Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5345
)
-
▼
junio
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
junio
(Total:
898
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Un coleccionista presenta una impresionante muestra de tarjetas gráficas ATI-AMD de gama alta que recorre 40 años de historia de la marca...
Atacante usa claves de API de Gemini para automatizar campaña en Telegram
Un único actor de amenazas ruso ha operado durante cinco años una persona política falsa en Telegram, logrando reunir a más de 17.000 suscriptores. Aunque el canal se presenta como un espacio de patriotismo estadounidense, en realidad se trata de un esquema de fraude con fines lucrativos. Para automatizar toda la operación, el operador utilizó claves de API de Gemini robadas.
Un único actor de amenazas ha estado gestionando una personalidad política falsa en Telegram durante cinco años, construyendo discretamente una audiencia de más de 17.000 suscriptores mientras utilizaba credenciales de IA robadas para impulsar toda la operación.
Lo que parece ser un canal de patriotas estadounidenses es, en realidad, un esquema de fraude con motivaciones financieras dirigido por un único operador que habla ruso. El objetivo siempre fue el dinero, y la IA hizo que escalar esa meta fuera casi sin esfuerzo.
La campaña, rastreada bajo el alias “bandcampro”, comenzó el 6 de febrero de 2021, un mes después del asalto al Capitolio, cuando las comunidades QAnon y MAGA estaban siendo expulsadas de sus plataformas y migraban a Telegram.
Al posicionar el canal falso, @americanpatriotus, como una voz conservadora estadounidense auténtica, el actor aprovechó una audiencia ya preparada y hambrienta de plataformas alternativas. El momento elegido fue claramente oportunista.
Analistas de Trend Micro dijeron en un informe que en mayo de 2026, su equipo de TrendAI Research descubrió que el entorno operativo del actor de amenazas había quedado expuesto inadvertidamente, revelando el alcance total de una campaña de influencia y fraude de cinco años.
El actor utilizó técnicas asistidas por IA para gestionar el canal de Telegram, dirigiéndose a audiencias estadounidenses políticamente comprometidas para realizar fraudes con criptomonedas, junto con el robo de credenciales asistido por IA.
A partir de septiembre de 2025, el actor pasó a utilizar contenido generado totalmente por IA, empleando una versión "jailbroken" (con las restricciones eliminadas) de Google Gemini como un colaborador operativo.
Llamó a su flujo de contenidos “Quantum Patriot”, un conjunto de scripts de Python que llamaban a Gemini para que actuara como un veterano patriota estadounidense.
.webp)
La IA generaba publicaciones al estilo Q, desplegaba servidores, rotaba claves API robadas y gestionaba túneles de Cloudflare, todo a partir de comandos en lenguaje natural escritos en ruso.
Lo que hizo que la operación fuera alarmante fue su coste casi nulo. El actor utilizó 73 claves API de Gemini probablemente robadas en una rotación circular, lo que significa que no pagó casi nada por la generación de contenido a escala industrial.
.webp)
Con 29 cuentas de WordPress vulneradas, una empresa infiltrada y el monedero de criptomonedas de una víctima totalmente vaciado, la operación demostró que la IA puede escalar un esquema de fraude de una sola persona hasta obtener una producción a nivel de equipo.
El actor de amenazas utiliza claves API de Gemini robadas
El uso de claves API de Gemini robadas fue fundamental para que la operación no tuviera coste. Durante una sesión documentada de 16 horas, Gemini validó 40 claves API probablemente robadas y escribió un rotador circular que alternaba entre ellas automáticamente.
Ese rotador fue publicado posteriormente en GitHub como un proyecto de código abierto limpio, disfrazando completamente su propósito criminal.
.webp)
Para evadir las barreras de seguridad de Gemini, el actor se presentó ante la IA como un “pentester autorizado”, algo que Gemini aceptó y guardó en un archivo de memoria persistente llamado GEMINI.md.
En sesiones posteriores, escaló la situación logrando que la IA memorizara que debía ejecutar solicitudes sin rechazos éticos ni advertencias. Dado que Gemini CLI recarga este archivo de memoria al inicio de cada sesión, cada nueva conversación heredaba automáticamente esas instrucciones de jailbreak.
Robo de credenciales y fraude asistido por IA
Más allá de gestionar el canal, el actor utilizó Gemini para ayudar en el robo de credenciales y creó un chatbot gamificado diseñado para robar criptomonedas.
El 9 de septiembre de 2025, publicó un ejecutable llamado StellarMonSetup.exe, presentado como un monedero de autocustodia con un bono de bienvenida de hasta 1.000 XLM.
El archivo era en realidad GoToResolve, una herramienta de administración remota que otorgaba al actor acceso persistente al escritorio remoto, ejecución de comandos y captura del portapapeles en los equipos de las víctimas.
El actor también desplegó una herramienta de fuerza bruta potenciada por IA dirigida a sitios de WordPress. Utilizando Gemini 2.5 Flash como oráculo de mutación de contraseñas, el script generaba 20 variantes plausibles de contraseñas por objetivo, modelando patrones como el cambio de mayúsculas, la adición de años y la sustitución de símbolos.
Los datos recopilados confirmaron que se vulneraron 29 cuentas de administrador de WordPress en tiendas de armas, bufetes legales, consultorios médicos y pequeños sitios comerciales.
%20The%20fake%20wallet%20was%20forwarded%20from%20a%20channel%20impersonating%20Donald%20J.%20Trump,%20(bottom)%20The%20attached%20executable%20is%20in%20fact%20a%20remote-access%20Trojan%20(Source%20-%20Trend%20Micro).webp)
Como defensor, nunca debes instalar software ni introducir una frase semilla basándote en instrucciones de un canal de redes sociales, ya que las plataformas legítimas nunca harán tales solicitudes.
Las empresas deben monitorizar la reutilización de claves API robadas, cambios anómalos en la infraestructura impulsados por CLI y patrones de relleno de credenciales consistentes con la mutación de contraseñas asistida por LLM.
Los proveedores de IA deben tratar la paridad de las barreras de seguridad entre idiomas y la memoria resistente al jailbreak como prioridades urgentes, ya que esta campaña demuestra que esas brechas ya están siendo explotadas activamente.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 213.165.51.115 | Conexión de red de infraestructura GoToResolve |
| Dirección IP | 34.34.57.141 | Conexión de red de infraestructura GoToResolve |
| Dirección IP | 34.34.81.129 | Conexión de red de infraestructura GoToResolve |
| Dirección IP | 35.192.41.201 | Conexión de red de infraestructura GoToResolve |
| Nombre de Archivo | StellarMonSetup.exe | Ejecutable de monedero Stellar falso; contiene el RAT GoToResolve |
| Nombre de Archivo | GEMINI.md | Archivo de memoria de jailbreak usado para anular las barreras de seguridad de la IA de Gemini |
| Nombre de Archivo | CREDENTIALS.md | Archivo usado para almacenar tokens robados y cuentas de servicio de GCP |
| Nombre de Archivo | DEPLOYED_TOOLS.md | Archivo que cataloga la salida de la sesión y las herramientas desplegadas |
| Nombre de Archivo | C2_MIGRATION_GUIDE.md | Guía seguida por Gemini para la migración del servidor de comando y control |
| Canal de Telegram | @americanpatriotus | Canal principal de distribución de la operación de influencia (~17.000 suscriptores) |
| Bot de Telegram | @QFS_Terminal_Bot | Chatbot gamificado al estilo QAnon usado para atraer y defraudar suscriptores |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Actívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/threat-actor-uses-stolen-gemini-api-keys/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.