Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4198
)
-
▼
mayo
(Total:
895
)
-
China crea DNI para robots humanoides
-
Actualizaciones de BIOS de HP dañan portátiles pre...
-
Publicado PuTTY 0.84 con correcciones de SSH y Telnet
-
UE impone multa récord a Google por abusos en búsq...
-
IA planean crear un sindicato por explotación
-
Jira ya permite programar oficialmente
-
Nuevas vulnerabilidades de 7-Zip permiten ejecutar...
-
HP investiga el desastre de una BIOS enviada por W...
-
Summer Game Fest 2026 regresa en junio
-
León XIV pide desarmar la IA abusiva
-
Amor por IA: el romance que amenaza su vida
-
Cloud Atlas APT modifica termsrv.dll para permitir...
-
IA de Google falla en búsquedas sencillas
-
Ferrari Luce: el eléctrico de Jony Ive
-
UE6 solucionará el fallo de UE5
-
Vulkan y fecha de Steam Machine 2
-
Python supera a la IA en salidas profesionales
-
TDK Corporation y NHK Spring reciben una demanda p...
-
PS6 superará a PS5 emulando PS3
-
Exoesqueleto impulsado por IA para potenciar el mo...
-
Ciberdelincuente ruso usó Gemini modificado para r...
-
Explotan vulnerabilidad CVE-2026-26980 de Ghost CM...
-
Exingeniero de Atlassian relata su despido por IA
-
Bolso de Tiranosaurio: lujo costoso y cuestionable
-
Cómo eliminar la IA de Google para siempre
-
Prototipo de Samsung: memoria NAND 3D de 900 capas...
-
Historiales de WhatsApp almacenados sin cifrar en ...
-
IA provoca 150.000 despidos tecnológicos en 5 meses
-
MX Linux 25.2: mejoras en instalador, modo live y ...
-
Linus Torvalds critica el uso excesivo de la IA en...
-
Star Citizen: mil millones y sigue sin terminar
-
Malware de Android suscribe víctimas a servicios p...
-
Vulnerabilidad Nginx-poolslip permite DoS y ejecuc...
-
Pentest Agent Suite: framework de bug bounty para ...
-
Claude Mythos halla 10.000 fallos pero genera nuev...
-
Ocultan carga Linux en archivo similar a SSH al in...
-
Copilot pierde funciones en Office
-
Londres lidera el reconocimiento facial en Europa
-
APT iraní usa SEO poisoning para distribuir malwar...
-
Un YouTuber crea una chaqueta futurista de Cyberpu...
-
Ya disponible Wireshark 4.6.6: corrige error de ci...
-
Ataque de cadena de suministro TrapDoor distribuye...
-
AMD prepara el salto global de la RX 9070 GRE: 12 ...
-
Juzgado frena multas de LaLiga a las VPN
-
Lazarus lanza el RAT RemotePE basado en memoria co...
-
Linus Torvalds endurece filtros contra la IA
-
Anthropic lanzará sus modelos de clase Mythos al p...
-
GitHub añade publicación escalonada a npm para blo...
-
Dron récord: Madrid a Barcelona en 40 minutos
-
Tesla cobra 99 euros al mes por su FSD
-
NotebookLM: añade fuentes más rápido
-
Rust podría eliminar el 80% de los CVE de Linux
-
El costoso error de sustituir programadores por IA
-
Google y la IA amenazan el periodismo
-
Microsoft degrada a GitHub
-
Premier League combate la piratería y LaLiga observa
-
Microsoft parchea vulnerabilidad de BitLocker en W...
-
La IA empieza a superar a los ingenieros de chips ...
-
Canadiense arrestado por botnet KimWolf por usar 2...
-
Facebook quiere ser el nuevo Reddit de Zuckerberg ...
-
Ubiquiti corrige tres vulnerabilidades críticas en...
-
Claude Mythos halla 10.000 vulnerabilidades crític...
-
PS5 en Linux: ¿qué implica para Xbox Project Helix?
-
Ataque Megalodon en GitHub afecta a 5.561 reposito...
-
Europa actúa ante la amenaza bancanria de Claude M...
-
Lenovo logra facturación récord gracias a la IA
-
CISA advierte sobre vulnerabilidad de Trend Micro ...
-
Vuelve el Samsung Galaxy Z Roll
-
Filtraciones de datos en la web móvil de Trump jus...
-
Alternativas gratis a Microsoft 365
-
768GB de memoria Intel Optane barata para ejecutar...
-
El cerebro aprende mejor con libros de papel
-
Ola de malware Shai-Hulud afecta a 600 paquetes de...
-
Splunk corrige vulnerabilidades que permiten ataqu...
-
El nuevo engaño del phishing: cómo el consentimien...
-
FBI advierte sobre Kali365: roban credenciales de ...
-
PS5 con trazado de trayectorias en Linux: 35 FPS a...
-
Malware usa MSHTA de Internet Explorer en Windows 11
-
Ucrania identifica al operador de un infostealer v...
-
Costes de memoria de Nvidia suben 485%, sistemas d...
-
AMD Hammer Lake: vuelve el Hyper Threading con la ...
-
Paquetes de Laravel Lang comprometidos para distri...
-
Filtrado el Samsung Galaxy S27 Pro
-
Claude Mythos AI detecta 10.000 vulnerabilidades g...
-
La venta de tarjetas gráficas cae un 41% en 2026 p...
-
Huawei desarrolla un SSD de 122 TB con un empaquet...
-
DeepSeek desploma precios de IA en China
-
npm implementa controles de instalación y publicac...
-
No borres la nueva carpeta SecureBoot de Windows 11
-
Gemini gratuito ya no es ilimitado: limites diario...
-
Explotan vulnerabilidad CVE-2026-48172 en plugin d...
-
Demócratas critican recortes de Trump en cibersegu...
-
Google publica código de exploit para fallo de Chr...
-
Usan Hugging Face para malware en ataque a npm
-
Autoridades desmantelan "First VPN" usada en ataqu...
-
Mini Shai-Hulud compromete paquetes npm de @antv p...
-
EE. UU. y Canadá detienen y acusan al presunto adm...
-
Los AMD Ryzen AI Max 400 son oficiales, el refrito...
-
Windows 11 introduce cambios para reducir la fatig...
-
Exdirector de Samsung prevé fin de crisis de RAM e...
-
-
▼
mayo
(Total:
895
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Las gafas inteligentes Ray-Ban de Meta se abrirán a aplicaciones de terceros mediante Android XR para ampliar su compatibilidad. -
Google ha lanzado una actualización de seguridad urgente para Chrome que soluciona 16 vulnerabilidades , incluyendo dos calificadas como crí... -
Se ha publicado un código de prueba de concepto (PoC) para DirtyDecrypt (también conocido como DirtyCBC ), una vulnerabilidad de alta grave...
Despliegan RAT modular que roba credenciales y captura pantallas
Una campaña de malware recién identificada está atacando a altos ejecutivos e investigadores gubernamentales en todo el sudeste asiático, utilizando un Troyano de Acceso Remoto (RAT) modular capaz de robar credenciales, capturar pantallas y mantener una persistencia profunda en los sistemas infectados.
La operación, denominada Operation GriefLure, está ejecutando dos campañas simultáneas que afectan al sector de telecomunicaciones vinculado al ejército de Vietnam y a la industria sanitaria de Filipinas.
Lo que hace que esta amenaza sea especialmente alarmante es la forma en que llega a las víctimas. Los atacantes no están adivinando ni inventando historias. En un caso, recopilaron documentos legales reales de una demanda en curso por brecha de datos, incluyendo informes policiales firmados, cartas de admisión corporativas y registros médicos personales.
Las víctimas que abrían el archivo recibían un documento completamente auténtico en pantalla, sin ninguna señal de que algo hubiera salido mal entre bastidores.
Los investigadores de Seqrite Labs identificaron y nombraron la campaña, señalando que el compromiso total del sistema se completa en menos de 10 segundos sin indicadores visibles para la víctima. El malware llega dentro de un archivo comprimido anidado entregado a través de un correo electrónico de spear phishing dirigido, y su cadena de infección está diseñada para evadir la mayoría de las herramientas de seguridad convencionales.
La operación se dirige a dos grupos simultáneamente. La primera campaña se centra en altos ejecutivos de Viettel Group, el mayor operador de telecomunicaciones de Vietnam que opera bajo el Ministerio de Defensa Nacional, así como en investigadores de delitos cibernéticos de la Policía Provincial de Thanh Hoa.
La segunda se dirige al personal de cumplimiento y auditoría del St. Luke's Medical Center en Filipinas, utilizando una denuncia de informante fabricada que invoca un presunto fraude financiero y violaciones de acreditación por un valor superior a 1,5 millones de PHP.
Ambas campañas utilizan la misma infraestructura subyacente y carga útil, lo que confirma un único actor de amenazas que ejecuta una operación de ataque modular coordinada en dos países al mismo tiempo.
RAT Modular con Robo de Credenciales y Captura de Pantalla
En el núcleo técnico de esta campaña se encuentra un sofisticado RAT modular que actúa como un implante multiuso. Una vez cargado en la memoria a través de una cadena de ejecución por capas, recopila credenciales de los navegadores web, incluidos los datos de inicio de sesión almacenados de Chrome, cookies e historial. También ataca configuraciones de clientes FTP, herramientas de acceso remoto como Sunlogin y ToDesk, y archivos de sesión SSH de Xshell, lo que lo convierte en una amenaza seria para cualquier persona que gestione el acceso privilegiado al sistema.
El módulo de captura de pantalla recupera las dimensiones completas de la pantalla, tiene en cuenta las configuraciones de múltiples monitores y ajusta dinámicamente la resolución de la imagen según las condiciones de la red antes de transmitir una imagen BMP reconstruida al servidor de comando y control del atacante. El malware también escanea todos los procesos en ejecución para crear un perfil de los productos de seguridad instalados y luego ajusta su comportamiento en consecuencia para reducir la detección.
.webp)
La carga útil nunca se almacena como un archivo completo dentro del archivo comprimido. Fragmentos binarios disfrazados de archivos de documentos ordinarios se ensamblan en tiempo de ejecución utilizando el comando de copia nativo de Windows, y un mecanismo basado en el tiempo aleatoriza el hash de la carga útil en cada ejecución para derrotar el escaneo basado en firmas. El ejecutable final se inyecta entonces en un proceso de Windows confiable, haciendo que parezca una actividad normal del sistema para la mayoría de las herramientas forenses.
Infraestructura, Atribución y Medidas Defensivas
El malware se comunica con un dominio de comando y control predefinido, whatsappcenter[.]com, alojado en la dirección IP 38[.]54[.]122[.]188. Este servidor se encuentra dentro de KAOPU-HK, una red con sede en Hong Kong con un historial documentado de proporcionar alojamiento resistente al abuso para actores de amenazas en Asia-Pacífico. La inteligencia pasiva etiqueta al host como infraestructura a prueba de balas (bulletproof), un fuerte indicador de seguridad operativa deliberada.
Los investigadores de Seqrite estiman, con una confianza de moderada a alta, que esta campaña está vinculada a un grupo de amenazas con nexo en China. Los indicadores que lo respaldan incluyen el uso de alojamiento chino a prueba de balas, una lista de detección de seguridad integrada que enumera proveedores como 360Safe, Qianxin y Sangfor, el objetivo directo de los datos de WeChat dentro del módulo de recolección de credenciales y una huella más amplia en el sudeste asiático que abarca las telecomunicaciones militares y la salud.
Las organizaciones de telecomunicaciones, gobierno y salud en todo el sudeste asiático deben tratar esto como una amenaza activa y en evolución. Se recomienda a los equipos de seguridad bloquear el dominio y la IP de C2 conocidos, monitorear las ejecuciones de archivos LNK que invoquen ftp.exe, marcar cualquier proceso que deposite archivos doc fragmentados en el directorio Público y auditar los sistemas en busca de señales de que explorer.exe se haya reiniciado bajo un contexto de seguridad restringido. Debido a que este ataque utiliza documentos legales genuinos y binarios confiables del sistema, la formación estándar de concienciación de los usuarios por sí sola no lo detendrá.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Hash de archivo (SHA256) | 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43 | Dropper LNK — señuelo temático de Viettel (Campaña 1) |
| Hash de archivo (SHA256) | bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b | Dropper LNK — señuelo Whistleblowing_Report_SLMC (Campaña 2) |
| Hash de archivo (SHA256) | 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6 | LNK — archivo señuelo de ID Nacional de Filipinas |
| Hash de archivo (SHA256) | f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416 | LNK — señuelo iPad_Pro_Display_Spec_Final_CONFIDENTIAL.docx |
| Hash de archivo (SHA256) | bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b | 360.8.dll — cargador de shellcode multi-etapa |
| Hash de archivo (SHA256) | 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f | th5znehec.exe — ejecutable malicioso |
| Hash de archivo (SHA256) | ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387 | a.dll — componente DLL malicioso |
| Hash de archivo (SHA256) | 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067 | SlULIRDJOiq — artefacto de carga útil sin nombre |
| Hash de archivo (SHA256) | a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b | Script de lotes — ensamblaje de carga útil (variante 1) |
| Hash de archivo (SHA256) | 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d | Script de lotes — ensamblaje de carga útil (variante 2) |
| Dominio | whatsappcenter[.]com | Dominio C2 camuflado como servicio legítimo |
| Dirección IP | 38[.]54[.]122[.]188 | Servidor C2 alojado en infraestructura a prueba de balas KAOPU-HK |
Nota: Las direcciones IP y los dominios han sido desinfectados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de enlaces. Solo debes reactivarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-deploy-modular-rat-with-credential-theft/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.