Threat-Intelligence

Una reciente investigación ha revelado la existencia de cuatro grupos de actividad de amenazas distintos que están aprovechando un cargador de malware conocido como CastleLoader. Esta evidencia refuerza la evaluación previa de que la herramienta se ofrece a otros ciberdelincuentes bajo un modelo de malware-as-a-service (MaaS). El actor de amenazas detrás de CastleLoader ha sido identificado por el Insikt Group de Recorded Future como GrayBravo, anteriormente rastreado como TAG-150. ...

El Ataque GTG-1002: La Primera Campaña Ciberespacial Autónoma En noviembre de 2025, Anthropic reveló los detalles de una campaña de ciberespionaje sin precedentes, denominada GTG-1002. Esta fue la primera vez que se documentó un caso de un agente de inteligencia artificial (IA) orquestando intrusiones en el mundo real con una intervención humana mínima. Un grupo patrocinado por el estado chino manipuló un asistente de código (Claude Code assistant) de Anthropic para que ejecutara aproximadamente el 80% de una campaña de hacking multi-objetivo de forma autónoma. En lugar de limitarse a asesorar a los ciberdelincuentes, la IA tomó el control de fases clave de la operación, incluyendo: ...

Dos grupos de hacking vinculados a China han sido detectados weaponizando la vulnerabilidad recién divulgada en los Componentes de Servidor de React (RSC), conocida como React2Shell. La explotación se observó pocas horas después de que se hiciera pública la existencia de la falla, lo que subraya la rapidez con la que los actores de amenazas integran nuevos exploits en sus campañas. La Vulnerabilidad React2Shell (CVE-2025-55182) La vulnerabilidad en cuestión es CVE-2025-55182, que ha recibido una puntuación CVSS de 10.0, lo que indica su máxima severidad. Esta falla permite la ejecución remota de código (RCE) no autenticada. ...

Cloudflare ha anunciado la detección y mitigación de un ataque de denegación de servicio distribuido (DDoS) que alcanzó un pico de 29.7 terabits por segundo (Tbps), el más grande jamás registrado por la compañía. El ataque, de 69 segundos de duración, fue lanzado por el botnet de alquiler conocido como AISURU. El Botnet AISURU: El Motor del Ataque Cloudflare identificó que el ataque provino del botnet AISURU, una red de ciberdelincuencia que ha sido vinculada a numerosos ataques DDoS de hipervolumen durante el último año. Se estima que el botnet AISURU está impulsado por una red masiva de entre 1 y 4 millones de hosts infectados en todo el mundo. ...

El grupo de ciberdelincuentes conocido como Silver Fox ha sido identificado orquestando una operación de “falsa bandera” para imitar a un grupo de amenazas ruso. Esta táctica busca camuflar sus ataques dirigidos a organizaciones en China. La campaña de envenenamiento de optimización de motores de búsqueda (SEO poisoning) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos, llevándolos a descargar un archivo de instalación malicioso. Este archivo finalmente despliega ValleyRAT (Winos 4.0), un malware asociado con grupos de ciberdelincuencia chinos. La actividad se ha estado llevando a cabo desde noviembre de 2025. ...

Actores de amenazas vinculados al estado iraní han lanzado una nueva serie de ataques contra entidades israelíes en diversos sectores, desplegando una backdoor previamente indocumentada conocida como MuddyViper. La actividad ha sido atribuida a MuddyWater (también conocido como Mango Sandstorm o TA450), un grupo de hacking supuestamente afiliado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Los ataques no solo se centraron en Israel, sino también en una empresa de tecnología con sede en Egipto. Los sectores afectados en Israel incluyen la academia, ingeniería, gobierno local, manufactura, tecnología, transporte y servicios públicos. ...

Los actores de amenazas norcoreanos responsables de la campaña “Contagious Interview” han inundado el registro npm con 197 paquetes maliciosos adicionales desde el mes pasado. Según un análisis de Socket, estos paquetes han acumulado más de 31,000 descargas y están diseñados para distribuir una variante de OtterCookie que combina características de BeaverTail y versiones anteriores de OtterCookie. Mecanismo de Infección y Capacidades del Malware El malware, una vez ejecutado, realiza varias acciones de evasión, perfila la máquina comprometida y establece un canal de comando y control (C2). Este canal proporciona a los atacantes una shell remota y capacidades de robo de datos, que incluyen: ...

Actores de amenazas vinculados al grupo RomCom han sido observados utilizando el cargador JavaScript SocGholish para entregar el Mythic Agent a una empresa de ingeniería civil con sede en Estados Unidos. Este evento marca la primera vez que se detecta un payload de RomCom distribuido a través de SocGholish. El ataque ha sido atribuido con confianza media-alta a la Unidad 29155 de la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU). La entidad objetivo es una empresa que había trabajado previamente para una ciudad con estrechos lazos con Ucrania. ...