Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4343
)
-
▼
mayo
(Total:
1040
)
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
TRYX muestra su refrigeración líquida HOLO 360 AIO...
-
Riesgo de robo de datos mediante IA de voz
-
GitLab suspende al investigador Nightmare-Eclipse ...
-
Microsoft cambia la búsqueda de Windows 11
-
ASUS lanzará el primer router Wi-Fi 8
-
Vulnerabilidad en Gitea permite acceder a imágenes...
-
ROADtools usado en ataques en la nube para robar t...
-
Anthropic lanza plugin de seguridad gratuito para ...
-
GitHub de Microsoft banea a investigador por publi...
-
Policía holandesa detiene a sospechoso del hackeo ...
-
All in One – System Rescue Toolkit (AIO-SRT)
-
Vulnerabilidad de inyección LDAP en Apache CXF per...
-
-
▼
mayo
(Total:
1040
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Filtrado el diseño final del futuro Samsung Galaxy S26 FE a través de fabricantes de fundas, aunque el dispositivo no presenta grandes sor...
Usan rootkit OrBit para robar credenciales SSH y Sudo de Linux
El peligroso rootkit llamado OrBit ha estado atacando silenciosamente sistemas Linux durante años, robando credenciales de inicio de sesión y ocultándose en lo más profundo de las máquinas infectadas sin activar la mayoría de las herramientas de seguridad.
Nuevas investigaciones revelan que lo que antes se creía que era una amenaza creada a medida es, en realidad, una versión modificada de un rootkit disponible públicamente, que se extiende por todo el mundo a través de múltiples grupos de hackers.
OrBit funciona incrustándose en el núcleo de un sistema Linux, enganchándose a más de cuarenta funciones básicas del sistema para volverse casi completamente invisible.
Una vez dentro de una máquina, escucha los intentos de inicio de sesión a través de SSH y sudo, capturando nombres de usuario y contraseñas y guardándolos en un directorio oculto que los escaneos estándar del sistema no pueden detectar.
El atacante se conecta entonces de nuevo al sistema comprometido a través de una puerta trasera secreta de SSH, sin necesidad de enviar comandos a través de internet.
Investigadores de Intezer, dijeron en un informe compartido con Cyber Security News (CSN), identificaron que OrBit no es código original en absoluto.
En realidad, está construido a partir de un rootkit disponible públicamente llamado Medusa, publicado en GitHub en diciembre de 2022.
El trabajo operativo realizado por los hackers no consistió en escribir código nuevo, sino en configurar archivos fuente existentes, rotar contraseñas y cambiar las rutas de instalación para permanecer ocultos.
Los hackers utilizan el rootkit OrBit
El análisis de Intezer rastreó más de una docena de muestras que abarcan desde 2022 hasta principios de 2026.
El equipo sometió cada muestra a un análisis estático y diferencial y descubrió dos rutas de construcción separadas: una versión completa llamada Lineage A, que contiene el kit de ataque completo, y una versión simplificada llamada Lineage B, que elimina varias funciones para dejar una huella más ligera.
Parece que la Lineage B dejó de aparecer después de 2024, lo que sugiere que los operadores podrían haber vuelto a consolidarse en la construcción principal.
OrBit se despliega como un archivo de biblioteca compartida en la máquina Linux objetivo. Logra la persistencia modificando la configuración del enlazador dinámico para que la biblioteca maliciosa se cargue automáticamente en cada proceso que se ejecute en el sistema.
Desde esa posición, intercepta lecturas de archivos, listados de directorios y datos de conexión de red, haciéndose invisible tanto para los administradores como para las herramientas de seguridad.
El malware almacena las credenciales capturadas y los datos de configuración en un directorio oculto llamado /lib/libseconf/, que las herramientas estándar no pueden ver debido a los propios ganchos del rootkit.
El salto de capacidad más significativo ocurrió en 2025, cuando la construcción más reciente añadió un gancho llamado pam_sm_authenticate, una función de autenticación del lado del servidor.
Mientras que las versiones anteriores solo podían recopilar credenciales pasivamente cuando los usuarios las escribían, esta nueva versión también puede falsificar los resultados de la autenticación, lo que significa que los atacantes pueden aprobar o denegar intentos de inicio de sesión en un sistema comprometido a su voluntad.
Ese mismo año, apareció una nueva cadena de entrega de dos etapas: un infector incrusta un "dropper", que luego extrae e instala el rootkit, con una tarea cron creada para obtener cargas útiles actualizadas desde un dominio externo.
Múltiples grupos de hackers están explotando esta puerta trasera
Uno de los hallazgos más alarmantes de esta investigación es que al menos tres grupos de hackers distintos han estado utilizando OrBit.
El grupo de espionaje patrocinado por el estado UNC3886, rastreado por Mandiant, utilizó el mismo código base con una clave de cifrado 0xAA específica, credenciales distintas y una ruta de instalación que coincidía exactamente con las muestras de Lineage A de Intezer de 2024.
CrowdStrike señaló en su Informe de Amenazas Globales de 2026 que BLOCKADE SPIDER, un grupo de cibercrimen conocido por el ransomware Embargo, utilizó OrBit para mantener silenciosamente el acceso dentro de entornos de virtualización de VMware.
Una tercera campaña observada en 2025 utilizó una arquitectura de dropper idéntica a una vinculada a RHOMBUS, una botnet basada en Linux reportada por primera vez en 2020; ambos droppers comparten el mismo dominio C2 que resuelve a una infraestructura en Rusia.
Se aconseja a los defensores que monitoricen la coexistencia de nombres de archivo como sshpass.txt, .logpam y .ports que aparezcan dentro de directorios inesperados, ya que estos son artefactos fijos del proceso de construcción de Medusa, independientemente de qué operador haya compilado el rootkit.
Las reglas YARA que decodifican la tabla de cadenas XOR con una clave variable y coinciden con entradas de texto plano conocidas pueden detectar cualquier versión de esta familia, incluso construcciones que utilicen credenciales nuevas y rutas de instalación renombradas.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA256 | 40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 | Carga de OrBit 2022, Lineage A |
| SHA256 | ec7462c3f4a87430eb19d16cfd775c173f4ba60d2f43697743db991c3d1c3067 | Carga de OrBit 2022, Lineage A |
| SHA256 | f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8 | Dropper 2022 |
| SHA256 | d419a9b17f7b4c23fd4e80a9bce130d2a13c307fccc4bfbc4d49f6b770d06d3b | Carga de 2023, Lineage A |
| SHA256 | 296d28eb7b66aa2cbea7d9c2e7dc1ad6ce6f97d44d34139760c38817aec083e7 | Carga de 2023, Lineage A |
| SHA256 | 3ba6c174a72e4bf5a10c8aaadab2c4b98702ee2308438e94a5512b69df998d5a | Carga de 2023, Lineage B |
| SHA256 | 4203271c1a0c24443b7e85cbf066c9928fcc69934772a431d779017fb85c9d73 | Carga de 2023, Lineage B |
| SHA256 | eea274eddd712fe0b4434dbef6a2a92810cb13b8be3deca0571410ee78d37c9f | Carga de 2024, Lineage A |
| SHA256 | a61386384173b352e3bd90dcef4c7268a73cd29f6ae343c15b92070b1354a349 | Carga de 2024, Lineage A |
| SHA256 | a34299a16cf30dac1096c1d24188c72eed1f9d320b1585fe0de4692472e3d4dc | Carga de 2024, Lineage B |
| SHA256 | b1dd18a6a4b0c6e2589312bbec55b392a20a95824ffe630a73c94d24504c553d | Carga de 2024, Lineage B |
| SHA256 | 989f7eb4f805591839bcbc321dd44418eb5694d1342e37b7f24126817f10e37e | Carga de 2024 (extraída), Lineage B |
| SHA256 | 8ea420d9aa341ba23cdea0ac03951bce866c933ba297268bc7db8a01ce8e9b8e | Carga de 2024 (ELF estático), Lineage A |
| SHA256 | 26082cd36fdaf76ec0d74b7fbf455418c49fbab64b20892a873c415c3bb60675 | Cargador/instalador 2024 |
| SHA256 | 48a68d0555f850c36f7d338b1a42ed1a661043cacf2ba2a4b0a347fac3cb3ee6 | Dropper 2024 |
| SHA256 | fc2e0cb627a00d0e4509bd319271721ea74fb11150847213abe9e8fea060cc8a | Dropper 2024 |
| SHA256 | 8e83cbb2ed12faba9b452ea41291bcebdce08162f64ac9a5f82592df62f47613 | Carga de 2025, Lineage A |
| SHA256 | 2b2eeb2271c19e2097a0ef0d90b2b615c20f726590bbfee139403db1dced5b0a | Carga de 2025, Lineage A |
| SHA256 | 84828f31d741f92ce4bca98cfc2148ff8cff6663e2908a025b1386dd4953ffef | Carga de 2025 (truncada), Lineage A |
| SHA256 | 090b15fd8912cab340b22e715d44db079ec641db5e2f92916aa1f2bc9236e03e | Dropper 2025 |
| SHA256 | 64a3ebd3ad3927fc783f6ac020d5a6192e9778fb16b51cceba06e4ee5416adff | Dropper 2025 |
| SHA256 | b85ed15756568b85148c1d432a8920f81e4b21f2bc38f0cf51d06ced619e0e77 | Dropper 2025 |
| SHA256 | d3d204c19d93e5e37697c7f80dd0de9f76a2fb4517ced9cafd7d7d46a6e285ba | Dropper 2025 |
| SHA256 | 73b95b7d1006caf8d3477e4a9a0994eaa469e98b70b8c198a82c4a12c91ad49a | Infector de dos etapas 2025 |
| SHA256 | 04c06be0f65d3ead95f3d3dd26fe150270ac8b58890e35515f9317fc7c7723c9 | Carga de 2026, Lineage A |
| SHA256 | d7b487d2e840c4546661f497af0195614fc0906c03d187dc39815c811ea5ec3f | Carga de 2026, Lineage A |
| SHA256 | b982276458a85cd3dd7c8aa6cb4bbb2d4885b385053f92395a99abbfb0e43784 | Dropper RHOMBUS 2020 (arquitectura compartida) |
| URL | http://cf0[.]pw/0 | Dominio C2 utilizado en el mecanismo de persistencia basado en cron de 2025 |
| IP Address | 109.95.212[.]253 | Resolución actual del dominio C2 cf0[.]pw, infraestructura basada en Rusia |
| IP Address | 109.95.211[.]141 | Infraestructura relacionada que comparte el mismo valor BANNER_0_HASH-IP, basada en Rusia |
| Ruta de Archivo | /lib/libseconf/ | Directorio de trabajo oculto primario utilizado en la mayoría de las variantes de OrBit |
| Ruta de Archivo | /lib/libntpVnQE6mk/ | Directorio de trabajo oculto original de OrBit 2022 |
| Ruta de Archivo | /lib/locate/ | Ruta de instalación alternativa utilizada en el clúster UNC3886/MEDUSA 2024 |
| Nombre de Archivo | sshpass.txt | Artefacto de archivo de almacenamiento de credenciales, fijo en el proceso de construcción de Medusa |
| Nombre de Archivo | .logpam | Artefacto de registro de credenciales PAM, fijo en el proceso de construcción de Medusa |
| Nombre de Archivo | /etc/cron.hourly/0 | Script de persistencia dejado por el infector de 2025 para la descarga de la carga útil remota |
Nota: Las direcciones IP y los dominios han sido desactivados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-use-orbit-rootkit-to-harvest-ssh/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.