Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3831
)
-
▼
mayo
(Total:
528
)
-
Xbox Series X superaría a PS5 en FSR 4.1
-
Apple planea AirPods con IA y cámaras
-
Programadores advierten que la IA atrofia el cerebro
-
Microsoft detalla la arquitectura modular y botnet...
-
ASUS ROG Crosshair 2006: llamativa placa base que ...
-
Explotan vulnerabilidad 0-day en Cisco Catalyst SD...
-
Expertos en seguridad dudan que los atacantes de C...
-
OpenAI confirma brecha de seguridad por ataque de ...
-
Windows 11 y Microsoft Edge, hackeados en Pwn2Own ...
-
Privacidad de tus archivos en NotebookLM
-
Windows 11 mantiene una app de Windows 95
-
ChatGPT busca gestionar tus finanzas
-
Ninguna IA vence al ajedrez
-
Gmail reduce espacio de 15 a 5 GB en cuentas nuevas
-
Vulnerabilidad crítica de Next.js expone credencia...
-
Google presenta la función Puntero mágico para tra...
-
Explotan vulnerabilidad CVE-2026-42897 en Microsof...
-
Meta agota agua en Georgia y apunta a Talavera
-
Vulnerabilidad crítica en el plugin Funnel Builder...
-
CISA incluye la vulnerabilidad CVE-2026-20182 de C...
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
Claude Code anticipará tus necesidades antes que tú
-
FBI advierte sobre peligros de puertos USB públicos
-
Grupo kTeamPCP y BreachForums ofrecen 1.000 $ por ...
-
Vulneran 170 paquetes npm para robar secretos de G...
-
Explotan vulnerabilidad de salto de autenticación ...
-
NVIDIA crea IA que aprende sola
-
IA de Anthropic halla fallos de seguridad en macOS
-
Paquete node-ipc de npm comprometido en ataque de ...
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
-
▼
mayo
(Total:
528
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Es muy probable que el próximo email que recibas no esté escrito por una persona. Da igual si usas Gmail, Outlook o cualquier alternativa si... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Grupos chinos vulneran sector energético vía Microsoft Exchange
Un grupo vinculado al estado chino conocido como FamousSparrow se ha infiltrado silenciosamente en una empresa de petróleo y gas azerbaiyana, explotando un servidor de Microsoft Exchange sin parchear para implantar múltiples puertas traseras dentro de la red.
El ataque se llevó a cabo desde finales de diciembre de 2025 hasta finales de febrero de 2026 y se posiciona como una de las intrusiones de APT chinas más detalladas jamás documentadas contra infraestructuras energéticas en el Cáucaso Sur.
El grupo de amenazas no se detuvo en un solo intento. Los atacantes regresaron al mismo servidor Exchange comprometido en tres ocasiones distintas, intercambiando familias de malware entre visitas y ajustando sus tácticas cada vez que los defensores intentaban eliminarlos.
Esa persistencia indica una campaña de espionaje deliberada y sostenida en lugar de una brecha oportunista.
Los investigadores de Bitdefender, que rastrearon la operación a través de las tres olas de actividad, atribuyeron la intrusión a FamousSparrow con una confianza de moderada a alta, señalando un solapamiento significativo con el grupo de amenazas Earth Estries.
.webp)
El momento no es coincidencia. Azerbaiyán se ha convertido en un proveedor de gas crítico para Europa después de que expirara el acuerdo de tránsito de Rusia con Ucrania en 2024 y de que las interrupciones en el Estrecho de Ormuz a principios de 2026 redujeran las fuentes alternativas de energía.
Hackers APT Chinos Explotan Microsoft Exchange
La operación desplegó dos familias de puertas traseras distintas, Deed RAT y Terndoor, en diferentes etapas. Los atacantes también introdujeron una técnica evolucionada de DLL sideloading diseñada para vencer el análisis de seguridad automatizado, un nivel de sofisticación rara vez visto en campañas anteriores vinculadas a estas familias de malware.
Lo que siguió fue una operación por capas que amplió la comprensión de los analistas sobre el alcance de este grupo en objetivos energéticos.
Los primeros indicios de la intrusión datan del 25 de diciembre de 2025, cuando el proceso worker de Microsoft Exchange IIS intentó escribir una web shell en un directorio accesible públicamente en el servidor.
Esta acción aprovechó la cadena de exploits ProxyNotShell, dos vulnerabilidades rastreadas como CVE-2022-41040 y CVE-2022-41082 que permiten la ejecución remota de código no autenticado en servidores Exchange sin parchear.
En los días siguientes, los atacantes desplegaron web shells adicionales con nombres de archivo como key.aspx, log.aspx, errorFE_.aspx y signout_.aspx. Estas proporcionaron un punto de apoyo fiable para emitir comandos y preparar más cargas útiles.
Posteriormente, se desplegó una cadena de malware de tres componentes utilizando archivos disfrazados de la aplicación legítima LogMeIn Hamachi VPN para reducir las sospechas.
El archivo cargador, LMIGuardianDll.dll, se colocó junto a un binario genuino de LogMeIn y se cargó lateralmente durante el inicio normal. La carga útil de Deed RAT se almacenó en un archivo cifrado llamado .hamachi.lng, descifrado en memoria mediante AES-128 y RC4.
También se creó un servicio de Windows que imitaba a LogMeIn Hamachi para lanzar automáticamente el malware en cada reinicio, asegurando así un acceso persistente.
Evasión Avanzada y Persistencia de Múltiples Olas
Lo que diferencia a esta campaña es la técnica evolucionada de DLL sideloading utilizada para ocultar el cargador de Deed RAT. A diferencia del sideloading típico que activa el código malicioso en el momento en que se carga una DLL, esta versión dividió su lógica en dos funciones de exportación llamadas Init y ComMain.
La carga útil solo se ejecuta después de que la aplicación anfitriona siga una secuencia interna específica de llamadas, lo que significa que un sandbox que examine el archivo de forma aislada no verá ningún comportamiento malicioso.
.webp)
Este diseño condiciona la infección a una ruta de ejecución legítima. Las herramientas de seguridad que inspeccionan solo partes del código no encuentran nada que señalar, y el comportamiento completo del ataque solo es visible cuando la aplicación se ejecuta exactamente como se espera. Eso hace que esta muestra sea significativamente más difícil de detectar durante el triaje automatizado.
En la segunda ola, el grupo desplegó una puerta trasera llamada Terndoor secuestrando el binario legítimo deskband_injector64.exe. El intento fue bloqueado, pero los artefactos forenses confirmaron que el malware había intentado instalar un controlador del núcleo (kernel driver).
La tercera ola trajo de vuelta un Deed RAT modificado utilizando sentinelonepro[.]com como su dirección de comando y control, suplantando a un conocido proveedor de seguridad para evitar la detección en los registros de red.
Los equipos de seguridad deben aplicar todos los parches de Exchange disponibles y rotar cualquier credencial expuesta sin demora.
El monitoreo debe cubrir la escritura de web shells a través del proceso worker de IIS, binarios no firmados que parchean funciones de la API de Windows en memoria y tráfico HTTPS saliente hacia dominios que suplantan a proveedores de seguridad.
Las sesiones RDP inesperadas que utilicen cuentas de administrador de dominio, seguidas rápidamente por actividad de PowerShell y nuevas descargas de archivos, deben tratarse como alertas de alta prioridad.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| MD5 Hash | 0554f3b69d39d175dd110d765c11347a | LMIGuardianSvc.exe — binario legítimo de LogMeIn Hamachi utilizado en la cadena de sideloading de la Ola 1 |
| MD5 Hash | 762f787534a891eca8aa9b41330b4108 | USOShared.exe — copia renombrada de deskband_injector64.exe utilizada en la Ola 2 |
| Nombre de archivo | LMIGuardianDll.dll | Cargador DLL malicioso cargado lateralmente por LMIGuardianSvc.exe; despliega Deed RAT |
| Nombre de archivo | .hamachi.lng | Carga útil de Deed RAT cifrada, descifrada en memoria mediante AES-128 + RC4 |
| Nombre de archivo | lmiguardiandll.dll | Variante maliciosa del cargador con mayúsculas/minúsculas alternativas observada en la etapa inicial de explotación de Exchange |
| Nombre de archivo | key.aspx | Web shell desplegada mediante el exploit ProxyNotShell en el servidor Exchange |
| Nombre de archivo | log.aspx | Web shell desplegada mediante el exploit ProxyNotShell en el servidor Exchange |
| Nombre de archivo | errorFE_.aspx | Web shell desplegada mediante el exploit ProxyNotShell en el servidor Exchange |
| Nombre de archivo | signout_.aspx | Web shell desplegada mediante el exploit ProxyNotShell en el servidor Exchange |
| Nombre de archivo | winmm.dll | DLL cargadora maliciosa utilizada en la cadena de sideloading de Terndoor en la Ola 2 |
| Nombre de archivo | vmflt.sys | Controlador que el malware Terndoor intentó instalar para persistencia a nivel de núcleo |
| Nombre de archivo | cache.dat | Contenedor de carga útil asociado al despliegue de Terndoor |
| Clave de Registro | HKLM\SYSTEM\ControlSet001\Services\vmflt | Entradas de registro creadas por Terndoor para registrar el servicio del controlador del núcleo |
| Dominio (C2) | virusblocker[.]it[.]com:443 | Dirección de comando y control utilizada por la variante de Deed RAT de la Ola 1 |
| Dominio (C2) | sentinelonepro[.]com:443 | Dirección de comando y control utilizada por la variante modificada de Deed RAT de la Ola 3 |
| Dominio | ipinfo[.]io | Servicio legítimo contactado por el malware de la Ola 2 para reconocimiento de red |
| CVE | CVE-2022-41040 | Vulnerabilidad de Exchange ProxyNotShell explotada para acceso inicial |
| CVE | CVE-2022-41082 | Vulnerabilidad de Exchange ProxyNotShell explotada para acceso inicial |
| Valor Mágico | 0xFF66ABCD | Valor mágico actualizado del módulo Deed RAT (reemplaza 0xDEED4554 en variantes antiguas) |
| Ruta de archivo | C:\Recovery | Ruta de almacenamiento de archivos utilizada por los componentes de Deed RAT de la Ola 3 |
| Ruta de archivo | C:\ProgramData\USOShared | Ruta de almacenamiento de archivos utilizada por los componentes de Terndoor de la Ola 2 |
| Ruta de archivo | C:\TEMP\LMIGuardianSvc.exe | Ruta de preparación inicial para el cargador Deed RAT de la Ola 1 |
| Ruta de archivo | C:\Program Files (x86)\LogMeIn Hamachi\ | Ruta de instalación final que imita el software legítimo de LogMeIn Hamachi |
Nota: Las direcciones IP y los dominios han sido deshabilitados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Solo debes volver a habilitarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/chinese-apt-hackers-exploit-microsoft-exchange/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.