Multa criptográfica de 176 millones de dólares, piratería de Fórmula 1, vulnerabilidades de cromo, secuestro de IA y más

La actividad del descuidero de información Lumma Stealer (todavía conocido como Water Kurita) ha experimentado una «caída repentina» desde los últimos meses a posteriori de que las identidades de cinco presuntos miembros del familia central fueran expuestas como parte de lo que se dice que es una agresiva campaña de exposición clandestina denominada Lumma Rats desde finales de agosto de 2025. Las personas objetivo están afiliadas al crecimiento y establecimiento del malware, con su información de identificación personal (PII), registros financieros, contraseñas y redes sociales. Perfiles de medios filtrados en un sitio web dedicado. Desde entonces, las cuentas de Telegram de Lumma Stealer se vieron comprometidas el 17 de septiembre, lo que obstaculizó aún más su capacidad para comunicarse con los clientes y coordinar operaciones. Estas acciones han llevado a los clientes a apelar a otros ladrones como Vidar y StealC. Se cree que la campaña de doxxing está impulsada por rivalidades internas. «La campaña de exposición estuvo acompañada de amenazas, acusaciones de traición internamente de la comunidad cibercriminal y afirmaciones de que el equipo de Lumma Stealer había priorizado las ganancias sobre la seguridad operativa de sus clientes», dijo Trend Micro. «La coherencia y profundidad de la campaña sugieren conocimiento interno o entrada a cuentas y bases de datos comprometidas». Si correctamente Lumma Stealer enfrentó un revés a principios de este año a posteriori de que su infraestructura fuera confiscada en un esfuerzo coordinado de aplicación de la ley, rápidamente resurgió y reanudó sus operaciones. Gastado desde esa perspectiva, el final acontecimiento podría amenazar su viabilidad comercial y dañar la confianza de los clientes. El crecimiento coincide con la aparición de Vidar Stealer 2.0, que ha sido completamente reescrito desde cero utilizando C, adicionalmente de consentir una inmueble multiproceso para una filtración de datos más rápida y competente y capacidades de esparcimiento mejoradas. Todavía incorpora métodos avanzados de ascendencia de credenciales para evitar las protecciones de oculto vinculadas a aplicaciones de Google Chrome mediante técnicas de inyección de memoria, y se jacta de un padre polimórfico forzoso para ocasionar muestras con firmas binarias distintas, lo que hace que los métodos de detección estática sean más desafiantes. «La nueva lectura de Vidar emplea un uso intensivo del aplanamiento del flujo de control, implementando estructuras complejas de cajas de interruptores con máquinas de estados numéricos que pueden dificultar la ingeniería inversa», afirmó Trend Micro.

Una operación de estafa a gran escalera se ha apropiado indebidamente de imágenes y retratos de funcionarios del gobierno de Singapur para engañar a ciudadanos y residentes de Singapur para que interactúen con una plataforma de inversión fraudulenta. «La campaña de estafa se pedestal en anuncios pagados de Google, sitios web de redireccionamiento intermediarios diseñados para ocultar actividades fraudulentas y maliciosas y páginas web falsas muy convincentes», dijo Group-IB. «En última instancia, las víctimas fueron dirigidas a una plataforma de inversión forex registrada en Mauricio, que operaba bajo una entidad justo aparentemente legítima con una abuso de inversión oficial. Esta estructura creó una ilusión de cumplimiento al tiempo que permitía actividades fraudulentas transfronterizas». En estas plataformas de estafa, se insta a las víctimas a completar su información personal, a posteriori de lo cual se las persigue agresivamente mediante llamadas telefónicas para que depositen sumas sustanciales de peculio. En total, los estafadores utilizaron 28 cuentas de anunciantes verificadas para ejecutar campañas maliciosas de Google Ads. La distribución de anuncios se gestionó principalmente a través de cuentas de anunciantes verificadas registradas para personas que residen en Bulgaria, Rumania, Letonia, Argentina y Kazajstán. Estos anuncios se configuraron de tal forma que solo se mostraban a personas que buscaban o navegaban desde direcciones IP de Singapur. Para mejorar la licitud de la estafa, los actores de amenazas crearon 119 dominios maliciosos que se hacían suceder por medios de parte legítimos y acreditados como CNA y Yahoo! Informativo.

Los investigadores de ciberseguridad han descubierto un paquete npm sagaz llamado «https-proxy-utils» que está diseñado para descargar y ejecutar una carga útil desde un servidor foráneo (cloudcenter(.)en lo alto) que contiene el entorno de post-explotación AdaptixC2 mediante un script posterior a la instalación. Es capaz de apuntar a sistemas Windows, Linux y macOS, empleando técnicas específicas del sistema operante para cargar e iniciar el implante. Una vez implementado, el agente se puede utilizar para controlar remotamente la máquina, ejecutar comandos y conquistar persistencia. Según datos de ReversingLabs, el paquete fue subido a npm por un heredero llamado «bestdev123» el 28 de julio de 2025. Tiene 57 descargas registradas. El paquete ya no está arreglado en el registro npm. Si correctamente los atacantes abusan de las herramientas de seguridad con fines nefastos no es un engendro nuevo, combinarlo con paquetes maliciosos en repositorios de código extenso expone a los usuarios a riesgos en la sujeción de suministro. «Este paquete sagaz enfatiza una vez más que los desarrolladores deben tener extrema precaución al nominar qué instalar y de qué subordinarse, ya que el panorama de la sujeción de suministro está repleto de miles de paquetes, a menudo con nombres engañosamente similares, lo que hace que no sea falta sencillo distinguir los componentes legítimos de los impostores maliciosos». Dijo Henrik Plate, habituado en ciberseguridad de Endor Labs. «Por otra parte, deberían considerar deshabilitar los ganchos posteriores a la instalación, para evitar que se ejecute malware durante la instalación, por ejemplo, usando la opción –ignore-scripts de npm, o usando pnpm, que comenzó a deshabilitar el uso de scripts de ciclo de vida de forma predeterminada».

Los reguladores financieros de Canadá impusieron multas por valencia de 176 millones de dólares contra Xeltox Enterprises Ltd. (todavía conocida como Cryptomus y Certa Payments Ltd.), una plataforma de pagos digitales que respalda docenas de intercambios de criptomonedas y sitios web rusos que venden servicios de cibercrimen, según el periodista de seguridad Brian Krebs. FINTRAC dijo que el servicio «no presentó informes de transacciones sospechosas para transacciones en las que había motivos razonables para sospechar que estaban relacionadas con el lavado de ingresos relacionados con el tráfico de material de desmán sexual inmaduro, fraude, pagos de ransomware y esparcimiento de sanciones». La agencia dijo que encontró 1.068 casos en los que Cryptomus no presentó informes para transacciones de julio de 2024 que involucraban mercados conocidos de la red oscura y billeteras de moneda posible con vínculos con actividades delictivas.

SpaceX dijo que ha desactivado más de 2.500 dispositivos Starlink conectados a complejos fraudulentos en Myanmar. Actualmente no está claro cuándo se desconectaron los dispositivos. El acontecimiento se produce inmediatamente a posteriori de las acciones en curso para destruir con los centros de estafas en cadeneta, con la asociación marcial de Myanmar realizando redadas en un punto de entrada a estafas en una región controlada por los rebeldes del este de Myanmar, deteniendo a más de 2.000 personas y confiscando docenas de dispositivos de Internet por comparsa Starlink en KK Park, un centro de cibercrimen en expansión al sur de Myawaddy. En febrero de 2025, el gobierno tailandés cortó el suministro de energía a tres áreas de Myanmar, Myawaddy, Payathonzu y Tachileik, que se han convertido en refugios para sindicatos criminales que han obligado a cientos de miles de personas en el Sudeste Oriental y otros lugares a ayudar a realizar estafas en cadeneta, incluidas falsas estratagemas románticas, falsas oportunidades de inversión y esquemas de apuestas ilegales. Estas operaciones han tenido un gran éxito, atrapando a cientos de miles de trabajadores y recaudando decenas de miles de millones de dólares cada año de las víctimas, según estimaciones de las Naciones Unidas. Los centros de estafa surgieron en Camboya, Tailandia y Myanmar desde la pandemia de COVID-19, pero desde entonces se han extendido a otras partes del mundo, como África. Los trabajadores de los «campos de trabajo» a menudo son reclutados y traficados con la promesa de empleos correctamente remunerados y luego mantenidos cautivos con amenazas de violencia. En los últimos meses, las autoridades encargadas de hacer cumplir la ley han intensificado sus esfuerzos, arrestando a cientos de sospechosos en toda Asia y deportando a varios de ellos. Según Total New Light of Myanmar, un total de 9.551 ciudadanos extranjeros que ingresaron ilegalmente a Myanmar fueron arrestados entre el 30 de enero y el 19 de octubre de 2025, y 9.337 fueron deportados a sus respectivos países. A principios de esta semana, funcionarios de la policía de Corea del Sur arrestaron formalmente a 50 surcoreanos repatriados desde Camboya bajo acusaciones de que trabajaban para organizaciones estafadoras en cadeneta en el país del Sudeste Oriental. Camboya y Corea del Sur acordaron recientemente asociarse para combatir las estafas en cadeneta tras la homicidio de un estudiante surcoreano que, según informes, fue obligado a trabajar en un centro de estafas en Camboya. La homicidio del chavea de 22 abriles todavía ha llevado a Corea del Sur, que supuestamente está preparando sanciones contra los grupos que operan en Camboya, a emitir un «código infeliz» de prohibición de correr a partes del país, citando los recientes aumentos en los casos de detenciones y «empleo fraudulento». Se cree que más de 1.000 surcoreanos se encuentran entre las más o menos de 200.000 personas de diversas nacionalidades que trabajan en la industria del fraude en Camboya.

Una rotura de seguridad en la implementación de Oat++ del Model Context Protocol (MCP) de Anthropic podría permitir a los atacantes predecir o capturar ID de sesión de conversaciones activas de IA, secuestrar sesiones de MCP e inyectar respuestas maliciosas a través del servidor oatpp-mcp. La vulnerabilidad, denominada Prompt Hijacking, está siendo rastreada como CVE-2025-6515 (puntuación CVSS: 6,8). Si correctamente el ID de sesión generado utilizado con los transportes de eventos enviados por el servidor (SSE) está diseñado para enrutar respuestas desde el servidor MCP al cliente y distinguir entre diferentes sesiones del cliente MCP, el ataque aprovecha el hecho de que SSE no requiere que los ID de sesión sean únicos y criptográficamente seguros (un requisito impuesto en la nueva definición Streamable HTTP) para permitir que un actor de amenazas en posesión de un ID de sesión válido envíe solicitudes maliciosas al servidor MCP, lo que permite para secuestrar las respuestas y transmitir una respuesta envenenada al cliente. «Una vez que se reutiliza una ID de sesión, el atacante puede dirigir solicitudes POST utilizando la ID secuestrada, por ejemplo: solicitar herramientas, activar mensajes o inyectar comandos, y el servidor reenviará las respuestas relevantes a la conexión GET activa de la víctima, adicionalmente de las respuestas generadas para las solicitudes originales de la víctima», dijo JFrog.

Proofpoint ha desarrollado un conjunto de herramientas automatizado llamado Fassa (sigla de «Future Account Super Secret Access»), que demuestra métodos mediante los cuales los actores de amenazas establecen un entrada persistente a través de aplicaciones OAuth maliciosas. La utensilio no se ha puesto a disposición del notorio. «El valencia decisivo de este enfoque radica en su mecanismo de persistencia: incluso si se restablecen las credenciales del heredero comprometido o se aplica la autenticación multifactor, las aplicaciones OAuth maliciosas mantienen su entrada acreditado», dijo la compañía de seguridad empresarial. «Esto crea una puerta trasera resistente que puede permanecer indefinidamente sin ser detectada en el entorno, a menos que se identifique y remedie específicamente». En un ataque del mundo positivo observado por Proofpoint, se descubrió que los actores de amenazas tomaron el control de las cuentas de Microsoft utilizando un kit de phishing de adversario en el medio (AiTM) conocido como Tycoon, y luego crearon reglas de ranura maliciosas y registraron una aplicación OAuth de segunda parte (todavía conocida como interna) convocatoria «prueba» para permitir el entrada persistente al ranura de la víctima incluso a posteriori de restablecer la contraseña.

Los investigadores de ciberseguridad Gal Nagli, Ian Carroll y Sam Curry han revelado una vulnerabilidad espinoso en un portal crítico de categorización de conductores («driverscategorisation.fia(.)com») administrado por la Asociación Internacional del Automóvil (FIA) que podría permitir conseguir a datos confidenciales asociados con cada piloto de Fórmula 1 (F1), incluidos pasaporte, abuso de conducir e información personal. Si correctamente el portal permite que cualquier individuo broa una cuenta, adicionalmente de proporcionar documentos de respaldo, los investigadores descubrieron que dirigir una solicitud especialmente diseñada en la que asumen el rol de «ADMIN» es suficiente para engañar al sistema y que asigne privilegios administrativos a una cuenta recién creada, mediante la cual un atacante podría conseguir a perfiles detallados de los conductores. Tras la divulgación responsable el 3 de junio de 2025, el 10 de junio se implementó una alternativa integral para el error. «(La vulnerabilidad se) vehemencia ‘Asignación masiva’, una rotura de seguridad web/api clásica», dijo Nagli. «En términos simples: el servidor confió en todo lo que le enviamos, sin confirmar si teníamos PERMITIDO cambiar esos campos».

Google ha atrevido una plataforma agente integral con el objetivo de acelerar el examen y la respuesta a las amenazas. La plataforma, arreglado en lectura preliminar para los clientes de Google Threat Intelligence Enterprise y Enterprise+, proporciona a los usuarios un conjunto de agentes especializados para inteligencia de amenazas cibernéticas (CTI) y examen de malware. «Cuando haces una pregunta, la plataforma selecciona inteligentemente el mejor agente y las mejores herramientas para elaborar tu respuesta, rastreando todo, desde la web abierta y OSINT hasta la web profunda y oscura y nuestros propios informes de amenazas seleccionados», dijo Google. En caso de que la consulta sea sobre un archivo sagaz, dirige la tarea a su agente analista de malware para proporcionar la «información más precisa y relevante». El cíclope tecnológico dijo que la plataforma está diseñada para descubrir conexiones ocultas que existen entre actores de amenazas, vulnerabilidades, familias de malware y campañas aprovechando el conjunto de datos de seguridad integral de Google Threat Intelligence.

Se está utilizando un nuevo kit de phishing llamado Tykit para ofrecer páginas de inicio de sesión falsas de Microsoft 365 a las que se redirige a los usuarios a través de mensajes de correo electrónico que contienen archivos SVG como archivos adjuntos. Una vez extenso, el archivo SVG ejecuta un código JavaScript de «trampolín» para arrostrar a la víctima a la página de phishing, no sin ayer completar una comprobación de seguridad de Cloudflare Turnstile. «Vale la pena señalar que el código del flanco del cliente incluye medidas básicas anti-depuración, por ejemplo, bloquea combinaciones de teclas que abren DevTools y desactiva el menú contextual», dijo ANY.RUN. Una vez ingresadas las credenciales, el heredero es redirigido a la página legítima para evitar alentar sospechas.

GitGuardian dijo que descubrió una vulnerabilidad de reconvención de ruta en Smithery.ai que proporcionaba entrada no acreditado a miles de servidores MCP y sus credenciales asociadas, lo que generaba un importante peligro en la sujeción de suministro. El problema tiene que ver con el hecho de que el archivo de configuración smithery.yaml utilizado para construir un servidor en Docker contiene una propiedad controlada incorrectamente convocatoria dockerBuildPath, que permite especificar cualquier ruta arbitraria. «Un simple error de configuración permitió a los atacantes conseguir a archivos confidenciales en la infraestructura del registro, lo que llevó al robo de credenciales administrativas con privilegios excesivos», dijo GitGuardian. «Estas credenciales robadas proporcionaron entrada a más de 3.000 servidores de IA alojados, lo que permitió el robo de claves API y secretos de potencialmente miles de clientes en cientos de servicios». Desde entonces, el problema se ha abordado y no hay evidencia de que haya sido explotado en la naturaleza.

Los investigadores han descubierto que es posible evitar el paso de aprobación humana requerido cuando se ejecutan comandos sensibles del sistema utilizando agentes modernos de inteligencia químico (IA). Según Trail of Bits, esta elusión se puede conquistar mediante ataques de inyección de argumentos que explotan comandos preaprobados, lo que permite a un atacante conquistar la ejecución remota de código (RCE). Para contrarrestar estos riesgos, se recomienda proteger las operaciones del agente desde el sistema host, dominar las listas de comandos seguros permitidos y utilizar métodos seguros de ejecución de comandos que impidan la interpretación del shell.

Una vulnerabilidad de seguridad en la biblioteca python-socketio (CVE-2025-61765, puntuación CVSS: 6,4) podría permitir a los atacantes ejecutar código Python injustificado mediante deserialización maliciosa de pickle en escenarios en los que ya han obtenido entrada a la huesito dulce de mensajes que los servidores utilizan para las comunicaciones internas. «El módulo pickle está diseñado para serializar y deserializar objetos Python confiables», dijo BlueRock. «Nunca tuvo la intención de ser un formato seguro para la comunicación entre sistemas que no confían implícitamente entre sí. Sin secuestro, los administradores de clientes python-socketio eliminan indiscriminadamente cada mensaje recibido del intermediario de mensajes compartidos». Como resultado, un actor de amenazas con entrada a la huesito dulce de mensajes puede dirigir una carga útil especialmente diseñada que se ejecuta una vez que se deserializa. El problema se solucionó en la lectura 5.14.0 de la biblioteca.

Se ha descubierto que las herramientas de codificación impulsadas por IA como Cursor y Windsurf son vulnerables a más de 94 problemas de seguridad conocidos y parcheados en el navegador Chromium y el motor JavaScript V8, poniendo en peligro a más de 1,8 millones de desarrolladores, según OX Security. El problema es que entreambos entornos de crecimiento se basan en versiones antiguas de Visual Studio Code que incluyen un tiempo de ejecución de aplicación Electron que apunta a versiones obsoletas del navegador Chromium de código extenso y del motor V8 de Google. «Este es un clásico ataque a la sujeción de suministro a punto de suceder», dijo la empresa de ciberseguridad. «Cursor y Windsurf deben priorizar las actualizaciones de seguridad ascendentes. Hasta que lo hagan, 1,8 millones de desarrolladores siguen expuestos a ataques que podrían comprometer no sólo sus máquinas, sino toda la sujeción de suministro de software de la que forman parte».

Investigadores de ciberseguridad han descubierto una nueva sujeción de ataque que aprovecha instaladores falsos de Google Chrome como señuelo para exhalar un troyano de entrada remoto llamado ValleyRAT como parte de un proceso de varias etapas. El binario está diseñado para eliminar una carga útil intermedia que averiguación productos antivirus utilizados principalmente en China y utiliza un compensador de kernel para finalizar los procesos asociados para eludir la detección. ValleyRAT se inicia mediante un descargador de DLL que recupera el malware de un servidor foráneo («202.95.11(.)152»). Todavía llamado Winos 4.0, el malware está vinculado a un familia de cibercrimen chino conocido como Silver Fox. «Nuestro examen reveló cadenas en idioma chino internamente del binario, incluido el nombre interno de la DLL, e identificó que las soluciones de seguridad específicas son productos de proveedores chinos», dijo el investigador de Cyderes Rahul Ramesh. «Esto indica que los atacantes tienen conocimiento del entorno de software regional y sugiere que la campaña está diseñada para atacar a las víctimas en China». Vale la pena señalar que en el pasado se han utilizado instaladores falsos similares para Chrome para distribuir Gh0st RAT.

Varonis ha revelado detalles de una error que permite a los atacantes hacerse suceder por aplicaciones de Microsoft mediante la creación de aplicaciones maliciosas con nombres engañosos como «Azure Portal» o «Azure SQL Database» con caracteres Unicode ocultos, eludiendo efectivamente las salvaguardas implementadas para evitar el uso de nombres reservados. Esto incluye insertar «0x34f» entre el nombre de la aplicación, como «Az$((char)0x34f)ur$((char)0x34f)e Po$((char)0x34f)rtal». Esta técnica, cuyo nombre en código es Azure App-Mirage de Varonis, podría combinarse con enfoques como el phishing de códigos de dispositivos para engañar a los usuarios para que compartan códigos de autenticación y obtengan entrada no acreditado a sus cuentas. Desde entonces, Microsoft ha implementado soluciones para solucionar el problema.

Se ha observado que los actores de amenazas explotan las debilidades de los servidores de bases de datos conectados a Internet y abusan de comandos legítimos para robar, transcribir o destruir datos y exigir un plazo a cambio de devolver los archivos o mantenerlos privados. Esto es parte de una tendencia contemporáneo en la que los atacantes cada vez recurren menos al malware y recurren a técnicas de supervivencia para integrarse en la actividad natural y conquistar sus objetivos. «Los atacantes se conectan remotamente a estos servidores, copian los datos a otra ubicación, borran la almohadilla de datos y luego dejan una nota de rescate almacenada en la propia almohadilla de datos», dijo la firma de seguridad en la cúmulo Wiz. «Este enfoque pasa por stop muchos métodos de detección convencionales porque nunca se elimina ningún binario sagaz; el daño se hace completamente con comandos normales de la almohadilla de datos». Algunos de los servidores de bases de datos más atacados por ataques de ransomware incluyen MongoDB, PostgreSQL, MySQL, Amazon Aurora MySQL y MariaDB.

Los atacantes emplean cada vez más el texto, las propiedades de visibilidad y visualización y las propiedades de tamaño de las hojas de estilo en cascada (CSS) para insertar texto oculto (párrafos y comentarios) y caracteres en los correos electrónicos en lo que se considera una forma de eludir los filtros de spam y las defensas de seguridad empresarial. «Existe un uso generalizado de texto oculto en correos electrónicos maliciosos para evitar la detección», dijo el investigador de Cisco Talos, Omid Mirzaei. «Los atacantes incorporan sal oculta en el preencabezado, el encabezado, los archivos adjuntos y el cuerpo (utilizando caracteres, párrafos y comentarios) manipulando el texto, la visibilidad y las propiedades de tamaño». La empresa de ciberseguridad todavía señaló que el contenido oculto se encuentra más comúnmente en spam y otras amenazas de correo electrónico que en correos electrónicos legítimos. Esto crea un desafío para las soluciones de seguridad que se basan en un maniquí de habla noble (LLM) para clasificar los mensajes entrantes, ya que un actor de amenazas puede ocultar indicaciones ocultas para influir en el resultado.

Se ha utilizado una plataforma de seguimiento y vigilancia telefónica convocatoria Altamides de una empresa poco conocida liderada por Europa en Indonesia convocatoria First Wap para rastrear en secreto los movimientos de más de 14.000 números de teléfono. Está dirigido por fundadores europeos. Según una investigación publicada por Mother Jones, la plataforma se utilizaba para rastrear a figuras políticas, ejecutivos famosos, periodistas y activistas. Explotó vulnerabilidades en el protocolo de telecomunicaciones del Sistema de Señalización No. 7 (SS7) para concentrarse en la ubicación de un individuo utilizando solo su número de teléfono. El acontecimiento se produce poco más de un mes a posteriori de que Perdón Internacional revelara que Pakistán está espiando a millones de sus ciudadanos utilizando un sistema de escuchas telefónicas y un cortafuegos de Internet construido en China que censura las redes sociales. «El Sistema de Vigilancia Web (WMS) y el Sistema de Dirección de Interceptación Lícito (LIMS) de Pakistán funcionan como torres de vigilancia, espiando constantemente las vidas de los ciudadanos comunes y corrientes», afirmó Agnès Callamard, secretaria militar de Perdón Internacional. «En Pakistán, sus mensajes de texto, correos electrónicos, llamadas y entrada a Internet están bajo pesquisa. Pero la parentela no tiene idea de esta vigilancia constante y de su increíble difusión. Esta existencia distópica es extremadamente peligrosa porque opera en las sombras, restringiendo severamente la confianza de expresión y el entrada a la información». Se ha descubierto que una empresa alemana, Utimaco, y una empresa emiratí, Datafusion, suministraron la anciano parte de la tecnología que permite a LIMS efectuar en Pakistán. Si correctamente la primera lectura de WMS se instaló en 2018 utilizando tecnología proporcionada por Sandvine, desde entonces ha sido reemplazada por tecnología destacamento de Geedge Networks de China en 2023. Se considera que se comercio de una lectura comercializada del Gran Cortafuegos de China. Estos hallazgos todavía coinciden con un noticia de Associated Press, que encontró que las empresas tecnológicas estadounidenses diseñaron y comercializaron sistemas que se convirtieron en la almohadilla del estado de vigilancia de China. «Si correctamente la avalancha de tecnología estadounidense se desaceleró considerablemente a partir de 2019 a posteriori de la indignación y las sanciones por las atrocidades en Xinjiang, sentó las bases para el artilugio de vigilancia de China que las empresas chinas han construido desde entonces y, en algunos casos, reemplazado», dice el noticia.