Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1121
)
-
▼
febrero
(Total:
441
)
-
Microsoft ha mejorado tanto el Bloc de Notas de Wi...
-
El 30% de las CPU x86 vendidas ya son de AMD, cuya...
-
VoidLink Linux C2 destaca malware generado por IA ...
-
VoidLink permite la generación de herramientas baj...
-
Zoë Hitzig, investigadora de OpenAI, dimite por la...
-
AMD gana más dinero que nunca en servidores y PC d...
-
Ataques con CAPTCHA falsos son clave para campañas...
-
PC único: tiene forma de esfera, cuesta 60.000 eur...
-
Tecnologías de NVIDIA que van a definir el gaming ...
-
MSI activa el pago a plazos sin intereses financia...
-
Usan invitaciones de Google Calendar para transmit...
-
Extensión de Outlook de Microsoft robó 4.000 crede...
-
Evilmouse ejecuta comandos y compromete sistemas a...
-
Google alerta: hackers están clonando el cerebro d...
-
Un investigador de IA de Anthropic dimite y lanza ...
-
Microsoft corrige un fallo histórico en Windows 10...
-
Facebook ya permite animar tu foto de perfil con I...
-
La GPU del Samsung Exynos 2600 supera a la del Sna...
-
La memoria dispara el coste de los smartphones en ...
-
Vulnerabilidad de día cero de Apple explotada acti...
-
Red botnet Prometei ataca servidores Windows para ...
-
Requisitos de Star Wars: Galactic Racer para PC
-
Ataques masivos explotan vulnerabilidad 0-day en s...
-
GIGABYTE arregla el bug en sus BIOS que hacía salt...
-
A falta de poder comprarte un ordenador, HP ahora ...
-
Vulnerabilidad crítica en SandboxJS permite toma r...
-
Campaña de botnet IRC heredada usa canalización au...
-
Grave fallo en UUID de Fiber v2 en Go 1.24+ permit...
-
Intel y AMD adelantan a Qualcomm en el mercado de ...
-
Una GeForce RTX 5090 se incendia nada más encender...
-
India estrecha el cerco a los deepfakes en redes s...
-
Un nuevo spyware para Android permite rastrear tu ...
-
Un granjero chino usa drones para transportar cerd...
-
Rusia bloquea WhatsApp para más de 100 millones de...
-
Empresa israelí de spyware expone panel de control...
-
Vulnerabilidad en firewall de Palo Alto Networks p...
-
China crea la primera liga de combate de robots hu...
-
Un robot humanoide chino se convierte en el primer...
-
Vulnerabilidad de día cero en MSHTML permite a ata...
-
La memoria DRAM no volverá a ser lo que fue: Samsu...
-
Linux 7.0 da por concluido el experimento con Rust...
-
Logitech PRO X2 SUPERSTRIKE, el primer ratón gamin...
-
SMIC se prepara para aumentar la producción de chi...
-
Vulnerabilidad en plugin de respaldo de WordPress ...
-
NVIDIA VibeTensor, así es el entorno de ejecución ...
-
Actualización de seguridad de Chrome: parche para ...
-
Las APU AMD Zen 6 van a incluir la arquitectura RD...
-
Qualcomm va a por todas con el Snapdragon 8 Elite ...
-
Ataque cibernético sofisticado apunta a la industr...
-
El grupo de Coinbase apunta a sectores de alto val...
-
Vulnerabilidad de día cero en el Administrador de ...
-
Actores de amenazas explotan vulnerabilidad React2...
-
Vulnerabilidad en Ivanti Endpoint Manager permite ...
-
MediaTek usará Intel 14A para un SoC Arm en portát...
-
La España vaciada también sufre sin cobertura móvi...
-
Vulnerabilidad XSS en FortiSandbox permite a ataca...
-
Windows 11 se llena de nuevos emojis y estrena aju...
-
Dinamarca está instalando farolas rojas en sus ciu...
-
Las Big Tech de la IA invertirán 650.000 millones ...
-
Intel publica nuevos drivers WiFi para Windows 10 ...
-
Desactiva el escritorio remoto de Windows si no lo...
-
El cable de fibra óptica nunca debe doblarse si no...
-
Vulnerabilidad en FortiOS permite a atacantes elud...
-
TeamPCP convierte las configuraciones erróneas en ...
-
AMD prueba su firmware abierto openSIL en Zen 5 (M...
-
Actualizaciones de seguridad de FEBRERO para todas...
-
Europa quiere obligar a Meta a reactivar los chatb...
-
Falsas descargas de 7-Zip para convertir tu ordena...
-
Día de parches de seguridad de SAP: vulnerabilidad...
-
Vulnerabilidad en el servicio de informes de error...
-
Pruebas muestran que el Ryzen 7 9800X3D puede igua...
-
Más de 50.000 euros de indemnización a una trabaja...
-
Análisis de la placa base Asus ROG Crosshair X870E...
-
Linux ya supera a Windows en su propio terreno: lo...
-
WhatsApp Web ya permite hacer videollamadas y llam...
-
Grupo UNC1069 ataca al sector financiero con nueva...
-
Los ciberataques suben un 26% en España en 2025, c...
-
CISA añade 6 vulnerabilidades de día cero de Micro...
-
Placas base LGA 1954: todo lo que debes saber sobr...
-
Atacantes usan archivos de acceso directo de Windo...
-
Problemas en el Centro de administración de Micros...
-
Microsoft Teams permite a los usuarios marcar mens...
-
Actor de amenazas afirma filtración de base de dat...
-
El nombre de dominio AI.com costaba 9 dólares en 1...
-
Vulnerabilidad en Axios permite atacantes provocar...
-
Escáner de cripto: nueva herramienta para detectar...
-
Fancy Bear explota una vulnerabilidad de día cero ...
-
Vulnerabilidad de 30 años en Libpng expone a millo...
-
LibreOffice carga duramente contra Microsoft: "Ant...
-
Microsoft corrige 54 vulnerabilidades en el Patch ...
-
ChatGPT comienza a mostrar publicidad en su versió...
-
Adiós al Blu-ray: Sony anuncia que desde hoy dejar...
-
G.SKILL evita el juicio por cómo anunciaba la velo...
-
Intel Arrow Lake-S Refresh (Core Ultra 200S Plus) ...
-
Versiones falsas de 7-Zip convierten computadoras ...
-
Trabajadores norcoreanos de TI se hacen pasar por ...
-
Crónica de #hc0n2026, la sexta Con de Hackplayers
-
15.200 paneles de control OpenClaw con acceso comp...
-
Grupo chino atacan el sector de telecomunicaciones...
-
Augustus: escáner de vulnerabilidades de código ab...
-
-
▼
febrero
(Total:
441
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
DisplayPort y HDMI son las interfaces más usadas para conectar pantallas en PCs, destacando por transmitir vídeo y audio desde la tarjeta ... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
nmapUnleashed se presenta como un potente envoltorio CLI que mejora las capacidades de Nmap para penetration testers y auditores de redes ....
VoidLink Linux C2 destaca malware generado por IA con sigilo multinube y a nivel de kernel
Un sofisticado marco de malware para Linux conocido como VoidLink ha surgido como un preocupante ejemplo de desarrollo de amenazas asistido por IA, combinando capacidades avanzadas de orientación multi-nube con mecanismos de sigilo a nivel de kernel. Este malware representa una nueva generación de ciberamenazas en las que se han utilizado grandes modelos de lenguaje para crear implantes funcionales de comando y control capaces de comprometer entornos en la nube y empresariales.
Un sofisticado marco de malware para Linux conocido como VoidLink ha surgido como un preocupante ejemplo de desarrollo de amenazas asistido por IA, combinando capacidades avanzadas de focalización en múltiples nubes con mecanismos de sigilo a nivel de kernel.
Este malware representa una nueva generación de ciberamenazas donde se han utilizado modelos de lenguaje grandes para crear implantes funcionales de comando y control capaces de comprometer entornos cloud y empresariales con una eficiencia alarmante.
VoidLink opera como un marco integral de C2 diseñado específicamente para sistemas Linux, atacando plataformas cloud importantes como Amazon Web Services, Google Cloud Platform, Microsoft Azure, Alibaba Cloud y Tencent Cloud.
El implante demuestra sofisticación técnica en su capacidad para recolectar credenciales de variables de entorno, directorios de configuración y APIs de metadatos de instancias, mientras mantiene acceso persistente a través de funcionalidades adaptativas de rootkit.
Lo que hace que esta amenaza sea particularmente notable es su arquitectura modular, que permite al malware ajustar su comportamiento según el entorno objetivo que encuentre.
Analistas de Ontinue identificaron indicadores sólidos de que VoidLink fue construido usando un agente de codificación LLM, evidenciado por etiquetas estructuradas como "Phase X:", registros de depuración verbosos y patrones de documentación dejados intactos dentro del binario de producción.
Estos artefactos sugieren generación automatizada de código con supervisión humana mínima, marcando un cambio significativo en cómo se puede desarrollar malware.
A pesar de sus orígenes generados por IA, VoidLink sigue siendo técnicamente capaz, incorporando plugins de escape de contenedores, módulos de escalada de privilegios para Kubernetes y rootkits de kernel específicos para versiones que adaptan enfoques de sigilo según la versión del kernel del host.
El malware emplea cifrado AES-256-GCM sobre HTTPS para las comunicaciones de comando y control, disfrazando el tráfico malicioso como solicitudes web legítimas usando patrones consistentes con la arquitectura de Cobalt Strike beacon.
Esta combinación de conciencia multicloud, explotación nativa de contenedores y capacidades de ocultamiento a nivel de kernel demuestra cómo el desarrollo asistido por IA está reduciendo la barrera de habilidades para producir malware funcional y difícil de detectar.
| Campo | Valor |
|---|---|
| Nombre de archivo | implant.bin |
| Tipo de archivo | Ejecutable Linux ELF64 |
| Arquitectura | x86-64 |
| Lenguaje | Zig |
| SHA1 | 9cdbc16912dcf188a0f0765ac21777b23b4b2bea |
| SHA256 | 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69 |
| Punto de entrada | 0x0112c490 |
| Entropía | 7.24/8.0 (Alta – empaquetado/cifrado) |
| Campaña/Familia | VoidLink |
Arquitectura modular y detección de entorno
VoidLink emplea una arquitectura basada en plugins donde cada componente opera de manera independiente dentro de un marco de registro compartido.
.webp)
Al ejecutarse, el malware inicializa su registro de módulos y carga cuatro componentes principales: un enrutador de tareas para la distribución de comandos, un gestor de sigilo para evasión, un gestor de inyección para ejecución de código y un detector de depuradores para protección anti-análisis.
El malware realiza un perfilado detallado del host antes de activar sus capacidades operativas, sondeando APIs de metadatos en la nube, entornos de contenedores como Docker y Kubernetes, e indicadores de postura de seguridad, incluyendo detección de EDR/AV e identificación de la versión del kernel.
.webp)
Este enfoque basado en inteligencia permite a VoidLink seleccionar mecanismos de sigilo y técnicas de explotación adecuadas para cada entorno descubierto.
.webp)
El sistema de detección de entorno consulta endpoints de metadatos en la nube en 169.254.169.254 para AWS, Azure y Alibaba Cloud, mientras usa endpoints específicos del proveedor como metadata.google.internal para GCP y metadata.tencentyun.com para Tencent Cloud.
A través de estas consultas, VoidLink recupera información de región, zonas de disponibilidad, IDs de instancia y tipos de instancia, lo que le permite adaptar métodos de persistencia y técnicas de sigilo según la infraestructura específica del proveedor de servicios en la nube.
Las organizaciones deberían implementar monitoreo a nivel de red para consultas inusuales a APIs de metadatos, particularmente solicitudes repetidas a 169.254.169.254 y endpoints de metadatos específicos de cada nube.
Despliega reglas de detección de comportamiento que identifiquen patrones anormales de acceso a credenciales desde variables de entorno, directorios de claves SSH y ubicaciones de tokens de cuentas de servicio de Kubernetes.
Aplica políticas estrictas de seguridad en contenedores, incluyendo la desactivación de contenedores privilegiados y la restricción de acceso al socket de Docker.
Refuerza la seguridad a nivel de kernel mediante políticas de SELinux o AppArmor, y mantén actualizadas soluciones de detección y respuesta en endpoints capaces de identificar rootkits basados en eBPF y módulos de kernel cargables.
La auditoría regular de roles IAM en la nube, permisos de cuentas de servicio y configuraciones de tiempo de ejecución de contenedores puede ayudar a identificar posibles vectores de ataque antes de que sean explotados.
Considera implementar segmentación de red para limitar las capacidades de movimiento lateral y despliega inspección de tráfico cifrado donde sea factible para detectar comunicaciones de C2 disfrazadas como tráfico HTTPS legítimo.
Fuentes:
https://cybersecuritynews.com/voidlink-linux-c2-highlights-llm-generated-malware/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.