Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4358
)
-
▼
mayo
(Total:
1055
)
-
El CEO de Huawei agradece a Estados Unidos por hab...
-
Codex lleva función de Mac a Windows
-
Explotación activa de vulnerabilidad de bypass de ...
-
Herramienta de IA Pentest Swarm con acceso a nmap,...
-
Windows 10 sigue en el 30% de PCs HP
-
Ciberdelincuentes aprovechan fallo crítico en Fort...
-
Xbox pide paciencia pese a la mejora de Game Pass
-
Nueva amenaza vinculada a Rusia: GREYVIBE lanza ci...
-
Paquetes de npm roban secretos de nube y CI/CD
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
-
▼
mayo
(Total:
1055
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Filtrado el diseño final del futuro Samsung Galaxy S26 FE a través de fabricantes de fundas, aunque el dispositivo no presenta grandes sor...
Despliegan RAT modular que roba credenciales y captura pantallas
Una campaña de malware recién identificada está atacando a altos ejecutivos e investigadores gubernamentales en todo el sudeste asiático, utilizando un Troyano de Acceso Remoto (RAT) modular capaz de robar credenciales, capturar pantallas y mantener una persistencia profunda en los sistemas infectados.
La operación, denominada Operation GriefLure, está ejecutando dos campañas simultáneas que afectan al sector de telecomunicaciones vinculado al ejército de Vietnam y a la industria sanitaria de Filipinas.
Lo que hace que esta amenaza sea especialmente alarmante es la forma en que llega a las víctimas. Los atacantes no están adivinando ni inventando historias. En un caso, recopilaron documentos legales reales de una demanda en curso por brecha de datos, incluyendo informes policiales firmados, cartas de admisión corporativas y registros médicos personales.
Las víctimas que abrían el archivo recibían un documento completamente auténtico en pantalla, sin ninguna señal de que algo hubiera salido mal entre bastidores.
Los investigadores de Seqrite Labs identificaron y nombraron la campaña, señalando que el compromiso total del sistema se completa en menos de 10 segundos sin indicadores visibles para la víctima. El malware llega dentro de un archivo comprimido anidado entregado a través de un correo electrónico de spear phishing dirigido, y su cadena de infección está diseñada para evadir la mayoría de las herramientas de seguridad convencionales.
La operación se dirige a dos grupos simultáneamente. La primera campaña se centra en altos ejecutivos de Viettel Group, el mayor operador de telecomunicaciones de Vietnam que opera bajo el Ministerio de Defensa Nacional, así como en investigadores de delitos cibernéticos de la Policía Provincial de Thanh Hoa.
La segunda se dirige al personal de cumplimiento y auditoría del St. Luke's Medical Center en Filipinas, utilizando una denuncia de informante fabricada que invoca un presunto fraude financiero y violaciones de acreditación por un valor superior a 1,5 millones de PHP.
Ambas campañas utilizan la misma infraestructura subyacente y carga útil, lo que confirma un único actor de amenazas que ejecuta una operación de ataque modular coordinada en dos países al mismo tiempo.
RAT Modular con Robo de Credenciales y Captura de Pantalla
En el núcleo técnico de esta campaña se encuentra un sofisticado RAT modular que actúa como un implante multiuso. Una vez cargado en la memoria a través de una cadena de ejecución por capas, recopila credenciales de los navegadores web, incluidos los datos de inicio de sesión almacenados de Chrome, cookies e historial. También ataca configuraciones de clientes FTP, herramientas de acceso remoto como Sunlogin y ToDesk, y archivos de sesión SSH de Xshell, lo que lo convierte en una amenaza seria para cualquier persona que gestione el acceso privilegiado al sistema.
El módulo de captura de pantalla recupera las dimensiones completas de la pantalla, tiene en cuenta las configuraciones de múltiples monitores y ajusta dinámicamente la resolución de la imagen según las condiciones de la red antes de transmitir una imagen BMP reconstruida al servidor de comando y control del atacante. El malware también escanea todos los procesos en ejecución para crear un perfil de los productos de seguridad instalados y luego ajusta su comportamiento en consecuencia para reducir la detección.
.webp)
La carga útil nunca se almacena como un archivo completo dentro del archivo comprimido. Fragmentos binarios disfrazados de archivos de documentos ordinarios se ensamblan en tiempo de ejecución utilizando el comando de copia nativo de Windows, y un mecanismo basado en el tiempo aleatoriza el hash de la carga útil en cada ejecución para derrotar el escaneo basado en firmas. El ejecutable final se inyecta entonces en un proceso de Windows confiable, haciendo que parezca una actividad normal del sistema para la mayoría de las herramientas forenses.
Infraestructura, Atribución y Medidas Defensivas
El malware se comunica con un dominio de comando y control predefinido, whatsappcenter[.]com, alojado en la dirección IP 38[.]54[.]122[.]188. Este servidor se encuentra dentro de KAOPU-HK, una red con sede en Hong Kong con un historial documentado de proporcionar alojamiento resistente al abuso para actores de amenazas en Asia-Pacífico. La inteligencia pasiva etiqueta al host como infraestructura a prueba de balas (bulletproof), un fuerte indicador de seguridad operativa deliberada.
Los investigadores de Seqrite estiman, con una confianza de moderada a alta, que esta campaña está vinculada a un grupo de amenazas con nexo en China. Los indicadores que lo respaldan incluyen el uso de alojamiento chino a prueba de balas, una lista de detección de seguridad integrada que enumera proveedores como 360Safe, Qianxin y Sangfor, el objetivo directo de los datos de WeChat dentro del módulo de recolección de credenciales y una huella más amplia en el sudeste asiático que abarca las telecomunicaciones militares y la salud.
Las organizaciones de telecomunicaciones, gobierno y salud en todo el sudeste asiático deben tratar esto como una amenaza activa y en evolución. Se recomienda a los equipos de seguridad bloquear el dominio y la IP de C2 conocidos, monitorear las ejecuciones de archivos LNK que invoquen ftp.exe, marcar cualquier proceso que deposite archivos doc fragmentados en el directorio Público y auditar los sistemas en busca de señales de que explorer.exe se haya reiniciado bajo un contexto de seguridad restringido. Debido a que este ataque utiliza documentos legales genuinos y binarios confiables del sistema, la formación estándar de concienciación de los usuarios por sí sola no lo detendrá.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Hash de archivo (SHA256) | 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43 | Dropper LNK — señuelo temático de Viettel (Campaña 1) |
| Hash de archivo (SHA256) | bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b | Dropper LNK — señuelo Whistleblowing_Report_SLMC (Campaña 2) |
| Hash de archivo (SHA256) | 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6 | LNK — archivo señuelo de ID Nacional de Filipinas |
| Hash de archivo (SHA256) | f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416 | LNK — señuelo iPad_Pro_Display_Spec_Final_CONFIDENTIAL.docx |
| Hash de archivo (SHA256) | bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b | 360.8.dll — cargador de shellcode multi-etapa |
| Hash de archivo (SHA256) | 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f | th5znehec.exe — ejecutable malicioso |
| Hash de archivo (SHA256) | ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387 | a.dll — componente DLL malicioso |
| Hash de archivo (SHA256) | 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067 | SlULIRDJOiq — artefacto de carga útil sin nombre |
| Hash de archivo (SHA256) | a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b | Script de lotes — ensamblaje de carga útil (variante 1) |
| Hash de archivo (SHA256) | 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d | Script de lotes — ensamblaje de carga útil (variante 2) |
| Dominio | whatsappcenter[.]com | Dominio C2 camuflado como servicio legítimo |
| Dirección IP | 38[.]54[.]122[.]188 | Servidor C2 alojado en infraestructura a prueba de balas KAOPU-HK |
Nota: Las direcciones IP y los dominios han sido desinfectados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de enlaces. Solo debes reactivarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-deploy-modular-rat-with-credential-theft/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.