Spyware de iPhone, Microsoft 0-Day, Tokenbreak Hack, Fugas de datos de IA y más

Algunos de los mayores problemas de seguridad comienzan en silencio. Sin alertas. Sin advertencias. Solo pequeñas acciones que parecen normales pero no lo son. Los atacantes ahora saben cómo mantenerse ocultos mezclando, y eso hace que sea difícil enterarse cuándo poco está mal.

Las historias de esta semana no se alcahuetería solo de lo que fue atacado, sino cuán fácilmente sucedió. Si solo estamos buscando las señales obvias, ¿qué nos estamos perdiendo frente a nosotros?

Aquí hay un vistazo a las tácticas y errores que muestran cuánto puede suceder desapercibido.

⚡ Amenaza de la semana

Flaw de clic cero de Apple en mensajes explotados para entregar Paragon Spyware – Apple reveló que un defecto de seguridad en su aplicación de mensajes fue explotada activamente en la naturaleza para atacar a los miembros de la sociedad civil en ataques cibernéticos sofisticados. La vulnerabilidad, CVE-2025-43200, fue abordada por la Compañía en febrero como parte de iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, Macos Sonoma 14.7.4, Macos Ventura 13.7.4, Watchos 11.3.1 y Visoros 2.3.1. El Laboratorio Citizen dijo que descubrió evidencia forense de que la defecto fue armada para atacar al periodista italiano Ciro Pellegrino y a un periodista europeo no identificado e infectarlos con el spyware de mina de Paragon.

🔔 Noticiario principales

• Microsoft corrige WebDav 0 días explotados en ataques específicos -Microsoft se dirigió a un error de día cero en autorización y versiones distribuidas en la web (WebDAV) que fue explotado por un actor de amenaza conocido como sigiloso Falcon (además conocido como Fruityarmor) como parte de ataques enormemente específicos para entregar Horus Agent, un implante personalizado creado para el ámbito de comando y control de control mítico (C2). Se cree que Horus Agent es una transformación del implante Apolo personalizado, un agente .NET de código destapado para el ámbito mítico, que fue utilizado previamente por Stealth Falcon entre 2022 y 2023. «El agente de New Horus parece estar escrito desde cero», según el punto de control. «Por otra parte de adicionar comandos personalizados, los actores de amenaza pusieron energía adicional en las protecciones contra el prospección anti-análisis del agente y su cargador y las medidas contrarias defensivas. Esto sugiere que tienen un conocimiento profundo de sus víctimas y/o las soluciones de seguridad en uso».
• Tokenbreak Attack uestra la moderación de la IA con un cambio de carácter único – Los investigadores de ciberseguridad revelaron una técnica de ataque convocatoria Tokenbreak que puede estar de moda para evitar las barandillas de seguridad y moderación de contenido de un maniquí de lengua prócer (LLM) con un solo cambio de carácter. «El ataque de tokenbreak se dirige a la logística de tokenización del maniquí de clasificación de texto para inducir falsos negativos, dejando objetivos finales vulnerables a los ataques que se implementó el maniquí de protección implementado para advertir», dijo Hiddenlayer.
• Google Dirige los números de teléfono con fugas de defectos vinculados a cuentas -Google ha solucionado un defecto de seguridad que podría tener permitido que el número de teléfono de recuperación de una cuenta bruta al beneficiarse un formulario de recuperación de nombre de usufructuario heredado y combinarlo con un estudio de aspecto de ruta de exposición que sirve como un Oracle involuntario al filtrar el nombre completo de un usufructuario. Google desde entonces ha desaprobado el formulario de recuperación del nombre de usufructuario.
• Hervoleos raros de hombres lobo y confuso de apalancamiento de Darkgaboon para apuntar a Rusia -Se han observado dos actores de amenazas rastreados como raros hombres lobo y Darkgaboon que emplean herramientas legítimas, tácticas de vida de la tierra (LOTL) y malware unificado para atacar a las entidades rusas. Si admisiblemente se sabe que los adversarios adoptan tales tácticas, la parvedad completa del malware a medida acento de la efectividad del enfoque para ayudarlos a evitar los desencadenantes de detección y los sistemas de detección de puntos finales. Correcto a que estas técnicas además son comúnmente utilizadas por los administradores, distinguir entre actividad maliciosa y benigna se vuelve significativamente más desafiante para los defensores.
• La defecto de IA de clic cero permite la exfiltración de datos sin interacción del usufructuario -La primera vulnerabilidad de inteligencia fabricado de clic cero conocida en Microsoft 365 podría tener permitido a los atacantes exfiltrar datos internos confidenciales sin ninguna interacción del usufructuario. El defecto, denominado Echoleak, involucró lo que se describe como una violación del luces de LLM, que se refiere a escenarios en los que un maniquí de lengua prócer (LLM) puede manipularse en información de fuga más allá de su contexto previsto. En este caso, un atacante puede elaborar un correo electrónico astuto que contenga una sintaxis de Markdown específica que podría suceder por las defensas de ataque de inyección de prompto cruzado de Microsoft (XPIA), lo que hace que el asistente de IA procese la carga útil maliciosa y exfiltren los datos utilizando los propios dominios confiables de Microsoft, incluidos los equipos y los equipos de SharePoint, que están permitidos bajo las políticas de seguridad de contenido a c a Copilot. Estos dominios se pueden usar para damasquinar enlaces o imágenes externas que, cuando se reproducen con copiloto, emitan automáticamente solicitudes de salida para redirigir datos robados a un servidor controlado por el atacante. El aspecto más importante de este ataque es que todo sucede detrás de estampa y los usuarios ni siquiera tienen que brindar el mensaje de correo electrónico o hacer clic en cualquier enlace. Todo lo que requiere es que una víctima solicite a Microsoft 365 copilot una pregunta relacionada con el negocio que desencadena automáticamente toda la sujeción de ataque. Microsoft, que está rastreando el problema como CVE-2025-32711, lo ha resuelto y enfatizó que no encontró evidencia de que la vulnerabilidad se explote en la naturaleza.
• Vextrio ejecuta un software de afiliados masivo para propagar malware, estafas -Los actores de amenaza detrás del Servicio de Distribución de Tráfico de Viper Vextrio (TDS) se han vinculado a una campaña de abundante luces que secuestra los sitios de WordPress para canalizar a las víctimas a las redes de malware y estafas. La operación maliciosa está diseñada para monetizar la infraestructura comprometida, transformando sitios web legítimos en participantes involuntarios en un ecosistema de publicidad criminal masiva. La escalera de las actividades de Vextrio salió a la luz en noviembre de 2024 cuando el Corio reveló que Los Pollos, una compañía adtech de Swiss-Czech, era parte del esquema de TDS ilícito. Un nuevo prospección de Informlox ha enfrentado que Los Poltos es una de las muchas compañías controladas por Vextrio, incluidos Taco Perturbado y Adrafico, cada una supervisa diferentes funciones interiormente de la red de afiliados comerciales. Estas compañías están a cargo de enganchar afiliados editoriales, que comprometen sitios web con inyecciones de JavaScript, y los afiliados publicitarios, que son los operadores detrás de las estafas, el malware y otras formas de fraude, convirtiendo a Vextrio en un intermediario súbro para un maniquí criminal que ha generado ganancias sustanciales para el inconmovible. Por otra parte, cuando Los Pollos anunció el cese de sus servicios de monetización push en noviembre de 2024, muchas de estas operaciones de malware emigraron simultáneamente a TDS llamados TDS y TDS desechables, que son lo mismo, y disfrutaron de una «relación monopolio con Vextrio» hasta el mismo tiempo.

️‍🔥 tendencias cves

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión último en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

La registro de esta semana incluye: CVE-2025-43200 (Apple), CVE-2025-32711 (Copilot de Microsoft 365), CVE-2025-33053 (Microsoft Windows), CVE-2025-47110 (Adobe Comerce y Magento Open Source), CVE-2025-43697, CVE-2025-43698, CVE-2025-43699, CVE-2025-43700, CVE-2025-43701 (Salesforce), CVE-2025-24016 (WAZUH), CVE-2025-5484, CVE-2025-5485 (Sinotrack), CVE-2025-31022 (Payu Commerce, pluging CVE-2025-3835 (ManageEngine Exchange Reporter Plus), CVE-2025-42989 (SAP Netweaver), CVE-2025-5353, CVE-2025-22463, CVE-2025-22455 (Ivanti Workspace Control), CVE-2025-5958 (Google Chrome), CVE-20255 (DTA DTPACE) Dtbios y Biosflashshell), CVE-2025-2884 (implementación de narración TCG TPM2.0), CVE-2025-26521 (Apache CloudStack), CVE-2025-47950 (Coredns), CVE-2025-4230, CVE-2025-4232 (PALO ALTO PAN-OS-OS), CVE-2025-4278, CVE-2025-2254, CVE-2025-5121, CVE-2025-0673 (GITLAB), CVE-2025-47934 (OpenPGP.JS), CVE-2025-49219, CVE-2025-49220 (TREND MICRO APEX), CVE-2025-49212, CVE-2025-49213, CVE-2025-49216, CVE-2025-49217 (Política de criptográfico de punto de microfinal de tendencia), CVE-2025-4922 (Hashicorp nomad), CVE-2025-36631, CVE-2025, 36322, CVE-2025-36631, CVE-2025, CVE-2025, CVE-36325, CVE-36325, CVE-2025, CVE-36325. CVE-2025-36633 (Agente de Nessus de Nessus), CVE-2025-33108 (Servicios de copia de seguridad, recuperación y medios de IBM), CVE-2025-6029 (Sistema de entrada de presa inteligente de la marca KIA Generic Generic Generic) y un bypass de parche para CVE-2024-41713 (Mitel Micollab).

📰 rodeando del mundo cibernético

• Las autoridades kazajas y de Singapur interrumpen las redes criminales – Las autoridades kazajas dijeron que desmantelaban una red que estaba utilizando Telegram para traicionar ilegalmente los datos personales de los ciudadanos extraídos de las bases de datos gubernamentales. Según los funcionarios, más de 140 sospechosos fueron arrestados en relación con el esquema, incluidos los dueños de negocios y los presuntos administradores de canales de telegrama utilizados para traicionar la información robada. Si es patente culpable, los sospechosos podrían confrontar hasta cinco primaveras de prisión y una multa. El incremento se produjo cuando la Fuerza de Policía de Singapur (SPF), en asociación con las autoridades de Hong Kong, Macao, Malasia, Maldivas, Corea del Sur y Tailandia, anunció los valentía de 1.800 sujetos entre el 28 de abril y el 28 de mayo por su billete en varias estafas en raya. La iniciativa anti-SCAM transfronteriza ha sido con nombre en código Operation Frontier+. «Se cree que los sujetos, de entre 14 y 81 primaveras, están involucrados en más de 9,200 casos de estafas, que comprenden principalmente estafas de suplantación oficial del gobierno, estafas de inversión, estafas de arriendo, estafas de coito en Internet, estafas de suplantación de amigos, estafas de trabajo y estafas de comercio electrónico, donde las víctimas se informan sobre S $ 289 millones (aproximadamente USD225 MILES MILES). «Se detectaron y congelaron más de 32,600 cuentas bancarias vinculadas a estafas y congeladas por las agencias de aplicación de la ley participantes, con más de S $ 26.2 millones (aproximadamente USD20 millones) incautados en estas cuentas bancarias». Funcionarios de Singapur dijeron que arrestaron a 106 personas localmente responsables de 1.300 estafas que les otorgaron rodeando de $ 30 millones.
• Microsoft para rodear los tipos de archivos .Library-MS y .Search-MS en Outlook -Microsoft anunció que expandirá la registro de archivos adjuntos bloqueados en Outlook Web y las nuevas Outlook para Windows a partir del próximo mes, para incluir los tipos de archivos .library-MS y .Search-MS. Uno y otro tipos de archivos han sido explotados repetidamente por los malos actores en phishing y ataques de malware. «Los tipos de archivos recién bloqueados rara vez se usan, por lo que la mayoría de las organizaciones no se verán afectadas por el cambio. Sin requisa, si sus usuarios envían y reciben archivos adjuntos afectados, informarán que ya no pueden abrirlas o descargarlas en Outlook Web o New Outlook para Windows», dijo Microsoft.
• Meta y Yandex atrapados usando el código de seguimiento para filtrar identificadores únicos a aplicaciones nativas instaladas en Android – Meta y Yandex usaron mal los puertos locales de Android para suceder sigilosamente el seguimiento de los datos de los navegadores móviles a aplicaciones nativas como Facebook, Instagram y Yandex Services. Este comportamiento les permitió evitar el sandboxing del navegador y el sistema de permiso de Android, lo que probablemente permite unir identificadores persistentes a historias de navegación detalladas. El seguimiento funcionó incluso en modos de navegación privados en los principales navegadores como Chrome y Firefox. Dicho de otra guisa, la Loophole permite a las aplicaciones detectar cualquier sitio web que los usuarios de dispositivos de Android visiten e integren los scripts de seguimiento, y recopilen datos de cookies web a través de la interfaz de rizo de rizo del dispositivo. Aprovecha el hecho de que el sistema activo Android permite que cualquier aplicación instalada con permiso de Internet refugio un enchufe de audición en Localhost (127.0.0.1) y los navegadores que se ejecutarán en el mismo dispositivo además pueden obtener a esta interfaz sin consentimiento de usufructuario o mediación de la plataforma. Esto abre la puerta a un proscenio en el que JavaScript integrado en las páginas web puede comunicarse con aplicaciones nativas de Android y compartir identificadores y hábitos de navegación sobre las API web unificado. La evidencia de meta utilizando la técnica surgió por primera vez en septiembre de 2024, pero se dice que Yandex adoptó la técnica en febrero de 2017. Meta Pixel está integrado en más de 6 millones de sitios web, mientras que Yandex Metrica está presente en cerca de 3 millones de sitios web. «Estas aplicaciones nativas de Android reciben metadatos, cookies y comandos de los navegadores de los scripts de Meta Pixel y Yandex Metrica integrados en miles de sitios web», dijeron un familia de académicos de IMDEA Networks, Radboud University y Ku Leuven. «Estos javascripts se cargan en los navegadores móviles de los usuarios y se conectan silenciosamente con aplicaciones nativas que se ejecutan en el mismo dispositivo a través de sockets locales. guiones «. A partir del 3 de junio de 2025, el script de píxeles de Meta/Facebook ya no envía ningún paquete o solicitud a Localhost, y el código responsable de remitir _FBP Cookie se ha eliminado. Yandex afirmó que la característica en cuestión no recopilaba ninguna información confidencial y estaba destinado exclusivamente a mejorar la personalización. Sin requisa, ha descontinuado su uso, citando preocupaciones de privacidad. Google y Mozilla han emprendedor contramedidas para colocar el esquema de escuchas.
• Los ataques de reproducción como una forma de evitar la detección de Deepfake – Una nueva investigación ha enfrentado que los ataques de repetición son un método efectivo para evitar la detección de defectos profundos. «Al reproducir y retornar a imprimir el audio de Deepfake a través de varios altavoces y micrófonos, hacemos que las muestras falsas parezcan auténticas para el maniquí de detección», dijo un equipo de investigadores. El incremento anuncia los nuevos riesgos cibernéticos como tecnología de clonación de voz se ha convertido en un importante impulsor de los ataques visitantes, lo que permite a los atacantes usar herramientas de inteligencia fabricado (IA) para difundir audio sintético que se hace suceder por ejecutivos o personas de TI en un esfuerzo por obtener entrada privilegiado a los sistemas corporativos.
• Las familias de malware de Linux reciben actualizaciones de código estable – Un nuevo prospección de malware Linux conocido como Noodlerat, Winnti, SSHDinjector, Pigmy Goat y Acidrain descubrió que «tenían al menos dos actualizaciones de código significativas en el postrer año, lo que significa que los actores de amenaza están actualizando y apoyando activamente las apoyar», dijo Palo Parada Networks Unit 42. «Por otra parte, cada una de las cepas de malware representaron al menos 20 avistamientos únicos de muestras en la naturaleza durante el postrer año. Esto significa que los actores de amenaza los están utilizando activamente». Las actividades indican que es muy probable que estas familias de malware se usen en futuros ataques dirigidos a entornos en la cúmulo.
• Microsoft Deffender Flaw Deplised -Los investigadores de ciberseguridad han detallado un defecto de seguridad ahora parpadeado en el defensor de Microsoft para su identidad que permite que un atacante no competente realice una falsificación en una red adyacente aprovechando un error de autenticación inapropiado. The vulnerability, tracked as CVE-2025-26685 (CVSS score: 6.5), was patched by Microsoft in May 2025. NetSPI, which discovered and reported the flaw, said the issue «abused the Supletorio Movement Paths (LMPs) feature and allowed an unauthenticated attacker on the regional network to coerce and capture the Net-NTLM hash of the associated Directory Service Account (DSA), under specific condiciones.» Una vez que se captura el hash Net-NTLM, se puede desconectar para agrietarse con contraseña utilizando herramientas como hashcat o explotadas yuxtapuesto con otras vulnerabilidades para elevar los privilegios a la cuenta DSA y obtener un punto de apoyo en el entorno de Active Directory.
• Apple actualiza la aplicación de contraseñas con nuevas funciones – Apple ha previsualizado nuevas funciones en su aplicación Passwords con iOS 26 y MacOS 26 Tahoe que permiten a los usuarios ver el historial de versiones completos para los inicios de sesión almacenados, incluidas las marcas de tiempo cuando se guardó o cambió una contraseña en particular. Otra añadidura útil es la capacidad de importar y exportar orquestas entre las aplicaciones participantes de Credential Manager en iOS, iPados, MacOS y Visisos 26 «. Este proceso iniciado por el usufructuario, asegurado por la autenticación regional como Face ID, reduce el aventura de fugas de credenciales», dijo Apple. «La transferencia utiliza un esquema de datos estandarizado desarrollado por la Alianza FIDO, asegurando la compatibilidad entre las aplicaciones». Una característica similar ya está en funcionamiento para Google Passions Manager. En octubre pasado, la Alianza FIDO presentó el Protocolo de intercambio de credenciales (CXP) y el formato de intercambio de credenciales (CXF) para proporcionar la interoperabilidad.
• Rata cybereye expuesta -Los investigadores de seguridad cibernética han arrojado luz sobre el funcionamiento interno de Cybereye Rat (además conocido como TelegramRat, un troyano modular y basado en .NET que proporciona vigilancia y capacidades de robo de datos. Sus diversos módulos de navegador Historial y contraseñas de Wi-Fi, Contraseñas de Gaming, Discordios de maniobra, archivos Configurado Extensiones, Archivo FPT FPT FPT. of Telegram for Command and Control (C2) eliminates the need for attackers to maintain their own infrastructure, making it more evasive and accessible,» CYFIRMA said. «The malware is deployed through a builder GUI that allows attackers to customize payloads by injecting credentials, modifying metadata, and bundling features such as keyloggers, file grabbers, clipboard hijackers, and persistence Mecanismos «. El malware además actúa como un clipper para redirigir las transacciones de criptomonedas y emplea técnicas de entretenimiento de defensa al deshabilitar el defensor de Windows a través de PowerShell y las manipulaciones de registro.
• WhatsApp se une a la pelea de criptográfico de Apple con el Reino Unido -Whatsapp, propiedad de Meta, dijo que está respaldando a Apple en su lucha lícito contra las demandas de la oficina central del Reino Unido de entrada a puerta trasera a datos de iCloud cifrados en todo el mundo bajo la Ley de poderes de investigación. La medida, la compañía le dijo a BBC, «podría establecer un precedente peligroso» al «animar» a otras naciones para presentar solicitudes similares para romper el criptográfico. En respuesta al aviso del gobierno, Apple sacó la función de Protección de Datos Avanzados (ADP) para iCloud de los dispositivos de los usuarios del Reino Unido y tomó medidas legales para apelar al Tribunal de poderes de investigación para revocar el Aviso de Capacidad Técnica Secreta (TCN) emitida por la oficina en casa. En abril de 2025, el Tribunal dictaminó que los detalles de la fila lícito no pueden mantenerse en secreto. La existencia del TCN fue informada por primera vez por el Washington Post en enero. Los gobiernos de los Estados Unidos, el Reino Unido y la Unión Europea (UE) han tratado de retirar el criptográfico de extremo a extremo, argumentarlo permite a los delincuentes, terroristas y delincuentes sexuales ocultar la actividad ilícita. Europol, en su evaluación de amenazas de crimen organizada de Internet de 2025 (IOCTA) publicada la semana pasada, dijo: «Si admisiblemente el criptográfico protege la privacidad de los usuarios, el exageración penal de las aplicaciones encriptadas de extremo a extremo (E2EE) es cada vez más obstaculizando las investigaciones.
• El servidor Danabot C2 sufre de Danableed – El mes pasado, una operación coordinada de aplicación de la ley derribó a Danabot, un malware de Delphi que permitió a sus operadores comandar de forma remota las máquinas infectadas, robar datos y entregar cargas bártulos adicionales como el ransomware. Según Zscaler Amenazlabz, un error introducido en su servidor C2 en junio de 2022 inadvertidamente hizo que «filtrara los fragmentos de su memoria de proceso en las respuestas a las víctimas infectadas,» dando más visibilidad en el malware. La información filtrada incluía nombres de usufructuario del actor de amenaza, direcciones IP del actor de amenaza, direcciones y dominios IP del servidor Backend C2, estadísticas de infección y exfiltración, actualizaciones de traducción de malware, claves criptográficas privadas, direcciones IP de víctimas, credenciales de víctimas y otros datos de víctimas exfiltrados. La aggiornamento de junio de 2022 introdujo un nuevo protocolo C2 para canjear datos y respuestas del comando. «La fuga de memoria permitió hasta 1.792 bytes por respuesta del servidor C2 para ser expuesta», dijo Zscaler. «El contenido de los datos filtrados era improcedente y dependía del código que se ejecutaron y los datos se manipulan en el proceso del servidor C2 en un momento regalado».
• Los señuelos para Operai Sora y Deepseek conducen a malware -Un sitio hipócrita que se hace suceder por Deepseek («Deepseek-Platform (.) Com») está distribuyendo instaladores para un malware llamado Browservenom, un implante de Windows que reconfigura instancias de navegación basadas en cromo y gecko para forzar el tráfico a través de un proxy controlado por los actores amenazados al adicionar una dirección de servidor proxy de codificación duro. «Esto les permite imaginarse datos confidenciales y monitorear la actividad de navegación de la víctima mientras descifra su tráfico», dijo Kaspersky. Los sitios de phishing se promueven en los resultados de búsqueda a través de los anuncios de Google cuando los usuarios buscan «Deepseek R1». El instalador está diseñado para ejecutar un comando PowerShell que recupera el malware de un servidor extranjero. Los ataques se caracterizan por el uso de desafíos de Captcha para evitar bots. Hasta la época, Browservenom ha infectado a las «múltiples» computadoras en Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto. La divulgación se produce cuando se ha enfrentado que los instaladores falsos para OpenAi Sora distribuyen un robador de información de Windows denominado Sorai.lnk que está alojado en GitHub. La cuenta GitHub que aloja el malware ya no es accesible.
• Los partidarios cibernéticos apuntan a Bielorrusia y Rusia – Se ha observado que un familia truco bielorruso llamado Cyber ​​Partisans dirige a empresas industriales y agencias gubernamentales en Rusia y Bielorrusia con una puerta trasera conocida como Vasilek que utiliza el telegrama para C2 y la exfiltración de datos. Los ataques de phishing son notables por el despliegue de otra puerta trasera convocatoria DNSCAT2 que permite a los atacantes ordenar de forma remota un sistema infectado y un limpiaparabrisas denominado Pryanik. «Lo primero que candela la atención es que el Viper actúa como una artefacto deducción: su funcionalidad se activa en una cierta época y hora», dijo Kaspersky. Otras herramientas utilizadas como parte de los ataques incluyen GOST para el tráfico de red de proxy y túneles, y EVLX para eliminar eventos de los registros de eventos de Windows. En una proclamación a las telediario futuras registradas, el colectivo declaró que la atención de Kaspersky a sus operaciones puede tener surgido del hecho de que los ataques se basaban en los productos de la compañía y no habían podido advertir intrusiones. «Tales ataques hacen que las tecnologías de Kaspersky parezcan anticuadas, y tal vez es por eso que están tratando de justificarse o contrarrestarnos con estas publicaciones», dijo el familia.
• 2 miembros viles condenados a prisión – El Sección de Conciencia de los Estados Unidos (DOJ) anunció la sentencia de dos miembros del familia de piratería vil – Sagar Steven Singh, de 21 primaveras, y Nicholas Ceraolo, de 27 primaveras, casi un año luego de que se declararon culpables de robo de identidad agravado y crímenes de piratería informática. Singh y Ceraolo han sido sentenciados a 27 y 25 meses de prisión, respectivamente, por conspiración para cometer una intrusión informática y robo de identidad agravado. «Singh y Ceraolo utilizaron ilegalmente una contraseña robada del agente de la ley para obtener a un portal web no manifiesto protegido con contraseña (el ‘Portal’) mantenido por una agencia federal de aplicación de la ley de los Estados Unidos con el propósito de compartir inteligencia con la aplicación de la ley estatal y regional», dijo el DOJ. «Los acusados ​​usaron su entrada al portal para perjudicar a sus víctimas». La sentencia se produjo cuando cinco hombres se declararon culpables por su billete en el lavado de más de $ 36.9 millones de las víctimas de una conspiración internacional de estafadores de inversión de activos digitales (además conocido como cebo romántico) que se llevó a sitio de los centros de estafadores en Camboya. Los acusados ​​incluyen a Joseph Wong, de 33 primaveras, de Alhambra, California; Yicheng Zhang, de 39 primaveras, de China; José Somarriba, de 55 primaveras, de Los Ángeles; Shengsheng He, de 39 primaveras, de La Puente, California; y Jingliang Su, de 44 primaveras, de China y Turquía. Se dice que son «parte de una red penal internacional que indujo a las víctimas de los Estados Unidos, creyendo que estaban invirtiendo en activos digitales, para transferir fondos a cuentas controladas por conspiradores y que lavaron el caudal de las víctimas a través de compañías shell estadounidenses, cuentas bancarias internacionales y billeteras de activos digitales». Hasta ahora, ocho personas se declararon culpables de participar en el esquema criminal, contando a los ciudadanos chinos Daren Li y Yicheng Zhang.
• Kimsuky apunta a los usuarios de Facebook, correo electrónico y telegrama en Corea del Sur -El actor de amenaza afiliado a Corea del Boreal conocido como Kimusky dirigió a los usuarios de Facebook, correo electrónico y telegrama en su contraparte del sur entre marzo y abril de 2025 como parte de una campaña de campaña Triple Combo. «El actor de amenaza utilizó una cuenta convocatoria ‘Ocupación de Conciencia de Transición’ para remitir solicitudes de amistad y mensajes directos a múltiples personas involucradas en actividades relacionadas con Corea del Boreal», dijo Genians. «El atacante además secuestró otra cuenta de Facebook para su operación». Después, los atacantes intentaron tocar los objetivos por correo electrónico utilizando la dirección de correo electrónico obtenida a través de las conversaciones de Facebook Messenger. Alternativamente, los actores de Kimsuky aprovecharon los números de teléfono de las víctimas para contactarlos nuevamente a través de Telegram. Independientemente del canal utilizado, estos ejercicios de construcción de confianza desencadenaron una secuencia de infección en varias etapas para entregar un malware conocido llamado Appleseed.

🎥 seminarios web de ciberseguridad

• Los agentes de IA están filtrando datos: aprenda cómo solucionarlo rápidamente ➝ Las herramientas de IA a menudo se conectan a plataformas como Google Drive y SharePoint, pero sin la configuración correcta, pueden exponer accidentalmente datos confidenciales. En este seminario web, los expertos de Sentra mostrarán formas simples y del mundo positivo que estas filtraciones ocurren y cómo detenerlas. Si está utilizando AI en su negocio, no se pierda esta preceptor rápida y clara para asegurarlo antaño de que poco salga mal.
• Están fingiendo su marca, la suplantación de IA antaño de que se propague ➝ Los atacantes impulsados ​​por la IA están imitando marcas, ejecutivos y empleados en tiempo positivo. Únase a esta sesión para ver cómo Doppel detecta y bloquea la suplantación en el correo electrónico, las redes sociales y los defensores, antaño de que se haga daños. Protección rápida y adaptativa para su reputación.

🔧 Herramientas de ciberseguridad

• CUNA ➝ Es una plataforma web de código destapado creada para analistas de inteligencia de amenazas cibernéticas (CTI). Simplifica los flujos de trabajo de investigación de amenazas al permitir que los equipos colaboren en las relaciones en tiempo positivo, mapearan las relaciones de amenazas e indicadores, y difundir informes detallados de inteligencia. Diseñado con bloque modular, Cradle es viable de extender y ejecuta localmente usando Docker para una configuración y pruebas rápidas.
• Newtowner ➝ Es una útil de prueba de seguridad que ayuda a identificar las debilidades en los límites de confianza de la red simulando el tráfico de diferentes proveedores de nubes globales y entornos de CI/CD. Le permite detectar configuraciones erróneas, como un entrada demasiado permisivo desde centros de datos específicos, al comparar las respuestas HTTP de múltiples fuentes como las acciones de GitHub, AWS y EC2. Esto es especialmente útil en las configuraciones de nubes modernas donde la confianza implícita entre los servicios internos puede conducir a serias brechas de seguridad.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio aventura: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

4 formas ocultas en que estás rastreado (y cómo defenderse) ➝ La mayoría de las personas conocen cookies y anuncios, pero las empresas ahora usan trucos técnicos astutos para rastrearlo, incluso si está utilizando una VPN, modo privado o un navegador endurecido. Un método que candela la atención es Seguimiento regional de host: Aplicaciones como Facebook e Instagram ejecutan silenciosamente un servidor web interiormente de su teléfono. Cuando invitado un sitio web con un código oculto, puede hacer ping a este servidor para ver si la aplicación está instalada, devolviendo su actividad a la aplicación, sin su permiso.

Otro truco es medición de puerto. Algunos sitios web escanean su dispositivo para comprobar si las herramientas o aplicaciones del desarrollador se ejecutan en ciertos puertos (como 3000 o 9222). Esto revela qué software usa o si está ejecutando la útil de una empresa específica: las pistas sobre su trabajo, dispositivo o actividad. Los sitios incluso pueden detectar extensiones del navegador de esta guisa.

En el móvil, algunos sitios web prueban silenciosamente si las aplicaciones como Twitter, PayPal o su aplicación bancaria se instalan activando enlaces profundos invisibles. Si la aplicación abre o replica, aprenden qué aplicaciones usa. Eso a menudo se usa para perfilar o phishing dirigido. Por otra parte, el exageración de distinción del navegador (que usa cosas como Etags o trabajadores de servicios) puede hacer huellas digitales de su navegador, incluso en las pestañas privadas, manteniéndole identificable incluso cuando cree que está desinteresado.

Cómo ampararse:

• Desinstale las aplicaciones que rara vez usa, especialmente las de grandes plataformas.
• Use navegadores como Firefox con el origen de Ublock y habilite «Sitiar intrusión externa en LAN».
• En dispositivos móviles, use navegadores endurecidos como Bromite o Firefox Focus, y bloquee los datos de fondo para aplicaciones que usan herramientas como NetGuard.
• Borrar el almacenamiento del navegador a menudo y use contenedores temporales o contenedores de incógnito para aislar sesiones.

Estas no son ideas de sombrero de papel de aluminio: hoy son métodos del mundo positivo utilizados por las principales empresas y rastreadores de tecnología hoy. Mantenerse en privado significa ir más allá de los bloqueadores de anuncios y ilustrarse cómo la web en realidad funciona detrás de estampa.

Conclusión

Lo que no se detecta a menudo no es invisible: es simplemente mal clasificado, minimizado o incomprendido. El error humano no siempre es una defecto técnica. A veces es una historia que nos contamos sobre lo que no debería suceder.

Revise sus alertas recientes. ¿Cuáles fueron ignorados porque no se «sentían admisiblemente» por el perfil de amenaza? El costo del despido está aumentando, especialmente cuando los adversarios se referen a él.