Malware Analysis

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una serie de nuevos ciberataques dirigidos a sus fuerzas de defensa y a instituciones estatales. Estos ataques, que tuvieron lugar entre octubre y diciembre de 2025, involucran diversas técnicas de intrusión y varias familias de malware, incluyendo una conocida como PLUGGYAPE. Ataques PLUGGYAPE atribuidos a Void Blizzard Entre los ataques más destacados se encuentran aquellos que distribuyen el malware PLUGGYAPE, atribuidos con “confianza media” al grupo de hacking ruso Void Blizzard (también conocido como Laundry Bear o UAC-0190), activo desde al menos abril de 2024. ...

¿Qué son los Callbacks TLS? El Thread Local Storage (TLS) es un mecanismo del sistema operativo Windows que permite que cada hilo de un proceso tenga su propia copia de variables específicas. Para soportar esto, los archivos ejecutables PE (Portable Executable) de Windows contienen un directorio TLS (IMAGE_TLS_DIRECTORY). Este directorio no solo describe dónde se almacenan los datos TLS y su tamaño, sino que también incluye una lista de funciones de callback (llamadas de retorno). ...

Una reciente investigación ha revelado la existencia de cuatro grupos de actividad de amenazas distintos que están aprovechando un cargador de malware conocido como CastleLoader. Esta evidencia refuerza la evaluación previa de que la herramienta se ofrece a otros ciberdelincuentes bajo un modelo de malware-as-a-service (MaaS). El actor de amenazas detrás de CastleLoader ha sido identificado por el Insikt Group de Recorded Future como GrayBravo, anteriormente rastreado como TAG-150. ...

Una investigación conjunta de Amnistía Internacional, Haaretz, Inside Story e Inside IT ha revelado que el abogado de derechos humanos de la provincia de Baluchistán, Pakistán, fue el objetivo del software espía Predator de Intellexa. Este incidente marca la primera vez que un miembro de la sociedad civil en Pakistán es atacado por esta herramienta de vigilancia. El ataque se llevó a cabo mediante un enlace sospechoso enviado por WhatsApp, que Amnistía Internacional identificó como un “intento de ataque Predator” basado en su comportamiento técnico y características. ...

Los kits de phishing suelen tener firmas distintivas en sus métodos de entrega e infraestructura, lo que facilita la atribución. Sin embargo, analistas han observado recientemente una superposición entre dos kits de phishing como Salty2FA y Tycoon2FA, marcando un cambio significativo que complica la detección. ANY.RUN observó una caída repentina en la actividad de Salty2FA, seguida de la aparición de indicadores de Tycoon2FA dentro de las cadenas de ataque de Salty. Finalmente, se detectaron cargas útiles únicas que combinaban código de ambos frameworks. Esta convergencia debilita las reglas de detección específicas de cada kit y ofrece a los actores de amenazas más margen para evadir la detección temprana. ...