Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3010
)
-
▼
abril
(Total:
685
)
-
Más de 1.370 servidores Microsoft SharePoint vulne...
-
Vulnerabilidad crítica en Atlassian Bamboo Data Ce...
-
Cómo montar archivos ISO (u otros formatos) en Win...
-
Vulnerabilidades críticas en sistemas inteligentes...
-
Se cumplen 30 años de Bandai Pippin, la única cons...
-
Negro, azul, rojo o amarillo: ¿qué color de USB es...
-
Confirmado por Microsoft: Windows 11 ya no necesit...
-
YouTube declara la guerra a los deepfakes: así fun...
-
Vulnerabilidad en CrowdStrike LogScale permite a a...
-
La NASA ya tiene fecha para la nueva misión Artemi...
-
Ni IA ni extras: los usuarios lo tienen claro y pi...
-
Microsoft cambia Windows Update después de 15 años
-
Nvidia reduce la producción de GPU para gaming en ...
-
Microsoft lanza actualización de emergencia .NET 1...
-
Negociador de ransomware se declara culpable por f...
-
Samsung lanza nuevos electrodomésticos Bespoke con...
-
Sandisk presenta nuevas tarjetas de memoria Extrem...
-
Un modder tarda 4 años en crear su PC «Seraphim» c...
-
Linux podría eliminar el soporte para controladore...
-
Firefox 150 llega con mejoras generales y novedade...
-
Anthropic advierte: Mythos, su IA más peligrosa es...
-
Los ordenadores Apple Mac con procesador Intel alc...
-
Google se ha cansado de que Claude Code y Codex le...
-
La nueva IA de ChatGPT ya puede generar manga, imá...
-
Mozilla parchea 271 vulnerabilidades de Firefox en...
-
ChatGPT se está volviendo demasiado comprensivo, y...
-
Rufus 4.14 aumenta capacidad contra ‘Microslop’ y ...
-
CATL revoluciona las baterías para el coche eléctr...
-
Grupo no autorizado accede a la herramienta cibern...
-
WhatsApp lanza resúmenes con IA para que no tengas...
-
OpenAI lanza ChatGPT Images 2.0 para competir con ...
-
OpenAI estrena ChatGPT Images 2.0
-
NotebookLM mejora con la integración con Gemini
-
Lo que se vende de IA en la Dark Web (I) — LLMs si...
-
Xbox Game Pass baja de precio y elimina los futuro...
-
Intel anuncia nuevas CPU baratas 100% desbloqueada...
-
Confirmado: las bolsitas de té e infusiones pueden...
-
Fundación Linux se amplía y absorbe el software Op...
-
Fuga en una AIO de NZXT daña una ASUS RTX 5090 ROG...
-
Archiv.org, nuestra memoria digital, podría desapa...
-
12 extensiones de navegador que imitan descargador...
-
Linux 7.1 incluirá un nuevo driver para NTFS
-
Así funciona el escudo contra el ransomware oculto...
-
TotalRecall Reloaded encuentra que Windows Recuerd...
-
Casi la mitad de la música que se sube a Deezer ha...
-
Geoffrey Hinton, padrino de la IA: "Elon Musk se h...
-
En Europa a partir de de 2027 podrás cambiar la ba...
-
Falla en iTerm2 abusa de secuencias de escape SSH ...
-
Mustafa Suleyman, jefe de la IA de Microsoft: "Si ...
-
Quién es John Ternus, el nuevo CEO de Apple que su...
-
GitHub limita el uso de la IA para reducir costes
-
Exploit de prueba para fuga de hash NTLM en la her...
-
Estudiante de posgrado de 21 años soluciona un err...
-
iPhone 11 Pro Max, iPhone 11 Pro, iPhone 11 y el i...
-
Presentado el Oppo Find X9 Ultra, un móvil de 1.69...
-
WhatsApp de pago empieza a desplegarse en Europa
-
La "Netflix china" quiere reemplazar a los humanos...
-
PC construido con LEGO parece un Mac retro… pero e...
-
Vulnerabilidad crítica de MCP de Anthropic permite...
-
La optimización de Valve para GPU con poca VRAM en...
-
Un telescopio equipado con 5.000 robots crea el ma...
-
LaLiga logra una multa histórica de 43 millones de...
-
Kimi, la IA china que supera a ChatGPT y Claude, l...
-
Biohacker afirma haber secuenciado su propio genom...
-
Los AMD Ryzen con 3D V-Cache también son los más r...
-
Usar modelos GGUF para lograr RCE en servidores de...
-
La crisis de la RAM no se acabará hasta 2027
-
Python se resiste a perder el trono y prepara una ...
-
Amazon invertirá hasta 25.000 millones de dólares ...
-
RedSun, UnDefend y BlueHammer, las vulnerabilidade...
-
Intel y fabricantes lanzan las memorias RAM HUDIMM...
-
Ni 900 ni 800, el prefijo 400 será obligatorio par...
-
Crean un adaptador PCIe a M.2 plano que nos permit...
-
Crean un "Museo Auditivo" interactivo en línea con...
-
Los reguladores supervisan a la IA Mythos de Anthr...
-
CISA advierte que el paquete npm Axios fue comprom...
-
LXQt 2.4: el escritorio ligero se actualiza con me...
-
WhatsApp empieza a probar su suscripción de pago
-
Ciudadano británico admite hackear empresas y roba...
-
Atacantes convierten QEMU en un sigiloso backdoor ...
-
AMD FSR Multi Frame Generation: lanzamiento inminente
-
Bjarne Stroustrup, padre de C++: "Solo hay dos tip...
-
Batacazo para Jeff Bezos: el cohete New Glenn de B...
-
Falla un HDD en garantía y el cliente se topa con ...
-
Vercel confirma un incidente tras la brecha de seg...
-
GitHub se convierte en objetivo de los sistemas an...
-
Desde noviembre de 2026 tendrás que devolver las b...
-
Microsoft trabaja para eliminar los elementos anti...
-
Apple retrasa los próximos Mac a causa de la escas...
-
La última actualización de Windows 11 está provoca...
-
La NSA confirma uso de Mythos de Anthropic pese a ...
-
La memoria RAM sube un 110% y los SSD un 147% en Q...
-
Las primeras «consolas portátiles» con los SoC Int...
-
HONOR WIN H9, el primer portátil con «pantalla 3D ...
-
El NIST adopta un modelo de NVD basado en riesgos ...
-
Google usa Gemini AI para frenar anuncios malicios...
-
CachyOS lanza un "super kernel" de Linux 7.0 con i...
-
Vulnerabilidad crítica en Flowise permite ejecució...
-
Toshiba se niega a reemplazar discos duros en gara...
-
Cisco publica actualizaciones críticas para correg...
-
-
▼
abril
(Total:
685
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
%20(1).jpg)
Microsoft ha publicado actualizaciones de seguridad urgentes para abordar una vulnerabilidad crítica en Windows Active Directory que permit... -
Jeyi lanza un adaptador PCIe a M.2 plano llamado AIC ArcherX que permite conectar un SSD M.2 en ranuras PCIe inferiores bloqueadas por GP... -
CachyOS lanza su kernel Linux 7.0 optimizado con mejoras significativas de rendimiento , superando la versión estándar del sistema.
El rootkit VoidLink usa eBPF y módulos del kernel para ocultarse en sistemas Linux
Un nuevo y técnicamente avanzado rootkit llamado VoidLink ha surgido como una grave amenaza para los sistemas Linux, combinando Módulos de Kernel Cargables (LKM) con programas extended Berkeley Packet Filter (eBPF) para ocultarse profundamente en el núcleo del sistema operativo. Documentado por primera vez por Check Point Research en enero de 2026, VoidLink es un marco de malware para Linux en la nube escrito en Zig.
Un nuevo y técnicamente avanzado rootkit llamado VoidLink ha surgido como una grave amenaza para los sistemas Linux, combinando Módulos de Kernel Cargables (LKM) con programas extended Berkeley Packet Filter (eBPF) para ocultarse en lo más profundo del núcleo del sistema operativo.
Documentado por primera vez por Check Point Research en enero de 2026, VoidLink es un marco de malware para Linux en la nube escrito en Zig.
Presenta una estructura modular de comando y control con más de 30 plugins y múltiples capas de sigilo, lo que lo convierte en uno de los rootkits para Linux más capaces vistos en los últimos años.
Lo que hace que VoidLink sea alarmante es la rapidez con la que fue construido. Check Point Research descubrió que un solo desarrollador produjo el marco completo mediante flujos de trabajo asistidos por IA utilizando el entorno de desarrollo integrado TRAE, pasando de la concepción a un implante funcional en menos de una semana.
El rootkit se disfraza bajo el nombre de módulo vl_stealth, o en algunas variantes amd_mem_encrypt, suplantando a un controlador de memoria AMD legítimo para evitar levantar sospechas en servidores en la nube.
.webp)
Los analistas de Elastic Security Labs identificaron la arquitectura más profunda del malware después de obtener un volcado de datos que contenía el código fuente de VoidLink, binarios compilados y scripts de implementación.
Los investigadores señalaron que el volcado reveló un marco de rootkit multigeneracional desarrollado y probado en sistemas reales desde CentOS 7 hasta Ubuntu 22.04.
Todos los archivos fuente estaban anotados en chino simplificado, y las referencias de infraestructura apuntaban a direcciones IP de Alibaba Cloud — 8.149.128[.]10 y 116.62.172[.]147 — vinculando firmemente la operación a un actor de amenazas de habla china.
.webp)
El impacto del rootkit es significativo. VoidLink oculta procesos en ejecución, conexiones de red y archivos de los administradores mientras recibe comandos a través de un canal encubierto ICMP sin puertos visibles ni tráfico.
Su variante más reciente, denominada Ultimate Stealth v5, introduce instalación de hooks retardada, temporizadores anti-depuración, protección contra la terminación de procesos y nombres de módulos ofuscados con XOR, lo que dificulta extremadamente la investigación forense.
VoidLink no es una herramienta independiente. Su script de cargador de arranque, load_lkm.sh, escanea implantes sin archivos que se ejecutan desde descriptores de archivos de memoria anónimos y los oculta al activarse, confirmando que VoidLink está diseñado para proteger un implante compañero — probablemente un reverse shell — ya en ejecución en el objetivo comprometido.
Un sistema de ocultación de dos capas
La característica técnicamente más llamativa de VoidLink es su diseño híbrido, que divide las tareas entre dos componentes distintos.
La mayoría de los rootkits para Linux dependen de un único método de ocultación: un LKM, un programa eBPF o una biblioteca compartida inyectada. VoidLink despliega ambos simultáneamente, con cada componente manejando el rol que realiza de manera más confiable.
Utilizando el marco de trazado de funciones del kernel de Linux, el componente LKM engancha llamadas al sistema, intercepta listados de directorios getdents64 para ocultar archivos y procesos, y filtra la salida de /proc/modules y /proc/kallsyms para borrar sus propios rastros.
También ejecuta un canal de comandos encubierto a través de hooks de Netfilter, procesando silenciosamente instrucciones del operador cifradas con XOR ocultas dentro de paquetes ping ordinarios sin generar respuesta.
El componente eBPF cubre una brecha que el LKM no puede alcanzar: ocultar conexiones activas del comando ss. A diferencia de netstat, que lee desde /proc/net/tcp, la utilidad ss consulta el kernel a través de sockets Netlink — una ruta de datos fuera del control del LKM.
El programa eBPF de VoidLink engancha __sys_recvmsg y modifica las respuestas de Netlink en la memoria del espacio de usuario. En lugar de eliminar las entradas ocultas — lo que corrompería la cadena de mensajes — las "traga" extendiendo el campo de longitud del mensaje anterior, haciendo que el analizador de ss omita la conexión oculta como relleno.
Este enfoque requirió una verdadera iteración para desarrollarse. Los desarrolladores trabajaron en al menos 10 versiones del programa eBPF — desde hide_ss_v1.bpf.c hasta hide_ss_v9.bpf.c — antes de que surgiera este método estable, demostrando ciclos de prueba reales en sistemas en vivo.
Los equipos de seguridad deben tomar varias medidas para limitar la exposición a rootkits como VoidLink. Aplicar Secure Boot y la firma de módulos del kernel bloquea la carga de LKMs no autorizados.
Habilitar el modo de bloqueo del kernel, disponible desde Linux 5.4, restringe operaciones sensibles del kernel incluso para usuarios root. Auditar las llamadas al sistema init_module y finit_module mediante Auditd revela actividad inesperada de módulos de manera temprana.
Restringir la llamada al sistema bpf() a través de perfiles seccomp y habilitar kernel.unprivileged_bpf_disabled reduce el riesgo de abuso de eBPF. Cruzar regularmente referencias de ps, ss y entradas directas del directorio /proc puede exponer actividad oculta incluso cuando herramientas individuales de monitoreo no reportan nada sospechoso.
Fuentes:
https://cybersecuritynews.com/voidlink-rootkit-uses-ebpf-and-kernel-modules/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.