DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 25/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 25, 2026

🚨 Resumen diario de threat intelligence β€” 25 de mayo de 2026
Fuentes: Group-IB, MSRC Microsoft, Mandiant / Google Cloud, SANS ISC, The Hacker News

Hoy, la comunidad de ciberseguridad se enfrenta a una serie de amenazas en constante evoluciΓ³n, desde ataques de ransomware hasta vulnerabilidades crΓ­ticas en la nube. Los cibercriminales estΓ‘n aprovechando las debilidades de la industria para comprometer sistemas y robar datos confidenciales. En este resumen diario, exploraremos las ΓΊltimas tendencias y amenazas en la escena de la ciberseguridad.

Ciberseguridad β€” Microsoft Access VBA, (Mon, May 25th)

πŸ” QuΓ© estΓ‘ pasando

  • Los archivos de Microsoft Access pueden contener cΓ³digo VBA (Visual Basic para Aplicaciones).
  • Esto permite la ejecuciΓ³n de scripts maliciosos dentro de la base de datos.
  • Puede ser utilizado por atacantes para infiltrarse en la red y causar daΓ±os.

⚠️ Por qué importa

La inclusiΓ³n de cΓ³digo VBA en archivos de Microsoft Access puede ser un punto dΓ©bil significativo para las organizaciones que utilizan esta herramienta. Si un archivo malicioso es abierto, puede permitir a un atacante ejecutar cΓ³digo malicioso en la base de datos, lo que puede llevar a la exfiltraciΓ³n de datos confidenciales, la instalaciΓ³n de malware o incluso la toma del control del sistema.

βš™οΈ CΓ³mo funciona

El cΓ³digo VBA se puede utilizar para crear scripts que interactΓΊen con la base de datos de Microsoft Access, lo que puede incluir la lectura y escritura de datos, la creaciΓ³n de objetos y la ejecuciΓ³n de procedimientos. Si un atacante puede inyectar cΓ³digo VBA malicioso en una base de datos, puede utilizar este cΓ³digo para realizar acciones maliciosas, como la exfiltraciΓ³n de datos o la instalaciΓ³n de malware.

πŸ‘οΈ QuΓ© vigilar

  • Verifique que los archivos de Microsoft Access sean escaneados por un antivirus antes de abrirlos.
  • Establezca polΓ­ticas de seguridad en la organizaciΓ³n para evitar la ejecuciΓ³n de cΓ³digo VBA en archivos de Microsoft Access.
  • Mantenga actualizado el software de Microsoft Office y Microsoft Access para asegurarse de que cualquier vulnerabilidad conocida estΓ© parcheada.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” TeamPCP Supply Chain Campaign: Actividad hasta 2026-05-24

πŸ” QuΓ© estΓ‘ pasando

  • TeamPCP opera en tres ecosistemas de paquetes en paralelo.
  • Ha comprometido el cΓ³digo interno de GitHub.
  • Ha trojanizado un SDK de Python oficialmente publicado por Microsoft.
  • Ha abierto fuentes de su propio marco de trabajo en GitHub.

⚠️ Por qué importa

La actividad de TeamPCP es un ejemplo claro de una campaΓ±a de suministro de cadena maliciosa que puede comprometer sistemas y datos de organizaciones a travΓ©s de paquetes y dependencias vulnerables. Esto puede llevar a la ejecuciΓ³n de malware, la exfiltraciΓ³n de datos y otros tipos de ataques cibernΓ©ticos. Las organizaciones que utilizan paquetes y dependencias en sus aplicaciones deben estar atentas a esta amenaza y tomar medidas para mitigarla.

βš™οΈ CΓ³mo funciona

TeamPCP opera en tres ecosistemas de paquetes en paralelo, lo que le permite comprometer mΓΊltiples plataformas y sistemas. Al comprometer el cΓ³digo interno de GitHub, puede acceder a informaciΓ³n confidencial y modificar el cΓ³digo de terceros. La trojanizaciΓ³n de un SDK de Python oficialmente publicado por Microsoft es particularmente preocupante, ya que puede comprometer aplicaciones que utilizan ese SDK. Finalmente, abrir fuentes de su propio marco de trabajo puede ser una estrategia para recopilar informaciΓ³n sobre la seguridad de sus vΓ­ctimas.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: TeamPCP opera en tres ecosistemas de paquetes en paralelo, por lo que las organizaciones deben estar atentas a paquetes y dependencias sospechosos en estos ecosistemas.
  • Parches disponibles: Las organizaciones deben asegurarse de que sus paquetes y dependencias estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: Las organizaciones deben realizar revisiones de seguridad exhaustivas de sus paquetes y dependencias, y deben considerar la implementaciΓ³n de herramientas de seguridad de suministro de cadena para ayudar a identificar y mitigar riesgos.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Wireshark 4.6.6 Released, (Sun, May 24th)

πŸ” QuΓ© estΓ‘ pasando

  • Se ha lanzado la versiΓ³n 4.6.6 de Wireshark, que incluye correcciones para una vulnerabilidad y 11 errores.
  • La vulnerabilidad fue identificada como CVE-2023-36651.

⚠️ Por qué importa

La correcciΓ³n de esta vulnerabilidad es importante para las organizaciones que dependen del anΓ‘lisis de trΓ‘fico de red y la depuraciΓ³n de protocolos, ya que una explotaciΓ³n exitosa podrΓ­a permitir la ejecuciΓ³n de cΓ³digo arbitrario. Esto podrΓ­a provocar la pΓ©rdida de datos confidenciales, la exfiltraciΓ³n de datos o la toma del control del sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad identificada en Wireshark 4.6.6 es una vulnerabilidad de ejecuciΓ³n de cΓ³digo remoto (RCE) que se produce cuando el software procesa archivos de captura de trΓ‘fico maliciosos. Un atacante podrΓ­a crear un archivo de captura de trΓ‘fico especΓ­ficamente diseΓ±ado para explotar esta vulnerabilidad y ejecutar cΓ³digo arbitrario en el sistema de la vΓ­ctima.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se ha actualizado a Wireshark 4.6.6 para asegurarse de que se ha aplicado la correcciΓ³n de la vulnerabilidad.
  • Revisar los logs de seguridad para detectar cualquier intento de explotaciΓ³n de la vulnerabilidad.
  • Habilitar la autenticaciΓ³n y autorizaciΓ³n para proteger los archivos de captura de trΓ‘fico y evitar que un atacante acceda a ellos.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” CVE-2026-43029 mptcp: fix soft lockup in mptcp_recvmsg()

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en el mΓ³dulo de protocolo de multiplexaciΓ³n de TCP (mptcp) de Linux.
  • La vulnerabilidad causa un "soft lockup" en la funciΓ³n mptcp_recvmsg().
  • El caso de vulnerabilidad se ha asignado el ID CVE-2026-43029.

⚠️ Por qué importa

La vulnerabilidad en mptcp puede causar un "soft lockup" en el sistema, lo que lleva a una situaciΓ³n en la que el sistema se vuelve inutilizable durante un perΓ­odo prolongado. Esto puede tener consecuencias negativas en la disponibilidad y rendimiento de los servicios y aplicaciones que dependen de la conectividad TCP.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un problema en la funciΓ³n mptcp_recvmsg(), que es responsable de manejar las peticiones de recepciΓ³n de datos en el protocolo de multiplexaciΓ³n de TCP. Cuando una peticiΓ³n de recepciΓ³n de datos se bloquea de manera inesperada, el sistema puede entrar en un estado de "soft lockup", causando una inutilizaciΓ³n temporal de las recursos del sistema.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la disponibilidad de parches para la versiΓ³n afectada de mptcp en Linux.
  • Realizar un anΓ‘lisis de riesgo para determinar si la vulnerabilidad afecta a los sistemas de la organizaciΓ³n.
  • Aplicar los parches disponibles para mitigar la vulnerabilidad y evitar futuros ataques.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-43414 scsi: qla2xxx: Completely fix fcport double free

πŸ” QuΓ© estΓ‘ pasando

  • Ha sido publicada una informaciΓ³n sobre una vulnerabilidad en el mΓ³dulo scsi qla2xxx.
  • La vulnerabilidad se identifica con el nΓΊmero de identificaciΓ³n de vulnerabilidad CVE-2026-43414.
  • Afecta a la funcionalidad de fcport.

⚠️ Por qué importa

Las vulnerabilidades en el mΓ³dulo scsi qla2xxx pueden permitir a un atacante explotar la vulnerabilidad y realizar acciones maliciosas, lo que podrΓ­a provocar una pΓ©rdida de datos, una interrupciΓ³n del servicio o incluso un acceso no autorizado a la red. Esto es especialmente preocupante en entornos empresariales donde la confianza y la disponibilidad de los sistemas son fundamentales.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un doble free de memoria en la funcionalidad fcport. Esto significa que el cΓ³digo intenta liberar la memoria que ha sido ya liberada anteriormente, lo que puede provocar una desbordamiento de pila y permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrate de que tu sistema estΓ© actualizado con los ΓΊltimos parches de seguridad de Microsoft.
  • Verifica si tu sistema estΓ‘ utilizando la versiΓ³n afectada del mΓ³dulo scsi qla2xxx.
  • Considera implementar medidas de mitigaciΓ³n como la detecciΓ³n de anormalidades de red y la monitorizaciΓ³n de la memoria para detectar posibles intentos de explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-41054 Falta de salida de verificaciΓ³n de permiso en haveged podrΓ­a llevar a un exploit de root

πŸ” QuΓ© estΓ‘ pasando

  • La vulnerabilidad CVE-2026-41054 afecta al generador de nΓΊmeros aleatorios "haveged".
  • Se trata de una falta de salida de verificaciΓ³n de permiso en el cΓ³digo de "haveged".
  • La vulnerabilidad podrΓ­a permitir a un atacante explotar el sistema y obtener acceso root.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-41054 es importante porque podrΓ­a permitir a un atacante con permisos de usuario normal obtener acceso root y tomar el control completo del sistema. Esto podrΓ­a llevar a la pΓ©rdida de datos confidenciales, la instalaciΓ³n de malware o la ejecuciΓ³n de acciones maliciosas con privilegios elevados.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una falta de salida de verificaciΓ³n de permiso en el cΓ³digo de "haveged". Esto significa que un atacante podrΓ­a manipular la entrada de datos a "haveged" para que el sistema no realice la verificaciΓ³n de permiso adecuada. Una vez que el sistema no verifica el permiso, un atacante podrΓ­a explotar la vulnerabilidad y obtener acceso root.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-41054. Es importante aplicar el parche lo antes posible para evitar la explotaciΓ³n de la vulnerabilidad.
  • IOC: La vulnerabilidad podrΓ­a ser explotada mediante la manipulaciΓ³n de la entrada de datos a "haveged". Los administradores deben vigilar cualquier actividad sospechosa relacionada con "haveged".
  • RecomendaciΓ³n: Los administradores deben aplicar el parche disponible y vigilar la actividad de "haveged" para evitar la explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Cibercrimen β€” PrevenciΓ³n de Fraude en Pagos en LΓ­nea: Mejores PrΓ‘cticas para Organizaciones

πŸ” QuΓ© estΓ‘ pasando

  • Los ciberdelincuentes estΓ‘n utilizando tΓ©cnicas cada vez mΓ‘s sofisticadas para cometer fraude en pagos en lΓ­nea.
  • El fraude en pagos en lΓ­nea puede tener un impacto significativo en las organizaciones, incluyendo pΓ©rdidas financieras y daΓ±o a la reputaciΓ³n.
  • No hay CVE ID especΓ­fico mencionado en la noticia.

⚠️ Por qué importa

El fraude en pagos en lΓ­nea es un problema creciente que puede tener un impacto significativo en las organizaciones, incluyendo pΓ©rdidas financieras y daΓ±o a la reputaciΓ³n. Si no se toman medidas adecuadas, las organizaciones pueden verse obligadas a soportar pΓ©rdidas significativas y enfrentar la pΓ©rdida de la confianza de sus clientes.

βš™οΈ CΓ³mo funciona

El fraude en pagos en lΓ­nea suele involucrar a los ciberdelincuentes que utilizan tΓ©cnicas como phishing, malware y ataques de inyecciΓ³n de script para robar la informaciΓ³n de pago de los clientes. Los ciberdelincuentes tambiΓ©n pueden utilizar informaciΓ³n de pago robada para realizar compras en lΓ­nea o venderla en el mercado negro.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar los intentos de phishing y malware que pueden ser utilizados para robar la informaciΓ³n de pago de los clientes.
  • Implementar controles de autenticaciΓ³n y autorizaciΓ³n robustos en el proceso de pago en lΓ­nea.
  • Realizar revisiones regulares de las transacciones para detectar cualquier actividad sospechosa.

πŸ”— Fuente consultada: Group-IB

Cibercrimen - Volume Obfuscation Game: Los corredores de datos a la deriva de la verdad

πŸ” QuΓ© estΓ‘ pasando

  • Corredores de datos en foros y canales de la dark web china hablan de grandes volΓΊmenes de datos supuestamente robados de organizaciones en todo el mundo.
  • Los datos se anuncian en foros de la dark web china y canales de Telegram.
  • El nΓΊmero de estos corredores de datos estΓ‘ aumentando.

⚠️ Por qué importa

El creciente nΓΊmero de corredores de datos en la dark web china puede ser un indicio de una nueva forma de ciberdelincuencia, donde la credibilidad de los datos robados es cuestionable. Esto puede llevar a organizaciones a invertir recursos en investigaciones y medidas de seguridad innecesarias, lo que puede tener un impacto financiero y de tiempo significativo.

AdemΓ‘s, la presencia de estos corredores de datos en canales de Telegram y la dark web china puede ser un indicio de una colaboraciΓ³n entre grupos cibernΓ©ticos y delincuentes en lΓ­nea, lo que podrΓ­a aumentar la complejidad y la gravedad de los ataques cibernΓ©ticos en el futuro.

βš™οΈ CΓ³mo funciona

Los corredores de datos en la dark web china y Telegram anuncian grandes volΓΊmenes de datos supuestamente robados de organizaciones en todo el mundo. Sin embargo, es posible que estos datos sean falsos o hayan sido comprados de otros delincuentes en lΓ­nea. Los compradores de estos datos pueden ser engaΓ±ados por la falta de credibilidad, lo que puede llevar a una pΓ©rdida de tiempo y recursos.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar la apariciΓ³n de corredores de datos en la dark web china y canales de Telegram.
  • Revisar la credibilidad de los datos robados antes de invertir recursos en investigaciones y medidas de seguridad.
  • Mantener actualizadas las herramientas y tΓ©cnicas de ciberseguridad para detectar y prevenir ataques cibernΓ©ticos.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” ΒΏLa estafa distorsiona tus nΓΊmeros de crecimiento en iGaming?

πŸ” QuΓ© estΓ‘ pasando

  • La industria del iGaming enfrenta una creciente amenaza de estafa, que puede distorsionar los nΓΊmeros de crecimiento de las empresas.
  • Los ciberdelincuentes estΓ‘n utilizando tΓ‘cticas sofisticadas para engaΓ±ar a los jugadores y a las empresas.
  • No hay CVE ID especΓ­fico mencionado en la noticia.

⚠️ Por qué importa

La estafa en iGaming puede tener un impacto significativo en las empresas que operan en este sector. No solo pueden perder dinero, sino que tambiΓ©n pueden sufrir daΓ±os a su reputaciΓ³n y confianza en la comunidad de jugadores. AdemΓ‘s, la estafa puede distorsionar los nΓΊmeros de crecimiento de las empresas, lo que puede llevar a decisiones incorrectas en tΓ©rminos de inversiΓ³n y expansiΓ³n.

βš™οΈ CΓ³mo funciona

Los ciberdelincuentes estΓ‘n utilizando tΓ©cnicas como la ingenierΓ­a social y el phishing para engaΓ±ar a los jugadores y a las empresas. TambiΓ©n estΓ‘n utilizando malware y herramientas de seguimiento para robar informaciΓ³n confidencial y dinero. Los atacantes estΓ‘n aprovechando las debilidades en los sistemas de pago y las vulnerabilidades en las aplicaciones de iGaming para llevar a cabo sus ataques.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Los atacantes pueden estar utilizando herramientas de seguimiento y malware especΓ­ficos para robar informaciΓ³n confidencial y dinero.
  • Parches disponibles: Las empresas de iGaming deben actualizar sus sistemas de pago y aplicaciones para cerrar las vulnerabilidades y evitar los ataques.
  • Recomendaciones concretas: Las empresas deben implementar medidas de seguridad sΓ³lidas, como la autenticaciΓ³n de dos factores y la verificaciΓ³n de identidad de los jugadores, para evitar la estafa y proteger a sus clientes.

πŸ”— Fuente consultada: Group-IB

Ciberseguridad β€” Introducing Group-IB Prevyn AI

πŸ” QuΓ© estΓ‘ pasando

  • Group-IB presenta Prevyn AI, una plataforma de Inteligencia de Ciberamenazas (Threat Intelligence) basada en AI que anticipa amenazas antes de que sucedan.
  • Prevyn AI utiliza aprendizaje automΓ‘tico y anΓ‘lisis de datos para identificar patrones y amenazas emergentes.
  • La plataforma se enfoca en proporcionar informaciΓ³n de threat intelligence precisa y oportuna para ayudar a las organizaciones a protegerse de ataques cibernΓ©ticos.

⚠️ Por qué importa

La introducciΓ³n de Prevyn AI puede revolucionar la forma en que las organizaciones abordan la ciberseguridad. Al anticipar amenazas antes de que sucedan, las empresas pueden tomar medidas preventivas y reducir el riesgo de ataques cibernΓ©ticos. Esto puede ser especialmente importante para organizaciones que manejan grandes cantidades de datos confidenciales o que dependen de la tecnologΓ­a para operar.

βš™οΈ CΓ³mo funciona

Prevyn AI utiliza un enfoque de machine learning para analizar grandes cantidades de datos y detectar patrones y amenazas emergentes. La plataforma se alimenta de datos de diversas fuentes, incluyendo datos de seguridad, redes sociales y otras fuentes de informaciΓ³n. Luego, utiliza algoritmos de aprendizaje automΓ‘tico para identificar patrones y amenazas que puedan ser relevantes para las organizaciones que la utilizan.

πŸ‘οΈ QuΓ© vigilar

  • Prevyn AI es una plataforma en constante evoluciΓ³n, por lo que es importante seguir las actualizaciones y mejoras que se realicen.
  • Las organizaciones que utilicen Prevyn AI deben asegurarse de que sus equipos de seguridad estΓ©n capacitados para interpretar y actuar sobre la informaciΓ³n proporcionada por la plataforma.
  • Es importante verificar la integridad y precisiΓ³n de la informaciΓ³n proporcionada por Prevyn AI y tomar medidas adicionales para validar la informaciΓ³n antes de tomar decisiones de seguridad.

πŸ”— Fuente consultada: Group-IB

Privacidad β€” La importancia de tener un retainer de respuesta a incidentes

πŸ” QuΓ© estΓ‘ pasando

  • Los incidentes de seguridad cibernΓ©tica pueden ocurrir en cualquier momento, dejando a las organizaciones sin acceso a expertos en ciberseguridad.
  • Las demoras en la contrataciΓ³n de servicios de respuesta a incidentes pueden aumentar el daΓ±o y la incertidumbre durante un incidente de seguridad.
  • La respuesta retardada puede llevar a una mayor pΓ©rdida de datos y reputaciΓ³n para la organizaciΓ³n.

⚠️ Por qué importa

Un retainer de respuesta a incidentes puede ser la diferencia entre una rΓ‘pida respuesta y una respuesta lenta en caso de un incidente de seguridad. Al tener acceso inmediato a expertos en ciberseguridad, las organizaciones pueden reducir el tiempo de inactividad, el daΓ±o y la incertidumbre. Esto es especialmente importante en la era de la ciberseguridad, donde los ataques pueden ocurrir en cualquier momento y sin previo aviso.

βš™οΈ CΓ³mo funciona

Un retainer de respuesta a incidentes es un acuerdo con una empresa de seguridad cibernΓ©tica que proporciona acceso inmediato a expertos en ciberseguridad en caso de un incidente. Esto permite a las organizaciones tener una respuesta rΓ‘pida y eficaz en caso de un ataque, sin perder tiempo en la contrataciΓ³n de servicios o en la onboarding de nuevos proveedores.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrate de que tu empresa de seguridad cibernΓ©tica tenga experiencia en incidentes de seguridad y una buena reputaciΓ³n en la industria.
  • Verifica que el retainer incluya servicios de respuesta a incidentes, como la detecciΓ³n y la respuesta a amenazas, asΓ­ como la recuperaciΓ³n de datos y la restauraciΓ³n de sistemas.
  • AsegΓΊrate de que el retainer se adapte a las necesidades especΓ­ficas de tu organizaciΓ³n y que se incluyan servicios de soporte continuo y de capacitaciΓ³n para el personal de tu empresa.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Mandiant informΓ³ sobre una incidencia de seguridad relacionada con un servidor web comprometido en diciembre de 2025.
  • El servidor estaba ejecutando un servicio que utilizaba ViewState Deserialization.
  • El ataque se llevΓ³ a cabo mediante la explotaciΓ³n de una vulnerabilidad en KnowledgeDeliver.

⚠️ Por qué importa

La vulnerabilidad en KnowledgeDeliver puede permitir a un atacante ejecutar cΓ³digo arbitrario en el servidor web, lo que podrΓ­a llevar a una pΓ©rdida de datos, revelaciΓ³n de informaciΓ³n confidencial y potencialmente a una toma del control del sistema. Esto puede tener un impacto significativo en las organizaciones que utilicen KnowledgeDeliver, ya que un ataque exitoso podrΓ­a comprometer la integridad de sus sistemas y datos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando un atacante aprovecha la capacidad de deserializar ViewState en KnowledgeDeliver para inyectar cΓ³digo malicioso. Esto permite al atacante ejecutar cΓ³digo en el contexto del servidor web, lo que puede ser utilizado para acceder a datos confidenciales, crear backdoors o realizar acciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Servidores web ejecutando KnowledgeDeliver con ViewState Deserialization habilitado.
  • Parche: AsegΓΊrate de que estΓ‘s ejecutando la versiΓ³n mΓ‘s reciente de KnowledgeDeliver y que ViewState Deserialization estΓ© deshabilitado.
  • RecomendaciΓ³n: EvalΓΊa la necesidad de ViewState Deserialization en tu aplicaciΓ³n y considera deshabilitarlo si no es necesario.

πŸ”— Fuente consultada: Mandiant / Google Cloud

Cibercrimen β€” 2 PhaaS 2 Furious: La evoluciΓ³n de servicios de phishing en chino

πŸ” QuΓ© estΓ‘ pasando

  • Se estΓ‘ desarrollando un ecosistema de servicios de phishing como servicio (PhaaS) en la subred china, rivalizando con la dominaciΓ³n histΓ³rica de los actores rusoparlantes.
  • Google Threat Intelligence Group (GTIG) analizΓ³ una docena de servicios PhaaS actuales en la subred china, todos ellos servicios maduros y muchos probablemente vinculados de manera intrincada al ecosistema delictivo mΓ‘s amplio en ese mercado.
  • Estos servicios ofrecen herramientas de phishing de alta calidad y fΓ‘cil de usar, lo que facilita la creaciΓ³n de ataques de phishing sofisticados.

⚠️ Por qué importa

La proliferaciΓ³n de servicios PhaaS en la subred china puede resultar en un aumento significativo de ataques de phishing dirigidos a organizaciones y usuarios en todo el mundo. Estos servicios ofrecen herramientas de alta calidad y fΓ‘cil de usar, lo que facilita la creaciΓ³n de ataques de phishing sofisticados y difΓ­ciles de detectar. Esto puede llevar a una mayor pΓ©rdida de confianza en la seguridad en lΓ­nea y a una mayor exposiciΓ³n de los usuarios a la pΓ©rdida de datos y la identidad robada.

βš™οΈ CΓ³mo funciona

Los servicios PhaaS en la subred china ofrecen herramientas de phishing de alta calidad y fΓ‘cil de usar, que incluyen:

  • Generadores de correos electrΓ³nicos y sitios web de phishing personalizados.
  • Herramientas de creaciΓ³n de malware y exploits.
  • Sistemas de pago y monitoreo de trΓ‘fico. Estas herramientas se ofrecen a los clientes a travΓ©s de interfaces de usuario amigables y fΓ‘cilmente accesibles, lo que facilita la creaciΓ³n de ataques de phishing sofisticados y difΓ­ciles de detectar.

πŸ‘οΈ QuΓ© vigilar

  • IOC: EstΓ© atento a correos electrΓ³nicos y sitios web de phishing que parezcan personalizados y profesionales.
  • Parches: AsegΓΊrate de mantener actualizados tus sistemas y aplicaciones con los ΓΊltimos parches de seguridad.
  • Recomendaciones: Utiliza herramientas de seguridad avanzadas, como firewalls y sistemas de detecciΓ³n de intrusiones, para proteger tus sistemas y datos.

πŸ”— Fuente consultada: Mandiant / Google Cloud

Vulnerabilidad β€” ⚑ Weekly Recap: Herramientas de desarrollo Linux, 0-DΓ­as de Defender, Botnets de routers y caos en la cadena de suministro

πŸ” QuΓ© estΓ‘ pasando

  • Una herramienta de desarrollo de Linux ha sido utilizada para pwnear a usuarios.
  • Se han encontrado 0-DΓ­as en la herramienta de seguridad Defender.
  • Se han identificado botnets en routers que atacan a organizaciones.
  • Se han detectado problemas en la cadena de suministro de varias empresas.

⚠️ Por qué importa

La semana pasada, varias empresas se dieron cuenta de que tenΓ­an sistemas y servidores que no habΓ­an sido actualizados en aΓ±os, lo que los hace vulnerables a ataques. Esto puede llevar a la pΓ©rdida de datos confidenciales y la exposiciΓ³n de informaciΓ³n sensible. AdemΓ‘s, los phishing son cada vez mΓ‘s sofisticados y pueden llegar a usuarios inocentes.

βš™οΈ CΓ³mo funciona

La herramienta de desarrollo de Linux utilizada para pwnear a usuarios es una herramienta de scripting que se utiliza para realizar tareas automatizadas en sistemas Linux. Sin embargo, un desarrollador encontrΓ³ una vulnerabilidad en la herramienta que le permite ejecutar cΓ³digo malicioso en los sistemas de los usuarios. Los 0-DΓ­as en la herramienta de seguridad Defender se deben a una vulnerabilidad en el software que permite a los atacantes acceder a la herramienta y utilizarla para atacar a los sistemas de los usuarios.

πŸ‘οΈ QuΓ© vigilar

  • Revisar los sistemas y servidores para asegurarse de que estΓ©n actualizados con los ΓΊltimos parches.
  • Utilizar herramientas de seguridad que puedan detectar y prevenir ataques de phishing.
  • Revisar la cadena de suministro para asegurarse de que todos los proveedores estΓ©n actualizados y seguros.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Threat actors are exploiting a recently disclosed critical security flaw in Ghost CMS to inject malicious JavaScript code with an aim to fuel ClickFix attacks.

According to QiAnXin XLab, the activity involves the exploitation of CVE-2026-26980 (CVSS score: 9.4), an SQL injection vulnerability in Gh

πŸ”— Fuente consultada: The Hacker News

Top comments (0)