Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3859
)
-
▼
mayo
(Total:
556
)
-
Apagón urbano para alimentar la IA
-
Imágenes JPEG maliciosas podrían causar vulnerabil...
-
IA vs Médicos: ¿Quién diagnostica mejor?
-
Operadores de 2FA usan phishing de OAuth para salt...
-
Usan rootkit OrBit para robar credenciales SSH y S...
-
Crean una NVIDIA RTX 3070 con hardware de AMD y ad...
-
Vulnerabilidades de OpenClaw Chain exponen 245.000...
-
Análisis de REMUS Infostealer: Robo de Sesiones, M...
-
Gunra Ransomware expande operaciones RaaS tras dej...
-
Nuevo fallo en actualización de Windows 11
-
Turla transforma el backdoor Kazuar en una botnet ...
-
OpenAI acusa a Apple de sabotear ChatGPT en los iP...
-
Codex llega a ChatGPT móvil
-
La huelga de Samsung se hace realidad, más de 45.0...
-
Gemini solo para Android premium con 12 GB de RAM
-
Filtran nuevos mandos de Xbox
-
ChatGPT ahora gestiona tu dinero
-
Acelera internet desactivando este ajuste de Windows
-
Google Live Translate llegaría al modo offline
-
Claude Code revisa el código antes de entregarlo
-
Crackean Pragmata sin hipervisor
-
Samsung lanza One UI 9 Beta
-
Microsoft advierte que atacantes usan agente de HP...
-
Intel prepara su APU más bestia con Razor Lake-AX:...
-
Cuatro vulnerabilidades en OpenClaw permiten el ro...
-
Filtración de token de GitHub en Grafana permitió ...
-
ASUS entra al mercado de la memoria RAM con su pri...
-
Intel prepara una tercera subida del 20% en sus Xe...
-
Xbox Series X superaría a PS5 en FSR 4.1
-
Apple planea AirPods con IA y cámaras
-
Programadores advierten que la IA atrofia el cerebro
-
Microsoft detalla la arquitectura modular y botnet...
-
ASUS ROG Crosshair 2006: llamativa placa base que ...
-
Explotan vulnerabilidad 0-day en Cisco Catalyst SD...
-
Expertos en seguridad dudan que los atacantes de C...
-
OpenAI confirma brecha de seguridad por ataque de ...
-
Windows 11 y Microsoft Edge, hackeados en Pwn2Own ...
-
Privacidad de tus archivos en NotebookLM
-
Windows 11 mantiene una app de Windows 95
-
ChatGPT busca gestionar tus finanzas
-
Ninguna IA vence al ajedrez
-
Gmail reduce espacio de 15 a 5 GB en cuentas nuevas
-
Vulnerabilidad crítica de Next.js expone credencia...
-
Google presenta la función Puntero mágico para tra...
-
Explotan vulnerabilidad CVE-2026-42897 en Microsof...
-
Meta agota agua en Georgia y apunta a Talavera
-
Vulnerabilidad crítica en el plugin Funnel Builder...
-
CISA incluye la vulnerabilidad CVE-2026-20182 de C...
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
Claude Code anticipará tus necesidades antes que tú
-
FBI advierte sobre peligros de puertos USB públicos
-
Grupo kTeamPCP y BreachForums ofrecen 1.000 $ por ...
-
Vulneran 170 paquetes npm para robar secretos de G...
-
Explotan vulnerabilidad de salto de autenticación ...
-
NVIDIA crea IA que aprende sola
-
IA de Anthropic halla fallos de seguridad en macOS
-
Paquete node-ipc de npm comprometido en ataque de ...
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
-
▼
mayo
(Total:
556
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Usan rootkit OrBit para robar credenciales SSH y Sudo de Linux
El peligroso rootkit llamado OrBit ha estado atacando silenciosamente sistemas Linux durante años, robando credenciales de inicio de sesión y ocultándose en lo más profundo de las máquinas infectadas sin activar la mayoría de las herramientas de seguridad.
Nuevas investigaciones revelan que lo que antes se creía que era una amenaza creada a medida es, en realidad, una versión modificada de un rootkit disponible públicamente, que se extiende por todo el mundo a través de múltiples grupos de hackers.
OrBit funciona incrustándose en el núcleo de un sistema Linux, enganchándose a más de cuarenta funciones básicas del sistema para volverse casi completamente invisible.
Una vez dentro de una máquina, escucha los intentos de inicio de sesión a través de SSH y sudo, capturando nombres de usuario y contraseñas y guardándolos en un directorio oculto que los escaneos estándar del sistema no pueden detectar.
El atacante se conecta entonces de nuevo al sistema comprometido a través de una puerta trasera secreta de SSH, sin necesidad de enviar comandos a través de internet.
Investigadores de Intezer, dijeron en un informe compartido con Cyber Security News (CSN), identificaron que OrBit no es código original en absoluto.
En realidad, está construido a partir de un rootkit disponible públicamente llamado Medusa, publicado en GitHub en diciembre de 2022.
El trabajo operativo realizado por los hackers no consistió en escribir código nuevo, sino en configurar archivos fuente existentes, rotar contraseñas y cambiar las rutas de instalación para permanecer ocultos.
Los hackers utilizan el rootkit OrBit
El análisis de Intezer rastreó más de una docena de muestras que abarcan desde 2022 hasta principios de 2026.
El equipo sometió cada muestra a un análisis estático y diferencial y descubrió dos rutas de construcción separadas: una versión completa llamada Lineage A, que contiene el kit de ataque completo, y una versión simplificada llamada Lineage B, que elimina varias funciones para dejar una huella más ligera.
Parece que la Lineage B dejó de aparecer después de 2024, lo que sugiere que los operadores podrían haber vuelto a consolidarse en la construcción principal.
OrBit se despliega como un archivo de biblioteca compartida en la máquina Linux objetivo. Logra la persistencia modificando la configuración del enlazador dinámico para que la biblioteca maliciosa se cargue automáticamente en cada proceso que se ejecute en el sistema.
Desde esa posición, intercepta lecturas de archivos, listados de directorios y datos de conexión de red, haciéndose invisible tanto para los administradores como para las herramientas de seguridad.
El malware almacena las credenciales capturadas y los datos de configuración en un directorio oculto llamado /lib/libseconf/, que las herramientas estándar no pueden ver debido a los propios ganchos del rootkit.
El salto de capacidad más significativo ocurrió en 2025, cuando la construcción más reciente añadió un gancho llamado pam_sm_authenticate, una función de autenticación del lado del servidor.
Mientras que las versiones anteriores solo podían recopilar credenciales pasivamente cuando los usuarios las escribían, esta nueva versión también puede falsificar los resultados de la autenticación, lo que significa que los atacantes pueden aprobar o denegar intentos de inicio de sesión en un sistema comprometido a su voluntad.
Ese mismo año, apareció una nueva cadena de entrega de dos etapas: un infector incrusta un "dropper", que luego extrae e instala el rootkit, con una tarea cron creada para obtener cargas útiles actualizadas desde un dominio externo.
Múltiples grupos de hackers están explotando esta puerta trasera
Uno de los hallazgos más alarmantes de esta investigación es que al menos tres grupos de hackers distintos han estado utilizando OrBit.
El grupo de espionaje patrocinado por el estado UNC3886, rastreado por Mandiant, utilizó el mismo código base con una clave de cifrado 0xAA específica, credenciales distintas y una ruta de instalación que coincidía exactamente con las muestras de Lineage A de Intezer de 2024.
CrowdStrike señaló en su Informe de Amenazas Globales de 2026 que BLOCKADE SPIDER, un grupo de cibercrimen conocido por el ransomware Embargo, utilizó OrBit para mantener silenciosamente el acceso dentro de entornos de virtualización de VMware.
Una tercera campaña observada en 2025 utilizó una arquitectura de dropper idéntica a una vinculada a RHOMBUS, una botnet basada en Linux reportada por primera vez en 2020; ambos droppers comparten el mismo dominio C2 que resuelve a una infraestructura en Rusia.
Se aconseja a los defensores que monitoricen la coexistencia de nombres de archivo como sshpass.txt, .logpam y .ports que aparezcan dentro de directorios inesperados, ya que estos son artefactos fijos del proceso de construcción de Medusa, independientemente de qué operador haya compilado el rootkit.
Las reglas YARA que decodifican la tabla de cadenas XOR con una clave variable y coinciden con entradas de texto plano conocidas pueden detectar cualquier versión de esta familia, incluso construcciones que utilicen credenciales nuevas y rutas de instalación renombradas.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA256 | 40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 | Carga de OrBit 2022, Lineage A |
| SHA256 | ec7462c3f4a87430eb19d16cfd775c173f4ba60d2f43697743db991c3d1c3067 | Carga de OrBit 2022, Lineage A |
| SHA256 | f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8 | Dropper 2022 |
| SHA256 | d419a9b17f7b4c23fd4e80a9bce130d2a13c307fccc4bfbc4d49f6b770d06d3b | Carga de 2023, Lineage A |
| SHA256 | 296d28eb7b66aa2cbea7d9c2e7dc1ad6ce6f97d44d34139760c38817aec083e7 | Carga de 2023, Lineage A |
| SHA256 | 3ba6c174a72e4bf5a10c8aaadab2c4b98702ee2308438e94a5512b69df998d5a | Carga de 2023, Lineage B |
| SHA256 | 4203271c1a0c24443b7e85cbf066c9928fcc69934772a431d779017fb85c9d73 | Carga de 2023, Lineage B |
| SHA256 | eea274eddd712fe0b4434dbef6a2a92810cb13b8be3deca0571410ee78d37c9f | Carga de 2024, Lineage A |
| SHA256 | a61386384173b352e3bd90dcef4c7268a73cd29f6ae343c15b92070b1354a349 | Carga de 2024, Lineage A |
| SHA256 | a34299a16cf30dac1096c1d24188c72eed1f9d320b1585fe0de4692472e3d4dc | Carga de 2024, Lineage B |
| SHA256 | b1dd18a6a4b0c6e2589312bbec55b392a20a95824ffe630a73c94d24504c553d | Carga de 2024, Lineage B |
| SHA256 | 989f7eb4f805591839bcbc321dd44418eb5694d1342e37b7f24126817f10e37e | Carga de 2024 (extraída), Lineage B |
| SHA256 | 8ea420d9aa341ba23cdea0ac03951bce866c933ba297268bc7db8a01ce8e9b8e | Carga de 2024 (ELF estático), Lineage A |
| SHA256 | 26082cd36fdaf76ec0d74b7fbf455418c49fbab64b20892a873c415c3bb60675 | Cargador/instalador 2024 |
| SHA256 | 48a68d0555f850c36f7d338b1a42ed1a661043cacf2ba2a4b0a347fac3cb3ee6 | Dropper 2024 |
| SHA256 | fc2e0cb627a00d0e4509bd319271721ea74fb11150847213abe9e8fea060cc8a | Dropper 2024 |
| SHA256 | 8e83cbb2ed12faba9b452ea41291bcebdce08162f64ac9a5f82592df62f47613 | Carga de 2025, Lineage A |
| SHA256 | 2b2eeb2271c19e2097a0ef0d90b2b615c20f726590bbfee139403db1dced5b0a | Carga de 2025, Lineage A |
| SHA256 | 84828f31d741f92ce4bca98cfc2148ff8cff6663e2908a025b1386dd4953ffef | Carga de 2025 (truncada), Lineage A |
| SHA256 | 090b15fd8912cab340b22e715d44db079ec641db5e2f92916aa1f2bc9236e03e | Dropper 2025 |
| SHA256 | 64a3ebd3ad3927fc783f6ac020d5a6192e9778fb16b51cceba06e4ee5416adff | Dropper 2025 |
| SHA256 | b85ed15756568b85148c1d432a8920f81e4b21f2bc38f0cf51d06ced619e0e77 | Dropper 2025 |
| SHA256 | d3d204c19d93e5e37697c7f80dd0de9f76a2fb4517ced9cafd7d7d46a6e285ba | Dropper 2025 |
| SHA256 | 73b95b7d1006caf8d3477e4a9a0994eaa469e98b70b8c198a82c4a12c91ad49a | Infector de dos etapas 2025 |
| SHA256 | 04c06be0f65d3ead95f3d3dd26fe150270ac8b58890e35515f9317fc7c7723c9 | Carga de 2026, Lineage A |
| SHA256 | d7b487d2e840c4546661f497af0195614fc0906c03d187dc39815c811ea5ec3f | Carga de 2026, Lineage A |
| SHA256 | b982276458a85cd3dd7c8aa6cb4bbb2d4885b385053f92395a99abbfb0e43784 | Dropper RHOMBUS 2020 (arquitectura compartida) |
| URL | http://cf0[.]pw/0 | Dominio C2 utilizado en el mecanismo de persistencia basado en cron de 2025 |
| IP Address | 109.95.212[.]253 | Resolución actual del dominio C2 cf0[.]pw, infraestructura basada en Rusia |
| IP Address | 109.95.211[.]141 | Infraestructura relacionada que comparte el mismo valor BANNER_0_HASH-IP, basada en Rusia |
| Ruta de Archivo | /lib/libseconf/ | Directorio de trabajo oculto primario utilizado en la mayoría de las variantes de OrBit |
| Ruta de Archivo | /lib/libntpVnQE6mk/ | Directorio de trabajo oculto original de OrBit 2022 |
| Ruta de Archivo | /lib/locate/ | Ruta de instalación alternativa utilizada en el clúster UNC3886/MEDUSA 2024 |
| Nombre de Archivo | sshpass.txt | Artefacto de archivo de almacenamiento de credenciales, fijo en el proceso de construcción de Medusa |
| Nombre de Archivo | .logpam | Artefacto de registro de credenciales PAM, fijo en el proceso de construcción de Medusa |
| Nombre de Archivo | /etc/cron.hourly/0 | Script de persistencia dejado por el infector de 2025 para la descarga de la carga útil remota |
Nota: Las direcciones IP y los dominios han sido desactivados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-use-orbit-rootkit-to-harvest-ssh/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.