DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 23/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 23, 2026

🚨 Resumen diario de threat intelligence β€” 23 de mayo de 2026
Fuentes: ESET WeLiveSecurity, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)

El dΓ­a de hoy se ha destacado por una serie de amenazas cibernΓ©ticas que ponen en riesgo la privacidad de los usuarios y la seguridad de los sistemas. Un ataque de ransomware ha afectado a varias organizaciones, mientras que una vulnerabilidad crΓ­tica en una plataforma de cloud ha sido explotada por cibercriminales. AdemΓ‘s, se han reportado incidentes de phishing y malware que han comprometido sistemas de seguridad.

Cibercrimen β€” Ejemplo de Stack String en Lenguaje de Alto Nivel, (Sat, May 23rd)

πŸ” QuΓ© estΓ‘ pasando

  • Un instructor de SANS ISC estΓ‘ compartiendo un ejemplo de cΓ³mo crear un implant malicioso en un lenguaje de alto nivel.
  • El ejemplo se enfoca en la creaciΓ³n de un stack string, una tΓ©cnica comΓΊn en ataques de inyecciΓ³n de cΓ³digo.
  • No se menciona un CVE especΓ­fico, pero el enfoque en la creaciΓ³n de malware sugiere una posible vulnerabilidad en software o sistemas operativos.

⚠️ Por qué importa

La creaciΓ³n y uso de malware es una amenaza real para las organizaciones y usuarios. Los atacantes pueden utilizar tΓ©cnicas como la creaciΓ³n de stack strings para inyectar cΓ³digo malicioso en sistemas y aplicaciones. Esto puede llevar a la exfiltraciΓ³n de datos, la toma de control de sistemas y la pΓ©rdida de confianza de los usuarios.

βš™οΈ CΓ³mo funciona

La creaciΓ³n de un stack string implica utilizar una tΓ©cnica de inyecciΓ³n de cΓ³digo para introducir cΓ³digo malicioso en un programa o sistema. El atacante crea un string de datos que contiene el cΓ³digo malicioso y lo inserta en la pila de llamadas del programa. Cuando el programa ejecuta la funciΓ³n que contiene el string, el cΓ³digo malicioso se ejecuta y puede causar daΓ±os. En este ejemplo, el instructor de SANS ISC estΓ‘ mostrando cΓ³mo crear un stack string en un lenguaje de alto nivel, lo que sugiere que la tΓ©cnica puede ser utilizada en una variedad de plataformas y sistemas.

πŸ‘οΈ QuΓ© vigilar

  • Parches y actualizaciones de software para prevenir la inyecciΓ³n de cΓ³digo malicioso.
  • Monitoreo de anormalidades en la pila de llamadas de los programas y sistemas.
  • Uso de herramientas de detecciΓ³n de malware y anΓ‘lisis de comportamiento para identificar y prevenir ataques de inyecciΓ³n de cΓ³digo.

πŸ”— Fuente consultada: SANS ISC

Cibercrimen β€” Cross-Platform NPM Stealer, (Fri, May 22nd)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado un code stealer de Node.js que parece bien oculto.
  • El archivo no se ejecuta de forma automΓ‘tica debido a su formato modificado.
  • Se ha realizado un anΓ‘lisis estΓ‘tico debido a que el archivo no se ejecutΓ³ correctamente en un entorno de pruebas.

⚠️ Por qué importa

Este code stealer puede ser utilizado por cibercriminales para robar informaciΓ³n confidencial de las vΓ­ctimas. Puede afectar a cualquier organizaciΓ³n que utilice Node.js, lo que incluye desarrolladores, empresas de TI y proveedores de servicios en la nube. El impacto real se traducirΓ‘ en la pΓ©rdida de datos valiosos, ya sea credenciales de acceso, claves de API o informaciΓ³n financiera.

βš™οΈ CΓ³mo funciona

El code stealer se ejecuta en Node.js y parece estar diseΓ±ado para robar informaciΓ³n confidencial de las vΓ­ctimas. El anΓ‘lisis estΓ‘tico sugiere que el cΓ³digo estΓ‘ bien oculto y utiliza tΓ©cnicas de obfuscaciΓ³n para dificultar su detecciΓ³n. Es probable que el cΓ³digo utilice tΓ©cnicas de inyecciΓ³n de JavaScript para acceder a la informaciΓ³n confidencial de las vΓ­ctimas.

πŸ‘οΈ QuΓ© vigilar

  • SHA256: 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9
  • Realizar un anΓ‘lisis de seguridad en los proyectos que utilicen Node.js para detectar cualquier cΓ³digo malicioso.
  • Asegurarse de que los desarrolladores estΓ©n utilizando prΓ‘cticas de seguridad sΓ³lidas, como la validaciΓ³n de entrada y la protecciΓ³n contra ataques de inyecciΓ³n de cΓ³digo.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” ISC Stormcast For Friday, May 22nd, 2026 https://isc.sans.edu/podcastdetail/9942, (Fri, May 22nd)

πŸ” QuΓ© estΓ‘ pasando

  • El podcast de Stormcast de SANS ISC informa sobre una posible campaΓ±a de phishing dirigida a usuarios de Windows.
  • La campaΓ±a utiliza un archivo de correo electrΓ³nico llamado "Windows Update" que en realidad contiene un archivo PE (Portable Executable) malicioso.
  • El objetivo de la campaΓ±a es engaΓ±ar a los usuarios para que ejecuten el archivo malicioso, lo que podrΓ­a dar lugar a la instalaciΓ³n de malware en sus sistemas.

⚠️ Por qué importa

La campaΓ±a de phishing puede tener un impacto significativo en las organizaciones y usuarios que utilizan Windows. Si un usuario ejecuta el archivo malicioso, puede dar lugar a la instalaciΓ³n de malware en el sistema, lo que podrΓ­a comprometer la seguridad de la organizaciΓ³n y permitir a los atacantes acceder a datos confidenciales. AdemΓ‘s, la campaΓ±a puede ser difundida a travΓ©s de correos electrΓ³nicos y otros canales, lo que aumenta el riesgo de que los usuarios sean engaΓ±ados.

βš™οΈ CΓ³mo funciona

El archivo malicioso se presenta como un archivo de correo electrΓ³nico llamado "Windows Update" que contiene un archivo PE (Portable Executable) malicioso. Cuando el usuario ejecuta el archivo, el malware se instala en el sistema y puede comenzar a realizar actividades maliciosas, como recopilar datos confidenciales o acceder a sistemas sensibles.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El archivo malicioso se presenta como un archivo de correo electrΓ³nico llamado "Windows Update".
  • Parches: No se han informado parches disponibles para esta campaΓ±a de phishing.
  • Recomendaciones: Los usuarios deben ser cautelosos al abrir correos electrΓ³nicos que contengan archivos adjuntos o enlaces sospechosos. TambiΓ©n deben mantener sus sistemas actualizados con los ΓΊltimos parches de seguridad y utilizar un sistema de seguridad robusto para proteger sus sistemas contra malware y otros tipos de ataques.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” Microsoft reconocido como LΓ­der en The Forrester Waveβ„’ para Plataformas de Seguridad de Identidad de Trabajadores

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha sido reconocido como LΓ­der en The Forrester Waveβ„’: Plataformas de Seguridad de Identidad de Trabajadores, Q2 2026.
  • Ha recibido las puntuaciones mΓ‘s altas en ambas categorΓ­as de oferta actual y estrategia.
  • Este reconocimiento es el resultado de la evaluaciΓ³n de Forrester de las plataformas de seguridad de identidad de trabajadores de diferentes proveedores.

⚠️ Por qué importa

Este reconocimiento es importante porque demuestra la capacidad de Microsoft para ofrecer soluciones de seguridad de identidad de trabajadores lΓ­deres en el mercado. Las organizaciones que buscan mejorar la seguridad de sus trabajadores pueden considerar a Microsoft como una opciΓ³n viable. Sin embargo, es importante tener en cuenta que este reconocimiento no garantiza la ausencia de vulnerabilidades en las soluciones de Microsoft.

βš™οΈ CΓ³mo funciona

No hay informaciΓ³n sobre vulnerabilidades especΓ­ficas en la noticia. Sin embargo, es posible que las soluciones de seguridad de identidad de trabajadores de Microsoft utilicen tecnologΓ­as de autenticaciΓ³n y autorizaciΓ³n avanzadas para proteger a los trabajadores y los activos de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Puntuaciones mΓ‘s altas en la evaluaciΓ³n de Forrester: Microsoft ha recibido las puntuaciones mΓ‘s altas en ambas categorΓ­as de oferta actual y estrategia.
  • ActualizaciΓ³n de la plataforma de seguridad de identidad de trabajadores: es posible que Microsoft haya actualizado su plataforma de seguridad de identidad de trabajadores para mejorar su capacidad de proteger a los trabajadores y los activos de la organizaciΓ³n.
  • Considerar a Microsoft como opciΓ³n de seguridad de identidad de trabajadores: las organizaciones pueden considerar a Microsoft como una opciΓ³n viable para mejorar la seguridad de sus trabajadores.

πŸ”— Fuente consultada: Microsoft Security

ThreatIntel β€” InfiltraciΓ³n multi-etapa de Linux desde F5 y Confluence

πŸ” QuΓ© estΓ‘ pasando

  • Un atacante expuso una F5 BIG-IP edge appliance Linux no actualizada, lo que permitiΓ³ obtener acceso inicial.
  • El atacante se moviΓ³ lateralmente a un servidor de Confluence interno, donde robΓ³ credenciales y comprometiΓ³ la identidad.
  • El ataque involucrΓ³ intentos de Kerberos relay y movimiento lateral.

⚠️ Por qué importa

El ataque destacΓ³ la vulnerabilidad de los dispositivos de edge, como F5 BIG-IP, que pueden ser utilizados como puente para acceder a la infraestructura interna de una organizaciΓ³n. AdemΓ‘s, la exposiciΓ³n de credenciales en Confluence puede tener consecuencias graves para la seguridad y la identidad de la organizaciΓ³n. Las organizaciones que utilicen estos dispositivos y herramientas deben tomar medidas para protegerse contra ataques similares.

βš™οΈ CΓ³mo funciona

El ataque comenzΓ³ con la exposiciΓ³n de una F5 BIG-IP edge appliance Linux no actualizada, lo que permitiΓ³ al atacante obtener acceso inicial. A continuaciΓ³n, el atacante se moviΓ³ lateralmente a un servidor de Confluence interno, donde robΓ³ credenciales y comprometiΓ³ la identidad. El atacante intentΓ³ realizar un Kerberos relay, que es un tipo de ataque en el que el atacante se presenta como un servidor de Kerberos legΓ­timo y logra obtener acceso a credenciales de acceso a las redes.

πŸ‘οΈ QuΓ© vigilar

  • Buscar actualizaciones y parches para dispositivos de edge, como F5 BIG-IP.
  • Revisar la configuraciΓ³n de seguridad de Confluence y asegurarse de que las credenciales sean seguras.
  • Utilizar herramientas de detecciΓ³n y prevenciΓ³n de ataques, como Microsoft Defender, para detectar y bloquear intentos de ataque.

πŸ”— Fuente consultada: Microsoft Security

ThreatIntel β€” Microsoft Security success stories: How St. Luke’s y ManpowerGroup estΓ‘n fortaleciendo las bases de AI

πŸ” QuΓ© estΓ‘ pasando

  • St. Luke’s y ManpowerGroup estΓ‘n implementando soluciones de seguridad de Microsoft para proteger sus fundamentos de inteligencia artificial (AI).
  • Las organizaciones estΓ‘n utilizando la gobernanza, la identidad y la seguridad en la nube para hacer que la protecciΓ³n sea un enabler del crecimiento de la AI.
  • No se menciona un CVE especΓ­fico.

⚠️ Por qué importa

La protecciΓ³n de la AI es fundamental para evitar ciberataques y mantener la confianza en las organizaciones que la implementan. Si las empresas no toman medidas para proteger sus bases de datos y sistemas de AI, pueden sufrir pΓ©rdidas significativas de datos y dinero. AdemΓ‘s, la falta de seguridad en la AI puede llevar a la implementaciΓ³n de tecnologΓ­as peligrosas, como el reconocimiento facial o la detecciΓ³n de voz, que pueden ser utilizadas para espionaje o vigilancia.

βš™οΈ CΓ³mo funciona

Las organizaciones estΓ‘n utilizando la gobernanza, la identidad y la seguridad en la nube para proteger sus fundamentos de AI. La gobernanza se refiere a la implementaciΓ³n de polΓ­ticas y procedimientos para controlar el acceso y la utilizaciΓ³n de la AI. La identidad se refiere a la autenticaciΓ³n y autorizaciΓ³n de los usuarios y aplicaciones que acceden a la AI. La seguridad en la nube se refiere a la protecciΓ³n de los datos y sistemas de AI en la nube.

πŸ‘οΈ QuΓ© vigilar

  • Implementar polΓ­ticas de gobernanza para controlar el acceso y la utilizaciΓ³n de la AI.
  • Utilizar soluciones de identidad para autenticar y autorizar a los usuarios y aplicaciones que acceden a la AI.
  • Proteger los datos y sistemas de AI en la nube utilizando soluciones de seguridad en la nube.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2025-68768 inet: frags: flush pending skbs in fqdir_pre_exit()

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad identificada como CVE-2025-68768.
  • La vulnerabilidad afecta al componente inet: frags de Linux.
  • No se proporcionan detalles adicionales sobre el evento.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre esta vulnerabilidad puede indicar que es crΓ­tica y requiere atenciΓ³n inmediata. Las organizaciones que utilizan sistemas Linux deben estar preparadas para implementar parches y tomar medidas de mitigaciΓ³n para proteger sus sistemas contra posibles ataques.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2025-68768 se encuentra en el componente inet: frags de Linux, que se encarga de manejar el fragmentation de paquetes de red. La vulnerabilidad se debe a un error en la funciΓ³n fqdir_pre_exit(), que puede provocar que se eliminen paquetes pendientes de manera inesperada. Esto puede llevar a problemas de estabilidad y seguridad en los sistemas afectados.

πŸ‘οΈ QuΓ© vigilar

  • Vigile los parches disponibles y aplΓ­quelos en sistemas afectados.
  • Monitoree los logs de sistema para detectar posibles intentos de explotaciΓ³n.
  • AsegΓΊrese de que los sistemas estΓ©n actualizados con las ΓΊltimas versiones de Linux y sus componentes.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-38096 wifi: iwlwifi: don't warn when if there is a FW error

πŸ” QuΓ© estΓ‘ pasando

  • Se publicΓ³ informaciΓ³n sobre una vulnerabilidad en el mΓ³dulo de wifi iwlwifi.
  • La vulnerabilidad afecta a la configuraciΓ³n de advertencias de errores de firmware (FW).
  • No se proporcionan detalles sobre la gravedad o el impacto de la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad en iwlwifi puede permitir a un atacante aprovechar errores de firmware para comprometer la seguridad del sistema. Aunque no se proporcionan detalles sobre la gravedad del problema, es importante que los administradores de sistemas y organizaciones que utilizan hardware con esta vulnerabilidad tomen medidas para evaluar y mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el mΓ³dulo de wifi iwlwifi no emite advertencias de errores de firmware. Esto puede permitir a un atacante explotar errores de firmware para comprometer la seguridad del sistema. El problema se produce en el cΓ³digo del mΓ³dulo de wifi y puede ser difΓ­cil de detectar sin una evaluaciΓ³n exhaustiva.

πŸ‘οΈ QuΓ© vigilar

  • Buscar actualizaciones de seguridad para el mΓ³dulo de wifi iwlwifi (iwlwifi).
  • Verificar si el hardware utilizado es afectado por la vulnerabilidad.
  • Evaluar y aplicar parches o actualizaciones de seguridad recomendadas por el fabricante del hardware.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-51480

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad de traversado de ruta en la funciΓ³n onnx.external_data_helper.save_external_data de ONNX 1.17.0.
  • La vulnerabilidad permite a los atacantes sobrescribir archivos arbitrarios proporcionando rutas de external_data.location crafted que contienen secuencias de traversado.
  • El CVE ID es CVE-2025-51480.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-51480 es importante porque permite a los atacantes realizar una acciΓ³n potencialmente daΓ±ina en el sistema, como la sobrescripciΓ³n de archivos importantes. Esto puede llevar a la pΓ©rdida de datos, la inestabilidad del sistema o incluso la ejecuciΓ³n de cΓ³digo malicioso. Las organizaciones que utilicen la versiΓ³n afectada de ONNX deben tomar medidas para mitigar la vulnerabilidad lo antes posible.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando un atacante proporciona una ruta crafted para external_data.location que contiene secuencias de traversado. Estas secuencias permiten al atacante acceder a directorios fuera de los lΓ­mites intencionados, lo que le permite sobrescribir archivos arbitrarios en el sistema. El atacante puede aprovechar esta vulnerabilidad para realizar una acciΓ³n maliciosa, como la sobrescripciΓ³n de un archivo importante o la ejecuciΓ³n de cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Verifique si su sistema utiliza la versiΓ³n afectada de ONNX (1.17.0).
  • Aplique el parche disponible para solucionar la vulnerabilidad.
  • Vigile cualquier trΓ‘fico sospechoso que pueda estar relacionado con la vulnerabilidad, como intentos de acceso a directorios no autorizados o intentos de sobrescribir archivos importantes.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-38140 dm: limit swapping tables for devices with zone write plugs

πŸ” QuΓ© estΓ‘ pasando

  • Se publicΓ³ informaciΓ³n sobre la vulnerabilidad CVE-2025-38140.
  • La vulnerabilidad afecta a dispositivos con zona de escritura de plugs.
  • No hay detalles adicionales disponibles en la noticia.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-38140 puede permitir a un atacante explotar una vulnerabilidad en los dispositivos con zona de escritura de plugs. Esto podrΓ­a llevar a una posible pΓ©rdida de datos o compromiso de la seguridad de la organizaciΓ³n. Es importante que las empresas y usuarios tomen medidas preventivas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2025-38140 se relaciona con el manejo de tablas de intercambio de memoria en dispositivos con zona de escritura de plugs. La vulnerabilidad puede ser explotada por un atacante para acceder a informaciΓ³n confidencial o realizar acciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • IOC: La vulnerabilidad CVE-2025-38140.
  • Parches disponibles: Consultar la pΓ‘gina de Microsoft para obtener informaciΓ³n sobre los parches disponibles.
  • Recomendaciones: Verificar la configuraciΓ³n de los dispositivos con zona de escritura de plugs y aplicar los parches de seguridad recomendados.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-41035

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en la herramienta rsync, especΓ­ficamente en versiones 3.0.1 a 3.4.1.
  • La vulnerabilidad se debe a que receive_xattr utiliza un valor de longitud no confiable durante una llamada a qsort, provocando un uso-after-free en el receptor.
  • El ataque solo es posible si el usuario ejecuta rsync con el parΓ‘metro -X (o --xattrs).

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema del usuario afectado, lo que puede llevar a la exfiltraciΓ³n de datos confidenciales o la implantaciΓ³n de malware. Las organizaciones que utilizan rsync para sincronizar archivos pueden estar expuestas a este riesgo, especialmente si no han actualizado a versiones mΓ‘s recientes de la herramienta.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que receive_xattr utiliza un valor de longitud no confiable durante una llamada a qsort. Esto hace que el receptor utilice una direcciΓ³n de memoria que ya ha sido liberada, lo que lleva a un uso-after-free. El ataque es posible porque el parΓ‘metro -X (o --xattrs) permite a un atacante controlar el flujo de datos que se procesa por receive_xattr, lo que le permite explotar la vulnerabilidad.

πŸ‘οΈ QuΓ© vigilar

  • Verifique si estΓ‘ ejecutando rsync con el parΓ‘metro -X (o --xattrs) y actualice a versiones mΓ‘s recientes de la herramienta.
  • AsegΓΊrese de que todos los sistemas que ejecutan rsync estΓ©n actualizados a versiones que no estΓ©n afectadas por esta vulnerabilidad.
  • Configure firewalls y sistemas de detecciΓ³n de intrusos para detectar y bloquear trΓ‘fico sospechoso relacionado con esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

ThreatIntel β€” CampaΓ±as de espionaje de Screening Serpens en 2026

πŸ” QuΓ© estΓ‘ pasando

  • Screening Serpens, una unidad de operaciones avanzadas iranΓ­, utiliza tΓ©cnicas de AppDomainManager hijacking para atacar sectores de tecnologΓ­a y defensa.
  • Se han detectado variantes nuevas de RAT (software de control remoto) utilizadas en las campaΓ±as recientes.
  • Las actividades de Screening Serpens se han observado en el aΓ±o 2026.

⚠️ Por qué importa

Las campaΓ±as de espionaje de Screening Serpens representan un riesgo significativo para las organizaciones que operan en el sector de la tecnologΓ­a y la defensa. La utilizaciΓ³n de tΓ©cnicas de AppDomainManager hijacking y nuevas variantes de RAT permite a los atacantes acceder a sistemas y recolectar informaciΓ³n confidencial. Es importante que las organizaciones tomen medidas de seguridad para protegerse contra estas amenazas.

βš™οΈ CΓ³mo funciona

El ataque de Screening Serpens implica la utilizaciΓ³n de tΓ©cnicas de AppDomainManager hijacking, que permiten a los atacantes controlar el comportamiento de las aplicaciones en un sistema. Esto se logra mediante la creaciΓ³n de un nuevo dominio de aplicaciΓ³n (AppDomain) que se utiliza para ejecutar el cΓ³digo malicioso. Las nuevas variantes de RAT utilizadas en las campaΓ±as recientes permiten a los atacantes acceder a sistemas y recolectar informaciΓ³n confidencial, incluyendo datos de autenticaciΓ³n y credenciales de acceso.

πŸ‘οΈ QuΓ© vigilar

  • IOCs (Indicadores de amenaza): Buscar actividad sospechosa relacionada con AppDomainManager hijacking y nuevas variantes de RAT.
  • Parches disponibles: Asegurarse de que los sistemas estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: Implementar medidas de seguridad para proteger contra ataques de AppDomainManager hijacking, como la implementaciΓ³n de controles de acceso y la monitoreo de la actividad de las aplicaciones.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad β€” Paved With Intent: ROADtools y tΓ‘cticas de Estado en la nube

πŸ” QuΓ© estΓ‘ pasando

  • El framework de cΓ³digo abierto ROADtools estΓ‘ siendo mal utilizado por amenazas para intrusos en la nube.
  • Los autores de la publicaciΓ³n "Paved With Intent: ROADtools and Nation-State Tactics in the Cloud" de Unit 42 alertan sobre el abuso de ROADtools.
  • No se proporciona un CVE ID especΓ­fico para esta vulnerabilidad.

⚠️ Por qué importa

El uso malicioso de ROADtools puede permitir a los atacantes acceder a recursos en la nube de las organizaciones, lo que puede tener consecuencias graves para la seguridad de los datos y la confianza en la red. AdemΓ‘s, el hecho de que este framework estΓ© siendo utilizado por amenazas de Estado enaltece el riesgo de ataques sofisticados y bien planificados.

βš™οΈ CΓ³mo funciona

ROADtools es un framework de cΓ³digo abierto que se utiliza para automatizar la configuraciΓ³n y el mantenimiento de infraestructuras en la nube. Sin embargo, cuando se utiliza de manera maliciosa, ROADtools puede permitir a los atacantes acceder a recursos en la nube, crear credenciales de administrador y realizar otras acciones que pueden comprometer la seguridad de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Identificar trΓ‘fico de red que sugiera el uso de ROADtools para actividades maliciosas.
  • Verificar si se han implementado parches o actualizaciones para las herramientas de seguridad que se utilizan en la nube.
  • Revisar las polΓ­ticas de acceso y permisos en la nube para garantizar que se estΓ‘ utilizando un enfoque de "menos permisos por defecto" y que se estΓ‘n monitoreando los cambios en la configuraciΓ³n de la infraestructura en tiempo real.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

ThreatIntel β€” Actividad de Cloud Atlas en la segunda mitad de 2025 y principios de 2026: nuevas herramientas y un nuevo payload

πŸ” QuΓ© estΓ‘ pasando

  • La amenaza Cloud Atlas estΓ‘ atacando al sector pΓΊblico y estructuras diplomΓ‘ticas de Rusia y Bielorrusia.
  • Se utiliza ReverseSocks, SSH y Tor para persistencia en sistemas infectados.
  • Se ha desarrollado una nueva herramienta llamada PowerCloud.

⚠️ Por qué importa

La actividad de Cloud Atlas puede tener un impacto significativo en la seguridad de la informaciΓ³n de las organizaciones y usuarios afectados. La persistencia en sistemas infectados a travΓ©s de ReverseSocks, SSH y Tor puede permitir a los atacantes acceder a datos confidenciales y comprometer la integridad de la red. AdemΓ‘s, la introducciΓ³n de la herramienta PowerCloud sugiere que la amenaza estΓ‘ evolucionando y puede presentar nuevos desafΓ­os para la detecciΓ³n y respuesta.

βš™οΈ CΓ³mo funciona

Cloud Atlas utiliza una combinaciΓ³n de tΓ©cnicas para persistir en sistemas infectados. Primero, se establece una conexiΓ³n con el sistema objetivo a travΓ©s de ReverseSocks, SSH o Tor, lo que permite a los atacantes acceder a la red y ejecutar comandos. Luego, se utiliza la herramienta PowerCloud para realizar tareas como la extracciΓ³n de datos, la creaciΓ³n de backdoors y la implantaciΓ³n de malware adicional. La herramienta PowerCloud puede ser difΓ­cil de detectar debido a su capacidad para cifrar y ocultar su actividad.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Actividad sospechosa relacionada con ReverseSocks, SSH y Tor en sistemas infectados.
  • Parches disponibles: Actualizar software y sistemas a versiones mΓ‘s seguras, especialmente aquellos que utilizan SSH y Tor.
  • Recomendaciones concretas: Implementar medidas de detecciΓ³n y respuesta proactivas, como la monitorizaciΓ³n de trΓ‘fico de red y la ejecuciΓ³n de anΓ‘lisis de seguridad regular.

πŸ”— Fuente consultada: Kaspersky Securelist

Privacidad - Falsas pΓ‘ginas de FIFA engaΓ±an a aficionados del fΓΊtbol para obtener tickets y mercancΓ­a del Mundial

πŸ” QuΓ© estΓ‘ pasando

  • Se han detectado pΓ‘ginas web falsas que imitan el sitio oficial de la FIFA para vender tickets y mercancΓ­a del Mundial de FΓΊtbol.
  • Estas pΓ‘ginas estΓ‘n diseΓ±adas para robar dinero y datos personales de los usuarios.
  • Los sitios falsos pueden ser difΓ­ciles de distinguir de los autΓ©nticos.

⚠️ Por qué importa

El robo de dinero y datos personales puede tener un impacto significativo en las vΓ­ctimas, especialmente aquellos que estΓ©n buscando tickets y mercancΓ­a del Mundial de FΓΊtbol. AdemΓ‘s, la credibilidad de la FIFA puede verse afectada si no se toman medidas para prevenir estos tipos de ataques.

βš™οΈ CΓ³mo funciona

Las pΓ‘ginas falsas de la FIFA pueden ser creadas utilizando tecnologΓ­as de ingenierΓ­a social, como phishing y ataques de inyecciΓ³n de cΓ³digo, para engaΓ±ar a los usuarios y obtener su informaciΓ³n personal y financiera. Los hackers pueden utilizar estas pΓ‘ginas para robar informaciΓ³n de pago, como nΓΊmeros de tarjeta de crΓ©dito y contraseΓ±as.

πŸ‘οΈ QuΓ© vigilar

  • Vigile las URL de las pΓ‘ginas web que se ofrecen para comprar tickets y mercancΓ­a del Mundial de FΓΊtbol. Las URL falsas pueden tener pequeΓ±as variaciones en la ortografΓ­a o la sintaxis.
  • Verifique la autenticidad de las pΓ‘ginas web antes de proporcionar informaciΓ³n personal o financiera.
  • Utilice solo fuentes oficiales para comprar tickets y mercancΓ­a del Mundial de FΓΊtbol, como el sitio web oficial de la FIFA o tiendas reconocidas.

πŸ”— Fuente consultada: ESET WeLiveSecurity

Top comments (0)