Threat-Intelligence

Microsoft ha corregido silenciosamente una vulnerabilidad de seguridad que ha sido explotada por múltiples actores de amenazas desde 2017. La corrección se incluyó en las actualizaciones de Patch Tuesday de noviembre de 2025. La vulnerabilidad, rastreada como CVE-2025-9491 (puntuación CVSS: 7.8/7.0), es un fallo de “malinterpretación de la interfaz de usuario de archivos de acceso directo (LNK) de Windows” que podría conducir a la ejecución remota de código. ...

Los kits de phishing suelen tener firmas distintivas en sus métodos de entrega e infraestructura, lo que facilita la atribución. Sin embargo, analistas han observado recientemente una superposición entre dos kits de phishing como Salty2FA y Tycoon2FA, marcando un cambio significativo que complica la detección. ANY.RUN observó una caída repentina en la actividad de Salty2FA, seguida de la aparición de indicadores de Tycoon2FA dentro de las cadenas de ataque de Salty. Finalmente, se detectaron cargas útiles únicas que combinaban código de ambos frameworks. Esta convergencia debilita las reglas de detección específicas de cada kit y ofrece a los actores de amenazas más margen para evadir la detección temprana. ...

Los actores de amenazas norcoreanos responsables de la campaña “Contagious Interview” han inundado el registro npm con 197 paquetes maliciosos adicionales desde el mes pasado. Según un análisis de Socket, estos paquetes han acumulado más de 31,000 descargas y están diseñados para distribuir una variante de OtterCookie que combina características de BeaverTail y versiones anteriores de OtterCookie. Mecanismo de Infección y Capacidades del Malware El malware, una vez ejecutado, realiza varias acciones de evasión, perfila la máquina comprometida y establece un canal de comando y control (C2). Este canal proporciona a los atacantes una shell remota y capacidades de robo de datos, que incluyen: ...

Investigadores de seguridad de Ontinue han descubierto un “punto ciego entre inquilinos” en Microsoft Teams que permite a los atacantes eludir las protecciones de Microsoft Defender for Office 365 mediante la función de acceso de invitados. El problema radica en que cuando un usuario opera como invitado en un inquilino externo, sus protecciones de seguridad son determinadas completamente por el entorno de alojamiento, y no por las políticas de seguridad de su organización de origen. Esta brecha arquitectónica fundamental abre la puerta a escenarios de ataque donde los usuarios se convierten en invitados desprotegidos en un entorno malicioso controlado por el atacante. ...

Actores de amenazas vinculados al grupo RomCom han sido observados utilizando el cargador JavaScript SocGholish para entregar el Mythic Agent a una empresa de ingeniería civil con sede en Estados Unidos. Este evento marca la primera vez que se detecta un payload de RomCom distribuido a través de SocGholish. El ataque ha sido atribuido con confianza media-alta a la Unidad 29155 de la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU). La entidad objetivo es una empresa que había trabajado previamente para una ciudad con estrechos lazos con Ucrania. ...