Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1603
)
-
▼
marzo
(Total:
112
)
-
Un bot ataca a Microsoft y DataDog por mala config...
-
Google prepara Chrome contra hackers cuánticos: lo...
-
Intel presentaXeon 6+ Clearwater Forest con 288 E-...
-
Nuevo malware Dohdoor ataca escuelas y sector salu...
-
Los infostealers impulsan ataques masivos de fuerz...
-
Microsoft Highlight Reels: la NPU de tu consola o ...
-
JEDEC lanza UFS 5.0 y UFSHCI 5.0 para aumentar la ...
-
Vulnerabilidades críticas en Trend Micro Apex One ...
-
Llista IPTV con más de 39.000 canales de televisió...
-
Cuidado: están vendiendo portátiles con 1,2 TB de ...
-
Los procesadores móviles de Intel han logrado hast...
-
CPU a 40 °C gracias a un cubo de hielo perpetuo: e...
-
Configuraciones prácticas de Gmail
-
El Pixel 11 deja ver su Tensor G6 en pruebas
-
Gemini se actualiza: ya permite enviar hasta 10 im...
-
Disco de juego ultra raro destrozado por Aduanas d...
-
Linux Mint Xfce es una Distro ultraligera de Linux...
-
Vulnerabilidad OpenClaw de cero clics permite a si...
-
Microsoft prepara Copilot Canvas: la pizarra con I...
-
Team Mirai, el «partido de la IA» que quiere revol...
-
Microsoft Edge abrirá Copilot automáticamente al h...
-
China ya tiene su procesador fotónico LightGen, 10...
-
YouTube prueba IA en Shorts: te va a permitir tran...
-
Comando peform /report en Windows analiza porqué t...
-
Ataques con drones dañan centros de datos de AWS d...
-
Operación Filtración desmantela foro cibercriminal...
-
AMD lanza su Ryzen 5 5500X3D en China: la tecnolog...
-
EE.UU. usó supuestamente a Claude en ataques a Irá...
-
AMD presenta Ryzen AI 400 para escritorio con hast...
-
Trump ordena eliminar la IA de Anthropic de las ag...
-
Nuevo FRITZ!Box 6835 5G: Internet de alto rendimie...
-
Qualcomm FastConnect 8800 traerá el Wi-Fi 8 a los ...
-
Intel revela las especificaciones de sus Xeon 600 ...
-
Los drivers GeForce 595.71 WHQL introdujeron nuevo...
-
iPhone 17e: Apple apuesta sobre seguro
-
Oppo lanzará por primera vez en España su móvil má...
-
Así son las "autopistas" de los satélites que orbi...
-
Actores de amenazas despliegan 'AuraStealer' con 4...
-
Apple lanza el iPhone 17e, su móvil más barato
-
Apple anuncia el iPad Air con M4, más rápido y mej...
-
Living off the Land 2.0 en Linux: Persistencia par...
-
Actualización de seguridad de Android: parche para...
-
La memoria NAND ya es un 500% más cara: Phison com...
-
CISA alerta sobre el malware RESURGE que explota v...
-
Venden portátiles en Amazon que son un engaño: tie...
-
WiFi DensePose: ¿ver a través de las paredes con W...
-
No es de NVIDIA, ni AMD ni Intel: el primer chip d...
-
Botnet OCRFix usa ClickFix y EtherHiding para ocul...
-
Así le robaron a la policía surcoreana cuatro mill...
-
Intel presentará sus Core Ultra 5 250K Plus y Core...
-
Silicon Power y su nefasto RMA con la RAM: devuelv...
-
Vulnerabilidad en Chrome Gemini permite a atacante...
-
Conflicto cibernético en escalada mientras Irán se...
-
Drones atacan varios centros de datos de AWS en Me...
-
California introduce ley de verificación de edad p...
-
Corte de energía de AWS en Oriente Medio provoca g...
-
Heretic o cómo eliminar fácilmente la censura en u...
-
Honor Magic V6, así es el nuevo plegable más fino ...
-
El 6G será AI-native: NVIDIA y las telecos rediseñ...
-
Cambios drásticos en Steam: Windows 11 se hunde, W...
-
La máquina de guerra de EE.UU. se une a Linux y so...
-
Los sistemas de presión de neumáticos en Toyota, M...
-
Ataques a firewalls de SonicWall desde más de 4.00...
-
Grupo ruso APT28 explota vulnerabilidad 0-day en M...
-
Esquema de phishing GTFire abusa de servicios de G...
-
Exploit PoC publicado para escalada de privilegios...
-
Fallo UXSS en el navegador DuckDuckGo permite ejec...
-
Claude AI sufre caída global: errores elevados int...
-
Adiós a los ataques con enjambres de drones: la OT...
-
Linux atómico o inmutable: qué son, cómo funcionan...
-
Perplexity lanza Computer: una IA capaz de ejecuta...
-
Ingeniero de Microsoft desvela casi 30 años despué...
-
ChatGPT se acerca a 1.000 millones de usuarios act...
-
Amazon anuncia una nueva inversión de 18.000 de eu...
-
Desactivando app esencial AI Core de Android recu...
-
Decide comprar palés de productos devueltos de Ama...
-
El lanzamiento de la Nvidia GeForce3 hace 25 años ...
-
El ejército de EE.UU. derriba con láser un dron en...
-
Netflix tira la toalla y Paramount compra Warner p...
-
Qué es WinApp y cómo funciona la nueva herramienta...
-
Trump prohíbe la IA de Anthropic en agencias feder...
-
Myrient (preservación de videojuegos) cierra
-
ClawJacked: una web maliciosa puede secuestrar Ope...
-
Aplicación de oración pirateada usada como arma ci...
-
Alerta de Ciberseguridad: Claves de API de Google ...
-
NAS con puertos de red a 1GbE vs 2.5 GbE, ¿realmen...
-
Entusiasta hace funcionar una PC de escritorio con...
-
20 años del Mobile World Congress en Barcelona: as...
-
No tires a la basura tu impresora antigua todavía:...
-
Vulnerabilidad de Telnet de 27 años permite a atac...
-
NVIDIA va de récord en récord: 68 mil millones en ...
-
HP: la memoria y el almacenamiento ya representan ...
-
Vulnerabilidad crítica de día cero en Cisco SD-WAN...
-
Dos Ryzen 9 9950X pasan a mejor vida en la misma A...
-
El conector Thermal Grizzly Wireview GPU Pro tampo...
-
No te quedarás sin cobertura: Starlink llevará el ...
-
SURXRAT: ataque de RAT en Android roba control tot...
-
Europa desarrolla un chip inspirado en el cerebro ...
-
Perplexity Computer y el salto a la IA operativa
-
Pueden abusar de la función Terminal en vivo de Co...
-
-
▼
marzo
(Total:
112
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr... -
Fortinet alerta sobre la explotación activa de la vulnerabilidad 0-Day FG-IR-26-060 , que afecta a FortiCloud SSO y permite a atacantes obt...
Google desmantela infraestructura de hackers chinos que vulneró 53 entidades de telecomunicaciones y gobiernos
Un grupo de hackers vinculado presuntamente al estado chino ha sido descubierto ejecutando una de las operaciones de ciberespionaje más extensas jamás detectadas, infiltrándose silenciosamente en proveedores de telecomunicaciones y organismos gubernamentales en cuatro continentes durante casi una década. Google ha intervenido ahora para desmantelar por completo esta operación, cortando el acceso persistente del grupo y publicando inteligencia sobre amenazas.
Un grupo de hackers presuntamente vinculado al estado chino ha sido descubierto ejecutando una de las operaciones de ciberespionaje más extensas jamás detectadas: silenciosamente vulneró a proveedores de telecomunicaciones y organismos gubernamentales en cuatro continentes durante casi una década.
Google ha intervenido ahora para desmantelar por completo esa operación, cortando el acceso persistente del grupo y publicando inteligencia de amenazas para ayudar a las organizaciones afectadas a identificar y responder.
El Grupo de Inteligencia de Amenazas de Google (GTIG) y Mandiant tomaron medidas coordinadas para interrumpir una campaña global de espionaje vinculada a un actor de amenazas rastreado como UNC2814, evaluado como asociado a la República Popular China (RPC).
GTIG ha monitoreado a este grupo desde 2017. Para el 18 de febrero de 2026, la investigación confirmó 53 víctimas en 42 países, con infecciones sospechosas en al menos 20 naciones más en África, Asia y las Américas.
Ese alcance refleja casi una década de esfuerzo deliberado y focalizado, dirigido a algunas de las infraestructuras de comunicación más sensibles del mundo.
La campaña se centró en un backdoor previamente no documentado llamado GRIDTIDE.
En lugar de usar servidores de comando dedicados, GRIDTIDE enruta las comunicaciones a través de Google Sheets, tratando las celdas de la hoja de cálculo como un canal de mensajería en vivo entre el atacante y las máquinas comprometidas.
Este tráfico malicioso disfrazado como actividad rutinaria en la nube lo hacía extremadamente difícil de detectar para las defensas de red estándar.
UNC2814 no tiene solapamiento conocido con el grupo Salt Typhoon reportado públicamente; apunta a víctimas completamente diferentes usando métodos, herramientas y procedimientos distintos.
Analistas de Google Cloud identificaron GRIDTIDE tras una investigación de Mandiant Threat Defense que detectó comportamiento sospechoso en un servidor Linux CentOS de un cliente.
Una alerta de detección reveló un binario llamado /var/tmp/xapt —diseñado para parecerse a una herramienta de sistema común— que había lanzado un shell con privilegios de root y ejecutaba comandos para confirmar el control total de la máquina.
Ese hallazgo proporcionó a los investigadores el hilo crítico necesario para desenredar toda la operación de UNC2814. El nombre del binario xapt fue elegido deliberadamente para suplantar la utilidad de gestión de paquetes heredada de los sistemas Linux basados en Debian.
.webp)
Aunque el vector de acceso inicial exacto no ha sido confirmado, UNC2814 tiene un historial de intrusiones mediante la vulneración de servidores web expuestos a internet y dispositivos de red perimetrales.
Una vez dentro, el grupo dependió de herramientas del sistema legítimas integradas para moverse lateralmente —una técnica conocida como "living off the land"— evitando instalar software nuevo que pudiera activar alertas de seguridad.
Los sistemas comprometidos incluían máquinas que almacenaban información personal identificable, como nombres, números de teléfono, números de identificación nacional y registros de votantes, todo consistente con las prioridades de recolección de inteligencia de la RPC.
Persistencia y comando y control de GRIDTIDE
Tras asegurar el acceso, UNC2814 implantó GRIDTIDE registrando un servicio systemd en /etc/systemd/system/xapt.service.
El malware se ejecutaba mediante el comando nohup, garantizando que siguiera funcionando mucho después de que terminara la sesión del atacante.
Como canal de comunicación secundario, el grupo desplegó SoftEther VPN Bridge, abriendo un túnel cifrado de salida hacia infraestructura externa cuya metadata sugiere que ha estado activa desde julio de 2018.
GRIDTIDE es un backdoor basado en C capaz de ejecutar comandos de shell, subir archivos a los hosts comprometidos y exfiltrar datos.
Utiliza una clave de cifrado AES-128 de 16 bytes para descifrar su configuración en Google Drive, que contiene las credenciales de la cuenta de servicio y el ID de la hoja de cálculo necesarios para el acceso C2.
Una vez conectado, borra las primeras 1.000 filas de la hoja de cálculo, recopila la huella digital de la máquina víctima —incluyendo nombre de host, versión del sistema operativo, IP local y zona horaria— y almacena esos datos en la celda V1.
Los comandos llegan a través de la celda A1, y los resultados se devuelven en un rango de celdas definido. Todo el tráfico está codificado en Base64 seguro para URL, eludiendo filtros web y herramientas de inspección de red.
.webp)
Las organizaciones deberían monitorear las conexiones HTTPS salientes a los puntos finales de la API de Google Sheets, especialmente solicitudes que involucren batchClear, batchUpdate y valueRenderOption=FORMULA, provenientes de procesos que no sean navegadores.
Los equipos de seguridad también deben revisar servicios systemd en directorios inesperados, binarios ejecutándose desde /var/tmp/ y componentes de SoftEther VPN en servidores Linux.
Aplicar la regla YARA publicada por GTIG para GRIDTIDE y cruzar la lista de IOCs liberada con los registros internos ayudará a confirmar si queda alguna exposición residual de esta campaña.
Fuentes:
https://cybersecuritynews.com/google-disrupts-chinese-hackers-infrastructre/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.