Badcam Attack, Winrar 0-Day, EDR Killer, Nvidia Flaws, Ransomware Attacks y More

Esta semana, los atacantes cibernéticos se mueven rápidamente, y las empresas deben mantenerse alertas. Están encontrando nuevas debilidades en el software popular y presentan formas inteligentes de sortear la seguridad. Incluso un defecto sin parches podría dejar entrar a los atacantes, lo que lleva al robo de datos o incluso a tomar el control de sus sistemas. El cronómetro está marcando: si las defensas no se actualizan regularmente, podría provocar daños graves. El mensaje es claro: no espere a que ocurra un ataque. Tome medidas ahora para proteger su negocio.

Aquí hay un vistazo a algunas de las historias más importantes en ciberseguridad esta semana: desde nuevos defectos en Winrar y Nvidia Triton hasta técnicas de ataque reformista que debes conocer. Entremos en los detalles.

⚡ Amenaza de la semana

Tendencia micro advertencia de explotado activamente 0 días -Trend Micro ha publicado mitigaciones temporales para invadir fallas de seguridad críticas en las versiones locales de la consola de trámite Apex One que, según él, han sido explotadas en la naturaleza. Las vulnerabilidades (CVE-2025-54948 y CVE-2025-54987), clasificadas 9.4 en el sistema de puntuación CVSS, se han descrito como inyección de comandos de consola de trámite y fallas de ejecución de código remoto. Actualmente no hay detalles sobre cómo se están explotando los problemas en los ataques del mundo existente. Trend Micro dijo que «observó al menos una instancia de un intento de explotar activamente una de estas vulnerabilidades en la naturaleza».

🔔 Informativo principales

• Winrar 0 días bajo explotación activa -Los mantenedores de la utilidad de archivo de archivos Winrar han publicado una aggiornamento para invadir una vulnerabilidad de día cero explotada activamente. Seguido como CVE-2025-8088 (puntaje CVSS: 8.8), el problema se ha descrito como un caso de repaso por ruta que afecta la lectura de Windows de la utensilio que podría explotarse para obtener la ejecución del código parcial mediante la creación de archivos de archivo maliciosos. El proveedor de ciberseguridad ruso Bi.zone, en un crónica publicado la semana pasada, dijo que hay indicios de que el clase de piratería rastreado como Werewolf (apelativo Goffee) puede favor explotado CVE-2025-8088 de CVE-2025-6218, un error de directorio CVE-2025-8088 adjunto con CVE-2025-6218, un error traversal de directorio en la lectura de Windows de Winrar de Winrar que se parchó en junio de 2025.
• Nueva esclavitud de explotación de envenenamiento de Windows EPM detallada -Nuevos hallazgos presentados en la Conferencia de Seguridad DEF CON 33 mostraron que un problema de seguridad ahora empapado en el Protocolo de comunicación de llamadas de procedimiento remoto de Windows de Microsoft (RPC) (CVE-2025-49760, puntaje CVSS: 3.5) podría ser abusado por un atacante para realizar ataques de semen e trasladar un servidor conocido. La vulnerabilidad esencialmente permite manipular un componente central del protocolo RPC y en el marco de lo que se fogosidad un ataque de envenenamiento EPM que permite a los usuarios no privilegiados posar como un servicio seguro e incorporado con el objetivo de coaccionar un proceso protegido para autenticarse contra un servidor parcial de un atacante alternativa.
• Badcam Attack apunta a las cámaras web de Linux de Lenovo -Las cámaras web con sede en Linux de Lenovo, Lenovo 510 FHD y Lenovo Performance FHD, que funcionan con un sistema en un chip (SOC) y un firmware realizado por la compañía china Sigmastar, se pueden causar y convertirse en vectores BadUSB, lo que permite a los atacantes tambalearse con el firmware de los dispositivos para ejecutar comandos maliciosos cuando están conectados con una computadora. «Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y editar ataques independientemente del sistema activo host», dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael.
• La escalera de extenso difusión de Vextrio reveló -Un nuevo estudio de Vextrio lo ha desenmascarado como una «ordenamiento cibercriminal con zarcillos que son de gran difusión», operando docenas de empresas y compañías frontales en toda Europa, mientras se hace acontecer por una empresa de tecnología publicitaria legítima para transigir a término varios tipos de fraude. Se evalúa que la red de fraude cibernética está activa en su forma presente desde al menos 2017. Dicho esto, las sospechosas cifras esencia detrás del esquema se han vinculado a informes de estafadores y dominios incompletos desde 2004. Además es el resultado de dos empresas, Tekka Group y Adspro Group, uniendo fuerzas en 2020. «La fusión creó un conjunto formidable de entidades comerciales que tocan cada parte de la industria de la tecnología publicitaria», dijo Informlox. VEXTRIO es conocido por utilizar los sistemas de distribución de tráfico (TDSE) para filtrar y redirigir el tráfico web basado en criterios específicos, así como echarse en brazos en técnicas de manipulación DNS sofisticadas como la flujo rápido, el túnel de DNS y los algoritmos de engendramiento de dominio (DGA) a los cambios rápidos de IP asociados con sus dominios, establecer el comando de los subtolios (COMOTROL COMOTROT (C2) C2). sistemas infectados. Las campañas orquestaron al actor de amenaza para exprimir los TDSE para secuestrar a los usuarios web de sitios web comprometidos y redirigirlos a una variedad de destinos maliciosos, desde estafas de soporte técnico y actualizaciones falsas hasta dominios de phishing y kits de explotación. El uso de entidades comerciales para gobernar los esquemas de distribución de tráfico ofrece varias ventajas para los actores de amenaza, tanto desde una perspectiva operativa como a evitar el indagación de la comunidad INFOSEC y la aplicación de la ley manteniendo una apariencia de legalidad. El sistema funciona como cualquier otra red de tecnología publicitaria, solo que es de naturaleza maliciosa. Los actores de amenaza pagan a las empresas controladas por Vextrio como si fueran clientes legítimos, recibiendo un suministro constante de tráfico secuestrado y víctimas desprevenidas a través de TDSE para una variedad de amenazas, de estafas de criptomonedas y esquemas falsos de Captcha. «Vextrio emplea a unos cientos de personas en todo el mundo. No está claro cuánto sabe el empleado promedio de Vextrio sobre el real maniquí de negocio», dijo Infloxox. El acuerdo ha demostrado ser extremadamente productivo para los operadores de Vextrio, que han sido encontrados que lideran un lujoso estilo de vida, compartiendo en las redes sociales sobre automóviles caros y otros lujos.
• Múltiples defectos parcheados en nvidia triton parcheado – Nvidia ha parcheado a un trío de vulnerabilidades en su servidor de inferencia de Triton que podría dar a los atacantes remotos no autenticados una forma de tomar el control total de los servidores susceptibles. Las nuevas vulnerabilidades de Triton subrayan una categoría más amplia y creciente de amenazas relacionadas con la IA que las organizaciones ahora deben tener en cuenta sus posturas de seguridad. Con las herramientas de IA y ML cada vez más integrados en flujos de trabajo de negocios críticos, la superficie de ataque se ha expandido de una guisa que los marcos de seguridad tradicionales no siempre están equipados para manejar. La aparición de nuevas amenazas como la integridad de la esclavitud de suministro de IA, el envenenamiento del maniquí, la inyección inmediata y la fuga de datos señala la escazes de apuntalar la infraestructura subyacente y practicar la defensa en profundidad.

️‍🔥 tendencias cves

Los piratas informáticos se apresuran a saltar sobre defectos de software recién descubiertos, a veces en cuestión de horas. Ya sea que se trate de una aggiornamento perdida o un error oculto, incluso un CVE sin parches puede brindar la puerta a daños graves. A continuación se muestran las vulnerabilidades de suspensión peligro de esta semana que hacen olas. Revise la inventario, parche rápido y mantén un paso delante.

La inventario de esta semana incluye: CVE-2025-8088 (Winrar), CVE-2025-55188 (7-ZIP), CVE-2025-4371 (Lenovo 510 FHD y Camilas web FHD de rendimiento), CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-2505025252525222222. CVE-2025-24919 (Dell ControlVault3), CVE-2025-49827, CVE-2025-49831 (Cybark Secrets Manager), CVE-2025-6000 (HashiCorp Vault), CVE-2025-53786 (Microsoft Exchange Server), CVE-2025-30023 (Axis Communications). CVE-2025-54948, CVE-2025-54987 (Trend Micro Apex One Management Console), CVE-2025-23310, CVE-2025-23311, CVE-2025-23319 (NVIDIA Triton), CVE-2025-54574 (Squid Web Proxy), CVE-2025-7025, CVE-2025-7032, and CVE-2025-7033 (Rockwell Automation Arena Simulation), CVE-2025-54253, CVE-2025-54254 (Adobe Experience Manager Forms), CVE-2025-24285 (Ubiquiti UniFi Connect EV Station), CVE-2025-38236 (Linux Kernel), CVE-2025-2771, CVE-2025-2773 (BEC Technologies Routers), CVE-2025-25214, CVE-2025-48732 (WWBN Avideo), CVE-2025-26469 y CVE-2025-27724 (Meddream Pacs Premium).

📰 en torno a del mundo cibernético

• Nvidia rechaza las reclamaciones de puerta trasera – El fabricante de la GPU Nvidia ha rechazado las acusaciones de que ha construido puertas traseras o matar interruptores en sus chips. «No hay puertas traseras en los chips de Nvidia. Sin interruptores de matar. No hay software infiltrado. No es como se construyen los sistemas confiables, y nunca lo serán», dijo el director de seguridad de NVIDIA, David Reber Jr. El explicación se produjo luego de que la distribución del ciberespacio de China (CAC) dijo que celebró una reunión con Nvidia sobre «problemas de seguridad graves» en los chips de la compañía y afirmó que los expertos de inteligencia industrial (IA) de los Estados Unidos «revelaron que los chips informáticos de Nvidia tienen un seguimiento de ubicación y pueden cerrar la tecnología de forma remota». Un interruptor de crimen en un chip sería «un defecto permanente más allá del control del heredero y una invitación abierta para el desastre», agregó Reber Jr.
• Los atacantes comprometen el objetivo en 5 minutos – Los actores de amenaza comprometieron con éxito sistemas corporativos en solo cinco minutos utilizando una combinación de tácticas de ingeniería social y ejecución rápida de PowerShell. El incidente demuestra cómo los ciberdelincuentes están armando aplicaciones comerciales de confianza para evitar las medidas de seguridad tradicionales. «El actor de amenazas se dirigió a en torno a de vigésimo usuarios, se hace acontecer por el personal de soporte de TI y convenció con éxito a dos usuarios de otorgar acercamiento remoto a su sistema utilizando la utensilio de soporte remoto de socorro rápida de Windows», dijo NCC Group. «En menos de cinco minutos, el actor de amenaza ejecutó comandos de PowerShell que condujeron a la descarga de herramientas ofensivas, ejecución de malware y la creación de mecanismos de persistencia». El ataque fue detectado y detenido ayer de que pudiera favor llevado a una infección más ilustre.
• Empresas ahogadas en amenaza Intel – Un nuevo estudio encargado por Google Cloud encontró que un «pandeo abrumador de amenazas y datos combinados con la escasez de analistas de amenazas calificadas» están haciendo que las empresas sean más vulnerables a los ataques cibernéticos y manteniéndolos atrapados en un estado reactivo. «En zona de ayudar a la eficiencia, Myriad (inteligencia de amenazas) alimenta a los equipos de seguridad inundados con datos, lo que hace que sea difícil extraer ideas bártulos o priorizar y reponer a las amenazas. Los equipos de seguridad necesitan visibilidad en amenazas relevantes, correlación a la IA a escalera y los defensores calificados para usar inspiraciones accionables, lo que permite un cambio de un cambio reactivo a una postura de seguridad proactiva», el estudio de la seguridad «, según el estudio. La investigación se realizó con 1.541 líderes de TI y ciberseguridad en organizaciones empresariales en América del Septentrión, Europa y Asia Pacífico.

• Nuevo enemigo de edr vio -El malware capaz de terminar el software antivirus y ofuscados utilizando empacadores comerciales como HeartCrypt se están utilizando en ataques de ransomware que involucran BlackSuit, RansomHub, MedUSA, Qilin, DragonForce, Crytox, Lynx e Inc. Posando como un utilidad legitimada, el enemigo de Educar con un compensador de objetivos con un compensador de Cinco. Si se encuentra, el conductor taimado se carga en el núcleo, como se requiere para realizar un ataque de Traer su propio conductor pusilánime (BYOVD) y conquistar los privilegios del núcleo necesarios para desactivar los productos de seguridad. La inventario exacta de software antivirus que se terminará varía entre las muestras. Se cree que es una transformación de Edrkillshifter, desarrollada por Ransomhub. «Múltiples variantes nuevas de un conductor taimado que surgió por primera vez en 2022 están circulando en la naturaleza», advirtió Symantec a principios de enero. «El conductor es utilizado por los atacantes para intentar deshabilitar las soluciones de seguridad». El hecho de que los actores de ransomware múltiples dependen de las variantes de la misma utensilio Killer EDR alude a la posibilidad de un tendero global o algún tipo de «fuga de información/utensilio entre ellos».
• El ransomware continúa evolucionando – Amenaze Intel Firm Analyst1 ha publicado un perfil de Yaroslav Vasinskyi, un ciudadano ucraniano y miembro de la pandilla Revil que irrumpió en Kaseya en 2021. Mientras tanto, el panorama de ransomware continúa siendo voluntario como siempre, repleta y la cesación abrupta de las actividades de las actividades continuas. de Trigona, mientras que un afiliado llamado «Hastalamuerte» alegó que el clase Qilin había realizado una estafa de salida, defraudándoles $ 48,000. Otro heredero, que opera bajo el mango «Nova», filtró públicamente el panel de afiliados de Qilin, incluidas las credenciales de inicio de sesión, exponiendo aún más las debilidades de seguridad operativas del clase. Ransomhub, Babuk-Bjorka, Funksec, Bianlian, 8Base, Cactus, Hunters International y Lockbit se encuentran entre los grupos que han dejado de divulgar nuevas víctimas, lo que indica un ecosistema de ransomware cada vez más fragmentado. «La rápida sucesión de eventos luego de la desaparición de Ransomhub y el aumento posterior, y la llamativo turbulencia, interiormente de las operaciones de Qilin subrayan la volatilidad dinámica del ecosistema de ransomware presente», dijo Dark Atlas. «El caos interno y la supuesta estafa de salida interiormente de Qilin (…) revelan fisuras profundas en la confianza y la seguridad operativa entre los colectivos de ransomware, agravados aún más por la interferencia activa de los grupos de aplicación de la ley y rivales».
• Organizaciones turcas dirigidas por Soupdealer -Los bancos, los ISP y las organizaciones de nivel medio en Türkiye están siendo atacadas por campañas de phishing que ofrecen un nuevo cargador con sede en Java llamado Soupdealer. «Cuando se ejecuta este malware, utiliza mecanismos avanzados de persistencia, incluida la descarga de TOR para establecer la comunicación con el panel C2 y las tareas de programación para la ejecución cibernética, para asegurar que el dispositivo se encuentre en Türkiye y se use en turco», dijo Malwation. «Luego envía varias información basada en señales desde el servidor de comando y control y obtiene un control total sobre el dispositivo».
• Spark rata detallada -Los investigadores de ciberseguridad han detallado el funcionamiento interno de una rata de código hendido señal rata Spark que es capaz de apuntar a los sistemas Windows, Linux y MacOS. Permite a un atacante comandar de forma remota un punto final comprometido al establecer comunicaciones con infraestructura C2 y esperar más instrucciones de un cirujano. «Todas las características de ratas deseables están presentes, con la desaparición quizás sobresaliente de funcionalidad remota de escritorio», dijo F5 Labs. «Estos factores se han combinado para hacer de Sparkrat una atractiva alternativa de la utensilio ataque, como lo demuestra las instancias documentadas de su uso en las campañas de amenazas».
• Aumento del uso de los archivos SVG de los actores de amenaza – Los cibercriminales están convirtiendo archivos de gráficos vectoriales escalables (SVG) en armas potentes al incorporar cargas bártulos de JavaScript maliciosas que pueden evitar las medidas de seguridad tradicionales. Los ataques de phishing que adoptan la técnica han girado en torno a los objetivos convincentes para brindar un archivo SVG, lo que desencadena la ejecución del código JavaScript en el navegador web, que luego los redirige a un sitio de phishing diseñado para robar credenciales. «En zona de juntar datos de píxeles, los SVG usan el código basado en XML para detallar rutas, formas y texto vectoriales», dijo Seqrite. «Esto los hace ideales para un diseño receptivo, ya que escaman sin perder calidad. Sin bloqueo, esta misma estructura permite que los SVG contengan JavaScript integrado, que puede ejecutarse cuando el archivo se abre en un navegador, poco que sucede de guisa predeterminada en muchos sistemas de Windows». Los archivos de imagen SVG asimismo se están utilizando como vector de entrega de malware en campañas donde se han enemigo sitios de adultos sembrando cargas bártulos de SVG oscurecidas que aprovechan a JSFuck para respaldar encubrir las publicaciones de Facebook que promocionan los sitios, encontró amenazas.
• Las estafas dirigidas a ancianos llevaron a pérdidas de $ 700 millones en 2024 – Los estadounidenses mayores de 60 primaveras perdieron la asombrosa cantidad de $ 700 millones a estafas en serie en 2024, lo que indica un robusto aumento en el fraude dirigido a adultos mayores. «En particular, las pérdidas combinadas reportadas por adultos mayores que perdieron más de $ 100,000 aumentaron ocho veces, de $ 55 millones en 2020 a $ 445 millones en 2024», dijo la Comisión Federal de Comercio de los Estados Unidos (FTC). «Si proporcionadamente los consumidores más jóvenes asimismo han informado estas estafas, los adultos mayores tenían mucho más probabilidades de informar estas pérdidas extraordinariamente altas». El explicación se produjo cuando las autoridades de Filipinas detuvieron a 20 ciudadanos chinos que operaban un centro de estafadores criptográficos en la ciudad de Pasay. La policía tailandesa asimismo ha detenido a 18 nacionales chinos que operaban un centro de llamadas de estafa en la ciudad de Chiang Mai que atacó a otros oradores chinos y operaba durante tres meses desde una casa alquilada.

• El ransomware de bloqueo ganó en torno a de $ 34.2 millones – El ransomware de bloqueo se asocia con aproximadamente $ 34.2 millones en transacciones de criptomonedas desde que aparecieron en torno a de abril de 2024, con la mayoría de las víctimas ubicadas en los Estados Unidos en los sectores de la sanidad, los servicios comerciales y la fabricación. A diferencia de otros grupos tradicionales de ransomware como servicio (RAAS), el bloqueo retiene el control sobre las negociaciones de infraestructura y cuota y tiende a evitar tácticas como la triple perjuicio y el acoso de las víctimas que llaman la atención sobre sí mismos. Los ataques implican el uso de correos electrónicos de phishing y descargas de transmisión entregadas a través de sitios web maliciosos como vectores de acercamiento iniciales para deshabilitar las herramientas de seguridad, desactivar las opciones de recuperación y acortar archivos. «El bloqueo puede ser una operación renombrada o sucesora de BlackCat (ALPHV) basada en múltiples similitudes técnicas y de comportamiento, incluido el uso del habla de programación de óxido, un sitio de fuga de datos diseñado de guisa similar y superposiciones en la esclavitud a través de la infraestructura de billeteras compartidas», dijo TRM Labs. «El bloqueo magma el rescate a través de billeteras intermedias, intercambios de suspensión peligro y plataformas sancionadas como cryptex.net. Aproximadamente $ 18.8 millones permanecen latentes en billeteras no atribuidas, un patrón que probablemente refleja las tácticas de entretenimiento deliberadas». Los enlaces a BlackCat provienen de superposiciones en la esclavitud, con direcciones históricas vinculadas a BlackCat que canalizan fondos a grupos de billetera asociados con víctimas de bloqueo. Las similitudes técnicas incluyen el uso del habla de programación de óxido, kits de herramientas de oculto similares y el diseño de sus sitios de fuga de datos.
• Microsoft bloqueará el acercamiento a los archivos a través de FPRPC – Microsoft ha anunciado que las aplicaciones de Microsoft 365 para Windows comenzarán a encerrar el acercamiento a los archivos a través del inseguro protocolo de autenticación heredado FPRPC a partir de finales de agosto. «Microsoft 365 Apps bloqueará los protocolos inseguros abiertos como FPRPC por auténtico de lectura 2508, con nuevas configuraciones de Centro de confianza para gobernar estos protocolos», dijo la compañía. «Estos cambios mejoran la seguridad al resumir la exposición a tecnologías obsoletas como la señal de procedimiento remoto de la página principal (FPRPC), FTP y HTTP». Por separado, Microsoft asimismo ha anunciado que tiene la intención de retirar el soporte para las imágenes SVG en serie en Outlook para Web y New Outlook para Windows a partir de septiembre de 2025. «Este cambio mejoramiento la seguridad y se alinea con el comportamiento presente del cliente de correo electrónico, lo que ya restringe la representación de SVG en serie», dijo la compañía.
• Casi 30k Instancias de servidor de Exchange vulnerables a CVE-2025-53786 -Faltan un poco más de 29,000 servidores de correo electrónico de Microsoft Exchange un Hotfix de abril de 2025 para una vulnerabilidad de seguridad recientemente revelada (CVE-2025-53786) que permite a los atacantes aumentar el acercamiento de los servidores en el primer momento a los entornos de nubes en serie. A partir del 10 de agosto de 2025, los países con la mayoría de las exposiciones son Estados Unidos, Alemania, Rusia, Francia, el Reino Unido y Austria, según la Fundación Shadowserver.
• Scarcruft vinculado al ataque de ransomware por primera vez – El actor de amenaza de Corea del Septentrión conocido como Scuffuft (asimismo conocido como APT37), que tiene un historial de desplegar Rokrat, ha sido vinculado a una esclavitud de ataque que ha explotado un archivo LNK taimado incrustado en un archivo RAR para entregar un Staaler (LightPeek y FadeSteller), Backdoor (Nubspy y Chilchino), y Ransomware (VcadeSte). «Por otra parte, subraya la dependencia persistente del clase en la infraestructura de transporte en tiempo existente, ejemplificada por el uso de Nubspy de PUBNUB como su canal de comando y control (C2)», dijo S2W. El ataque se ha atribuido a Chinopunk, un subgrupo interiormente de Scorcruft conocido por desplegar el malware Chinotto. La actividad es una «desviación sobresaliente» del enfoque histórico del clase en el espionaje. «Esto sugiere un cambio potencial con destino a operaciones motivadas financieramente, o una expansión de los objetivos operativos que ahora incluyen tácticas disruptivas o basadas en perjuicio», agregó la compañía.
• Violencia EDR-on-EDR para deshabilitar el software EDR -Los investigadores de ciberseguridad han descubierto un nuevo vector de ataque preocupante donde los actores de amenaza están armando ensayos gratuitos de software de detección y respuesta de punto final (EDR) para deshabilitar las herramientas de seguridad existentes, un engendro denominado Violencia EDR-ONR, o traer su propio EDR AKA BYOEDR. «Resulta que una de las formas de deshabilitar EDR es con una prueba gratuita de EDR», dijeron los investigadores Ezra Woods y Mike Manrod. «Esto se logra eliminando exclusiones y luego agregando el hash del AV/EDR existente como una aplicación bloqueada». Para empeorar las cosas, la investigación encontró que es posible explotar de las características de RMM de los productos EDR para suministrar el acercamiento al shell de comandos.
• 2 Fundador de Samourai Wallet se declaró culpable de lavado de metálico – Dos altos ejecutivos y fundadores del mezclador de criptomonedas de billetera de Samourai se declararon culpables de cargos que involucran a bañar más de $ 200 millones en activos criptográficos de los ingresos penales y ocultando la naturaleza de las transacciones ilícitas utilizando servicios como Whirlpool y Ricochet. La CEO de Samourai, Keonne Rodríguez y el CTO, William Lonergan Hill, fueron arrestados el año pasado luego de que la Oficina Federal de Investigación de los Estados Unidos (FBI) retiró su servicio. Como parte de sus acuerdos de culpabilidad, Rodríguez y Hill asimismo acordaron perder $ 237,832,360.55. «Los acusados crearon y operaron un servicio de mezcla de criptomonedas que sabían que los delincuentes permitieron bañar millones en metálico desaliñado, incluidas las ganancias de los robos de criptomonedas, las operaciones de tráfico de drogas y los esquemas de fraude», dijo el Unidad de Razón de los Estados Unidos (DOJ). «No solo facilitaron este movimiento ilícito de metálico, sino que asimismo lo alentaron».
• Fundador de Tornado Cash condenado por ejecutar un negocio de transmisión de metálico -Roman Storm, cofundador del servicio de mezcla de criptomonedas Tornado Cash, fue evidente culpable de conspirar para ejecutar un negocio de transmisión de metálico sin deshonestidad. Sin bloqueo, el cuerpo no logró datar a un veredicto sobre los cargos más significativos de conspiración para cometer lavado de metálico y violar las sanciones. «Roman Storm y Tornado Cash brindaron un servicio para los piratas informáticos de Corea del Septentrión y otros delincuentes para mudarse y esconder más de $ 1 mil millones de metálico desaliñado», dijo el Unidad de Razón. Tormenta será sentenciada a finales de este año y enfrenta una sentencia de prisión máxima de cinco primaveras. El explicación se produjo cuando el Unidad del Fortuna de los Estados Unidos retiró su apelación contra un veredicto procesal que lo obligó a alzar las sanciones contra el efectivo de Tornado el mes pasado. Tornado Cash fue eliminado de la inventario de personas nacionales y bloqueadas especialmente designadas (SDN) a principios de marzo. El servicio fue sancionado en 2022 por sus presuntos vínculos con los ciberdelincuentes y por favor «no rematado repetidamente imponer controles efectivos» para evitar el lavado de metálico.
• Fallos de Microsoft SharePoint explotados para dejar caer China Chopper y Antsword -Microsoft reveló que los piratas informáticos patrocinados por el estado chinos habían explotado nuevas vulnerabilidades en SharePoint para violar los sistemas informáticos de cientos de empresas y agencias gubernamentales, incluida la Dependencia Doméstico de Seguridad Nuclear y el Unidad de Seguridad Doméstico. Según ProPublica, el apoyo a SharePoint es manejado por un equipo de ingeniería con sede en China que ha sido responsable de surtir el software durante primaveras. Microsoft dijo que el equipo con sede en China «es supervisado por un ingeniero con sede en Estados Unidos y está sujeto a todos los requisitos de seguridad y revisión del código del directivo. El trabajo ya está en marcha para cambiar este trabajo a otra ubicación». No está claro si el personal con sede en China de Microsoft tenía algún papel en el truco de SharePoint. Se han observado ataques que explotan los defectos de SharePoint (CVE-2025-49706 y CVE-2025-53770) realizando una ejecución de código no autenticada, extrayendo claves criptográficas e implementando capas web como China Chopper y Antsword. «El uso de Antsword y China Chopper en las campañas de explotación de SharePoint de mediados de 2015 se alinea con las herramientas observadas en incidentes anteriores», dijo Trustwave. «En particular, en 2022, asimismo se observó que el mismo helicóptero de Antsword y China se desplegó en un incidente relacionado con las vulnerabilidades de ProxynotShell RCE.
• La ley de la UE que protege a los periodistas del spyware entra en vigencia – Una nueva ley en la Unión Europea, señal Ley de Osadía de Medios Europea (EMFA), ha entrado en vigencia a partir del 8 de agosto de 2025, que pesquisa promover la independencia, amparar los medios de comunicación contra la asesinato injustificada de contenido en serie de plataformas en serie muy grandes y proteger las fuentes periodísticas, incluso contra el uso del spyware. Sin bloqueo, el Centro Europeo de Press and Media Freedom (ECPMF) dijo que está «profundamente preocupado que muchos gobiernos nacionales no estén preparados ni políticamente dispuestos a hacer los cambios legislativos requeridos,» unir «esta descuido de compromiso representa un peligro moribundo para la efectividad de la EMFA».
• Israel creó un sistema respaldado por Azure para juntar comunicaciones palestinas – La Agencia de Vigilancia Marcial de Elite de Israel, Mecanismo 8200, almacenó grandes volúmenes de llamadas telefónicas palestinas interceptadas en los servidores de Azure Cloud de Microsoft, según una investigación conjunta realizada por The Guardian, Magazine +972 y Regional Call. La operación masiva de vigilancia telefónica interceptó y rastreó todas las llamadas telefónicas y mensajes enviados a través de Palestina y fue alojado en una parte segregada de Azure. Se cree que el sistema basado en la aglomeración se puso activo en 2022. «Gracias al control que ejerce sobre la infraestructura de telecomunicaciones palestinas, Israel ha interceptado durante mucho tiempo las llamadas telefónicas en los territorios ocupados», informó The Guardian. «Pero el nuevo sistema indiscriminado permite a los oficiales de inteligencia reproducir el contenido de las llamadas celulares realizadas por los palestinos, capturando las conversaciones de un clase mucho más ilustre de civiles comunes».
• Corea del Sur dirigida por Ransomware Makop – Los usuarios en Corea del Sur han sido atacados por ataques de ransomware Makop que aprovechan el protocolo de escritorio remoto (RDP) como punto de entrada, cambiando de su organización de distribución previa de echarse en brazos en currículums falsos o correos electrónicos relacionados con los derechos de autor. «Vale la pena señalar que el uso de RDP en la período de acercamiento auténtico y la instalación de varias herramientas de Nirsoft y Mimikatz con una ruta de instalación de ‘Mimik’ son las mismas que el actor de amenaza de ransomware Crysis al instalar el ransomware Beldad», dijo Ahnlab. «Esto sugiere la posibilidad de que el mismo actor de amenaza esté detrás del Crysis, Beldad y los recientes ataques de ransomware Makop».
• WhatsApp alabarda una nueva característica para invadir las estafas – WhatsApp está presentando una nueva función de seguridad que ayudará a los usuarios a detectar estafas potenciales cuando están siendo agregados a un chat grupal por cierto que no está en su inventario de contactos al servir información y opciones adicionales para salir del clase. La plataforma de transporte dijo que asimismo está explorando formas de advertir a las personas cuando son contactadas individualmente por personas que no están en sus contactos. Esto incluye mostrar más contexto sobre quién ha enviado mensajes, para que los usuarios puedan tomar una osadía informada. La compañía propiedad de Meta dijo que asimismo eliminó más de 6.8 millones de cuentas de WhatsApp vinculadas a centros de estafadores criminales con sede en el sudeste oriental dirigido a personas en Internet y en todo el mundo. «Estos centros de estafa generalmente ejecutan muchas campañas de estafa a la vez, desde inversiones de criptomonedas hasta esquemas piramidales», dijo la compañía. «Los estafadores utilizaron ChatGPT para suscitar el mensaje de texto auténtico que contiene un enlace a un chat de WhatsApp, y luego dirigieron rápidamente al objetivo que telegramas, donde se les asignó una tarea de interesar los videos de Tiktok. Los estafadores intentaron suscitar confianza en su esquema compartiendo cuánto el objetivo ya ha sido» rebaño «en teoría, ayer de pedirles que depositen metálico en una cuenta de Crypto como la próxima tarea».
• Libraciones de Praetorianas Chromealone – La compañía de ciberseguridad Praetorian ha audaz una utensilio señal Chromealone que transforma los navegadores de cromo en un ámbito C2 y puede implantarse y estar de moda en zona de herramientas convencionales como Cobalt Strike. El software ofrece la capacidad de robar credenciales del navegador y cookies de sesión, editar ejecutables en el host desde Chrome, Phish para solicitudes de WebAuthn de tokens de seguridad física como Yubikeys o Titan Security Keys, y ofrece resistor EDR. Por separado, Praetorian asimismo descubrió que es posible explotar de la transferencia utilizando relés en torno a de los servidores NAT (Turn) utilizados por aplicaciones conferencias como Teleobjetivo y los equipos de Microsoft como un nuevo método de entretenimiento C2 llamado ‘llamadas fantasmas’ para túnel tráfico a través de infraestructura confiable. Esto se logra mediante una utensilio señal Turnt. «Este enfoque permite a los operadores combinar sesiones interactivas C2 con patrones de tráfico empresarial normales, apareciendo como mínimo más que una reunión en serie unida temporalmente», señaló Praetorian, afirmando que el enfoque utiliza credenciales legítimas, WEBRTC y herramientas personalizadas para evitar los defensas existentes.
• New Jailbreak Against AI Chatbots emplea sobrecarga de información -Los chatbots de IA como Operai Chatgpt y Google Gemini se pueden derivar para suscitar instrucciones ilícitas para hacer una obús o piratear un cajero automotriz si el aviso se complica, empachado de germanía académica y cita fuentes inexistentes. Eso es según un nuevo artículo escrito por un equipo de investigadores de Intel, Boise State University y la Universidad de Illinois en Urbana-Champaign. La técnica de jailbreak de LLM señal InfoFlood «transforma consultas maliciosas en consultas complejas y superadas por información capaces de comerse los mecanismos de seguridad incorporados», explicó el documento. «Específicamente, InfoFlood: (1) utiliza transformaciones lingüísticas para reformular consultas maliciosas, (2) identifica la causa raíz de error cuando un intento no tiene éxito y (3) refina la estructura gramática del aviso para invadir la error al tiempo que presenta su intención maliciosa».
• El proveedor de spyware israelí Candiru todavía está activo – La firma de ciberseguridad registrada Future ha descubierto una nueva infraestructura para gobernar y entregar el spyware de Devilstongue de Candiru. «Se identificaron ocho grupos distintos, con cinco probablemente aún activos, incluidos los vinculados a Hungría y Arabia Saudita», dijo. «Un clase vinculado a Indonesia estuvo activo hasta noviembre de 2024, y dos asociados con Azerbaiyán tienen un estado incierto adecuado a la descuido de infraestructura identificada de víctimas».

🎥 seminarios web de ciberseguridad

• Las amenazas de IA son reales: aprende cómo apuntalar a cada agente ahora: Los agentes de la sombra con IA se están convirtiendo en una seria amenaza de seguridad. Implementado sin supervisión, estas entidades invisibles tienen acercamiento a datos confidenciales, lo que los convierte en objetivos principales para los atacantes. En esta sesión, exploraremos cómo surgen estos agentes, por qué son arriesgados y cómo tomar el control ayer de causar daño.
• Cómo los ataques alimentados con AI se dirigen a la identidad: aprenda para detenerlos: La IA está cambiando la forma en que ocurren ataques cibernéticos, haciendo que las defensas tradicionales obsoletas. En este seminario web, Karl Henrik Smith de Okta explica cómo AI apunta a la seguridad de la identidad y cómo puede proteger a su ordenamiento de estas nuevas amenazas. Aprenda a adaptar sus defensas para el futuro impulsado por la IA.
• Lo que te estás perdiendo en Python Security: amenazas imprescindibles de 2025: En 2025, apuntalar su esclavitud de suministro de Python es más crítica que nunca. Con amenazas crecientes como reposejacamiento, tipo de bicipción y vulnerabilidades conocidas en la infraestructura central de Python, simplemente confían en «Pip Install y Ore» no lo cortará. Únase a nuestro seminario web para asimilar cómo proteger sus proyectos de Python, invadir los riesgos actuales de la esclavitud de suministro y explorar soluciones prácticas para amparar su código con herramientas líderes en la industria como Sigstore y Chainguard. Tome medidas ahora para apuntalar su entorno de Python y mantenerse por delante de las amenazas emergentes.

🔧 Herramientas de ciberseguridad

• Doomarena es un ámbito modular y enchufable para probar agentes de IA contra las amenazas de seguridad en transformación. Funciona con plataformas como τ-bench, BrowsergyM y Osworld, permitiendo simulaciones realistas de ataques como inyecciones rápidas o fuentes de datos maliciosos. Su diseño separa la método de ataque de los entornos, hace que las pruebas sean reutilizables en todas las tareas, y admite modelos de amenazas detallados, múltiples tipos de ataque y controles de éxito personalizados para ayudar a identificar vulnerabilidades y evaluar las defensas.
• Yamato Security, un clase liderado por voluntarios en Japón, ha audaz un conjunto de herramientas de código hendido destinado a robustecer los forenses digitales y la caza de amenazas. La vinculación incluye Hayabusa para el estudio de registro de Windows Based Sigma, Takajo para analizar los resultados de Hayabusa, Suzaku para Forensics de registro en la aglomeración y WELA para auditar registros de eventos de Windows, compatibles con guías de configuración detalladas. Además en el kit de herramientas está SigmaOptimizer-UI, una interfaz sencillo de usar que optimiza la creación, las pruebas y el refinamiento de las reglas Sigma de los registros del mundo existente, que incorpora cheques automatizados y mejoras opcionales con motor LLM.

Descargo de responsabilidad: estas herramientas recientemente lanzadas son solo para uso educativo y no han sido completamente auditados. Use con su propio peligro: revie el código, pruebe de forma segura y aplique las salvaguardas adecuadas.

🔒 Consejo de la semana

Aumente su detección de amenazas con herramientas fáciles y gratuitas – La ciberseguridad no se proxenetismo solo de defenderse de los ataques, sino que asimismo se proxenetismo de detectarlos temprano. Una de las formas más efectivas de mantenerse a la vanguardia de las amenazas es establecer monitoreo en tiempo existente. Las herramientas gratuitas como UptimeroBot le permiten monitorear su sitio web o sistemas para un tiempo de inactividad inesperado, un signo global de un ataque. Al aceptar alertas instantáneas, puede representar rápidamente si poco sale mal.

Otro paso simple pero poderoso es ejecutar escaneos de vulnerabilidad regulares. Qualys Community Edition es una utensilio gratuita que lo ayuda a identificar puntos débiles en su red o sitio web. Los escaneos regulares lo ayudarán a detectar problemas ayer de que los atacantes puedan explotarlos, manteniendo sus defensas fuertes.

La protección del punto final es igualmente importante. Si proporcionadamente Windows Defender proporciona una seguridad sólida, puede llevarlo un paso más allá con OSSEC, un sistema de detección de intrusos de código hendido. OSSEC monitorea sus dispositivos para un comportamiento inusual, ayudando a atrapar amenazas que el software antivirus tradicional podría perderse.

Por final, mantenerse al tanto de los actores maliciosos es esencia. Utilice fortuna como AlienVault Open Amenic Exchange (OTX) para rastrear direcciones y dominios IP dañinos conocidos. Estas bases de datos gratuitas lo mantienen informado sobre las últimas amenazas dirigidas a su red, lo que le permite encerrar el tráfico arriesgado ayer de causar daño.

Al integrar estas herramientas gratuitas en su rutina, mejorará significativamente su capacidad para detectar y reponer a las amenazas cibernéticas de guisa rápida y efectiva.

Conclusión

A medida que terminamos la aggiornamento de ciberseguridad de esta semana, recuerde que mantenerse informado es su mejor defensa. Las amenazas son reales, y las apuestas son altas, pero con los pasos correctos, su ordenamiento puede mantenerse a la vanguardia de los atacantes. Las actualizaciones regulares, los parches oportunos y el monitoreo continuo son su primera serie de defensa. Sigue trabajando para construir una civilización de seguridad y siempre prepárate para adaptarte al panorama cambiante.

Volveremos la próxima semana con más información, así que mantenga esos sistemas seguros y permanezcan atentos. Hasta entonces, manténgase proactivo, manténgase seguro y no suelte la custodia. Las amenazas cibernéticas no esperan a nadie.