzar estafas de gran volumen con una supervisión mínima. El canal principal de Telegram del equipo Rublevka tiene aproximadamente 7.000 miembros hasta la fecha.

Microsoft insta a los clientes a proteger su infraestructura con la versión 1.2 de Transport Layer Security (TLS) para Azure Blob Storage y a eliminar las dependencias de las versiones 1.0 y 1.1 de TLS. «El 3 de febrero de 2026, Azure Blob Storage dejará de ofrecer soporte para las versiones 1.0 y 1.1 de Transport Layer Security (TLS)», explica Microsoft dijo . «TLS 1.2 se convertirá en la nueva versión mínima de TLS. Este cambio afecta a todas las cuentas de almacenamiento en blobs existentes y nuevas que utilizan TLS 1.0 y 1.1 en todas las nubes. Las cuentas de almacenamiento que ya utilizan TLS 1.2 no se ven afectadas por este cambio».

En una nueva campaña, se descubrió que los mensajes de correo de voz falsos con subdominios de temática bancaria dirigen a los destinatarios a una experiencia convincente de «escucha tu mensaje» diseñada para que parezca rutinaria y confiable. En realidad, el ataque lleva al despliegue de Remotely RMM, un software legítimo de acceso remoto, que inscribe el sistema víctima en un entorno controlado por el atacante para permitir un acceso y una administración remotos persistentes. «El flujo se basa en la ingeniería social y no en los exploits, y se utilizan señuelos para convencer a los usuarios de que aprueben las etapas de instalación», dijo Censys dijo . «El objetivo final es instalar una herramienta RMM (supervisión y administración remotas) que permita inscribir el dispositivo en un entorno controlado por un atacante».

Una operación de malware de larga duración conocida como Sistema BC (también conocido como Coroxy o DroxiDAT) se ha vinculado a más de 10 000 direcciones IP infectadas en todo el mundo, incluidos los sistemas asociados a infraestructuras gubernamentales sensibles en Burkina Faso y Vietnam. La mayor concentración de direcciones IP infectadas se ha registrado en EE. UU., seguidos de Alemania, Francia, Singapur e India, según Silent Push. El malware, que se sabe que está activo desde al menos 2019, se suele utilizar para enviar por proxy el tráfico a través de sistemas comprometidos, para mantener el acceso persistente a las redes internas o para implementar malware adicional. «La infraestructura asociada a SystemBC presenta un riesgo sostenido debido a su papel en las primeras etapas de las cadenas de intrusión y a su uso contra múltiples actores de amenazas», dijo Silent Push dijo . «La supervisión proactiva es fundamental, ya que las actividades vinculadas a SystemBC suelen ser precursoras del despliegue del ransomware y otros abusos posteriores».

Se ha observado que una nueva campaña de spear-phising que utiliza señuelos de temática empresarial incita a los usuarios a ejecutar un archivo de salvapantallas de Windows (.SCR) que instala discretamente una herramienta RMM legítima, como SimpleHelp, que ofrece a los atacantes un control remoto interactivo. «La cadena de entrega está diseñada para eludir las defensas basadas en la reputación ocultándose detrás de servicios confiables», dijo ReliaQuest dijo . «Esto reduce la infraestructura propiedad de los atacantes y hace que el desmantelamiento y la contención sean más lentos y menos sencillos. Los archivos SCR son un vector de acceso inicial fiable porque son ejecutables y no siempre reciben controles de nivel ejecutable. Cuando los usuarios los descargan y ejecutan desde el correo electrónico o los enlaces en la nube, los atacantes pueden iniciar la ejecución del código y, al mismo tiempo, eludir las políticas diseñadas principalmente para los archivos EXE y MSI».

Los actores de amenazas están abusando de un software de orientación legítimo pero revocado ( EnCase ) controlador de kernel como parte de un controlador Bring your own vulnerable ( POR OVD ) atacan para aumentar los privilegios e intentar desarmar 59 herramientas de seguridad. En un ataque observado a principios de este mes, los atacantes aprovecharon las credenciales SSL-VPN comprometidas de SonicWall para obtener el acceso inicial a la red de la víctima e instalaron una EDR que utilizaba indebidamente el controlador (» EnPortv.sys «) para interrumpir los procesos de seguridad desde el modo kernel. «El ataque se interrumpió antes de que se lanzara el ransomware, pero el caso pone de manifiesto una tendencia creciente: los actores de amenazas utilizan como armas a los conductores legítimos y firmados para cegar la seguridad de los terminales», afirman Anna Pham y Dray Agha, investigadores de Huntress dijo . «El certificado de conductor de EnCase caducó en 2010 y, posteriormente, fue revocado, pero Windows sigue cargándolo, una laguna en la aplicación de las firmas de los conductores que los atacantes siguen aprovechando».

Los investigadores de seguridad han descubierto un error de codificación en ransomware Nitrogen eso hace que cifre todos los archivos con una clave pública incorrecta, lo que los corrompe irrevocablemente. «Esto significa que ni siquiera el autor de la amenaza es capaz de descifrarlos y que las víctimas que no tienen copias de seguridad viables no pueden recuperar sus servidores cifrados con ESXi», dijo Coveware dijo . «Pagar un rescate no ayudará a estas víctimas, ya que la clave/herramienta de descifrado no funcionará».

Una operación ofensiva en la nube dirigida a un entorno de Amazon Web Services (AWS) pasó del acceso inicial a los privilegios administrativos en ocho minutos. A pesar de la velocidad del ataque, Sysdig dijo que la actividad tiene el sello distintivo del uso del modelo de lenguaje extenso (LLM) para automatizar el reconocimiento, generar código malicioso y tomar decisiones en tiempo real. «El autor de la amenaza obtuvo el acceso inicial a la cuenta de AWS de la víctima gracias a las credenciales descubiertas en depósitos públicos del Simple Storage Service (S3)», dijo Sysdig dijo . «Luego, aumentaron rápidamente sus privilegios mediante la inyección de código de funciones de Lambda, se movieron lateralmente entre 19 directores únicos de AWS y abusaron de Amazon Bedrock para Hackeo de LLM , y lanzó instancias de GPU para el entrenamiento de modelos».

Un plan de suplantación de identidad ha utilizado correos electrónicos de suplantación de identidad relacionados con adquisiciones y licitaciones para distribuir archivos PDF adjuntos que inician una cadena de ataques en varias etapas para robar las credenciales de Dropbox de los usuarios y enviarlas a un bot de Telegram. Una vez transmitidos los datos, simula un proceso de inicio de sesión con un retraso de 5 segundos y se configura para mostrar el mensaje de error «Correo electrónico o contraseña no válidos». «La cadena maliciosa se basa en una infraestructura de nube aparentemente legítima, como Vercel Blob Storage, para alojar un PDF que, en última instancia, redirige a las víctimas a una página de suplantación de identidad de Dropbox diseñada para recopilar credenciales», dijo Forcepoint dijo . «Como Dropbox es una marca conocida y de confianza, la solicitud de credenciales pareció razonable para los usuarios desprevenidos. Es aquí donde la campaña pasa del engaño al impacto».

Un fallo de seguridad de calificación crítica en Sandboxie ( CVE-2025-64721 , puntuación CVSS: 9.9) se ha revelado que, si se explota correctamente, podría permitir que los procesos en espacio aislado ejecuten código arbitrario como SYSTEM, lo que comprometería por completo al host. El problema tiene su origen en un servicio denominado "SboxSvc.exe», que funciona con los permisos del SISTEMA y actúa como el «adulto responsable» entre los procesos aislados y los recursos informáticos reales. El problema se solucionó en la versión 1.16.7. «En este caso, el uso de la aritmética manual de punteros tipo C en vez de utilizar una definición de interfaz segura (como IDL) dejó un vacío», afirma Mav Levin, investigador especializado en profundidad y descubridor de la vulnerabilidad, dijo . «La falta de una sola verificación del desbordamiento de números enteros, junto con la confianza implícita en la longitud de los mensajes proporcionados por el cliente, convirtieron al adulto responsable en una víctima».

La plataforma de gestión de superficies de ataque Censys dijo que estaba rastreando 57 servidores activos asociados a asíncratas expuestos en la Internet pública en enero de 2026. Lanzado por primera vez en 2019, asíncrata permite el acceso no autorizado a largo plazo y el control posterior a una situación comprometida, lo que la convierte en una herramienta confiable para el robo de credenciales, la estadificación del movimiento lateral y la entrega posterior de la carga útil. Del total de 57 activos, la mayoría están alojados en APIVERSA (el 13% de los hosts), las redes Contabo (el 11% en conjunto) y AS-COLOCROSSING (el 5,5%), lo que indica que los operadores dan prioridad al alojamiento de bajo costo y tolerante al abuso frente a los principales proveedores de nube. «Estos hosts se concentran principalmente en una pequeña cantidad de sistemas autónomos centrados en VPS y, con frecuencia, reutilizan un certificado TLS autofirmado distintivo que identifica el servicio como un 'servidor Asyncrat', lo que permite un descubrimiento escalable de la infraestructura relacionada más allá de la detección basada en muestras», dijo Censys dijo .

Un análisis de varias campañas organizadas por grupos de hackers chinos Tifón violeta y Tifón Volt ha revelado el uso de algunas tácticas comunes: aprovechar las fallas de día cero en los dispositivos periféricos, técnicas de vida fuera de la tierra (LoTL) para atravesar redes y esconderse dentro de la actividad normal de la red, y redes de cajas de retransmisión operativa (ORB) para ocultar operaciones de espionaje. «Es casi seguro que los actores de amenazas de los estados nacionales chinos no solo seguirán persiguiendo objetivos de alto valor, sino que es probable que amplíen sus operaciones para llevar a cabo campañas globales y atacar al mayor número posible de entidades de cada región o sector a fin de maximizar sus ganancias en cada explotación», dijo Intel471 dijo . «La aceleración de las mejoras en la postura de ciberseguridad de numerosos países clave como objetivo ha obligado a las fuerzas de inteligencia patrocinadas por el estado chino a ser más innovadoras en sus estrategias de ataque».

Los actores de amenazas utilizan un marco llamado iClickFix que se puede utilizar para crear páginas de ClickFix en sitios de WordPress pirateados. Según la firma de seguridad Sekoia, el marco ha estado activo en más de 3.800 sitios desde diciembre de 2024. «Este clúster utiliza un marco de JavaScript malintencionado que se inyecta en sitios de WordPress comprometidos para mostrar el Haga clic en Fijar atraiga y entregue NetSupport RAT», la empresa francesa de ciberseguridad dijo . La campaña de distribución de malware aprovecha la táctica de ingeniería social de ClickFix a través de un sistema de distribución de tráfico ( TDS ). Se sospecha que el atacante abusa del acortador de URL de código abierto YOURLS como TDS. En los últimos meses, también se ha descubierto que los actores de amenazas utilizan otro TDS llamado Tráfico de errores para inyectar JavaScript malintencionado en sitios web comprometidos para provocar problemas y, a continuación, sugerir una solución para solucionar el problema inexistente.