Threat-Research

Los investigadores de ESET han descubierto nuevas actividades del grupo de ciberespionaje MuddyWater (también conocido como Mango Sandstorm o TA450), alineado con Irán. Esta campaña está dirigida principalmente a organizaciones en Israel y, en un caso confirmado, en Egipto, mostrando una evolución significativa en sus capacidades técnicas y tácticas de evasión. Aspectos Clave de la Campaña A diferencia de operaciones anteriores, esta campaña de MuddyWater es más sigilosa y sofisticada. ESET destaca los siguientes puntos: ...

El botnet Kimwolf, una nueva amenaza de denegación de servicio distribuido (DDoS), ha reclutado un ejército masivo de al menos 1.8 millones de dispositivos infectados, principalmente televisores basados en Android, decodificadores y tabletas. Según una investigación de QiAnXin XLab, el botnet está asociado con el infame botnet AISURU. Resumen de la Amenaza Kimwolf Alcance masivo: Kimwolf ha infectado 1.8 millones de dispositivos, principalmente cajas de TV (TV boxes) Android, decodificadores y tabletas. Capacidades avanzadas: Además de las capacidades típicas de ataque DDoS, Kimwolf integra reenvío de proxy, shell inverso y funciones de gestión de archivos. Está compilado utilizando el NDK (Native Development Kit) de Android. Actividad de ataque: Se estima que el botnet emitió 1.700 millones de comandos de ataque DDoS en un período de tres días (del 19 al 22 de noviembre de 2025). Objetivos principales: Los dispositivos más afectados incluyen modelos populares como TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV y MX10. La propagación global es notable, con altas concentraciones en Brasil, India, EE. UU., Argentina, Sudáfrica y Filipinas. Lazos con el Botnet AISURU y TTPs La investigación de XLab ha descubierto vínculos significativos entre Kimwolf y el botnet AISURU, conocido por ataques DDoS récord en el último año. Los investigadores sospechan que el mismo grupo de hackers reutilizó código de AISURU en las primeras etapas de Kimwolf. ...

Un nuevo framework de phishing llamado GhostFrame, construido alrededor de una sigilosa arquitectura de iframe, ha sido vinculado a más de un millón de ataques, según descubrieron expertos en ciberseguridad de Barracuda. Este kit de ataque se distingue de las ofertas de Phishing-as-a-Service (PhaaS) conocidas por su enfoque innovador en la evasión y el engaño. ¿Cómo Funciona GhostFrame? El diseño de GhostFrame se centra en un archivo HTML simple que se presenta como una página de aterrizaje inofensiva, mientras oculta su comportamiento malicioso dentro de un iframe incrustado. Esta estructura permite a los atacantes: ...

Los kits de phishing suelen tener firmas distintivas en sus métodos de entrega e infraestructura, lo que facilita la atribución. Sin embargo, analistas han observado recientemente una superposición entre dos kits de phishing como Salty2FA y Tycoon2FA, marcando un cambio significativo que complica la detección. ANY.RUN observó una caída repentina en la actividad de Salty2FA, seguida de la aparición de indicadores de Tycoon2FA dentro de las cadenas de ataque de Salty. Finalmente, se detectaron cargas útiles únicas que combinaban código de ambos frameworks. Esta convergencia debilita las reglas de detección específicas de cada kit y ofrece a los actores de amenazas más margen para evadir la detección temprana. ...