Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5491
)
-
▼
junio
(Total:
898
)
-
EE. UU. ofrece hasta 10M$ por información que ayud...
-
Nuevo ataque de Claude Code permite control total ...
-
Base de datos de vulnerabilidades de GitHub alcanz...
-
Explotan vulnerabilidad crítica de Oracle E-Busine...
-
Vulnerabilidades de Synology MailPlus Server permi...
-
Microsoft advierte que las descripciones manipulad...
-
Gemini supera a ChatGPT con imágenes gratis para t...
-
Claude Science acelera el descubrimiento científico
-
IA de Google crea imágenes en 4 segundos
-
Kodi 22 Piers llega a beta
-
Meta pierde juicio por impacto de redes en menores
-
Vulnerabilidad crítica en Gemini CLI permite ejecu...
-
Vulnerabilidades de WolfSSL exponen miles de millo...
-
Vulnerabilidad RCE de Microsoft 365 explotada con ...
-
Publicado PoC de fallo en NTLM que permite acceso ...
-
Vulnerabilidades críticas de Dell Wyse permiten ej...
-
Roban sesiones de WhatsApp Web para estafas a dire...
-
Publicado PoC de vulnerabilidad RCE en Splunk Secu...
-
Vulnerabilidad crítica en Kemp LoadMaster permite ...
-
Extensión maliciosa de Perplexity para Chrome inte...
-
Kali Linux 2026.2: GNOME 50 y Plasma 6.6
-
Bing Search de ‘ManageEngine OpManager’ distribuye...
-
Vulnerabilidad de Oracle E-Business Suite CVE-2026...
-
ISPs exigen cuentas a Tebas por bloqueos IPTV
-
Microsoft crea un filtro de seguridad para evitar ...
-
Desarrolladores de Mozilla logran instalar malware...
-
Elon time: el retraso de Musk hacia Marte
-
Mod hace que el Steam Controller vuelva solo a su ...
-
Akrites: nuevo frente contra ataques de IA al códi...
-
Gemini permite buscar una app que haga algo especí...
-
Organic Maps: La alternativa a Google Maps que res...
-
Microsoft elimina 119 extensiones de Edge que ocul...
-
Chrome se integra mejor con Wallet para autocomple...
-
Cae masivamente la piratería de fútbol online
-
EE. UU. incauta cientos de dominios de streaming i...
-
OpenAI lanza GPT 5.6 y promete mayor seguridad
-
Turla, vinculado a Rusia, usa infraestructura comp...
-
Los drivers AMD Adrenalin en Windows 10 siguen pre...
-
La UE encarece compras en AliExpress, Shein y Temu
-
ClawHub Skills expone agentes de IA a puertas tras...
-
Dron sigue a F1 a 300 km/h
-
The New York Times demanda a Microsoft y OpenAI po...
-
Mageia 10: distro Linux sucesora de Mandriva
-
Demandan a Samsung, SK Hynix y Micron por los prec...
-
WhatsApp implementará nombres de usuario para prot...
-
Netflix endurece el control de cuentas compartidas
-
Senador acusa a Tim Cook de priorizar beneficios s...
-
IA china Zhipu igualaría a Claude Mythos en detecc...
-
CachyOS lanza Hyprland Noctalia y Shelly para AUR
-
Nissan advierte que un hackeo a Oracle PeopleSoft ...
-
Hacienda de España usará IA israelí para potenciar...
-
Agentes míticos generados por LLM permiten herrami...
-
Usan RemotePC y PowerShell para desplegar el ranso...
-
EEUU condiciona el lanzamiento de GPT-5.6 Sol
-
PowerPoint busca presentaciones perfectas
-
CNMC podría encarecer el despliegue de fibra de op...
-
OpenAI lanzó GPT-5.6 Sol con acceso limitado y pro...
-
Crea un Windows portátil con Windows To Go
-
Paquetes de Go y npm comprometidos utilizan tareas...
-
RedAmon: IA que encadena reconocimiento, explotaci...
-
Consiguen hacer funcionar Windows 11 en un PC de l...
-
Casi cien drones caen en un show aéreo en Australia
-
El nuevo malware SharkLoader despliega Cobalt Stri...
-
Windows 11: nueva recuperación de pago
-
El FBI advierte que rusos buscan las claves de rec...
-
Nuevo ataque de secuestro de buckets redirige dato...
-
Ucrania denuncia que el servicio de inteligencia r...
-
Xbox Series S iguala precio de PS5
-
IP Crawl, la colección de webcams abiertas que no ...
-
Chrome cifrará tus pestañas abiertas
-
Una guía para elegir el mejor DNS público; práctic...
-
Trump bloquea el acceso a GPT-5.6
-
Amazon: IA de Mythos afecta a Fable 5 en AWS
-
OpenAI presenta GPT-5.6 Sol con acceso restringido...
-
Se prevé otro gran aumento de precio de la memoria...
-
Eustella: el chatbot europeo frente a ChatGPT
-
Las placas Z990 tendrán 3 conectores de 8 pines pa...
-
75 juegos PC: pocos requisitos y buenos gráficos
-
Nobel de Medicina arremete contra Elon Musk y su p...
-
La IA aumenta la desigualdad laboral
-
Medios demandan a Microsoft y OpenAI por IA
-
Ford falla con IA y recontrata ingenieros
-
Fallo en Amazon Q permitía ejecutar código y robar...
-
Stremio 5 ya disponible para Linux
-
STIM Machine, así es el PC que imita la forma de l...
-
Nuevo exploit de Linux permite acceso root al sistema
-
Vulnerabilidad crítica en python.org permitía fals...
-
Hackeo en Leroy Merlin: miles de clientes expuestos
-
Activa la VPN de Firefox
-
LastPass sufre nueva filtración de datos
-
FortiBleed: el ataque a firewalls FortiGate que ro...
-
Mythos detecta Squidbleed, una fuga de memoria que...
-
Anthropic lanza Claude Tag: el compañero de IA lle...
-
Habilidad fraudulenta de agentes de IA supera esca...
-
GitHub actualiza actions/checkout para bloquear pa...
-
Casi la mitad de las apps de LG y Samsung venden t...
-
CISA advierte de vulnerabilidad explotada en Ubiqu...
-
Usan Velociraptor, Cloudflare, Zoho y VS Code para...
-
Nueva navaja suiza para hackers en GitHub
-
Operadora japonesa expone 14,2 millones de credenc...
-
SteamOS llegará a todos los PC
-
Las RTX 50 de análisis se empiezan a quemar: Club3...
-
El Departamento de Justicia incauta cuenta de Huio...
-
Claude Fable 5 escribió código del kernel de Windo...
-
Wikipedia expulsa permanentemente a su cofundador ...
-
Kit de phishing AWS AiTM roba credenciales y MFA e...
-
Shai-Hulud roba credenciales de desarrolladores
-
Caducó certificado de Secure Boot de Windows: mile...
-
Algoritmo suizo que quitará el carné por no respet...
-
Backdoor Mistic se autodestruye y se vincula a un ...
-
Polonia desmantela banda de SIM-swapping responsab...
-
CISA advierte sobre vulnerabilidad de Cisco Unifie...
-
Los navegadores más raros probados
-
Iberia estrena su acceso gratuito a Internet vía S...
-
El CEO de Epic Games dice que las herramientas de ...
-
Google detalla STOCKSTAY, la nueva puerta trasera ...
-
10 webs de eBooks gratis y legales
-
Fallo de seguridad en Apache Tomcat Tribes
-
Firma china de ciberseguridad asegura haber creado...
-
Nuevo exploit de COW en Linux permite acceso root ...
-
Qualcomm Dragonfly C1000: así es la CPU con más de...
-
OpenAI retrasaría ChatGPT 5.6 por pedido de Trump
-
Windows 10 tendrá soporte hasta 2027
-
Extensión maliciosa de Edge ejecuta código en sist...
-
Marketplace OpenClaw expone agentes de IA a malwar...
-
Vulnerabilidades en IA de Red-Team permiten robo d...
-
Usan Cisco y Google para propagar malware SharkLoader
-
Campaña de LokiBot roba credenciales con JScript, ...
-
-
▼
junio
(Total:
898
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Se ha detectado una nueva técnica de ransomware capaz de ejecutarse completamente dentro de un navegador web , sin necesidad de instalar apl...
Grupo China-Nexus usan módulos PAM vulnerables para robar credenciales y saltar la autenticación
Un sofisticado actor de amenazas vinculado a China, conocido como Velvet Ant, llevó a cabo una intrusión cibernética a largo plazo en la red interna de una organización importante, permaneciendo indetectado durante casi una década. Esta campaña, denominada Operación Highland, destacó por un nivel de paciencia y profundidad técnica poco común, resultando particularmente alarmante debido a su persistencia.
Un sofisticado actor de amenazas vinculado a China, conocido como Velvet Ant, ha estado llevando a cabo una intrusión cibernética a largo plazo dentro de la red interna de una organización importante, pasando desapercibido durante casi una década.
La campaña, ahora llamada Operación Highland, reveló un nivel de paciencia y profundidad técnica rara vez visto en intrusiones documentadas públicamente.
Lo que hizo que este ataque fuera particularmente alarmante no fue solo hasta dónde llegaron los atacantes, sino cuánto tiempo permanecieron ocultos dentro de una red sin conexión directa a Internet.
Velvet Ant no vulneró este entorno mediante un simple correo de phishing o un ataque de fuerza bruta. En su lugar, el grupo diseñó una cadena de acceso deliberada y de múltiples etapas que se desplazó desde sistemas orientados a Internet hacia una red de infraestructura crítica estrictamente aislada.
Los atacantes utilizaron herramientas disponibles públicamente como cobertura y las modificaron para mezclarse con la actividad normal, haciendo que la detección fuera casi imposible utilizando herramientas de seguridad convencionales.
Analistas de Sygnia dijeron en un informe que cuando su equipo de IR comenzó a reconstruir la intrusión, los artefactos forenses más antiguos se remontaban a 2017, revelando casi una década completa de presencia no detectada dentro de la red interna.
La investigación, denominada Operación Highland, expuso cómo Velvet Ant se movió desde sistemas orientados a Internet a través de la red de TI para alcanzar los segmentos de infraestructura más sensibles.
.webp)
Los hallazgos de Sygnia mostraron un patrón constante: cuando eran detectados, el grupo pivotaba hacia una infraestructura menos monitoreada y reconstruía la persistencia desde una nueva posición.
La red objetivo no tenía conectividad directa a Internet, lo que significó que el atacante tuvo que diseñar una cadena deliberada de múltiples etapas para alcanzarla. Velvet Ant se posicionó a través de sistemas orientados a Internet y atravesó la red de TI para llegar al segmento de infraestructura crítica.
Lo que hizo que esta operación fuera distinta fue cómo los atacantes anclaron su persistencia, no en una puerta trasera estándar, sino dentro de la propia capa de autenticación.
China-Nexus utilizan módulos PAM con puertas traseras
Una vez que Velvet Ant pivotó hacia el entorno segregado, se dirigieron a la capa del Módulo de Autenticación Enchufable (PAM), un componente central de Linux que gestiona cómo cada servicio autentica a los usuarios.
Durante la investigación, se identificaron nueve archivos de un pam_unix.so con puerta trasera en los hosts comprometidos. Los atacantes reemplazaron el módulo PAM legítimo con versiones modificadas maliciosamente.
.webp)
La función objetivo, pam_sm_authenticate, normalmente recupera un nombre de usuario y una contraseña y devuelve éxito o fallo. En las versiones modificadas, esta función fue parcheada para aceptar una contraseña de puerta trasera predefinida, recolectar credenciales de intentos de autenticación legítimos, o ambas cosas.
Cuando se introducía la contraseña de la puerta trasera, la verificación normal se omitía por completo. La librería maliciosa también sobrescribía la cadena de la contraseña de la puerta trasera en la memoria con valores NULL después del acceso, dificultando la recuperación forense.
Se incrustó un indicador personalizado para desactivar el registro de credenciales y sesiones del propio atacante, permitiendo que el grupo operara sin dejar ninguna evidencia registrada de su actividad.
Binarios de OpenSSH modificados y movimiento lateral
Junto con la manipulación de PAM, Velvet Ant desplegó una versión modificada de GS-Netcat en servidores orientados a Internet para establecer una shell inversa hacia un servidor C2 remoto. El binario fue nombrado auditd y colocado en /usr/sbin/ para mezclarse con las utilidades legítimas del sistema.
Para evadir la detección, el binario sobrescribía su propio nombre de proceso con [kauditd], camuflándose como un hilo del kernel legítimo en las listas de procesos.
Para mantener la persistencia, el actor de amenazas utilizó diferentes métodos según el sistema operativo del servidor. En servidores más nuevos que ejecutan systemd, se colocó un archivo de unidad malicioso en /lib/systemd/system/, disfrazado de servicio de Chrome.
.webp)
En servidores SysVinit más antiguos, se añadió una línea de ejecución maliciosa a los scripts de inicio en /etc/init.d/. Velvet Ant también añadió sus propias claves públicas a los archivos authorized_keys en los servidores comprometidos, permitiendo un acceso persistente sin contraseña.
Sygnia recomendó que las organizaciones traten PAM, OpenSSH, LSASS y las rutas de acceso privilegiadas como controles de seguridad críticos. Desplegar un EDR en todos los sistemas compatibles es esencial para la visibilidad de los endpoints y la cobertura de detección.
Las organizaciones deberían activar alertas de alta confianza para modificaciones de archivos del sistema o de autenticación y reforzar las rutas de acceso privilegiadas.
Las credenciales deben rotarse únicamente después de que la persistencia haya sido eliminada por completo, y cualquier remediación que afecte a los componentes de autenticación debe incluir opciones de reversión y planes de acceso de emergencia para evitar que los administradores queden bloqueados fuera de los sistemas de producción.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Nombre de archivo | pam_unix.so | Módulo PAM con puerta trasera utilizado para omitir la autenticación y recolectar credenciales |
| Nombre de archivo | auditd | Binario malicioso de GS-Netcat colocado en /usr/sbin/ para hacerse pasar por un demonio de auditoría legítimo |
| Ruta de archivo | /usr/sbin/auditd | Ruta de despliegue del binario de shell inversa malicioso |
| Ruta de archivo | /lib/systemd/system/ | Ubicación del archivo de unidad de systemd malicioso disfrazado de servicio de Chrome |
| Ruta de archivo | /etc/init.d/ | Ruta del script de inicio de SysVinit con línea de ejecución maliciosa añadida |
| Ruta de archivo | /usr/share/man9/ph.man | Ruta de almacenamiento para archivos de volcado de credenciales cifrados |
| Ruta de archivo | /var/lib/eth-scs/libeth.so | Entrada RPATH encontrada en variantes de pam_unix.so con puerta trasera |
| Ruta de archivo | /etc/rc/Linux-PAM-[versión PAM]/libpam.libs:lib64 | Formato RPATH encontrado en variantes de pam_unix.so con puerta trasera |
| Nombre de proceso | [kauditd] | Nombre de proceso disfrazado utilizado por el binario auditd malicioso para imitar un hilo del kernel |
| Herramienta | GS-Netcat (modificado) | Versión modificada de la herramienta pública GS-Netcat utilizada como shell inversa cifrada |
| Herramienta | Script proxy SOCKS5 en Perl | Proxy SOCKS5 personalizado basado en Perl utilizado para movimiento lateral y tunelización de tráfico |
| Archivo de credenciales | /usr/share/man@/ph.ph.man | Archivo cifrado utilizado para almacenar credenciales de inicio de sesión local y SSH recolectadas |
Nota: Las direcciones IP y los dominios han sido "descolmillados" intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de enlaces. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/china-nexus-hackers-use-backdoored-pam-modules/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.