cyber attacks

El equipo de seguridad de Microsoft llevó a cabo una evaluación sobre el benchmarking de la seguridad de correo electrónico en capas, detallada en una publicación de blog de diciembre de 2025. El análisis se centró específicamente en el funcionamiento del Integrated Cloud Email Security (ICES).

El ecosistema ICES permite que Microsoft Defender for Office 365 se integre con proveedores de seguridad de correo electrónico externos y confiables, impulsando una estrategia de defensa multicapa. Esta integración permite a los usuarios aprovechar capacidades especializadas de socios externos mientras mantienen una experiencia unificada dentro del portal de Microsoft Defender.

Beneficios del ecosistema ICES

La implementación de este sistema ofrece diversas ventajas operativas y de seguridad:

• Cuarentena unificada: Permite visualizar y gestionar los correos electrónicos en cuarentena, tanto los de Defender for Office 365 como los de proveedores no pertenecientes a Microsoft, desde una única interfaz.
• Tableros consolidados: Proporciona acceso a métricas de efectividad transversales a todas las soluciones integradas para comprender mejor los resultados y la cobertura de detección.
• Defensa en profundidad: Refuerza la protección al combinar capacidades de terceros con las defensas nativas de Defender for Office 365.
• Operaciones optimizadas: Facilita una integración fluida con proveedores de seguridad de correo electrónico habilitados para API y nativos de la nube, consolidando los flujos de trabajo y la obtención de información dentro del portal de Defender.

Esta funcionalidad está disponible para los usuarios de Microsoft Defender for Office 365 Plan 2 y Microsoft Defender XDR.

La empresa de ciberseguridad Arctic Wolf ha advertido sobre un «nuevo grupo de actividad maliciosa automatizada» que implica cambios de configuración no autorizados en los dispositivos Fortinet FortiGate.

La actividad, según la compañía, comenzó el 15 de enero de 2026, y añade que presenta similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en los dispositivos FortiGate contra la cuenta de administrador desde diferentes proveedores de alojamiento, explotando las vulnerabilidades CVE-2025-59718 y CVE-2025-59719.

Ambas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO sin autenticación a través de mensajes SAML creados, cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Estas deficiencias impactan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.

«Esta actividad involucró la creación de cuentas genéricas destinadas a la persistencia, cambios de configuración que otorgan acceso VPN a esas cuentas, así como la exfiltración de configuraciones de firewall», declaró Arctic Wolf sobre el creciente grupo de amenazas.

Específicamente, esto implica la realización de inicios de sesión SSO maliciosos contra una cuenta maliciosa «cloud-init@mail.io» desde cuatro direcciones IP diferentes, tras lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz gráfica de usuario. La lista de direcciones IP de origen es la siguiente:

• 104.28.244[.]115
• 104.28.212[.]114
• 217.119.139[.]50
• 37.1.209[.]19

Además, se ha observado que los actores de amenazas crean cuentas secundarias, como «secadmin», «itadmin», «support», «backup», «remoteadmin» y «audit», para la persistencia.

«Todos los eventos anteriores tuvieron lugar en cuestión de segundos, lo que indica la posibilidad de actividad automatizada», añadió Arctic Wolf.

La divulgación coincide con una publicación en Reddit en la que varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, con un usuario afirmando que «el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10».

The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios y actualizaremos la noticia si recibimos respuesta. Mientras tanto, se recomienda deshabilitar la configuración «admin-forticloud-sso-login».

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución para un troyano bancario de Windows llamado Astaroth, en ataques dirigidos a Brasil.

La campaña ha sido denominada Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis.

«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», señaló la compañía de ciberseguridad en un informe compartido con The Hacker News.

«Si bien el núcleo del payload de Astaroth permanece escrito en Delphi y su instalador depende de un script de Visual Basic, el nuevo módulo de gusano basado en WhatsApp se implementa completamente en Python, lo que destaca el creciente uso de componentes modulares multilingües por parte de los actores de la amenaza.»

Astaroth, también conocido como Guildma, es un malware bancario que ha sido detectado en la naturaleza desde 2015, dirigido principalmente a usuarios en América Latina, particularmente en Brasil, para facilitar el robo de datos. En 2024, múltiples grupos de amenazas rastreados como PINEAPPLE y Water Makara fueron observados utilizando correos electrónicos de phishing para propagar el malware.

El uso de WhatsApp como vehículo de entrega para troyanos bancarios es una nueva táctica que ha ganado tracción entre los actores de amenazas que se dirigen a los usuarios brasileños, un movimiento impulsado por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detalló la dependencia de Water Saci en WhatsApp para propagar Maverick y una variante de Casbaneiro.

Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware por etapas codificada como STAC3150 que se dirige a los usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados se encontraban en Brasil, y, en menor medida, en los Estados Unidos y Austria.

La actividad, activa desde al menos el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar los datos de los usuarios de WhatsApp para una mayor propagación, junto con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como un punto de partida para la infección por malware.

«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la compañía de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el comienzo del compromiso.»

Esto incluye dos módulos:

• Un módulo de propagación basado en Python que recopila los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce eficazmente a la propagación del malware de forma similar a un gusano.
• Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima, y se activa cuando se visitan URL relacionadas con la banca para obtener credenciales y permitir ganancias financieras.

«El autor del malware también implementó un mecanismo integrado para rastrear e informar las métricas de propagación en tiempo real», dijo Acronis. «El código registra periódicamente estadísticas como el número de mensajes entregados con éxito, el número de intentos fallidos y la velocidad de envío medida en mensajes por minuto.»

Investigadores de ciberseguridad han revelado detalles de una nueva campaña, denominada PHALT#BLYX, que ha utilizado señuelos de tipo ClickFix para mostrar soluciones falsas para errores de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector de la hostelería europeo.

El objetivo final de esta campaña, que se desarrolla en varias etapas, es entregar un troyano de acceso remoto conocido como DCRat, según la empresa de ciberseguridad Securonix. La actividad fue detectada a finales de diciembre de 2025.

«Para el acceso inicial, los actores de amenazas utilizan un señuelo de cancelación de reserva falsa de Booking.com para engañar a las víctimas y que ejecuten comandos maliciosos de PowerShell, que descargan y ejecutan código remoto silenciosamente», afirmaron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.

El punto de partida de la cadena de ataque es un correo electrónico de phishing que suplanta a Booking.com y contiene un enlace a un sitio web falso (por ejemplo, «low-house[.]com»). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas, instándoles a hacer clic en el enlace para confirmar la cancelación.

El sitio web al que se redirige a la víctima se hace pasar por Booking.com y muestra una página de CAPTCHA falsa que los lleva a una página de BSoD falsa con «instrucciones de recuperación» para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y presionar la tecla Enter. En realidad, esto resulta en la ejecución de un comando de PowerShell que finalmente implementa DCRat.

Específicamente, esto implica un proceso de varios pasos que comienza con el dropper de PowerShell descargando un archivo de proyecto MSBuild («v.proj») de «2fa-bns[.]com», que luego se ejecuta utilizando «MSBuild.exe» para ejecutar una carga útil integrada responsable de configurar exclusiones de Microsoft Defender Antivirus para evadir la detección, establecer la persistencia en el host en la carpeta de inicio y lanzar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.

También es capaz de desactivar el programa de seguridad por completo si se encuentra ejecutándose con privilegios de administrador. Si no tiene derechos elevados, el malware entra en un bucle que activa una solicitud de Control de cuentas de usuario de Windows (UAC) cada dos segundos durante tres veces con la esperanza de que la víctima le conceda los permisos necesarios por pura frustración.

Paralelamente, el código de PowerShell toma medidas para abrir la página de administración legítima de Booking.com en el navegador predeterminado como un mecanismo de distracción y para dar la impresión a la víctima de que la acción era legítima.

DCRat, también llamado Dark Crystal RAT, es un troyano .NET listo para usar que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Está equipado para conectarse a un servidor externo, perfilar el sistema infectado y esperar comandos entrantes del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y entregar cargas útiles adicionales, como un minero de criptomonedas.

La campaña es un ejemplo de cómo los actores de amenazas están aprovechando las técnicas de vivir de la tierra (LotL), como el abuso de binarios de sistema confiables como «MSBuild.exe», para avanzar la ataque, establecer un punto de apoyo más profundo y mantener la persistencia dentro de los hosts comprometidos.

«Los correos electrónicos de phishing destacan por incluir detalles de cargos de habitación en euros, lo que sugiere que la campaña se dirige activamente a organizaciones europeas», dijo Securonix. «El uso del idioma ruso dentro del archivo MSBuild ‘v.proj’ vincula esta actividad a actores de amenazas rusos que utilizan DCRat.»

«El uso de un archivo de proyecto MSBuild personalizado para la ejecución por proxy, junto con la manipulación agresiva de las exclusiones de Microsoft Defender, demuestra una profunda comprensión de los mecanismos modernos de protección de puntos finales.»

Se ha revelado una vulnerabilidad de seguridad de alta gravedad en MongoDB que podría permitir a usuarios no autenticados leer memoria heap no inicializada.

La vulnerabilidad, rastreada como CVE-2025-14847 (puntuación CVSS: 8.7), se ha descrito como un caso de manejo inadecuado de la inconsistencia del parámetro de longitud, que surge cuando un programa no aborda adecuadamente los escenarios en los que un campo de longitud es inconsistente con la longitud real de los datos asociados.

«Los campos de longitud no coincidentes en las cabeceras del protocolo comprimido Zlib pueden permitir la lectura de memoria heap no inicializada por un cliente no autenticado», según una descripción de la vulnerabilidad en CVE.org.

La vulnerabilidad afecta a las siguientes versiones de la base de datos:

• MongoDB 8.2.0 hasta 8.2.3
• MongoDB 8.0.0 hasta 8.0.16
• MongoDB 7.0.0 hasta 7.0.26
• MongoDB 6.0.0 hasta 6.0.26
• MongoDB 5.0.0 hasta 5.0.31
• MongoDB 4.4.0 hasta 4.4.29
• Todas las versiones de MongoDB Server v4.2
• Todas las versiones de MongoDB Server v4.0
• Todas las versiones de MongoDB Server v3.6

El problema se ha solucionado en las versiones de MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 y 4.4.30.

«Una explotación del lado del cliente de la implementación zlib del servidor puede devolver memoria heap no inicializada sin autenticarse en el servidor», indicó MongoDB. «Recomendamos encarecidamente actualizar a una versión corregida lo antes posible.»

Si la actualización inmediata no es una opción, se recomienda deshabilitar la compresión zlib en el servidor MongoDB iniciando mongod o mongos con una opción networkMessageCompressors o una opción net.compression.compressors que omita explícitamente zlib. Las otras opciones de compresión admitidas por MongoDB son snappy y zstd.

«CVE-2025-14847 permite a un atacante remoto no autenticado activar una condición en la que el servidor MongoDB puede devolver memoria no inicializada de su heap», señaló OP Innovate. «Esto podría resultar en la divulgación de datos confidenciales en memoria, incluida la información de estado interno, los punteros u otros datos que puedan ayudar a un atacante en una explotación adicional.»

Investigadores de ciberseguridad han revelado detalles de un nuevo y completo backdoor para Windows, denominado NANOREMOTE, que utiliza la API de Google Drive con fines de comando y control (C2).

Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante codenombrado FINALDRAFT (también conocido como Squidoor), que emplea la API de Microsoft Graph para C2. FINALDRAFT se atribuye a un clúster de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).

«Una de las características principales del malware se centra en el envío de datos de ida y vuelta desde el punto final víctima utilizando la API de Google Drive», afirmó Daniel Stepanic, investigador principal de seguridad en Elastic Security Labs.

«Esta característica proporciona un canal para el robo de datos y la preparación de cargas útiles que es difícil de detectar. El malware incluye un sistema de gestión de tareas utilizado para capacidades de transferencia de archivos que incluyen la puesta en cola de tareas de descarga/carga, la pausa/reanudación de transferencias de archivos, la cancelación de transferencias de archivos y la generación de tokens de actualización.»

Se cree que REF7707 es un clúster de actividad china sospechosa que ha atacado a gobiernos, defensa, telecomunicaciones, educación y sectores de aviación en el sudeste asiático y América del Sur desde marzo de 2023, según Palo Alto Networks Unit 42. En octubre de 2025, Symantec, propiedad de Broadcom, atribuyó al grupo de hackers una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.

El vector de acceso inicial exacto utilizado para entregar NANOREMOTE actualmente se desconoce. Sin embargo, la cadena de ataque observada incluye un cargador llamado WMLOADER que imita un componente de manejo de fallos de Bitdefender («BDReinit.exe») y descifra el shellcode responsable de lanzar el backdoor.

Escrito en C++, NANOREMOTE está equipado para realizar reconocimiento, ejecutar archivos y comandos, y transferir archivos hacia y desde entornos de víctimas utilizando la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP no enrutable codificada en el programa a través de HTTP para procesar las solicitudes enviadas por el operador y enviar la respuesta.

«Estas solicitudes se producen a través de HTTP donde los datos JSON se envían a través de solicitudes POST que están comprimidas con Zlib y cifradas con AES-CBC utilizando una clave de 16 bytes (558bec83ec40535657833d7440001c00)», dijo Elastic. «La URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0).»

Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, llevar a cabo operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar la caché, descargar/cargar archivos a Google Drive, pausar/reanudar/cancelar transferencias de datos y terminar su ejecución.

Elastic dijo que identificó un artefacto («wmsetup.log«) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que es capaz de ser descifrado por WMLOADER con la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente son obra del mismo actor de amenazas. No está claro por qué se está utilizando la misma clave codificada en ambos.

«Nuestra hipótesis es que WMLOADER utiliza la misma clave codificada debido a que forma parte del mismo proceso de construcción/desarrollo que le permite funcionar con varios payloads», dijo Stepanic. «Esto parece ser otra señal fuerte que sugiere una base de código compartida y un entorno de desarrollo entre FINALDRAFT y NANOREMOTE.»