Herramientas de inteligencia artificial en malware, botnets, fallas de GDI, ataques electorales y más

Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parcheadas en la interfaz de dispositivo boceto de Windows (GDI) que podrían permitir la ejecución remota de código y la divulgación de información. Estos problemas (CVE-2025-30388, CVE-2025-53766 y CVE-2025-47984) implican un camino a la memoria fuera de los límites activado a través de registros de metarchivo mejorado (EMF) y EMF+ mal formados que pueden causar corrupción de la memoria durante la representación de la imagen. Tienen su raíz en gdiplus.dll y gdi32full.dll, que procesan gráficos vectoriales, texto y operaciones de impresión. Microsoft los abordó en las actualizaciones del martes de parches de mayo, julio y agosto de 2025 en las versiones de gdiplus.dll 10.0.26100.3037 a 10.0.26100.4946 y gdi32full.dll interpretación 10.0.26100.4652. «Las vulnerabilidades de seguridad pueden persistir sin ser detectadas durante primaveras, y a menudo reaparecen conveniente a correcciones incompletas», dijo Check Point. «Una vulnerabilidad de divulgación de información particular, a pesar de acaecer sido abordada formalmente con un parche de seguridad, permaneció activa durante primaveras conveniente a que el problema flamante recibió solo una alternativa parcial. Este ejemplo subraya un enigma primordial para los investigadores: introducir una vulnerabilidad a menudo es obediente, solucionarla puede ser difícil, y probar que una alternativa sea exhaustiva y efectiva es aún más desafiante».

Tres ciudadanos chinos, Yan Peijian, de 39 primaveras, Huang Qinzheng, de 37, y Liu Yuqi, de 33, fueron declarados culpables y sentenciados a poco más de dos primaveras de prisión en Singapur por su décimo en la piratería de sitios web y empresas de juegos de azar en el extranjero con el fin de hacer trampa durante el pernio y robar bases de datos de información de identificación personal para el comercio. Los tres individuos, parte de un comunidad de cinco ciudadanos chinos y un hombre de Singapur, fueron arrestados y acusados ​​originalmente en septiembre de 2024. «El líder del comunidad del sindicato encargó a los tres acusados ​​que investigaran sitios de interés en sondeo de vulnerabilidades del sistema, realizaran ataques de penetración y exfiltraran información personal de los sistemas comprometidos», dijo la Policía de Singapur. «Investigaciones posteriores revelaron que el sindicato poseía datos de gobiernos extranjeros, incluidas comunicaciones confidenciales». Además se descubrió que los tres acusados ​​estaban en posesión de herramientas como PlugX y «cientos de troyanos de camino remoto diferentes» para realizar ciberataques. Según Channel News Asia, los tres hombres ingresaron al país con permisos de trabajo falsos en 2022 y trabajaron para un ciudadano de Ni-Vanuatu de 38 primaveras llamado Xu Liangbiao. Les pagaron en torno a de 3 millones de dólares por su trabajo. Se dice que Xu, el supuesto líder, abandonó Singapur en agosto de 2023. Se desconoce su paradero presente.

Check Point ha demostrado una forma mediante la cual ChatGPT se puede utilizar para el descomposición de malware y cambiar la peso cuando se manejo de desmantelar troyanos sofisticados como XLoader, que está diseñado de tal modo que su código se descifra solo en tiempo de ejecución y está protegido por múltiples capas de enigmático. Específicamente, la investigación encontró que el descomposición inmóvil basado en la cirro con ChatGPT se puede combinar con MCP para la extirpación de claves en tiempo de ejecución y la garra de depuración en vivo. «El uso de la IA no elimina la aprieto de experiencia humana», afirmó el investigador de seguridad Alexey Bukhteyev. «Las protecciones más sofisticadas de XLoader, como la razonamiento de derivación de claves dispersas y el enigmático de funciones multicapa, aún requieren descomposición manual y ajustes específicos. Pero el trabajo pesado de clasificación, deofuscación y secuencias de comandos ahora se puede acelerar dramáticamente. Lo que antaño tomaba días ahora se puede comprimir en horas».

El malware conocido como RondoDox ha sido refrendador de un aumento del 650 % en los vectores de explotación, expandiéndose desde un hornacina de DVR dirigido a empresas. Esto incluye más de 15 nuevos vectores de explotación dirigidos a dispositivos LB-LINK, Oracle WebLogic Server, PHPUnit, D-Link, NETGEAR, Linksys, Tenda, TP-Link, así como una nueva infraestructura de comando y control (C2) en IP residencial comprometida. Una vez eliminado, el malware procede a eliminar la competencia eliminando el malware existente, como XMRig y otras botnets, desactivando SELinux y AppArmor y ejecutando la carga útil principal que es compatible con la bloque del sistema.

El Área de Seguridad Franquista de Estados Unidos (DHS) ha propuesto una reforma a las regulaciones existentes que rigen el uso y compilación de información biométrica. La agencia ha presentado requisitos para un «sistema sólido para la compilación, el almacenamiento y el uso de datos biométricos relacionados con la adjudicación de beneficios de inmigración y otras solicitudes y el desempeño de otras funciones necesarias para ordenar y hacer cumplir las leyes de inmigración y naturalización». Como parte del plan, cualquier individuo que presente o esté asociado con una solicitud de beneficios u otra solicitud o compilación de información, incluidos ciudadanos estadounidenses, nacionales de EE. UU. y residentes permanentes legales, debe presentar datos biométricos, independientemente de su existencia, a menos que el DHS exima el requisito. La agencia dijo que el uso de datos biométricos para la comprobación y dirección de la identidad ayudará a los esfuerzos del DHS para combatir la manejo, confirmar los resultados de las verificaciones biográficas de historial penales y disuadir el fraude. El DHS recibirá comentarios sobre la propuesta hasta el 2 de enero de 2026.

Los investigadores de ciberseguridad han descubierto una nueva infraestructura de ataque a gran escalera denominada TruffleNet que se cimiento en la aparejo de código destapado TruffleHog, que se utiliza para probar sistemáticamente las credenciales comprometidas y realizar reconocimientos en los entornos de Amazon Web Services (AWS). «En un incidente que involucró múltiples credenciales comprometidas, registramos actividad de más de 800 hosts únicos en 57 redes distintas de Clase C», dijo Fortinet. «Esta infraestructura se caracterizó por el uso de TruffleHog, una popular aparejo de escaneo de secretos de código destapado, y por configuraciones consistentes, incluidos puertos abiertos y la presencia de Portainer», una interfaz de sucesor de empresa de código destapado para Docker y Kubernetes que simplifica la implementación y orquestación de contenedores. En estas actividades, los actores de amenazas realizan llamadas a las API GetCallerIdentity y GetSendQuota para probar si las credenciales son válidas y abusan del Servicio de correo electrónico simple (SES). Si acertadamente Fortinet no observó acciones de seguimiento, se evalúa que los ataques se originan en una infraestructura posiblemente escalonada, con algunos nodos dedicados al inspección y otros reservados para etapas posteriores del ataque. Por otra parte de la actividad de inspección de TruffleNet, igualmente se observa el atropello de los ataques SES for Business Email Compromise (BEC). Actualmente no se sabe si están directamente conectados entre sí. El explicación se produce cuando Fortinet reveló que los adversarios motivados financieramente están apuntando a una amplia viso de sectores pero confiando en los mismos métodos de quebranto complejidad y parada rendimiento, generalmente obteniendo camino original a través de credenciales comprometidas, servicios remotos externos como VPN y explotación de aplicaciones públicas. Estos ataques a menudo se caracterizan por el uso de herramientas legítimas de camino remoto para una persistencia secundaria y su utilización para la filtración de datos a su infraestructura.

PRODAFT ha revelado que el actor de amenazas con motivación financiera conocido como FIN7 (igualmente conocido como Savage Ladybug) ha implementado desde 2022 una «puerta trasera basada en SSH específica de Windows al empaquetar un conjunto de herramientas OpenSSH autónomo y un instalador llamado install.bat». La puerta trasera proporciona a los atacantes camino remoto persistente y exfiltración de archivos confiable mediante un túnel SSH inverso de salida y SFTP.

La empresa de infraestructura web Cloudflare dijo que la Comisión Electoral Central (CEC) de Moldavia experimentó importantes ataques cibernéticos en los días previos a las elecciones al Parlamento del país el 28 de septiembre. La CEC igualmente fue refrendador de una «serie de ataques concentrados y de gran barriguita (DDoS) estratégicamente programados a lo grande del día» del día de las elecciones. Los ataques igualmente se dirigieron a otros sitios web relacionados con las elecciones, la sociedad civil y las noticiero. «Estos patrones de ataque reflejaron aquellos contra la autoridad electoral, lo que sugiere un esfuerzo coordinado para interrumpir tanto los procesos electorales oficiales como los canales de información pública en los que confían los votantes», dijo, y agregó que mitigó más de 898 millones de solicitudes maliciosas dirigidas a la CCA durante un período de 12 horas entre las 09:06:00 UTC y las 21:34:00 UTC.

Se ha observado que el actor de amenazas rastreado como Silent Lynx (igualmente conocido como Cavalry Werewolf, Comrade Saiga, ShadowSilk, SturgeonPhisher y Tomiris) apunta a entidades gubernamentales, misiones diplomáticas, empresas mineras y empresas de transporte. En una campaña, el adversario destacó organizaciones involucradas en la diplomacia entre Azerbaiyán y Rusia, utilizando señuelos de phishing relacionados con la cumbre de la CEI celebrada en Dushanbe a mediados de octubre de 2025 para entregar el shell inverso Ligolo-ng de código destapado y un cargador llamado Silent Loader que es responsable de ejecutar un script de PowerShell para conectarse a un servidor remoto. Además se implementó un implante de C++ llamado Laplas que está diseñado para conectarse a un servidor extranjero y acoger comandos adicionales para su ejecución a través de «cmd.exe». Otra carga útil a destacar es SilentSweeper, una puerta trasera .NET que extrae y ejecuta un script de PowerShell que actúa como un shell inverso. La segunda campaña, por otro flanco, tenía como objetivo las relaciones entre China y Asia Central para distribuir un archivo RAR que condujo al despliegue de SilentSweeper. La actividad ha sido denominada Operación Peek-a-Baku por Seqrite Labs.

Las organizaciones europeas presenciaron un aumento del 13 % en el ransomware durante el año pasado, siendo las entidades del Reino Unido, Alemania, Italia, Francia y España las más afectadas. Una revisión de los sitios de filtración de datos durante el período comprendido entre septiembre de 2024 y agosto de 2025 ha revelado que el número de víctimas europeas ha aumentado anualmente a 1.380. Los sectores más afectados fueron la manufactura, los servicios profesionales, la tecnología, la industria, la ingeniería y el comercio minorista. Desde enero de 2024, más de 2.100 víctimas en toda Europa han sido nombradas en sitios de filtración de perjuicio, de las cuales el 92% involucra enigmático de archivos y robo de datos. Akira (167), LockBit (162), RansomHub (141), INC, Lynx y Sinobi fueron los grupos de ransomware de anciano éxito durante el período. CrowdStrike dijo que igualmente está viendo un aumento en las ofertas de violencia como servicio en todo el continente con el objetivo de estabilizar grandes pagos, incluido el robo físico de criptomonedas. Los ciberdelincuentes conectados a The Com, un colectivo informal de jóvenes hackers de acento inglesa, y un comunidad afiliado a Rusia llamado Renaissance Spider han coordinado ataques físicos, secuestros e incendios provocados a través de redes basadas en Telegram. Además se dice que Renaissance Spider, que ha estado activo desde octubre de 2017, envió por correo electrónico amenazas de granada falsas a entidades europeas, probablemente con el objetivo de socavar el apoyo a Ucrania. Desde enero de 2024 se han producido 17 ataques de este tipo, de los cuales 13 tuvieron empleo en Francia.

Los investigadores de ciberseguridad han descubierto aplicaciones que utilizan la marca de servicios establecidos como ChatGPT y DALL-E de OpenAI y WhatsApp. Mientras que la aplicación falsa DALL-E para Android («com.openai.dalle3umagic») se utiliza para ocasionar tráfico publicitario, la aplicación contenedora ChatGPT se conecta a API OpenAI legítimas mientras se identifica como una «interfaz no oficial» para el chatbot de inteligencia químico. Aunque no es del todo maliciosa, la suplantación de identidad sin transparencia puede exponer a los usuarios a riesgos de seguridad no deseados. La aplicación falsificada de WhatsApp, citación WhatsApp Plus, se hace advenir por una interpretación mejorada de la plataforma de transporte, pero contiene cargas enseres sigilosas que pueden compendiar contactos, mensajes SMS y registros de llamadas. «La avalancha de aplicaciones clonadas refleja un problema más profundo: la confianza en la marca se ha convertido en un vector de explotación», afirmó Appknox. «A medida que la IA y las herramientas de transporte dominan el panorama digital, los malos actores están aprendiendo que imitar la credibilidad suele ser más rentable que crear nuevo malware desde cero».

Los actores de amenazas continúan lanzando campañas de phishing a posteriori de su compromiso original aprovechando las cuentas de correo electrónico internas comprometidas para ampliar su radio tanto internamente de la estructura comprometida como externamente a las entidades asociadas. «Las siguientes campañas de phishing estaban orientadas principalmente a la monasterio de credenciales», dijo Cisco Talos. «De cara al futuro, a medida que mejoren las defensas contra los ataques de phishing, los adversarios buscarán formas de mejorar la legalidad de estos correos electrónicos, lo que probablemente conducirá a un anciano uso de cuentas comprometidas a posteriori de la explotación».

Se ha descubierto que campañas de phishing recientes en el este y sudeste de Asia aprovechan señuelos de archivos ZIP multilingües y plantillas web compartidas para dirigirse a organizaciones gubernamentales y financieras. «Estas operaciones se caracterizan por plantillas web multilingües, incentivos específicos de la región y mecanismos de entrega de carga útil adaptables, lo que demuestra un cambio claro alrededor de una infraestructura escalable e impulsada por la automatización», dijo Hunt.io. «Desde China y Taiwán hasta Japón y el sudeste oriental, los adversarios han reutilizado continuamente plantillas, nombres de archivos y patrones de alojamiento para sostener sus operaciones mientras evaden la detección convencional. La robusto superposición en las estructuras de dominio, títulos de páginas web y razonamiento de secuencias de comandos indica un conjunto de herramientas compartido o un constructor centralizado diseñado para automatizar la entrega de carga útil a escalera. Esta investigación vincula múltiples grupos a un conjunto de herramientas de phishing unificado utilizado en toda Asia».

Las autoridades de Dinamarca han iniciado una investigación tras descubrir que los autobuses eléctricos fabricados por la empresa china Yutong tenían camino remoto a los sistemas de control de los vehículos y permitían desactivarlos de forma remota. Esto ha generado preocupaciones de seguridad de que la olvido jurídica podría explotarse para afectar a los autobuses mientras están en tránsito. «Las pruebas revelaron riesgos contra los que ahora estamos tomando medidas», afirmó Bernt Reitan Jenssen, director ejecutante de la autoridad noruega de transporte conocido Ruter. «Las autoridades nacionales y locales han sido informadas y deben ayudar con medidas adicionales a nivel doméstico».

Cloudflare ha eliminado los dominios asociados con la enorme botnet AISURU de sus principales rankings de dominios. Según el periodista de seguridad Brian Krebs, los operadores de AISURU están utilizando la botnet para mejorar la clasificación de sus dominios maliciosos, al mismo tiempo que atacan el servicio del sistema de nombres de dominio (DNS) de la empresa.

Un tribunal de China condenó a asesinato a cinco miembros de un sindicato criminal de Myanmar por su papel en la dirección de complejos de estafa a escalera industrial cerca de la frontera con China. Las sentencias de asesinato fueron impuestas al caudillo del sindicato Bai Suocheng y su hijo Bai Yingcang, así como a Yang Liqiang, Hu Xiaojiang y Chen Guangyi. Otros cinco fueron condenados a sujeción perpetua. En total, 21 miembros y asociados del sindicato fueron condenados por fraude, homicidio, lesiones y otros delitos. Según Xinhua, los acusados ​​administraban 41 parques industriales para solucionar las telecomunicaciones y el fraude en tangente a escalera. La dura aprobación es la última de una serie de medidas que los gobiernos de todo el mundo han adoptivo para combatir el aumento de los centros de estafa cibernéticos en el Sudeste Oriental, donde miles de personas son traficadas con el pretexto de empleos acertadamente remunerados y son atrapadas, abusadas y obligadas a defraudar a otros en operaciones criminales por valía de miles de millones. En septiembre de 2025, 11 miembros de la tribu criminal Ming arrestados durante una represión transfronteriza en 2023 fueron condenados a asesinato.

Una operación policial coordinada contra un esquema masivo de fraude con tarjetas de crédito denominado Chargeback ha llevado al arresto de 18 sospechosos. Los detenidos son ciudadanos alemanes, lituanos, holandeses, austriacos, daneses, estadounidenses y canadienses. «Se sospecha que los presuntos autores han creado un intrincado plan de suscripciones online falsas a servicios de citas, pornografía y streaming, entre otros, que se pagaban con maleable de crédito», afirmó Eurojust. «Entre los arrestados se encuentran cinco directivos de cuatro proveedores de servicios de plazo alemanes. Los perpetradores mantenían deliberadamente los pagos mensuales con maleable de crédito en sus cuentas por debajo del mayor de 50 euros para evitar despertar sospechas entre las víctimas sobre los elevados importes de las transferencias.» Se estima que la estafa ilícita defraudó al menos 300 millones de euros a más de 4,3 millones de usuarios de tarjetas de crédito con 19 millones de cuentas en 193 países entre 2016 y 2021. El valía total de los intentos de fraude contra usuarios de tarjetas asciende a más de 750 millones de euros. Europol dijo que los sospechosos utilizaron numerosas empresas aparición, principalmente registradas en el Reino Unido y Chipre, para ocultar sus actividades.