Hacks de estado-nación, alertas de spyware, malware Deepfake, puesta en contra de la cadena de suministro

¿Qué pasa si los atacantes no están entrando, ya están adentro, observando y adaptándose?

Esta semana mostró un musculoso aumento en las tácticas sigilosas construidas para el paso a dadivoso plazo y el control silencioso. La IA se está utilizando para dar forma a las opiniones. El malware se esconde en el interior del software en el que confiamos. Y las viejas amenazas están regresando bajo nuevos nombres. El real peligro no es solo la violación, no sabe quién sigue al acecho en sus sistemas. Si sus defensas no pueden adaptarse rápidamente, ya está en peligro.

Aquí están los eventos cibernéticos secreto a los que debe prestar atención esta semana.

⚡ Amenaza de la semana

La tormenta de arena de citrón se dirige a Medio Oriente Infra crítica -El asociación de amenazas patrocinado por el estado iraní rastreado como tormenta de arena de citrón se dirigió a una infraestructura franquista crítica no identificada (CNI) en el Medio Oriente y mantuvo un paso a dadivoso plazo que duró casi dos abriles utilizando traseros personalizados como Hanifnet, Hxlibrary y NeoExpressrat. La actividad, que duró desde al menos mayo de 2023 hasta febrero de 2025, implicaba «operaciones de espionaje extensas y sospecha de preposición de la red, una táctica que a menudo se usa para ayudar un paso persistente para una preeminencia estratégica futura», según Fortinet.

🔔 Telediario principales

• Claude abusó en la operación de «influencia como servicio» -La compañía de inteligencia industrial (AI) Anthrope ha revelado que los actores de amenaza desconocidos aprovecharon su chatbot Claude para una operación de «influencia como servicio» para comprometerse con cuentas auténticas en Facebook y X utilizando más de 100 personajes falsos. Lo novedoso de la operación es que utilizó Claude para tomar decisiones de décimo táctica, como determinar si las cuentas de Bot de las redes sociales deben agradar, compartir, comentar o ignorar publicaciones específicas creadas por otras cuentas basadas en objetivos políticos alineados con los intereses de sus clientes. Las cuentas BOT se utilizaron para amplificar las narrativas políticas de sus clientes.
• Sentinelone descubre la actividad de Purplehaze -La compañía de ciberseguridad Sentinelone ha revelado que un clúster de amenaza de China-Nexus denominado Purplehaze realizó intentos de examen contra su infraestructura y algunos de sus clientes de stop valencia. Se evalúa que Purplehaze es un equipo de piratería con vínculos sueltos con otro asociación patrocinado por el estado conocido como APT15 y incluso se ha observado dirigido a una entidad no identificada del gobierno del sur de Asia en octubre de 2024, empleando una red de relevos operacional (ORB) y una red de ventanas del sur de Windows Dubeed Goreshell.
• Ransomhub La operación de ransomware se vuelve oscura -En un libramiento interesante, Ransomhub, una operación agresiva de ransomware como servicio (RAAS) que ganó prominencia durante el año pasado al cortejar a los afiliados a raíz de las acciones de aplicación de la ley contra Lockbit y Blackcat, parece poseer desaparecido abruptamente a principios de abril. El cese repentino ha planteado especulaciones de que los cibercriminales asociados con el esquema de ransomware pueden poseer emigrado a Qilin, lo que ha tenido un resurgimiento en los últimos meses. Asimismo se afirma que Ransomhub había trasladado sus operaciones a Dragonforce, un asociación de ransomware rival que ha anunciado la formación de un nuevo «Cartel». Adicionalmente de ofrecer un malware cifrador multiplataforma, Ransomhub atrajo la atención por darles a los afiliados más autonomía para comunicarse directamente con las víctimas y cobrar los pagos de rescate de ellas. Asimismo ofreció una orientación detallada sobre cómo trastornar los pagos de rescate de las víctimas.
• Meta anuncia una nueva función de procesamiento privado para WhatsApp -En un intento de equilibrar las características de privacidad y inteligencia industrial, Meta anunció que una nueva configuración de WhatsApp, según dice, es una forma orientada a la privacidad de interactuar con Meta AI. Llamado Procesamiento Privado, la función es opcional y, se lanzan en las próximas semanas, y ni Meta, WhatsApp ni compañías de terceros podrán ver interacciones que lo usen. El sistema que Meta describe es muy similar al Computo de Cúmulo Private de Apple (PCC). Al igual que Apple, Meta dice que transmitirá solicitudes de procesamiento privado a través de un proveedor OHTTP de terceros para oscurecer las direcciones IP de los usuarios. Pero una diferencia crucial es que todas las solicitudes de IA de WhatsApp se manejan en los servidores de Meta y su construcción presente está diseñada para WhatsApp. En una testimonio compartida con Wired, el investigador de seguridad y criptógrafo Matt Green dijo que «cualquier sistema enigmático de extremo a extremo que use la inferencia de IA fuera del dispositivo será más riesgosa que un sistema puro de extremo a extremo» y que «más datos privados saldrán del dispositivo, y las máquinas que procesan estos datos serán un objetivo para los piratas informáticos y los adversarios de estado nación».
• Tiktok multado con $ 601 millones por Irlanda DPC – La privacidad de datos de Irlanda Watchdog multó a Tiktok en torno a de $ 601 millones por no certificar que los datos del usufructuario enviados a China estuvieran protegidos del paso del gobierno bajo las leyes chinas relacionadas con el espionaje y la ciberseguridad. Asimismo sancionó a Tiktok por no ser transparente con los usuarios en su política de privacidad sobre dónde se enviaban sus datos personales. La Comisión de Protección de Datos (DPC) ordenó que la aplicación de video social deje de transferir los datos de los usuarios a China en el interior de los seis meses si no puede certificar el mismo nivel de protección que en la UE, el regulador incluso dijo que Tiktok previamente afirmó que no almacenaba los datos de los usuarios europeos en los servidores en China, pero en abril informó que había descubierto en febrero que los «datos de usuarios de EEA limitados» de hecho se habían calificado en China. Se dice que los datos fueron eliminados desde entonces. La amenaza del paso al gobierno chino a los datos del usufructuario ha sido una pesadumbre persistente en el costado de Tiktok en los dos lados del Atlántico. Si acertadamente la plataforma se prohibió brevemente en los EE. UU. A principios de año, el servicio ha seguido siendo accesible a medida que se está resolviendo un acuerdo en segundo plano. Tiktok dijo que planeaba apelar la multa de la UE, insistiendo en que «nunca había recibido una solicitud» de las autoridades chinas para los datos de los usuarios europeos. Es la segunda vez que Tiktok ha sido reprendido por el DPC. Fue multado con $ 368 millones en 2023 por violar las leyes de privacidad con respecto al procesamiento de los datos personales de los niños en la UE Esta es la tercera multa más espacioso impuesta por el DPC hasta el momento, posteriormente de sancionar Amazon con 746 millones de euros por sus prácticas publicitarias de comportamiento específicas y Facebook con 1.200 millones de euros para transferir datos de usuarios basados ​​en la UE a los Estados Unidos. El perro guardia irlandés sirve como el regulador de privacidad de datos principales de Tiktok en la UE porque la sede europea de la compañía tiene su sede en Dublín.

CVES de tendencia

A los atacantes les encantan las vulnerabilidades de software: son puertas fáciles en sus sistemas. Cada semana trae fallas frescas, y esperar demasiado para parchar puede convertir un supervisión último en una violación importante. A continuación se presentan las vulnerabilidades críticas de esta semana que necesita conocer. Eche un vistazo, actualice su software de inmediato y mantenga a los atacantes bloqueados.

This week’s list includes — CVE-2025-3928 (Commvault Web Server), CVE-2025-1976 (Broadcom Brocade Fabric OS), CVE-2025-46271, CVE-2025-46272, CVE-2025-46273, CVE-2025-46274, CVE-2025-46275 (Planet Technology), CVE-2025-23016 (FASTCGI), CVE-2025-43864 (React Router), CVE-2025-21756 (Linux Kernel), CVE-2025-31650 (Apache Tomcat), CVE-2025-46762 (Apache Parquet), CVE-2025-2783 (Google CHREMCAT), CVE-2025-46762 (Apache Parquet), CVE-2025-2783 (Google CHREMCAT). CVE-2025-23242, CVE-2025-23243 (NVIDIA Riva), CVE-2025-23254 (NVIDIA Tensorrt-LLM), CVE-2025-3500 (AVAST Free Antivirus), CVE-2025-32354 (Zimbra Collaboration), CVE-2025-409095 (DOCTERKER) CVE-2025-30194 (PowerDNS), CVE-2025-32817 (Cliente de Windows de Tunnel de SonicWall Connect), CVE-2025-29953 (Apache Activemq), CVE-2025-4148, CVE-2025-4149, CVE-2025-4150 (NETGEAB), CVE-2025-2082 (TESLAT 3), CVE-2025-3927 (Digigram Pyko-Out), CVE-2025-24522, CVE-2025-32011, CVE-2025-35996, CVE-2025-365558 (Kunbus Revolution pi), CVE-2025-35975, CVE-2025-36521 (MicroDicom Dicom), CVE-2025-35975, CVE-2025-36521 (MicroDicom DiCom), CVE-2025-35975, CVE-2025-36521 (MicroDiCom Dicom) Visor), CVE-2025-2774 (Webmin), CVE-2025-29471 (Nagios) y CVE-2025-32434 (Pytorch).

📰 en torno a del mundo cibernético

• Europol anuncia un nuevo asociación de trabajo para combatir la violencia como el servicio – Europol ha creado un nuevo asociación de trabajo operante diseñado para atracar un problema creciente de los jóvenes preparados o obligados a ser reclutados por grupos de proveedores de servicios criminales que se especializan en ataques en rasgo y físicos. Conocido como OTF Grimm, la Fuerza de Tarea rebusca interrumpir la violencia como servicio y reúne a las autoridades policiales de Bélgica, Dinamarca, Finlandia, Francia, Alemania, Países Bajos y Noruega. Estos esquemas implican enganchar a los jóvenes a través de plataformas de redes sociales y aplicaciones de correo utilizando idioma codificado, memes y tareas gamificadas, atrayendo con la promesa de un estilo de vida lujoso. La intención detrás de este acto deliberado de las redes penales es acortar su propio peligro y defenderse de la policía. «La explotación de jóvenes perpetradores para aceptar a promontorio actos criminales se ha convertido en una táctica de rápido transformación utilizada por el crimen organizado», dijo la agencia. «La violencia como servicio se refiere a la subcontratación de actos violentos a los proveedores de servicios criminales, a menudo implicando el uso de jóvenes perpetradores para aceptar a promontorio amenazas, asaltos o asesinatos por una tarifa».
• China acusa a los Estados Unidos de difundir un ataque cibernético – Según los informes, las agencias de inteligencia de EE. UU. Lanzaron ataques cibernéticos contra un importante proveedor de criptografía comercial china en 2024, robando 6.2 GB de datos críticos del plan, según un crónica del equipo técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Doméstico de la Red Doméstico de la Red de Computación de China (CNCERT/CC). Se dice que el ataque explotó una vulnerabilidad no revelada en el sistema de papeleo de relaciones con el cliente de la compañía para obtener paso, implantando un troyano personalizado para control remoto y robo de datos. «El sistema comprometido contenía más de 600 cuentas de usuarios, 8,000 registros de perfil de clientes y más de 10,000 órdenes de resolución, algunas involucraban entidades del gobierno chino secreto», informó General Times. A principios de enero, la agencia dijo que había «manejado dos incidentes de ataques cibernéticos (que) se originaron en los Estados Unidos en las empresas de tecnología a gran escalera de China para robar secretos comerciales». Las actividades se dirigieron a una institución de diseño e investigación de materiales avanzados en China en agosto de 2024 y una firma de incorporación tecnología a gran escalera en mayo de 2023.
• Incumplimientos de incumplimiento comprometido en un ataque de día cero en el software MyBB -BreachForums (Breachforums (.) SX) se ha resucitado posteriormente de que una traducción mencionado se alojó en «BreachForums (.) St» fue desconectado a través de un exploit de día cero de MyBB como parte de una energía de aplicación de la ley, afirmó el nuevo administrador del sitio Momondo. El foro del delito cibernético se retiró por primera vez en 2023 y su administrador innovador Conor Brian Fitzpatrick (incluso conocido como Pompompurin) arrestado por ejecutar el sitio. Desde entonces, el sitio ha resurgido una y otra vez utilizando una puerta giratoria de administradores y direcciones del sitio.
• Dos arrestados en relación con la operación de JokokoTP -Dos individuos, un hombre de 24 abriles de Middlesbrough y un ludópata de 30 abriles de la región de Oost-Brabant de los Países Bajos, han sido arrestados en una operación internacional conjunta desmantelando JokokoTP, una utensilio de phishing sofisticada utilizada para interceptar códigos de autenticación de dos factores (2FA) y robar más de £ 7.5 millones. «Durante un período de dos abriles, se cree que la utensilio se utilizó en 13 países y más de 28,000 veces. Se sospecha que las cuentas financieras se han comprometido, por un total de £ 7.5 millones», dijo la Pelotón de Delitos Cibernéticos de la Policía de Cleveland.
• Detalles de Microsoft CVE-2025-31191 MacOS Fow -Microsoft ha compartido detalles sobre CVE-2025-31191, una vulnerabilidad de MacOS en el componente CoreServices de Apple que podría permitir que una aplicación maliciosa acceda a datos confidenciales de los usuarios. Apple abordó el problema a fines de marzo de 2025 con MacOS Sequoia 15.4. Según el investigador de Microsoft, Jonathan Bar o, la equivocación podría «permitir que los códigos especialmente elaborados escapen del Sandbox de la aplicación y no se restringieran en el sistema». En otras palabras, un atacante podría crear una exploit para escapar de MacOS Sandbox sin la interacción del usufructuario y realizar nuevas acciones maliciosas como elevar los privilegios, exfiltrando datos e implementar cargas avíos adicionales. La compañía incluso detalló un escena de ataque en el que la exploit «podría permitir que un atacante elimine y reemplazar una entrada de argolla utilizada para firmar marcadores con escamas de seguridad para que finalmente escaparan del sandbox sin interacción del usufructuario». Los marcadores de seguridad de seguridad son un mecanismo diseñado por Apple para sortear específicamente las reglas de Sandbox de la aplicación utilizando opciones de usufructuario explícitas y persistentes.
• El nuevo ataque de la cautiverio de suministro se dirige a los sitios Magento -En lo que se ha descrito como un «ataque de la cautiverio de suministro coordinado», cientos de tiendas de comercio electrónico que ejecutan Magento han sido traseros desde finales de abril de 2025. Sansec dijo que identificó 21 paquetes de aplicación de los proveedores Tigren, Meetanshi y MGS con la misma puerta trasera. Se ha contrario que la infraestructura asociada con estos proveedores se ha violado para inyectar traseros en sus servidores de descarga. «La puerta trasera consiste en un cheque de osadía falsa en un archivo llamado License.php o Licenseapi.php», dijo Sansec. «El mal está en la función AdminotliCense, que ejecuta $ LicenseFile como PHP». Específicamente, incluye código para cargar cargas avíos arbitrarias como shells web, que luego podrían estilarse para realizar varias acciones maliciosas. Las inyecciones de puerta trasera ocurrieron hace seis abriles, pero no fue hasta abril de 2025 que se activaron para tomar el control de los servidores.
• La Casa de EE. UU. Pasa la cargo para estudiar los riesgos del enrutador – Un plan de ley que requiere que el Unidad de Comercio de los Estados Unidos estudie cuestiones de seguridad franquista planteadas por enrutadores y módems controlados por los adversarios estadounidenses aprobados por la Cámara de Representantes. Convocatoria La Ley de aniquilación de nuestras tecnologías no seguras para certificar la Ley de confiabilidad y seguridad (enrutadores), tiene como objetivo defender las redes de comunicaciones de los estadounidenses de tecnología controlada por el signo de momento extranjera, como enrutadores y módems. La carta propuesta exige al Unidad de Comercio a evaluar los riesgos planteados por enrutadores, módems y otros dispositivos desarrollados, fabricados o suministrados por sus adversarios como China, Rusia, Irán, Corea del Ártico, Cuba o Venezuela.
• Nuevo entorno de OpenEOX publicado para coordinar las revelaciones de seguridad para fin de vida del producto -Los gigantes tecnológicos Cisco, Dell Technologies, IBM, Microsoft, Oracle, Red Hat y otros se han asociado para un nuevo entorno de OpenEOX que demora estandarizar la información del final de la vida final (EOL) y el final de la apoyo al final de la apoyo (EOS) para proteger mejor la cautiverio de suministro y el peligro de ciberseguridad de combate vinculados a un software no respaldado y hardware. «OpenEOX presenta un entorno muy necesario y unificado diseñado para optimizar el intercambio de datos de fin de vida (EOL) y de apoyo al final de la seguridad (EOSSEC) que permite la transparencia y la eficiencia», dijo Omar Santos, copresidente de Opraineox e ingeniero distinguido de CISCO.
• Los piratas informáticos escanean los tokens git y secretos filtrados – La firma de inteligencia de amenazas Greynoise dijo que ha observado un aumento significativo en la actividad de rastreo dirigido a archivos de configuración GIT entre el 20 y el 21 de abril de 2025, probablemente en un intento de penetrar a bases de código internas, flujos de trabajo de desarrolladores y credenciales potencialmente sensibles. Casi 4.800 direcciones IP únicas han participado en el esfuerzo que se dirigió principalmente a Singapur, Estados Unidos, Alemania, el Reino Unido e India. Ha habido cuatro de este tipo desde septiembre de 2024, las otras tres instancias son noviembre de 2024, diciembre de 2024 y principios de marzo de 2024. El ampliación se produce cuando Greynoise incluso dijo que ha sido declarante de un «descenso agudo y sostenido» en el escaneo oportunista de los portales de Pa-Suspensión Networks Globalprotect PAN-OS. «La mayoría de las IP involucradas en esta actividad están asociadas con el proveedor, 3xk Tech GMBH, que representa casi 20,000 de los más de 25,000 IP observados en los últimos 90 días», dijo.
• Garantex probablemente se vuelve a marca como Grinex -El ahora sancionado Exchange de criptomonedas Garantex, que recibió su sitio web incautado en marzo de 2025 por la policía, probablemente se haya renombrado como Grinex, revelaron TRM Labs. «Días posteriormente del derribo de Garantex, los canales de telegrama afiliados al intercambio comenzaron a promover Grinex, una plataforma con una interfaz casi idéntica, registrada en Kirguistán en diciembre de 2024», dijo la compañía. Desde entonces, Grinex ha anunciado que había firmado un acuerdo con Garantex para incorporar a sus clientes y estaba considerando contratar a ex empleados de Garantex. Asimismo ha comenzado a distribuir los antiguos activos de usufructuario de Garantex a través de un nuevo token, A7A5. «Desde enero de 2025, Garantex comenzó a trasladar fondos a A7A5, una supuesta stablecoin vinculada al rublo ruso. Promovido como un medio para recuperar los activos de usuarios congelados, A7A5 parece diseñado para evitar las sanciones, ofreciendo el intercambio diario de ganancias y el anonimato a través de plataformas como Tron y Ethereum», dijo TRM Labs Labs.
• Fallas reveladas en Jan ai -Se han revelado múltiples fallas de seguridad (CVE-2025-2439, CVE-2025-2445, CVE-2025-2446 y CVE-2025-2447) en el Jan AI de Menlo Research, una alternativa de chatgpt sin conexión, que podría ser explotada por los atacantes remotos y insegurados para manejar sistemas «, con vulnerabilidades de CHSGPT de las vulnerabilidades de las vulneracciones de las vulnernerables de los estados de los estados de los estados de los estados. Los puntos finales para la inyección de comandos, un atacante puede aprovecharlos para tomar el control de un servidor autohospedado o emitir ataques de manejo contra desarrolladores de LLM «, dijo Snyk. Los problemas se han abordado desde entonces.
• Nuevas familias de malware de macOS detalladas – Los investigadores de Kandji han traumatizado un nuevo software sospechoso de macOS llamado Pasivrobber que es capaz de resumir datos de varias aplicaciones como WeChat, QQ, navegadores web y clientes de correo electrónico, entre otros a través de 28 complementos diferentes. Se cree que la utensilio está vinculada a una compañía china emplazamiento Meiya Pico, que desarrolla herramientas forenses y fue identificada previamente por el Unidad del Hacienda de los Estados Unidos como una de las ocho empresas que «apoyan la vigilancia biométrica y el seguimiento de las minorías étnicas y religiosas en China, particularmente las minorías uyughur predominantemente musulmanas en Xinjiang». La divulgación coincidió con el descubrimiento de otro malware llamado ReaderUpdate que actúa como un cargador para servir al adware Genieo (incluso conocido como Dolittle), con variantes del malware escrito en Python, Crystal, Nim, Rust y Go. El malware, detectado por primera vez en 2020, se ha distribuido a través de sitios de descarga de software regalado y de terceros, en forma de instaladores de paquetes que contienen aplicaciones de utilidad falsas o troyanizadas. «Cuando comprometidos, los anfitriones siguen siendo vulnerables a la entrega de cualquier carga útil que los operadores elijan entregar, ya sea por su cuenta o vendida como suscripción por instalación o de malware como servicio en mercados subterráneos», dijo la compañía.
• Apple envía notificaciones para ataques de spyware – Apple ha enviado notificaciones de amenazas asesorando a los usuarios en 100 países que sus teléfonos pueden poseer sido atacados por un liberal spyware comercial. Esto incluyó a un periodista italiano y un provocador holandés, según TechCrunch. Todavía no está claro con qué campaña de spyware, si se conocen, con las notificaciones de Apple. Apple ha estado enviando tales avisos a los atacados en los ataques patrocinados por el estado desde 2021. La informe se produce cuando el caso del Liga Meta-NSO se ha trasladado a la posterior etapa, y Meta pide a la compañía de spyware que pague más de $ 440,000 en daños compensatorios. NSO Group, en respuesta, ha imputado a Meta de inflar sus daños y dejar que el malware permanezca en los servidores de WhatsApp para «robar los secretos comerciales de NSO».
• Francia acusa a Rusia de abriles de ataques cibernéticos – El Ocupación de Relaciones Exteriores de Francia acusó a la Agencia de Inteligencia Marcial de la GRU de Rusia de crecientes ataques cibernéticos contra una docena de entidades, incluidos ministerios, empresas de defensa, entidades de investigación y think tanks desde 2021 en un intento de desestabilizar la nación. Los ataques se han vinculado a un asociación de piratería llamado APT28 (incluso conocido como BlueDelta o Fancy Bear). El tarea dijo que los ataques de APT28 a Francia se remontan a 2015, cuando el canal de televisión francés TV5Monde fue atacado y que los formidables piratas informáticos de inteligencia marcial han tratado de obtener inteligencia estratégica de entidades en Europa y América del Ártico. Se dice que las intrusiones se basaron en el phishing, la explotación de vulnerabilidad (p. Ej., CVE-2023-23397), dispositivos de borde mal seguros y ataques de fuerza bruta contra WebMail como vectores de paso original, al tiempo que se dirige repetidamente a los servidores de correo electrónico de RoundCube a Exfiltrate Data de inicio y utilizando los correos electrónicos para distribuir las familias de malware como Headlace y OceanMaps, mientras se intenta detectar los senderos de la casilla. escondido detrás de la infraestructura subcontratada de bajo costo y letanía para usar. El ampliación se produce cuando los hacktivistas alineados por Rusia como Noname057 (16) se han responsabilizado de los ataques DDoS a gran escalera dirigidos a organizaciones holandesas como una recuperación para mandar 6 mil millones de euros en ayuda marcial a Ucrania.
• Cloudflare bloquea 20.5m ataques DDoS en el primer trimestre de 2025 -Hablando de ataques DDoS, Cloudflare dijo que bloqueó 20.5 millones de ellos en el primer trimestre de 2025, un aumento del 358% año tras año (interanual) y un 198% trimestre en trimestre (QOQ). En comparación, bloqueó 21.3 millones de ataques DDoS durante el año calendario 2024. «De los 20.5 millones de ataques DDoS bloqueados en el primer trimestre, 16.8 millones fueron ataques DDoS de capa de red, y de ellos, 6.6m dirigidos a la infraestructura de red de Cloudflare directamente», señaló. «Otros 6.9 millones de proveedores de alojamiento dirigidos y proveedores de servicios protegidos por Cloudflare». Estos ataques fueron parte de una campaña DDoS multivector de 18 días que comprende ataques con inundación SYN, ataques DDoS generados por Mirai y ataques de amplificación SSDP. La compañía de infraestructura web dijo que incluso bloqueó aproximadamente 700 ataques DDoS hiper-volumétricos que excedieron 1 TBP o 1 BPP. A fines de abril de 2025, la compañía reveló que mitigó un ataque de DDoS récord en 5.8 Tbps, lo que duró aproximadamente 45 segundos. El registro mencionado fue un ataque DDoS de 5.6 Tbps que aprovechó una botnet basada en Mirai que comprende 13,000 dispositivos.

• Babuk2 Bjorka representa la mercantilización de datos a escalera – Los investigadores de ciberseguridad han arrojado luz sobre una operación de delito cibernético emplazamiento Babuk2 bjorka que aparentemente se disfraza como una transformación de la operación Babuk Raas, pero, en ingenuidad, es una «empresa de mercancías de datos de escalera industrial» que funciona mediante la saldo de datos reciclados robados de otros grupos de ransomware en los foros de ciberderenutor. «El asociación no solo está copiando y pegando viejas filtraciones; están construyendo una marca, estableciendo una presencia en el mercado y creando un maniquí operante sostenible», dijo Trustwave SpiderLabs.
• Cinta de acciones del FBI de 42,000 dominios de phishing Labhost – La Oficina Federal de Investigación de los Estados Unidos (FBI) ha publicado una letanía masiva de 42,000 dominios de phishing atados a la plataforma de delitos cibernéticos Labhost, que se desmanteló en abril de 2024. Estos dominios, obtenidos de los servidores de backend, se registraron entre noviembre de 2021 y abril de 2024 «. Aunque los dominios de la laboratorio de laboratorio son de la naturaleza histórica de la naturaleza, esta letanía de más de 42,000 dominios de dominios. Personal sobre tácticas y técnicas adversas «, dijo el FBI.
• La policía polaca interrumpe la pandilla del delito cibernético – Las autoridades polacas han desmantelado un asociación internacional de delitos cibernéticos acusados ​​de defraudar a docenas de víctimas de casi $ 665,000. Nueve personas de entre 19 y 51 abriles han sido arrestadas en relación con el caso. Se cree que los sospechosos se hicieron advenir por empleados bancarios y agentes de la ley para engañar a las víctimas para que transfieran fondos a cuentas bajo su control. Al menos 55 personas fueron atacadas como parte de la estafa desde abril de 2023.
• Fallos de seguridad críticos en las billeteras del navegador – Se han identificado vulnerabilidades de seguridad en billeteras del navegador como carguero principal, billetera fronteriza y Coin98 que podrían permitir a los atacantes drenar fondos sin requerir ningún intento de ingeniería social o phishing. «Simplemente revistar el sitio incorrecto podría exponer en silencio su frase de recuperación, permitiendo a los atacantes drenar sus fondos cuando lo deseen», dijo Coinspect. «Un sitio ladino podría robar la frase de recuperación secreta incluso cuando la billetera estaba bloqueada y sin requerir ninguna aprobación del usufructuario para conectarse». No hay evidencia de que las deficiencias sean explotadas en la naturaleza.
• Nueva técnica inversa de NFCGate revelada -La aplicación NFCGate legítima, que se utiliza para capturar, analizar o modificar el tráfico de comunicación de campo cercano (NFC) de dispositivos Android, se ha utilizado mal para robar 40 millones de rublos de los clientes del tira ruso a partir de enero de 2025, ha revelado la firma de ciberseguridad F6. Se han observado estafadores modificando la aplicación, enmascarándola como servicios gubernamentales y bancarios para aceptar a promontorio sus actividades. El mes pasado, señaló que la cantidad total de daños de los ataques a los clientes de los bancos rusos que usan malware basado en NFCGate durante los primeros dos meses de 2025 se estima en casi 200 millones de rublos. En marzo de 2025, hubo un estimado de 180 mil dispositivos comprometidos en Rusia, en los que se instalaron NFCGate y otro malware llamado Craxsrat. Pero en lo que parece ser una ascensión adicional de las tácticas de la amenaza del actor, ha aparecido a la luz un nuevo esquema de ataque conocido como NFCGate inverso. Los ataques buscan engañar a las víctimas para que descarguen una aplicación maliciosa para reforzar sus cuentas. Una vez instaladas y abiertas, a las víctimas se les notifica a través de una ventana emergente que necesitan para establecer el malware como la aplicación predeterminada para pagos sin contacto. El ataque luego los dirige al cajero instintivo para depositar metálico en sus propias cuentas bajo varios pretextos. «En la traducción inversa de NFCGate, la aplicación utiliza la capacidad de transmitir el tráfico NFC para transmitir los datos de la maleable de caída al dispositivo del usufructuario», dijo F6. «Cuando, como resultado del ataque fraudulento, la víctima llega al cajero instintivo para depositar metálico en su cuenta, colocarán su teléfono inteligente en el módulo NFC del cajero instintivo, pero en superficie de su maleable, iniciarán sesión con la maleable de caída, a quien se enviará toda la cantidad». Se han detectado hasta 175,000 dispositivos comprometidos en el país a partir de marzo de 2025, con más de 1,000 ataques confirmados realizados en los clientes de los principales bancos rusos utilizando la traducción inversa de NFCGate. La cantidad promedio de daño de los ataques utilizando la traducción inversa de NFCGate es de 100 mil rublos.

🎥 seminarios web de ciberseguridad

• 🤖 Descubra la forma más inteligente de reforzar a los agentes de IA, antaño de que estén explotados: Los agentes de IA son poderosos, pero arriesgados. Pueden filtrar datos, ser engañados o exponer sistemas si no se aseguran correctamente. Únase a Michelle Agroskin (Auth0) para memorizar a construir agentes de IA que sean inteligentes y seguros. Riesgos reales, soluciones claras, sin pelusa.
• ☁️ Rediseñe la seguridad en sus términos: desde el código de la nubarrón hasta la SOC: Los escaneos de código por sí solos no te salvarán. Los ataques de hoy se mueven más rápido de lo que sus equipos pueden reaccionar, especialmente cuando AppSec, Cloud y SOC operan en silos. Únase a Ory Segal (Palo Suspensión Networks) para memorizar cómo la conexión del código, la nubarrón y las operaciones de seguridad pueden acortar los tiempos de respuesta y detener las amenazas antaño de que se propagen.
• 🛡️care para construir un software de defensa cibernética compatible que en realidad funcione: La ciberseguridad justo no es opcional, es esperada. Las leyes, los reguladores y los tribunales ahora exigen pruebas de que sus defensas son prácticas, priorizadas y acertadamente documentadas. Únase a los expertos de CIS® para memorizar cómo construir un software defendible utilizando las herramientas CSAT Pro y Securesuite®, para que pueda protegerlo más inteligente, mostrar el cumplimiento más rápido y acortar la complejidad.

🔧 Herramientas de ciberseguridad

• MCPSAFETYSCANNER-Esta utensilio de código descubierto audita a su configuración de servidor MCP para fallas críticas de seguridad, como claves SSH expuestas, credenciales de API filtradas o paso inseguro de rutas. Utiliza disección de múltiples agentes para suscitar informes de seguridad procesables para que los desarrolladores puedan parchear los riesgos antaño de que los atacantes los encuentren.
• Hanalyzer: es una nueva utensilio de código descubierto que automatiza la compleja letanía de comprobación de seguridad de SAP, sin auditoría manual, sin conjeturas. Construido por Anvil Secure, se ejecuta localmente, produce informes HTML limpios y verifica más de 30 controles entre usuarios, redes, enigmático y más. Un comando. Insight instantánea. Si está administrando entornos HANA, esto es obvio.
• Conozca a sus enemigos, es otra poderosa utensilio de código descubierto que escanea los roles de IAM y las políticas de cubos S3 para descubrir el paso de terceros, incluidos proveedores desconocidos y relaciones de confianza mal conformados. Detecta riesgos adjuntos confundidos, coincide con las ID de cuenta con los proveedores conocidos y genera informes de traumatizado claros sobre los que su equipo de seguridad puede desempeñarse de inmediato. Ejecutarlo en minutos. Sepa exactamente quién está en el interior de su nubarrón.

🔒 Consejo de la semana

Sandbox su agente de IA: el paso al archivo es la amenaza silenciosa – La mayoría de los agentes de IA no necesitan paso a los archivos de su sistema, pero a menudo lo tienen de modo predeterminada. Eso significa que si un atacante engaña a su agente (a través de inyección inmediata, alcaldada de complementos o mal uso de la utensilio), podría exponer accidentalmente cosas como claves SSH, credenciales en la nubarrón o registros. Esta es una de las formas más fáciles de que los atacantes se muevan más profundamente en su entorno, y a menudo pasa desapercibido.

Incluso si ha bloqueado el paso de API o los roles IAM, el sistema de archivos almacén sigue siendo un punto débil. Su agente podría interpretar .SSH/Authorized_Keys, .AWS/Credentials, o incluso archivos de entorno con secretos, solo haciendo la pregunta correcta. Y una vez que esos datos están expuestos, se acabó el diversión.

Puedes arreglar este rápido con Sandboxing. Use herramientas como FireJail (Linux) para incomunicar el paso a carpetas sensibles. Esto impide que el agente vea archivos secreto, bloquea las carpetas de temperatura y agrega barandillas, incluso si poco en el interior del agente se comporta mal.

Ejecutar su agente de IA en una caja de arena lleva minutos, pero reduce masivamente su superficie de ataque. Es un pequeño movimiento que cierra una gran brecha, y funciona incluso si todo lo demás parece seguro.

Conclusión

Cada alerta esta semana refuerza una verdad simple: la ciberseguridad no se manejo solo de la defensa, se manejo de detección, velocidad y responsabilidad. A medida que las amenazas se vuelven más silenciosas y calculadas, el ganancia de retraso de retraso. No solo monitoree. Medida. Carta. Reponer. Entonces pregúntese, ¿dónde más podrían estar?