PyrsistenceSniper es una herramienta avanzada diseñada para detectar la persistencia offline, permitiendo a los analistas de ciberseguridad identificar 117 mecanismos de persistencia distintos en plataformas Windows, Linux y macOS. Desarrollada por Hexastrike y basada en Python, esta solución permite realizar un triaje rápido de colecciones forenses sin necesidad de acceder al sistema en vivo.

Uno de los grupos de hackers respaldados por estados más peligrosos del mundo está atacando activamente servidores de Protocolo de Escritorio Remoto (RDP) en infraestructuras críticas, organizaciones de defensa y agencias gubernamentales. El actor de amenazas, conocido como APT-C-13 y ampliamente rastreado como Sandworm, APT44, Seashell Blizzard y Voodoo Bear, ha estado llevando a cabo operaciones cibernéticas desde al menos 2009. 

Nueva técnica de persistencia en Linux llamada Living off the Land 2.0 aprovecha infraestructura normal del sistema (como systemd) para evitar detección en SOCs, usando socket activation y generators que no dejan procesos activos ni rastros tradicionales, activándose solo bajo demanda del atacante y pasando desapercibidos al no revisarse rutas como /run/systemd/generator/.

Una campaña de phishing en curso está atacando a usuarios de Microsoft 365 mediante el abuso de tokens OAuth para obtener acceso a largo plazo a datos corporativos. Esta campaña se centra en usuarios empresariales en Norteamérica y busca comprometer Outlook, Teams y OneDrive sin robar contraseñas directamente. 

Una nueva ola de ataques dirigidos a sistemas Windows ha surgido a través de un sofisticado troyano de acceso remoto conocido como Pulsar RAT. Este malware establece persistencia utilizando la clave de registro Run por usuario, lo que permite su ejecución automática cada vez que un usuario infectado inicia sesión en su sistema. 

Praetorian Inc. ha hecho público Swarmer, una herramienta que permite a atacantes con bajos privilegios lograr persistencia en Windows de manera sigilosa, eludiendo la supervisión de los sistemas de Detección y Respuesta en Endpoints (EDR). Implementada operativamente desde febrero de 2025, Swarmer aprovecha los perfiles de usuario obligatorios y la poco conocida API del Registro Offline para modificar el hive NTUSER sin activar los hooks estándar del registro. 

Fortinet ha revelado que actores de amenazas han encontrado una manera de mantener el acceso de solo lectura a dispositivos FortiGate vulnerables, incluso después de que se parcheara el vector de acceso inicial utilizado para vulnerarlos.

RedPersist es una herramienta escrita en C# con la que podremos intentar tener persistencia en una máquina con 9 métodos diferentes y que además podemos usar con un ejecutable independiente o con un execute-assembly.

Cómo un reinicio falso ayuda al malware a afianzarse en el sistema operativo de un smartphone sin explotar una vulnerabilidad persistente.