Threat-Intelligence

El grupo de hacking patrocinado por el estado iraní, conocido como MuddyWater (también como Mango Sandstorm, Seedworm y Static Kitten), ha sido implicado en un ataque de ransomware de “falsa bandera”, según un informe de Rapid7. Este incidente, observado a principios de 2026, muestra una creciente sofisticación y un intento de difuminar la atribución mediante la adopción de tácticas de ciberdelincuencia. Ataque de Falsa Bandera y Tácticas Sofisticadas El ataque inicial parecía consistente con un grupo de ransomware-as-a-service (RaaS) que opera bajo la marca Chaos. Sin embargo, la evidencia sugiere que se trata de un ataque selectivo respaldado por el estado que se disfraza de extorsión oportunista. ...

Investigadores de ciberseguridad alertan sobre la operación de dos grupos cibercriminales, Cordial Spider y Snarky Spider, que están ejecutando ataques de robo de datos y extorsión de forma “rápida y de alto impacto”, operando casi exclusivamente dentro de entornos SaaS (Software as a Service) y dejando un rastro mínimo de sus actividades. Ambos grupos, activos desde al menos octubre de 2025, comparten similitudes operativas notables. Snarky Spider, un grupo nativo de habla inglesa, tiene vínculos con el ecosistema de ciberdelincuencia conocido como “The Com”. ...

Investigadores de ciberseguridad han revelado detalles sobre un nuevo cargador de botnet llamado Aeternum C2, que utiliza una infraestructura de comando y control (C2) basada en blockchain para resistir los esfuerzos de eliminación. En lugar de depender de servidores o dominios tradicionales, Aeternum almacena sus instrucciones en la blockchain pública de Polygon, haciendo que su infraestructura C2 sea permanente y resistente a los métodos de takedown convencionales. Aeternum C2: Una Nueva Generación de Crimeware El botnet Aeternum C2 opera como un cargador nativo de C++ disponible en compilaciones x32 y x64. Su funcionamiento se basa en la escritura de comandos dirigidos a los hosts infectados en contratos inteligentes de la blockchain de Polygon. Los bots infectados leen estos comandos consultando puntos finales de procedimiento remoto (RPC) públicos. ...

Investigadores de seguridad cibernética han descubierto una campaña de ciberespionaje en curso dirigida a usuarios en la India. La campaña utiliza un backdoor multi-etapa para obtener acceso persistente a las máquinas de las víctimas y exfiltrar datos. La actividad, documentada por la Unidad de Respuesta a Amenazas (TRU) de eSentire, se basa en correos electrónicos de phishing que suplantan la identidad del Departamento de Impuestos sobre la Renta de la India. El objetivo final de los atacantes es desplegar una variante del troyano bancario Blackmoon y una herramienta empresarial legítima llamada SyncFuture TSM. ...

Investigadores de ciberseguridad han revelado detalles de una nueva campaña de ataque de doble vector que aprovecha credenciales robadas para implementar software legítimo de Monitoreo y Gestión Remota (RMM). El objetivo es establecer acceso remoto persistente a los hosts comprometidos. Según los investigadores de KnowBe4 Threat Labs, en lugar de desplegar virus personalizados, los atacantes están eludiendo los perímetros de seguridad al “armar” herramientas de TI necesarias en las que confían los administradores. Al robar una “llave maestra” del sistema, convierten software RMM legítimo en una puerta trasera persistente. ...

Este informe detalla dos campañas de amenazas que utilizan el framework JavaScript PeckBirdy, atribuidas a actores de amenazas persistentes avanzadas (APT) alineados con China. Las campañas, denominadas temporalmente SHADOW-VOID-044 y SHADOW-EARTH-045, demuestran la creciente sofisticación y adaptabilidad de estos grupos. Análisis de la Campaña SHADOW-VOID-044 La campaña SHADOW-VOID-044 ha sido vinculada con el actor de amenazas UNC3569, con una confianza de moderada a alta, basándose en la superposición de TTPs y víctimas. ...

El grupo de hacking Sandworm, vinculado al estado ruso, ha sido identificado como el responsable de lo que se describe como el “mayor ciberataque” dirigido al sistema eléctrico de Polonia en la última semana de diciembre de 2025. Aunque el ataque fue detectado y neutralizado sin causar interrupciones, los expertos han vinculado esta actividad a una nueva variante de malware “wiper” (limpiador de datos) desplegada por el actor de amenazas. ...

Ingram Micro Sufre Brecha de Datos por Ataque de Ransomware El gigante de la tecnología de la información, Ingram Micro, ha confirmado una brecha de datos que afectó a más de 42.000 personas, resultado de un ataque de ransomware detectado en julio de 2025. La compañía, un proveedor global de servicios B2B y distribuidor de tecnología con ventas netas de 48 mil millones de dólares en 2024, inició una investigación tras detectar un incidente de ciberseguridad en sus sistemas internos. ...

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una serie de nuevos ciberataques dirigidos a sus fuerzas de defensa y a instituciones estatales. Estos ataques, que tuvieron lugar entre octubre y diciembre de 2025, involucran diversas técnicas de intrusión y varias familias de malware, incluyendo una conocida como PLUGGYAPE. Ataques PLUGGYAPE atribuidos a Void Blizzard Entre los ataques más destacados se encuentran aquellos que distribuyen el malware PLUGGYAPE, atribuidos con “confianza media” al grupo de hacking ruso Void Blizzard (también conocido como Laundry Bear o UAC-0190), activo desde al menos abril de 2024. ...

El boletín ThreatsDay de esta semana destaca la continua adaptación de los atacantes, quienes están reconfigurando herramientas existentes y encontrando nuevos ángulos de ataque en sistemas familiares. Pequeños cambios tácticos se están acumulando rápidamente, lo que sugiere las posibles direcciones de futuras brechas de seguridad. Tácticas de Amenaza en Evolución Constante El panorama de amenazas se caracteriza por su fluidez, con un enfoque en la rápida adaptación de los atacantes. Los puntos clave de la actividad de esta semana incluyen: ...