Fallo de envenenamiento del DNS, atraco a la cadena de suministro, truco del malware Rust y aumento de nuevas RAT

Para entregar PureHVNC RAT se han utilizado correos electrónicos de phishing que contienen archivos adjuntos SVG dirigidos a personas colombianas de deje hispana con temas relacionados con la Fiscalía Caudillo de Colombia. «Los correos electrónicos incitan al becario a descargar un ‘documento oficial’ del sistema de información jurídico, lo que inicia la sujeción de infección mediante la ejecución de un ejecutable Hijack Loader que conduce al troyano de comunicación remoto (RAT) PureHVNC», dijo IBM X-Force. La actividad se observó entre agosto y octubre de 2025. Los hallazgos son notables porque esta es la primera vez que se utiliza Hijack Loader en campañas dirigidas a la región, adicionalmente de usar el cargador para distribuir PureHVNC.

Peter Williams, de 39 abriles, ciudadano australiano, se declaró culpable en Estados Unidos en relación con la saldo de secretos comerciales de su empleador a un corredor ruso de herramientas cibernéticas. Williams se declaró culpable de dos cargos de robo de secretos comerciales robados al contratista de defensa estadounidense L3Harris Trenchant entre 2022 y 2025. Esto incluía software centrado en la seguridad franquista que incluía al menos ocho componentes sensibles y protegidos de ciberexplotación que debían venderse exclusivamente al gobierno de Estados Unidos y a aliados selectos. «Williams vendió los secretos comerciales a un intermediario ruso de herramientas cibernéticas que se anuncia públicamente como revendedor de exploits cibernéticos a varios clientes, incluido el gobierno ruso», dijo el Unidad de Jurisprudencia de Estados Unidos. El procesado recibió un plazo en criptomonedas por la saldo de exploits de software y utilizó las ganancias ilícitas para comprar relojes de postín y otros artículos. Los cargos contra Williams salieron a la luz la semana pasada. Si aceptablemente el nombre del corredor de exploits no fue revelado, la evidencia apunta a Operation Zero, que anteriormente ofreció hasta $4 millones por exploits de Telegram y $20 millones por herramientas que podrían estar de moda para ingresar a dispositivos Android y iPhone. Operation Zero se anuncia como la «única plataforma de transacción de vulnerabilidades de día cero con sede en Rusia». A principios de agosto, otra startup con sede en los Emiratos Árabes Unidos citación Advanced Security Solutions incluso anunció recompensas de hasta 20 millones de dólares por herramientas de piratería que podrían ayudar a los gobiernos a alcanzar a cualquier teléfono inteligente con un mensaje de texto.

Europol ha destacado la urgente exigencia de un enfoque coordinado y multifacético para mitigar la suplantación de identidad de llamadas transfronterizas. «La suplantación de identidad de llamadas impulsa el fraude financiero y permite estafas de ingeniería social, lo que provoca daños económicos y sociales sustanciales, con una pérdida estimada de 850 millones de euros anualmente en todo el mundo», afirmó la agencia. «Los principales vectores de ataque son las llamadas telefónicas y los mensajes de texto, que permiten a actores maliciosos manipular la información que se muestra en el identificador de llamadas de un becario, para mostrar un nombre o número imitado que parece genuino y digno de confianza». La técnica, que representa aproximadamente el 64% de los casos de fraude reportados que involucran llamadas telefónicas y mensajes de texto, sustenta una amplia viso de esquemas de fraude en serie y estafas de ingeniería social, que cuestan aproximadamente 850 millones de euros (990 millones de dólares) en todo el mundo cada año.

Para mejorar la seguridad de los usuarios, Google dijo que cambiará la configuración predeterminada de Chrome para navegar sólo a sitios web que admitan HTTPS. «Habilitaremos la configuración ‘Usar siempre conexiones seguras’ en su modificación de sitios públicos de forma predeterminada en octubre de 2026, con el extensión de Chrome 154», dijo el hércules tecnológico. «Antiguamente de habilitarlo de forma predeterminada para todos los usuarios, en Chrome 147, que se lanzará en abril de 2026, habilitaremos Usar siempre conexiones seguras en su modificación de sitios públicos para los más de mil millones de usuarios que han optado por las protecciones de navegación segura mejorada en Chrome». La configuración «Usar siempre conexiones seguras» se introdujo en Chrome en 2022, como una función opcional, y se activó de forma predeterminada en Chrome 141 para un pequeño porcentaje de usuarios.

Según SixMap, una evaluación de ciberseguridad de 21 proveedores de energía estadounidenses ha identificado 39.986 hosts con un total de 58.862 servicios expuestos a Internet. Aproximadamente el 7% de todos los servicios expuestos se ejecutan en puertos no normalizado, lo que crea puntos ciegos, ya que los productos tradicionales de gobierno de exposición y gobierno de superficies de ataque normalmente inspeccionan solo los 1000 a los 5000 puertos principales. La investigación incluso encontró que, en promedio, cada ordenamiento tenía el 9% de sus hosts en el espacio IPv6, otra ámbito de aventura potencial, ya que estos activos no son rastreados por las herramientas tradicionales de gobierno de exposición. «Un total de 2.253 direcciones IP estaban en el espacio IPv6. Eso significa, en conjunto, en torno a del 6% de las direcciones IP se ejecutaban en IPv6 en las 21 empresas», dijo SixMap. Es más, se identificaron un total de 5.756 servicios vulnerables con CVE en todas las exposiciones. «De los 5.756 CVE identificados por SixMap, 377 han sido explotados en estado salvaje», añadió. «Entre los 377 CVE que se sabe que están explotados, 21 se encuentran en servicios vulnerables que se ejecutan en puertos no normalizado, lo que indica un nivel de aventura muy solemne».

Avast ha animado un descifrador regalado para permitir a las víctimas del ransomware Midnight recuperar sus archivos de forma gratuita. Midnight ransomware normalmente agrega la extensión .Midnight o .endpoint a los archivos cifrados. Se considera que el ransomware se fundamento en una traducción susodicho del ransomware Babuk. Avast dice que las «novedosas modificaciones criptográficas» realizadas en el código cojín de Babuk introdujeron debilidades que hicieron posible el descifrado.

Se ha observado que el actor de amenazas conocido como Cloud Atlas apunta al sector agrícola de Rusia utilizando señuelos vinculados a un próximo foro de la industria. La campaña de phishing, detectada este mes, implica el expedición de correos electrónicos que contienen documentos de Microsoft Word con trampas explosivas que, cuando se abren, activan un exploit para CVE-2017-11882 con el fin de entregar un cuentagotas responsable de iniciar la puerta trasera VBShower. Vale la pena señalar que el género de hackers utilizó la misma defecto como pertrechos en 2023. Se considera que Cloud Atlas es un actor de amenazas enormemente adaptable activo desde al menos 2014, al tiempo que aumenta su ritmo eficaz en 2025, particularmente contra objetivos en Rusia y Bielorrusia. A principios de enero, Positive Technologies detalló el uso de Cloud Atlas de servicios en la nubarrón como Google Sheets como comando y control (C2) para VBShower y otra puerta trasera basada en PowerShell citación PowerShower. En los últimos meses, las organizaciones rusas incluso han sido atacadas por GOFFEE (incluso conocido como Paper Werewolf) y PhantomCore, y este posterior incluso lanzó una nueva puerta trasera Go denominada PhantomGoShell a través de correos electrónicos de phishing que comparte algunas similitudes con PhantomRAT y PhantomRShell. Algunas de las otras herramientas en el atarazana del actor de amenazas son PhantomTaskShell (una puerta trasera de PowerShell), PhantomStealer (un cleptómano basado en Go) y PhantomProxyLite (una aparejo que configura un túnel SSH entre el host y el servidor C2). Se dice que el género logró tomar el control de 181 sistemas en el país durante el transcurso de la campaña entre mediados de mayo y finales de julio de 2025. Positive Technologies evaluó que PhantomGoShell es el trabajo de miembros de deje rusa de las comunidades de juegos de Discord que pueden poseer «recibido el código fuente de la puerta trasera y la orientación de un miembro con informes cibercriminales más establecidos» y que el género es una rama poco calificada de PhantomCore.

Se han contrario hasta 5.912 instancias vulnerables a CVE-2025-40778 (puntuación CVSS: 8,6), una defecto recientemente revelada en el solucionador BIND 9. «Un atacante fuera de ruta podría inyectar datos de direcciones falsificadas en la elegancia de resolución al acelerar o falsificar respuestas», dijo Censys. «Este envenenamiento de la elegancia permite la redirección de clientes posteriores a la infraestructura controlada por el atacante sin desencadenar nuevas búsquedas». Se ha puesto a disposición del sabido un exploit de prueba de concepto (PoC) para la vulnerabilidad. Se recomienda modernizar a BIND 9 versiones 9.18.41, 9.20.15 y 9.21.14, restringir la recursividad a clientes confiables, habilitar la moral DNSSEC y monitorear los cachés.

Los investigadores de Synacktiv han demostrado que es posible crear un binario Rust de «dos caras» en Linux, que «ejecuta un software inofensivo la decano parte del tiempo, pero ejecutará un código oculto diferente si se implementa en un host de destino específico». En un nivel suspensión, el binario esquizofrénico sigue un proceso de cuatro pasos: (1) Extraer los UUID de partición de disco del host, que identifica de forma única el objetivo, (2) Derivar una esencia incrustada en el binario con los datos del host susodicho usando HKDF, produciendo una nueva esencia, (3) Descifrar los datos binarios incrustados cifrados «ocultos» a partir de la esencia derivada, y (4) Si el descifrado tiene éxito, ejecute el software «oculto» descifrado; de lo contrario, ejecute el software «común».

Los actores de amenazas están aprovechando una técnica inusual que explota caracteres invisibles incrustados en las líneas de asunto del correo electrónico para sortear los filtros de seguridad automatizados. Este método de ataque utiliza codificación MIME combinada con guiones suaves Unicode para disfrazar intenciones maliciosas y parecer indulgente para los lectores humanos. La técnica representa otra desarrollo en los ataques de phishing, en la que los delincuentes encuentran formas novedosas de eludir los mecanismos de filtrado de correo electrónico que se basan en la detección de palabras esencia y la coincidencia de patrones.

El Centro de Coordinación CERT (CERT/CC) ha revelado que la sintaxis del encabezado de los mensajes de correo electrónico se puede explotar para eludir protocolos de autenticación como SPF, DKIM y DMARC, lo que permite a los atacantes entregar correos electrónicos falsificados que parecen originarse en fuentes confiables. Específicamente, esto implica extralimitarse de los campos De: y Remitente: para hacerse suceder por una dirección de correo electrónico con fines maliciosos. «Usando una sintaxis especializada, un atacante puede insertar múltiples direcciones en el campo De: del encabezado del correo», dijo CERT/CC. «Muchos clientes de correo electrónico analizarán el campo De: para mostrar solo la última dirección de correo electrónico, por lo que el destinatario no sabrá que el correo electrónico supuestamente proviene de varias direcciones. De esta guisa, un atacante puede pretender ser determinado ordinario para el becario». Para mitigar la amenaza, se insta a los proveedores de servicios de correo electrónico a implementar medidas para respaldar que los encabezados de correo electrónico salientes autenticados se verifiquen adecuadamente antaño de firmar o transmitir mensajes.

Las autoridades de Myanmar dijeron que habían demolido partes del parque KK mediante explosiones, semanas luego de que el ejército del país atacara a mediados de octubre de 2025 lo que se ha descrito como un importante centro de operaciones de ciberdelincuencia. Tailandia dijo que ha establecido refugios temporales para quienes han huido de Myanmar. Group-IB, que ha observado un aumento en las estafas de inversión realizadas a través de plataformas en serie en Vietnam, dijo que los actores de amenazas están utilizando compañías falsas, cuentas de mula e incluso documentos de identidad robados comprados en mercados clandestinos para aceptar y mover los fondos de las víctimas, lo que les permite eludir los débiles controles de Conozca a su Cliente (KYC) o Conozca su Negocio (KYB). Las operaciones de estafa a menudo comprenden diferentes equipos con roles y responsabilidades claramente definidos: (1) Inteligencia objetivo, que identifica y perfila a las víctimas potenciales, (2) Promotores, que crean personajes convincentes en las redes sociales y atraen a las víctimas para que realicen inversiones en plataformas falsas, en algunos casos utilizando una aparejo generadora de chat para crear conversaciones inventadas, (3) Operadores de backend, que están a cargo de apoyar la infraestructura, y (4) Gestores de pagos, que blanquean el producto del delito. «Existe una tendencia creciente en las estafas de inversión a utilizar chatbots para detectar objetivos y enfilar los depósitos o retiros», dijo la empresa de ciberseguridad. «Las plataformas de estafa a menudo incluyen simuladores de chat para organizar conversaciones falsas y paneles de compañía para el control backend, lo que proporciona información sobre cómo los operadores gestionan las víctimas y la infraestructura».

El género de privacidad austriaco noyb ha presentado una denuncia penal contra la empresa de examen facial Clearview AI y su dirección, acusando a la controvertida empresa de examen facial de ignorar las multas del RGPD en Francia, Grecia, Italia y los Países Bajos, y de seguir operando a pesar de confrontar prohibiciones. En 2022, Austria descubrió que las prácticas de Clearview AI violaban el RGPD, pero no multó a la empresa ni le ordenó que dejara de procesar los datos. Clearview se ha enfrentado a un indagación por extraer miles de millones de fotografías de ciudadanos de la UE sin su permiso y utilizar los datos para un producto de examen facial vendido a las fuerzas del orden. «Clearview AI acumuló una cojín de datos total de fotografías y datos biométricos, lo que hace posible identificar personas en segundos», dijo Max Schrems de Nob. «Ese poder es extremadamente preocupante y socava la idea de una sociedad vacuo, donde la vigilancia es la excepción y no la regla».

Se ha anunciado en la naturaleza una nueva RAT sigilosa citación Atroposia con una toma de escritorio remota oculta; robo de portapapeles, credenciales y billeteras de criptomonedas; Secuestro de DNS; y capacidades de escaneo de vulnerabilidades locales, la última incorporación a una serie ya larga de kits de herramientas criminales «plug-and-play» disponibles para actores de amenazas poco calificados. El malware modular tiene un precio de aproximadamente 200 dólares al mes, 500 dólares cada tres meses o 900 dólares durante seis meses. «Su panel de control y su creador de complementos hacen que la aparejo sea sorprendentemente obediente de ejecutar, lo que reduce la sagacidad necesaria para ejecutar ataques complejos», dijo Varonis. «La asequibilidad y la interfaz obediente de usar de Atroposia la hacen accesible incluso para atacantes poco o falta capacitados». El surgimiento de Atroposia continúa la mercantilización del cibercrimen, armando a los actores de amenazas con una aparejo todo en uno para entregar un amplio espectro de acciones maliciosas contra entornos empresariales.

Los actores de amenazas continúan aprovechando los señuelos de ingeniería social estilo ClickFix para distribuir cargadores para NetSupport RAT, lo que en última instancia conduce a la implementación del troyano. «NetSupport Manager es un RMM genuino que continúa siendo utilizado por actores de amenazas para el control remoto total o no acreditado de máquinas comprometidas y se distribuye principalmente a través del vector de comunicación original ClickFix», dijo eSentire. El incremento coincide con un aumento en las campañas de phishing que distribuyen versiones sin archivos de Remcos RAT. «Remcos se anuncia como software genuino que puede estar de moda con fines de vigilancia y pruebas de penetración, pero se ha utilizado en numerosas campañas de piratería», dijo CyberProof. «Una vez instalado, Remcos abre una puerta trasera en el dispositivo/computadora, otorgando comunicación completo al becario remoto».

Usuarios de LinkedIn, tomen nota. La red de medios sociales profesionales propiedad de Microsoft anunció previamente cambios en sus términos de uso de datos hace varias semanas, señalando que a partir de la próxima semana comenzaría a utilizar datos de «miembros de la UE, el EEE, Suiza, Canadá y Hong Kong» para entrenar modelos de inteligencia fabricado (IA). «El 3 de noviembre de 2025, comenzaremos a utilizar algunos datos de los miembros en estas regiones para entrenar modelos de inteligencia fabricado que generen contenido que mejoren su experiencia y conecten mejor a nuestros miembros con las oportunidades», dijo la compañía. «Esto puede incluir datos como detalles de su perfil y contenido sabido que publique en LinkedIn; no incluye sus mensajes privados».

Si aceptablemente más de 70 países firmaron formalmente un tratado de la ONU sobre cibercrimen para colaborar y chocar el cibercrimen, Estados Unidos ha sido una importante excepción. Según The Record, el Unidad de Estado dijo que Estados Unidos continúa revisando el tratado pero aún no lo ha firmado.

El plazo de rescate promedio durante el tercer trimestre de 2025 fue de 376 941 dólares, una disminución del 66 % con respecto al segundo trimestre de 2025. El plazo del rescate de los medios se situó en 140 000 dólares, lo que representa una caída del 65 % con respecto al trimestre susodicho. Las tasas de plazo de rescate en oculto, exfiltración de datos y otras extorsiones cayeron a un imperceptible histórico del 23% en el tercer trimestre de 2025, frente a un mayor del 85% en el primer trimestre de 2019. Esto indica que las grandes empresas se niegan cada vez más a respaldar, lo que obliga a «los actores de ransomware a ser menos oportunistas y más creativos y específicos al designar a sus víctimas», dijo Coveware, y agregó que «la reducción de las ganancias está impulsando una decano precisión. Los costos iniciales de ingreso para los actores aumentarán aumentan dramáticamente, lo que los obliga a apuntar a grandes empresas que pueden respaldar un gran rescate». Akira, Qilin, Lynx, ShinyHunters y KAWA4096 surgieron como algunas de las variantes de ransomware más frecuentes durante el período.

Las principales empresas energéticas estadounidenses están siendo suplantadas en ataques de phishing, y los actores de amenazas crean dominios falsos haciéndose suceder por Chevron, ConocoPhillips, PBF Energy y Phillips 66. Hunt.io dijo que registró más de 1.465 detecciones de phishing vinculadas a este sector en los últimos 12 meses. «Los atacantes se basaron en herramientas de clonación baratas (como HTTrack) para incomunicar cientos de sitios similares, muchos de los cuales permanecieron en serie durante meses sin ser detectados por el proveedor», dijo la compañía.

El actor de amenazas rastreado por QiAnXin bajo el apodo de UTG-Q-010 se ha dirigido al sistema financiero de Hong Kong y a inversores de suspensión valencia en el continente mediante ataques a la sujeción de suministro que están diseñados para «robar grandes sumas de billete o manipular el mercado para obtener enormes ganancias». Los ataques a la sujeción de suministro implican la distribución de paquetes de instalación troyanizados a través de los sitios web oficiales de las instituciones financieras con sede en Hong Kong Jinrong China («jrjr(.)hk») y Wanzhou Gold («wzg(.)com») que conducen a la implementación de AdaptixC2, un situación C2 regalado y de código extenso.