APT

Los investigadores de ESET han descubierto nuevas actividades del grupo de ciberespionaje MuddyWater (también conocido como Mango Sandstorm o TA450), alineado con Irán. Esta campaña está dirigida principalmente a organizaciones en Israel y, en un caso confirmado, en Egipto, mostrando una evolución significativa en sus capacidades técnicas y tácticas de evasión. Aspectos Clave de la Campaña A diferencia de operaciones anteriores, esta campaña de MuddyWater es más sigilosa y sofisticada. ESET destaca los siguientes puntos: ...

Cisco ha emitido una alerta sobre una vulnerabilidad de día cero con gravedad máxima en su software Cisco AsyncOS. Esta falla ha sido activamente explotada por un actor de amenaza persistente avanzada (APT) con nexos en China, apodado UAT-9686, en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Detalles de la Amenaza La campaña de intrusión se detectó el 10 de diciembre de 2025. Cisco identificó que un subconjunto limitado de sus appliances, con puertos específicos expuestos a Internet, fueron el objetivo. La vulnerabilidad, rastreada como CVE-2025-20393, posee una puntuación CVSS de 10.0 y permite a los atacantes ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente del appliance afectado. Los atacantes han logrado establecer mecanismos de persistencia para mantener el control sobre los sistemas comprometidos. ...

El grupo de amenazas conocido como Jewelbug, también rastreado por Check Point Research como Ink Dragon, ha intensificado sus ataques contra objetivos gubernamentales en Europa desde julio de 2025. Aunque el actor, alineado con China y activo desde al menos marzo de 2023, continúa atacando entidades en el sudeste asiático y Sudamérica, su enfoque se ha ampliado significativamente. Check Point Research ha detallado las operaciones de este grupo de hacking, destacando su combinación de ingeniería de software sólida, playbooks operacionales disciplinados y la reutilización de herramientas nativas de la plataforma para camuflarse en la telemetría normal de la empresa. Estas tácticas hacen que sus intrusiones sean “efectivas y sigilosas”. ...

El grupo de amenazas conocido como Dragon Breath, también rastreado como APT-Q-27 y Golden Eye, ha sido detectado utilizando un cargador de múltiples etapas llamado RONINGLOADER para entregar una variante modificada del troyano de acceso remoto Gh0st RAT. Esta campaña se dirige principalmente a usuarios de habla china y utiliza instaladores NSIS troyanizados que se hacen pasar por software legítimo como Google Chrome y Microsoft Teams. Según investigadores de Elastic Security Labs, la cadena de infección emplea un mecanismo de entrega de múltiples etapas que incorpora técnicas de evasión avanzadas. Estas técnicas están diseñadas específicamente para neutralizar productos de seguridad endpoint populares en el mercado chino. ...

El panorama de ciberamenazas dirigido a usuarios de habla china se ha intensificado con la detección de múltiples campañas de malware. Dos informes recientes destacan la sofisticación de los actores de amenazas que utilizan el troyano de acceso remoto Gh0st RAT, un malware conocido por su versatilidad. Una de las campañas involucra al actor de amenazas conocido como Dragon Breath (también APT-Q-27 o Golden Eye), que utiliza un cargador multifase llamado RONINGLOADER para entregar una variante modificada de Gh0st RAT. Simultáneamente, otra serie de campañas de suplantación de identidad digital a gran escala ha estado distribuyendo el mismo malware. ...

El actor de amenazas PlushDaemon ha sido identificado utilizando una nueva puerta trasera de red basada en Go, denominada EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM). EdgeStepper tiene la capacidad de redirigir todas las consultas DNS a un nodo malicioso externo, desviando el tráfico de la infraestructura legítima de actualizaciones de software hacia infraestructura controlada por los atacantes. Sobre el actor de amenazas PlushDaemon PlushDaemon es un grupo de amenazas alineado con China, activo desde al menos 2018. Se le conoce por dirigir ataques contra entidades en Estados Unidos, Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental. ...

El grupo de amenazas conocido como PlushDaemon ha sido detectado utilizando un nuevo backdoor de red basado en Go, denominado EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM) y secuestrar mecanismos de actualización de software. EdgeStepper, un implante previamente indocumentado, ha sido diseñado para desviar las consultas DNS de las víctimas hacia una infraestructura controlada por los atacantes. Este backdoor permite a PlushDaemon redirigir el tráfico de las actualizaciones legítimas de software a nodos maliciosos, facilitando la entrega de payloads de segunda etapa. ...