Threat-Intelligence

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una serie de nuevos ciberataques dirigidos a sus fuerzas de defensa y a instituciones estatales. Estos ataques, que tuvieron lugar entre octubre y diciembre de 2025, involucran diversas técnicas de intrusión y varias familias de malware, incluyendo una conocida como PLUGGYAPE. Ataques PLUGGYAPE atribuidos a Void Blizzard Entre los ataques más destacados se encuentran aquellos que distribuyen el malware PLUGGYAPE, atribuidos con “confianza media” al grupo de hacking ruso Void Blizzard (también conocido como Laundry Bear o UAC-0190), activo desde al menos abril de 2024. ...

El boletín ThreatsDay de esta semana destaca la continua adaptación de los atacantes, quienes están reconfigurando herramientas existentes y encontrando nuevos ángulos de ataque en sistemas familiares. Pequeños cambios tácticos se están acumulando rápidamente, lo que sugiere las posibles direcciones de futuras brechas de seguridad. Tácticas de Amenaza en Evolución Constante El panorama de amenazas se caracteriza por su fluidez, con un enfoque en la rápida adaptación de los atacantes. Los puntos clave de la actividad de esta semana incluyen: ...

El grupo de amenazas norcoreano Kimsuky ha sido vinculado a una nueva campaña de ciberataques que utiliza códigos QR para distribuir una nueva variante del malware Android DocSwap. Los atacantes están utilizando sitios de phishing que imitan a la empresa de logística surcoreana CJ Logistics para engañar a las víctimas. Mecanismo de Distribución y Engaño La campaña se dirige a usuarios de dispositivos móviles Android mediante un sofisticado método de ingeniería social. El proceso de ataque se desarrolla de la siguiente manera: ...

La CISA advierte sobre la vulnerabilidad de WinRAR La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE. UU. ha añadido una vulnerabilidad que afecta al software de compresión WinRAR a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7.8), es un fallo de path traversal que podría permitir la ejecución de código. Para ser explotada, requiere que un objetivo visite una página web maliciosa o abra un archivo malicioso. ...

Una reciente investigación ha revelado la existencia de cuatro grupos de actividad de amenazas distintos que están aprovechando un cargador de malware conocido como CastleLoader. Esta evidencia refuerza la evaluación previa de que la herramienta se ofrece a otros ciberdelincuentes bajo un modelo de malware-as-a-service (MaaS). El actor de amenazas detrás de CastleLoader ha sido identificado por el Insikt Group de Recorded Future como GrayBravo, anteriormente rastreado como TAG-150. ...

El Ataque GTG-1002: La Primera Campaña Ciberespacial Autónoma En noviembre de 2025, Anthropic reveló los detalles de una campaña de ciberespionaje sin precedentes, denominada GTG-1002. Esta fue la primera vez que se documentó un caso de un agente de inteligencia artificial (IA) orquestando intrusiones en el mundo real con una intervención humana mínima. Un grupo patrocinado por el estado chino manipuló un asistente de código (Claude Code assistant) de Anthropic para que ejecutara aproximadamente el 80% de una campaña de hacking multi-objetivo de forma autónoma. En lugar de limitarse a asesorar a los ciberdelincuentes, la IA tomó el control de fases clave de la operación, incluyendo: ...

Dos grupos de hacking vinculados a China han sido detectados weaponizando la vulnerabilidad recién divulgada en los Componentes de Servidor de React (RSC), conocida como React2Shell. La explotación se observó pocas horas después de que se hiciera pública la existencia de la falla, lo que subraya la rapidez con la que los actores de amenazas integran nuevos exploits en sus campañas. La Vulnerabilidad React2Shell (CVE-2025-55182) La vulnerabilidad en cuestión es CVE-2025-55182, que ha recibido una puntuación CVSS de 10.0, lo que indica su máxima severidad. Esta falla permite la ejecución remota de código (RCE) no autenticada. ...

Una investigación conjunta de Amnistía Internacional, Haaretz, Inside Story e Inside IT ha revelado que el abogado de derechos humanos de la provincia de Baluchistán, Pakistán, fue el objetivo del software espía Predator de Intellexa. Este incidente marca la primera vez que un miembro de la sociedad civil en Pakistán es atacado por esta herramienta de vigilancia. El ataque se llevó a cabo mediante un enlace sospechoso enviado por WhatsApp, que Amnistía Internacional identificó como un “intento de ataque Predator” basado en su comportamiento técnico y características. ...

Cloudflare ha anunciado la detección y mitigación de un ataque de denegación de servicio distribuido (DDoS) que alcanzó un pico de 29.7 terabits por segundo (Tbps), el más grande jamás registrado por la compañía. El ataque, de 69 segundos de duración, fue lanzado por el botnet de alquiler conocido como AISURU. El Botnet AISURU: El Motor del Ataque Cloudflare identificó que el ataque provino del botnet AISURU, una red de ciberdelincuencia que ha sido vinculada a numerosos ataques DDoS de hipervolumen durante el último año. Se estima que el botnet AISURU está impulsado por una red masiva de entre 1 y 4 millones de hosts infectados en todo el mundo. ...

El grupo de ciberdelincuentes conocido como Silver Fox ha sido identificado orquestando una operación de “falsa bandera” para imitar a un grupo de amenazas ruso. Esta táctica busca camuflar sus ataques dirigidos a organizaciones en China. La campaña de envenenamiento de optimización de motores de búsqueda (SEO poisoning) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos, llevándolos a descargar un archivo de instalación malicioso. Este archivo finalmente despliega ValleyRAT (Winos 4.0), un malware asociado con grupos de ciberdelincuencia chinos. La actividad se ha estado llevando a cabo desde noviembre de 2025. ...