El mundo cibernético nunca llega a la pausa, y mantenerse alerta es más importante que nunca. Cada semana trae nuevos trucos, ataques más inteligentes y nuevas lecciones del campo.
Este sumario atraviesa el ruido para compartir lo que positivamente importa: tendencias esencia, señales de advertencia e historias que dan forma al panorama de seguridad de hoy. Ya sea que defienda sistemas o simplemente esté al día, estos aspectos destacados lo ayudan a detectar lo que vendrá antiguamente de que aterrice en su pantalla.
⚡ Amenaza de la semana
Oracle 0 días bajo ataque -Los actores de amenaza con lazos con el especie de ransomware CL0P han explotado un defecto de día cero en el suite de negocios electrónicos para suministrar los ataques de robo de datos. La vulnerabilidad, rastreada como CVE-2025-61882 (puntaje CVSS: 9.8), se refiere a un error no especificado que podría permitir a un atacante no autenticado con paso a la red a través de HTTP para comprometerse y tomar el control del componente de procesamiento concurrente Oracle. En una publicación compartida en LinkedIn, Charles Carmakal, CTO de Mandiant en Google Cloud, dijo que «Cl0p explotó múltiples vulnerabilidades en Oracle EBS que les permitieron robar grandes cantidades de datos de varias víctimas en agosto de 2025,» agregando «múltiples vulnerabilidad (CVE-2025-61882) «.
🔔 Parte principales
- Phantom Taurus apunta a África, Oriente Medio y Asia -Un actor de estado-estado-nación chino previamente indocumentado ha estado apuntando a agencias gubernamentales, embajadas, operaciones militares y otras entidades en África, Medio Oriente y Asia en una operación de aficionamiento cibernético tan sofisticada como sigilosa y persistente. Lo que hace que la campaña sea diferente de otra actividad de China-Nexus es la precisión quirúrgica del actor de la amenaza, la persistencia sin precedentes y el uso de un kit de herramientas en gran medida sofisticado y personalizado llamado Net-Star para perseguir sistemas de detención valía en organizaciones de interés. Las operaciones del actor de amenaza son compatibles con otras herramientas a medida como TunnelsPecter y SweetSpecter para comprometer los servidores de correo y robar datos basados en búsquedas de palabras esencia.
- Detour Dog utiliza sitios comprometidos de WordPress para entregar Strela Stealer – Un especie de ciberdelincuentes establecido y establecido ha estado infectando en silencio sitios web de WordPress en todo el mundo desde 2020, utilizándolos para redirigir a los visitantes de los sitios a la estafa y, más recientemente, a malware como Strela Stealer. El actor de amenaza es rastreado como Detour Dog. El ataque implica el uso de registros DNS TXT para expedir comandos secretos a los sitios infectados para redirigir a los visitantes a estafas o agenciárselas y ejecutar código taimado. En aproximadamente el 90% de los casos, el sitio web funciona según lo previsto, lo que desencadena su comportamiento taimado solo en condiciones seleccionadas. Correcto a que los visitantes normales solo rara vez se encuentran con las cargas aperos maliciosas, las infecciones a menudo pasan desapercibidas por períodos prolongados de tiempo. Informlox dijo que Detour Dog probablemente opera como una distribución como servicio (DAAS), utilizando su infraestructura para entregar otro malware.
- Sorvepotel de malware de Whatsapp de Whatsapp se dirige a Brasil -Los usuarios brasileños han surgido como el objetivo de un nuevo malware autopropagante que se propaga a través de la popular aplicación de transporte WhatsApp. La campaña, con nombre en código SorvePotel de Trend Micro, armiza la confianza con la plataforma para extender su radio en los sistemas de Windows, y agregó que el ataque está «diseñado para la velocidad y la propagación» en superficie del robo de datos o el ransomware. El punto de partida del ataque es un mensaje de phishing enviado desde un contacto ya comprometido en WhatsApp para prestarle una apariencia de credibilidad. El mensaje contiene un archivo adjunto con cremallera que se disfraza de un archivo relacionado con la aplicación o recibo de salubridad aparentemente inofensivo. Una vez que se abre el archivo adjunto, el malware se propaga automáticamente a través de la lectura web de escritorio de WhatsApp, lo que finalmente provoca que las cuentas infectadas sean prohibidas por participar en spam excesivo. No hay indicios de que los actores de amenaza hayan aplicado el paso a datos de exfiltrado o archivos de criptográfico.
- Las campañas de spyware de prospía y tospy se dirigen a los usuarios de Android de EAU – Dos campañas de Spyware de Android denominadas Prospy y Tospy han hecho suplantación de aplicaciones como Signal y Totok para atacar a los usuarios en los Emiratos Árabes Unidos (EAU). Las aplicaciones maliciosas se distribuyen a través de sitios web falsos e ingeniería social para engañar a los usuarios desprevenidos para que los descarguen. Una vez instaladas, ambas cepas de malware del spyware establecen un paso persistente a dispositivos Android comprometidos y datos exfiltrados. Ninguna aplicación que contenga el spyware estaba adecuado en tiendas de aplicaciones oficiales.
- Los investigadores demuestran un vaivén y alambre – Un nuevo ataque llamado RAM Battering puede usar un interposer de $ 50 para evitar las defensas informáticas confidenciales de los procesadores Intel y AMD utilizados en entornos de nubes que alimentan hardware, lo que permite a los atacantes romper el criptográfico diseñado para proteger los datos confidenciales. Del mismo modo, Wiretap socava las garantías ofrecidas por las extensiones de guripa de software de Intel (SGX) en los sistemas DDR4 para descifrar pasivamente los datos confidenciales. Sin requisa, para que el ataque tenga éxito, requiere que alguno tenga paso físico único al sistema de hardware. Tanto Intel como AMD han traumatizado el ataque físico como «fuera del radio» de sus modelos de amenazas. Los hallazgos coinciden con VMScape, otro ataque que rompe el aislamiento de la virtualización existente para filtrar la memoria arbitraria y exponer las claves criptográficas. VMSCAPE se ha descrito como «la primera exploit de extremo a extremo basada en Spectre en la que un afortunado invitado taimado puede filtrar información arbitraria y confidencial del hipervisor en el dominio del host, sin requerir modificaciones de código y en la configuración predeterminada».
️🔥 tendencias cves
Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un solo parche perdido en una violación importante. Un CVE sin parpadeo puede ser todo lo que se necesita para un compromiso completo. A continuación se presentan las vulnerabilidades más críticas de esta semana que ganan atención en toda la industria. Revisarlos, priorizar sus correcciones y cerrar la brecha antiguamente de que los atacantes aprovechen.
La repertorio de esta semana incluye: CVE-2025-27915 (colaboración de Zimbra), CVE-2025-61882 (Oracle E-Business Suite), CVE-2025-4008 (Smartbedded Meteobridge), CVE-2025-10725 (Red Hat OpenShift AI), CVE-2025-59934 (Formbricks). CVE-2024-58260 (Suse Rancher), CVE-2025-43400 (iOS 26.0.1, iPados 26.0.1, iOS 18.7.1, iPados 18.7.1, MacOS Tahoe 26.0.1, Macos Sequoia 15.7.1, Macos Sonoma 14.8.1, y Visisos 26.0.1), 1.1), CVE-2025-30247 (Película del Oeste Digital MyCloud), CVE-2025-41250, CVE-2025-41251, CVE-2025-41252 (Broadcom VMware), CVE-2025-9230, CVE-2025-9231, CVE-2025-9232 (OPensSL), CVE-202529029 (Totolink), CVE-2025-59951 (termix Docker), CVE-2025-10547 (Draytek), CVE-2025-49844 (Redis), CVE-2025-57714 (replicador de Netbak Netbak) y vulnerabilidades en un sistema de manejo de huéspedes ruso llamado Passoftice.
📰 más o menos del mundo cibernético
- La nueva utensilio de inyección de video iOS puede realizar ataques de defake profundos – Los investigadores de ciberseguridad han descubierto una utensilio en gran medida especializada diseñada para realizar ataques avanzados de inyección de video, marcando una ascenso significativa en el fraude de identidad digital. «La utensilio se implementa a través de dispositivos iOS 15 o posteriores de Jailbroken y está diseñado para evitar los sistemas de demostración biométricos débiles, y de guisa crucial para explotar los procesos de demostración de identidad que carecen de salvaguardas biométricas por completo», dijo Iproov. «Este mejora señala un cambio en torno a métodos de ataque más programáticos y escalables». Para realizar el ataque, el actor de amenaza utiliza un servidor de Mecanismo de transferencia de presentación remota (RPTM) para conectar su computadora al dispositivo iOS comprometido y luego inyectar medios sintéticos sofisticados.
- El ransomware Qilin reclama 104 ataques en agosto – La operación de ransomware de Qilin reclamó 104 ataques en agosto de 2025, lo que lo convierte en el especie más activo, seguido de Akira (56), Sinobi (36), Dragonforce (30) y Safepay (29). «Estados Unidos sigue siendo abrumadoramente el objetivo más sobresaliente para los grupos de ransomware, mientras que Europa y Canadá continúan atrayendo un interés significativo de los atacantes, con Alemania y el Reino Unido pasando a Canadá en torno a el segundo y tercer superficie, respectivamente», dijo Cyble. Según los datos compilados por Halcyon, las clínicas de fabricación, traspaso minorista y hospitales y médicos fueron los sectores más dirigidos a la industria verticales en agosto de 2025.
- El nuevo kit de herramientas de soluciones de impacto emerge – Un nuevo kit de herramientas de phishing llamado Impact Solutions ha surgido en las redes de delitos cibernéticos, democratizando aún más el paso a ataques de phishing avanzados para actores de amenazas con habilidades técnicas mínimas. El kit incluye módulos para construir archivos accesorios de Windows Presente (LNK), archivos HTML para ataques de contrabando HTML, plantillas HTML que imitan las páginas de inicio de sesión y los espectadores de facturas seguras, los archivos SVG integrados con scripts y cargas aperos que aprovechan el diálogo de Windows para los ataques de clics. «Promocionado como un situación integral de entrega de carga útil, Impact Solutions proporciona a los atacantes una interfaz de apuntar y hacer clic obediente de usar para crear archivos adjuntos de correo electrónico maliciosos que parecen completamente legítimos», dijo Anormal AI. «El kit de herramientas se especializa en la creación de señuelos persuasivos de ingeniería social diseñados para evitar los filtros de conciencia del afortunado y de seguridad. Estos incluyen archivos de paso directo con Windows armados (.LNK), páginas HTML encubiertas y imágenes SVG inteligentemente disfrazadas, todos creados para explotar la confianza humana en superficie de las vulnerabilidades técnicas».
- Microsoft planea retirar el soporte de SVG en Outlook – Microsoft dijo que es un soporte para retirarse para las imágenes en bisectriz de gráficos vectoriales escalables (SVG) en Outlook para Web y la nueva Outlook para Windows a principios de septiembre de 2025. «Outlook para Web y New Outlook para Windows dejará de mostrar imágenes de SVG en bisectriz, mostrando espacios en blanco en su superficie», dijo la compañía en una puesta al día del centro de mensajes de Microsoft 365. «Esto afecta a menos del 0.1% de las imágenes, progreso la seguridad y no requiere batalla del afortunado. Los archivos adjuntos SVG siguen siendo compatibles. Las organizaciones deben renovar la documentación e informar a los usuarios». El mejora se produce cuando los actores de amenaza utilizan cada vez más archivos SVG como una forma de distribuir malware en campañas de phishing. Anteriormente, Microsoft dijo que la aplicación Outlook para Windows comenzará a cortar los tipos de archivos .Library-MS y .Search-MS.
- Perfil de KeyMous+ – Un perfil de Keymous+ lo ha descrito como un actor de amenaza que utiliza servicios de puesta en marcha DDOS disponibles públicamente para propalar ataques DDoS. Según Netscout, el especie se ha atribuido a 249 ataques DDoS confirmados dirigidos a organizaciones en 15 países y 21 sectores de la industria. Las agencias gubernamentales, la hospitalidad y el turismo, el transporte y la transporte, los servicios financieros y las telecomunicaciones son algunos de los sectores más específicos. Marruecos, Arabia Saudita, Sudán, India y Francia han experimentado los ataques más frecuentes. «Aunque los ataques individuales del especie alcanzaron su punto mayor a 11.8 Gbps, los esfuerzos de colaboración con los socios alcanzaron 44 Gbps, lo que demostró una capacidad disruptiva significativamente mejorada», dijo la compañía.
- Tacha Spider usa Captcha impostor para la entrega de malware -Se ha observado que el especie cibercriminal de palabra rusa conocido como peca araña (incluso conocida como Gold Swathmore), que se evalúa por detrás de IceDid y Latrodectus, utilizando tácticas de clickfix para distribuir latródico. «El situación Captcha impostor incluye un comando para ejecutar PowerShell que descarga un archivo MSI y incluso presenta monitoreo de clics de víctimas, que informa a un canal de telegrama», dijo Nviso Labs. «Durante la condena de ejecución, el archivo MSI contiene un archivo Intel EXE registrado en una esencia de ejecución que luego resuelve una DLL maliciosa, identificada como Latrodectus V2». En un noticia separado publicado por el Documentación DFIR, el actor de amenaza se ha atribuido a una intrusión de casi dos meses de duración en mayo de 2024 que comenzó con un archivo de JavaScript disfrazado de un formulario de impuestos para ejecutar el situación bruto de Ratel a través de un instalador MSI, yuxtapuesto con Latrodectus, Cobalt Strike y un Backdoor personalizado. «La actividad del actor de amenaza persistió durante casi dos meses con conexiones intermitentes de comando y control (C2), descubrimiento, movimiento limítrofe y exfiltración de datos», dijo. «Vigésimo días luego de la intrusión, los datos se exfiltraron utilizando RCLONE y FTP». Los detalles de la actividad fueron compartidos previamente por Eclecticiq.
- Red Hat confirma el incidente de seguridad – Red Hat reveló que los actores de amenaza no autorizados irrumpieron en su instancia de Gitlab utilizada para la colaboración interna de consultoría de Red Hat en compromisos seleccionados y copiaron algunos datos de ella. «La instancia de GITLAB comprometida albergó datos de compromiso de consultoría, que pueden incluir, por ejemplo, las especificaciones del esquema de Red Hat, los fragmentos de código de ejemplo y las comunicaciones internas sobre los servicios de consultoría», dijo la compañía. «Esta instancia de GitLab generalmente no alberga datos personales confidenciales». Todavía dijo que está llegando directamente a clientes impactados. El agradecimiento se produjo luego de que un especie de trastorno que se llamaba a sí mismo, el colectivo Crimson dijo que robó casi 570 GB de datos comprimidos en 28,000 repositorios de mejora interno.
- Google actualiza CSE en Gmail -Google anunció que los usuarios de criptográfico del flanco del cliente de Gmail (CSE) pueden expedir correos electrónicos cifrados de extremo a extremo (E2EE) a cualquier persona, incluso si el destinatario usa un proveedor de correo electrónico diferente. «Los destinatarios recibirán una notificación y pueden aceptar fácilmente al mensaje criptográfico a través de una cuenta de invitado, asegurando una comunicación segura sin la molestia de canjear claves o usar software personalizado», dijo Google. La compañía anunció por primera vez a CSE en Gmail en diciembre de 2022 y lo hizo generalmente adecuado en marzo de 2023.
- Funksec regresa con Funklocker – El Colección de Ransomware de FunkSec se ha resurgido con una nueva cepa de ransomware señal Funklocker que exhibe signos de ser desarrollado por la inteligencia industrial. «Algunas versiones son casi nada funcionales, mientras que otras integran características avanzadas como cheques anti-VM», dijo cualquiera. «Funklocker termina con fuerza procesos y servicios utilizando listas predefinidas, a menudo causando errores innecesarios, pero aún conduce a una interrupción completa del sistema».
- Actor de amenaza de ransomware conectado al descanso, Ransomhub y DragonForce – Una intrusión de septiembre de 2024 que comenzó con la descarga de un archivo taimado que imitaba la aplicación EarthTime por Desksoft, condujo a la implementación de Sectoprat, que luego eliminó SystemBC y otras herramientas para sufrir a punta el agradecimiento. Todavía se descubrieron en el entorno comprometido Grixba, una utilidad de agradecimiento vinculada al ransomware de reproducción; Betruger, una puerta trasera asociada con Ransomhub; y la presencia de una salida NetScan susodicho que contiene datos de una compañía, según los informes, comprometidos por el ransomware de DragonForce, lo que indica que el actor de amenaza probablemente era un afiliado para múltiples grupos de ransomware, dijo el noticia de DFIR. Si admisiblemente no se ejecutó malware de criptográfico de archivos, el actor logró moverse lateralmente a través de la red a través de conexiones RDP y exfiltrado datos sobre WinsCP a un servidor FTP en forma de archivos de Winrar.
- LinkedIn demanda a Proapis por raspado no facultado -LinkedIn presentó una demanda contra una compañía señal Proapis por supuestamente tratar una red de millones de cuentas falsas utilizadas para raer datos de los miembros de LinkedIn antiguamente de entregar la información a terceros sin permiso. La compañía propiedad de Microsoft dijo que ProAPIS cobra a los clientes de hasta $ 15,000 por mes por los datos de usuarios raspados tomados de la plataforma de redes sociales. «La cuenta de la cuenta de cuentas falsas de la escalera industrial de los demandados arista la información de los miembros que las personas reales han publicado en LinkedIn, incluidos los datos que solo están disponibles detrás del tapia de contraseña de LinkedIn y que los clientes de los acusados no podrían aceptar a los que de otra guisa aceptar, y ciertamente no se les permite copiar y perdurar a la perpetuidad», según la demanda.
- El periodista de la BBC ofreció efectivo para piratear la red de la compañía – A un periodista de la BBC se le ofreció una cantidad significativa de efectivo por cibercriminales que buscaron piratear la red de la BBC con la esperanza de robar datos valiosos y aprovecharlo por un rescate. «Si está interesado, podemos ofrecerle el 15% de cualquier plazo de rescate si nos da paso a su PC», el mensaje recibido por el periodista en la aplicación de transporte de señales en julio de 2025. La persona que se comunicó afirmó ser parte del Colección de Ransomware Medusa. Finalmente, por precaución, su cuenta se desconectó por completo de la BBC. Cuando el periodista dejó de replicar, el actor de amenaza terminó eliminando su cuenta de señal. Los hallazgos muestran que los actores de amenaza buscan cada vez más empleados mal pagados o descontentos en posibles objetivos para entregar su paso para violar las redes.
- Pico en los esfuerzos de explotación dirigidos a la descompostura de Grafana — GreyNoise warned of a sharp one-day surge of exploitation attempts targeting CVE-2021-43798 – a Grafana path traversal vulnerability that enables arbitrary file reads – on September 28, 2025. Over the course of the day, 110 unique malicious IP addresses attempted exploitation, with China-, Germany-, and Bangladesh-based IPs targeting the US, Slovakia, and Taiwán. «El patrón de focalización uniforme en los países y herramientas fuente indica una tarea global o un uso compartido de hazañas», dijo. «La convergencia sugiere que un cirujano aproveche diversa infraestructura o múltiples operadores que reutilizan el mismo kit de exploit y conjunto de destino».
- Nuevo sitio de fuga de datos enérgico por Lapsus $, Sptered Spider y Shinyhunters -El especie suelto que comprende Lapsus $, Spattered Spider y Shinyhunters ha publicado un sitio de fuga de datos dedicado en la Web Dark, llamado disperso Lapsus $ cazadores, amenazando con propalar casi mil millones de registros robados de empresas que almacenan los datos de sus clientes en las bases de datos en la abundancia alojadas por Salesforce. «Somos conscientes de los recientes intentos de trastorno de los actores de amenaza, que hemos investigado en asociación con expertos y autoridades externas», dijo Salesforce en respuesta. «Nuestros hallazgos indican que estos intentos se relacionan con incidentes pasados o sin fundamento, y seguimos comprometidos con los clientes afectados para desear apoyo. En este momento, no hay indicios de que la plataforma Salesforce se haya comprometida, ni esta actividad se relaciona con ninguna vulnerabilidad conocida en nuestra tecnología». En su canal de telegrama llamado «SLSH 6.0 Parte 3», dispersado Lapsus $ Hunters dijo que planea propalar un segundo sitio de fuga de datos luego de la aniversario conclusión del 10 de octubre que se dedicará a «nuestra campaña de aplicaciones de Drift Salesloft (UNC6395)». El mejora se produjo luego de que el especie de trastorno cibernética anunció su despedida el mes pasado.
- Signal anuncia un trinquete asqueroso -Señal ha introducido el SPARSE Post Quantum Ratchet (SPQR), una nueva puesta al día a su protocolo de criptográfico que mezcla la criptografía segura de cantidad cuántica en su doble trinquete existente. El resultado, que Signal pira al triple trinquete, hace que sea mucho más desafiante para las futuras computadoras cuánticas para romper los chats privados. El nuevo componente garantiza el secreto en torno a delante y la seguridad posterior a la compromiso, asegurando que incluso en el caso del compromiso o robo esencia, los mensajes futuros intercambiados entre las partes serán seguros. Signal dijo que el despliegue de SPQR en la plataforma de transporte será graduado, y que los usuarios no necesitan tomar ninguna medida para que la puesta al día se aplique separado de perdurar a sus clientes actualizados a la última lectura. En septiembre de 2023, la aplicación de transporte agregó por primera vez el soporte para la resistor cuántica mediante la puesta al día de la precisión extendida Triple Diffie-Hellman (X3DH) a Diffie-Hellman (PQXDH) post-Quantum.
- Las operaciones de phishing a gran escalera no se detectan durante primaveras -Un «Esquema de suplantación de phishing y marca de marca a escalera industrial de varios primaveras» operado sin ser detectado durante más de tres primaveras en las plataformas de Google Cloud y CloudFlare. La actividad se relaciona con una operación de phishing como servicio (PHAAS) a gran escalera que incluyó 48,000 huéspedes y más de 80 grupos que abusan de dominios expirados de «consideración suscripción». Luego, la campaña utilizó estos dominios para hacerse advenir por marcas confiables para distribuir páginas de inicio de sesión falsas, malware y contenido de descanso. «Muchos de los sitios clonados aún cargan medios de la infraestructura de la abundancia de la marca llamativo, lo que significa que la marca llamativo puede estar activamente contenido a un imitador taimado», dijo Deep Spectre.
- HeartCrypt evoluciona en un cargador para robador y ratas -El malware Packer-As-A-Service (PaaS) llamado HeartCrypt se ha distribuido a través de correos electrónicos de phishing para implementar finalmente los robadores de paso remoto y troyanos de paso remoto (ratas), así como un software de terminación antivirus menos prevalente conocido como avkiller. La actividad utilizó avisos de infracción de derechos de autor para atacar a las víctimas en Italia usando archivos LNK que contenían una URL para obtener una carga útil intermedia de PowerShell que muestra un documento de señuelo y al mismo tiempo descargar simultáneamente HeartCrypt de Dropbox. «El HeartCrypt Packer toma ejecutables legítimos y los modifica inyectando código taimado en la sección .Text. Todavía inserta algunos medios de ejecutables portátiles (PE) adicionales», dijo Sophos. Estos medios se disfrazan de archivos de atlas de bits y comienzan con un encabezado BMP, pero luego sigue el contenido taimado «.
- Ataque de la condena de suministro de software Explotación de la orden de embalaje -Investigadores del KTH Royal Institute of Technology y Univstité de Montréal han detallado un nuevo ataque llamado Maven-Hijack que explota el orden en el que Maven empaca las dependencias y la forma en que Java Imaginario Machine (JVM) resuelve las clases en tiempo de ejecución. «Al inyectar una clase maliciosa con el mismo nombre totalmente calificado que cierto en una dependencia que se empaqueta anteriormente, un atacante puede anular silenciosamente el comportamiento de la aplicación central sin modificar la colchoneta de código principal o los nombres de la biblioteca», dijeron los investigadores.
- Los archivos LNK conducen a RAT -En una nueva condena de ataque detallada por K7 Security Labs, se ha descubierto que los actores de amenaza están aprovechando los archivos LNK distribuidos a través de Discord para propalar un PDF señuelo y ejecutar PowerShell responsable de dejar un archivo zip que, a su vez, ejecuta una DLL maliciosa utilizando la utensilio de bisectriz de comandos de Windows odbcconf.exe. El DLL es una rata multifuncional diseñada para ejecutar comandos desde un servidor C2 y compilar información del sistema del host infectado. «Emplea varias técnicas, incluida la resumen de información de productos antivirus, evitando la interfaz de escaneo anti-malware (AMSI) y el parche de EtweventWrite para deshabilitar el rastreo de eventos de Windows (ETW), lo que dificulta la soluciones de seguridad detectar sus actividades maliciosas», dijo la compañía.
- Fallas sin parches en Cognex Insight IS2000M-120 Cámara inteligente -Se han revelado hasta nueve vulnerabilidades de seguridad en Cognex IS2000M-120, una cámara inteligente industrial utilizada para aplicaciones de visión industrial, que permite a un atacante comprometer completamente los dispositivos, socavando su integridad y seguridad operativas. No se planifican parches para el maniquí, legado que la compañía está considerando un estado de fin de vida. «Primero, un atacante no autenticado en el mismo segmento de red que el dispositivo, que es capaz de interceptar el tráfico, por ejemplo a través de un ataque de hombre en el medio (MITM), puede comprometer completamente el dispositivo a través de múltiples vectores de ataque», dijo Nozomi Networks. «Este tablado presenta un peligro crítico en los entornos donde la segmentación o criptográfico de red no se aplica». Por otra parte, un afortunado privilegiado con paso circunscrito a la cámara puede aumentar sus privilegios creando una nueva cuenta administrativa y obteniendo un control total del dispositivo. Por postrer, un atacante con paso circunscrito a la etapa de trabajo de Windows donde se instala el software Cognex In-Sight Explorer puede manipular datos de copia de seguridad destinados a la cámara y sufrir a punta acciones maliciosas.
- Hacktivist Group ZeroDayX1 alabarda ransomware -Un especie hacktivista pro-palestino conocido como ZeroDayX1 lanzó su propia operación de ransomware como servicio (RAAS) señal Bqtlock, lo que lo convierte en el postrer especie en hacer como Pivot. Se cree que ZeroDayX1 es un hacktivista libanés activo desde al menos 2023, posicionándose como un actor de amenaza musulmán y pro-palestina. «El hacktivismo ya no se limita a la transporte ideológica», dijo Outpost24. «Cada vez más, los grupos están integrando operaciones motivadas financieramente, lo que indica un cambio en torno a modelos híbridos que combinan el acción directa con las agendas de búsqueda de ganancias».
- Datos de filtración de aplicaciones móviles – Nuevos hallazgos de Zimperium han revelado que una de cada tres aplicaciones de Android y más de la parte de los datos sensibles a las aplicaciones de iOS. Casi la parte de las aplicaciones móviles contienen secretos codificados como las teclas API. Por otra parte de eso, un examen de 800 aplicaciones VPN gratuitas para Android e iOS descubrió que muchas aplicaciones no proporcionan privacidad existente en categórico, algunas solicitan permisos excesivos mucho más allá de su propósito, otras filtran datos personales y otras confían en un código obsoleto y débil. Otros comportamientos riesgosos incluyeron faltantes etiquetas de manutención de privacidad para aplicaciones y susceptibilidad al ataque de hombre en el medio (MITM). «No se pueden encomendar en todas las aplicaciones de VPN», dijo la compañía. «Muchos sufren de criptográfico débil, fuga de datos o solicitudes de permiso peligrosos: problemas que son invisibles para la mayoría de los usuarios finales». En otra investigación publicada el mes pasado, Mike Oude Reimer encontró que las aplicaciones móviles erróneas podrían explotarse para conseguir el paso a más de 150 servicios de Firebase. Esto consistió en el paso a los accesorios de tiempo existente a los accesorios de tiempo existente y se podrían explotar las aplicaciones de almacenamiento y el almacenamiento. secretos.
- Microsoft comparte ideas sobre fallas de XSS -Según Microsoft, el 15% de todos los casos de MSRC importantes o críticos entre julio de 2024 a julio de 2025 fueron fallas de secuencias de comandos de sitio cruzado (XSS). De los 265 casos de XSS, 263 fueron calificados de peligro importante y 2 fueron calificadas de peligro crítica. En total, la compañía ha mitigado más de 970 casos XSS desde enero de 2024 solo a mediados de 2025.
- El actor de amenaza se expone luego de instalar software de seguridad -Un actor de amenaza ha revelado inadvertidamente sus métodos y actividades diarias luego de instalar una lectura de prueba de Huntress Security Software en su propia máquina operativa y una extensión premium del navegador Malwarebytes. Se dice que el actor descubrió a Huntress a través de un anuncio de Google mientras buscaba soluciones de seguridad como Bitdefender. Un examen posterior reveló sus intentos de usar Make.com para automatizar ciertos flujos de trabajo, encontrar instancias de EvilGinx y su interés en los servicios de proxy residenciales como Lunaproxy y NSTBrowser. «Este incidente nos dio información profunda sobre las actividades cotidianas de un actor de amenaza, desde las herramientas que estaban interesadas hasta las formas en que realizaron investigaciones y abordaron diferentes aspectos de los ataques», dijo Huntress.
- Usar bitpixie para excluir bitlocker – Los investigadores de ciberseguridad han contrario que los atacantes pueden eludir el criptográfico de la dispositivo de bitlocker utilizando una descompostura de ascenso de privilegios locales de Windows. «La vulnerabilidad de BitPixie en Windows Boot Manager es causada por una descompostura en la función PXE Soft Reboot, por la cual la tecla BitLocker no se sedimento de la memoria», dijo SYSS. «Para explotar esta vulnerabilidad en los sistemas actualizados, se puede realizar un ataque de rebajado cargando un administrador de puesta en marcha más antiguo y sin parches. Esto permite a los atacantes extraer la tecla maestra de cuerpo (VMK) de la memoria principal y el criptográfico de bitlocker de omisión, que podría otorgarles paso oficinista». Para contrarrestar la amenaza, se recomienda utilizar un pin previo al presa o aplicar un parche que Microsoft lanzó en 2023 (CVE-2023-21563), que evita los ataques de deducción en el administrador de botas débil al reemplazar el antiguo certificado de Microsoft de 2011 con el nuevo certificado de Windows UEFI CA 2023.
- Cómo las amenazas Los actores pueden pasarse del dominio -En el fronting de dominio, un atacante podría conectarse a un dominio que considera externamente cierto al conectarse a un dominio como Google.com o Meet.google.com, mientras que las rutas de backend desvían silenciosamente la conexión con la infraestructura controlada por los atacantes alojados internamente de la plataforma de Google Cloud. Al enrutar el tráfico C2 a través de la infraestructura y los dominios de Internet centrales, permite que el tráfico taimado se mezcle y vuele bajo el radar. «Usted hace que el SNI (indicación del nombre del servidor) parezca un servicio confiable y de suscripción reputación (Google.com), pero el encabezado del host apunta en silencio el tráfico a la infraestructura controlada por los atacantes», dijo Praetorian. «Desde el exógeno, el tráfico parece un uso ordinario de un servicio importante. Pero en el backend, se enruta en algún superficie completamente diferente».
- Certificados mal emitidos para el servicio DNS 1.1.1.1 de Cloudflare – Cloudflare reveló que FINA CA emitió certificados no autorizados para 1.1.1.1, una de las direcciones IP utilizadas por su servicio notorio de resolución DNS. «Desde febrero de 2024 hasta agosto de 2025, FINA CA emitió 12 certificados para 1.1.1.1 sin nuestro permiso», dijo la compañía de infraestructura web. «No tenemos evidencia de que los malos actores aprovechen este error. Para hacerse advenir por el resolución pública del DNS de Cloudflare 1.1.1.1, un atacante no solo requeriría un certificado no facultado y su esencia privada correspondiente, pero los usuarios atacados incluso necesitarían encomendar en el FINA CA».
- Nuevo ataque para comprometer a los agentes de IA de navegación web -Un nuevo ataque demostrado por JFrog muestra que las técnicas de encubrimiento del sitio web se pueden armarse para envenenar agentes autónomos de navegación web impulsados por modelos de idiomas grandes (LLM). «A medida que estos agentes se vuelven más frecuentes, sus huellas digitales digitales únicas y a menudo homogéneas, que comprenden atributos del navegador, firmas de situación de automatización y características de la red, crean una nueva clase de tráfico web distinguible. El ataque explota esta imprenta digital», dijo el investigador de seguridad Skychlinski. «Un sitio web taimado puede identificar una solicitud entrante que se origina en un agente de inteligencia industrial y servir dinámicamente una lectura diferente,» fraude «de su contenido. Mientras que los usuarios humanos ven una página web benigna, el agente se presenta con una página visualmente idéntica integrada con instrucciones ocultas y maliciosas, como inyecciones indirectas o inyecciones indirectas. propagación, todo mientras permanece completamente invisible para los usuarios humanos y los rastreadores de seguridad convencionales «.
- Invocación de invocación de herramientas de explotación para Hijack LLM Systems basados en los sistemas -El indicador de invocación de herramientas (TIP) sirve como un componente crítico en los sistemas LLM, determinando cómo los sistemas de agente basados en LLM invocan varias herramientas externas e interpretan la feedback de la ejecución de estas herramientas. Sin requisa, una nueva investigación ha revelado que herramientas como Cursor y Claude Code son susceptibles a la ejecución de código remoto o la denegación de servicio (DOS) inyectando indicaciones maliciosas o código en descripciones de herramientas. El hallazgo se produce cuando Foresout señaló que los LLM se están quedando cortos en la realización de tareas de descubrimiento de vulnerabilidad y mejora de explotación.

🎥 seminarios web de ciberseguridad
- Más allá de la exageración: flujos de trabajo prácticos de IA para equipos de ciberseguridad: la IA está transformando los flujos de trabajo de ciberseguridad, pero los mejores resultados provienen de combinar la supervisión humana con la automatización. En este seminario web, Thomas Kinsella de Tines muestra cómo identificar dónde AI positivamente agrega valía, evita la ingeniería excesiva y crea procesos seguros y auditables que escalera.
- Exclusivo de Halloween: historias de incumplimiento existente y la decisión para terminar los horrores de contraseña (las contraseñas siguen siendo un objetivo principal para los atacantes, y un dolor constante para los equipos de TI. Las credenciales débiles o reutilizadas, el servicio de afluencia frecuente se restablecen y las políticas obsoletas exponen a las organizaciones a infracciones costosas y daños a la reputación. En este seminario web con temática de Halloween del software de Hacker News and Specops, verá historias reales de violación, descubrirá por qué las políticas de contraseña tradicionales fallan y verá una demostración en vivo sobre el interrupción de las credenciales comprometidas en tiempo existente, para que pueda finalizar las pesadillas de contraseña sin ampliar fricción de afortunado.

🔧 Herramientas de ciberseguridad
- MALIFISCAN: las cadenas de suministro de software modernas dependen de repositorios de paquetes públicos e internos, pero las cargas maliciosas se deslizan cada vez más a través de canales confiables. Malifiscan ayuda a los equipos a detectar y cortar estas amenazas mediante la remisión cruzada de referencias de vulnerabilidad externa como OSV contra sus propios registros y repositorios de artefactos. Se integra con JFrog Artifactory, admite más de 10 ecosistemas y automatiza la creación de patrones de salvedad para evitar que las dependencias comprometidas se descarguen o implementen.
- Auditkit: esta nueva utensilio ayuda a los equipos a comprobar el cumplimiento de la abundancia en AWS y Azure sin conjeturas manuales. Diseñado para los marcos SOC2, PCI-DSS y CMMC, automatiza las verificaciones de control, resalta las brechas de auditoría crítica y genera guías de evidencia listas para el auditor. Ideal para los equipos de seguridad y cumplimiento que se preparan para evaluaciones formales, Auditkit une la brecha entre los escaneos técnicos y los auditores de documentación que positivamente necesitan.
Descargo de responsabilidad: estas herramientas son solo para uso educativo y de investigación. No han sido totalmente probados en seguridad y podrían presentar riesgos si se usan incorrectamente. Revise el código antiguamente de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.
🔒 Consejo de la semana
Endurecimiento rápido de Windows con herramientas de código abierto- La mayoría de los ataques de Windows tienen éxito no por días cero, sino por títulos predeterminados débiles: puertos abiertos, protocolos antiguos, contraseñas de oficina reutilizadas o parches faltantes. Los atacantes explotan lo que ya está allí. Algunos cambios pequeños e inteligentes pueden cortar la mayoría de las amenazas antiguamente de comenzar.
Endurezca sus sistemas de Windows utilizando herramientas de código franco gratuitas que cubren la auditoría, la configuración y el monitoreo. No necesita herramientas empresariales para elevar su bisectriz de colchoneta de defensa, solo algunos pasos sólidos.
Acciones rápidas (menos de 30 minutos):
- Ejecute Hardentools: desactive los títulos predeterminados inseguros al instante.
- Use Lite CIS-CAT: identifique los parches faltantes, ensenada RDP o políticas débiles.
- Consulte los administradores locales: eliminar cuentas no utilizadas, implementar vueltas para la rotación de contraseña.
- Active el registro: habilite los registros de PowerShell, Windows Defender y Audit Policy.
- Ejecute Winaudit: exporte un noticia y compárelo semanalmente para cambios no autorizados.
- Escanee con Wazuh o OpenVas: busque software obsoleto o servicios expuestos.
Riesgos esencia para ver:
🔑 Contraseñas de oficina reutilizadas o compartidas
🌐 Bahía RDP/SMB sin firewall o NLA
⚙️ Versiones antiguas de PowerShell sin registrar
🧩 Usuarios que se ejecutan con los derechos de administrador locales
🪟 Reglas de reducción de la superficie de ataque de defensor de defensa (ASR) faltante
📦 Software sin firmar o sin firmar de repositorios de terceros
Estas verificaciones simples y repetibles cierran el 80% de la superficie de ataque explotada en campañas de robo de ransomware y credenciales. No cuestan ausencia, toman minutos y construyen memoria muscular para una buena higiene cibernética.
Conclusión
Gracias por deletrear el sumario de esta semana. Sigue aprendiendo, mantente singular y no espere la próxima alerta para tomar medidas. Algunos movimientos inteligentes hoy pueden ahorrarle mucha barrido mañana.