Tipo: Ciberseguridad

Actor de amenazas: Vidar

Vidar, un infostealer de alta capacidad, ha escalado posiciones hasta liderar el mercado de malware orientado al robo de información.

Su ascenso se produce tras la eliminación por parte de las fuerzas de seguridad de los grupos Lumma y Rhadamanthys el año anterior, cuyo desmantelamiento dejó un vacío operativo significativo en el ecosistema de amenazas.

Tipo: Ciberseguridad

Actor de amenazas: Vect 2.0

Sector: Manufactura, Educación, Salud, Tecnología

País Afectado: Brasil, Estados Unidos, India, Sudáfrica, Egipto, España, Colombia, Italia, Namibia

El grupo ransomware Vect 2.0, surgido en diciembre de 2025, opera como una plataforma Ransomware-as-a-Service que afecta a sistemas Windows, Linux y VMware ESXi mediante ejecutables específicos para cada plataforma.

Emplea un modelo triple de exfiltración, cifrado y extorsión, publicando datos robados en caso de impago, y cobra rescates en Monero a través de servicios ocultos en TOR.

Sus vectores de acceso inicial incluyen credenciales comprometidas, RDP/VPN expuestos y correos de phishing, con movimiento lateral mediante SMB y WinRM, y evasión mediante arranque en modo seguro.

Tipo: Ciberseguridad

Actor de amenazas: OilRig

El grupo iraní patrocinado por el Estado OilRig (APT34/Helix Kitten) ha utilizado esteganografía LSB para incrustar datos cifrados de configuración C2 dentro de un archivo PNG alojado en Google Drive.

La cadena de ataque combina phishing mediante un archivo Excel dañino, ejecución de macros, compilación en tiempo de ejecución de código C#, descarga de un loader desde GitHub y recuperación de la configuración C2 desde la imagen esteganográfica, que incluye token de bot de Telegram y direcciones de módulos para persistencia, exfiltración y ejecución.

Los módulos se cargan en memoria para evitar rastros en disco y se mantiene la persistencia mediante tareas programadas de Windows.

Tipo: Ciberseguridad

El informe analiza varios grupos de APT vinculados a China, describiendo sus metodologías de intrusión, infraestructura de comando y control, y campañas de spear-phishing dirigidas a sectores estratégicos.

Se detallan técnicas de movimiento lateral, uso de herramientas de acceso remoto (RAT) y explotación de vulnerabilidades de día cero.

Se identifican patrones de reutilización de malware y tácticas de evasión que facilitan la persistencia en entornos comprometidos, así como la colaboración entre distintos grupos y la evolución de sus capacidades ofensivas.

Tipo: Ciberseguridad

Sector: Industrial

Los ataques de ransomware dirigidos a entornos OT están evolucionando de la extorsión de datos a la interrupción directa de procesos físicos, poniendo en riesgo la continuidad operativa de fábricas y sectores críticos como energía, agua y transporte.

Los analistas advierten que la falta de visibilidad en OT, la segmentación insuficiente entre redes IT y OT, y la explotación de vulnerabilidades conocidas facilitan estas intrusiones.

Las recomendaciones incluyen: monitorización continua basada en comportamientos, segmentación estricta, gestión activa de vulnerabilidades, planes de respuesta específicos y formación constante del personal.

Tipo: Ciberseguridad

Actor de amenazas: Trigona

Operadores de ransomware han introducido una herramienta de exfiltración de datos desarrollada internamente, lo que representa una evolución significativa en sus técnicas de ataque.

A diferencia de la mayoría de los grupos que emplean utilidades públicas como Rclone o MegaSync, los afiliados de Trigona utilizan ahora una solución propietaria que permite robar información sensible con mayor precisión y sigilo.

Tipo: Ciberseguridad

Se describe una vulnerabilidad arquitectónica en el subsistema RPC de Windows que permite a procesos con privilegios de impersonación elevar sus derechos al nivel SYSTEM mediante la creación de un servidor RPC falso que imita interfaces de servicios como TermService, WDI o DHCP.

La técnica, denominada PhantomRPC, aprovecha llamadas RPC fallidas (RPC_S_SERVER_UNAVAILABLE) con alto nivel de impersonación, permitiendo que el servidor malicioso invoque RpcImpersonateClient y asuma la identidad del cliente privilegiado.

Se presentan cinco rutas de explotación, incluyendo escenarios sin interacción del usuario y basados en servicios de fondo, con una metodología de detección basada en ETW para identificar eventos de RPC fallidos.

Tipo: Ciberseguridad

Actor de amenazas: Bedep

El análisis revela que el malware Bedep incorpora datos de tipos de cambio y conceptos avanzados de teoría de grupos para generar dominios mediante un algoritmo de generación de nombres de dominio (DGA) altamente impredecible.

Esta metodología dificulta la detección y bloqueo de la infraestructura de comando y control, ya que los dominios resultantes no siguen patrones tradicionales y requieren recursos computacionales significativos para su predicción.

Tipo: Ciberseguridad

El phishing volvió a ser la técnica de acceso inicial más utilizada por los actores dañinos en el periodo analizado, superando a otros vectores como vulnerabilidades explotadas o credenciales comprometidas.

Se registra un aumento significativo en campañas que combinan correos fraudulentos con contenido generado por inteligencia artificial, lo que dificulta la detección basada en patrones tradicionales.

Los atacantes también están probando herramientas de IA para automatizar la personalización de mensajes y evadir filtros de seguridad, con una mayor sofisticación en la ingeniería social empleada.

Tipo: Ciberseguridad

Actor de amenazas: UNC669

Google Threat Intelligence Group detectó una campaña de intrusión multietapa del grupo UNC6692 que combina ingeniería social persistente, malware modular personalizado y pivoting interno para lograr una penetración profunda en la red.

El atacante se hace pasar por personal de helpdesk y envía invitaciones de Microsoft Teams que conducen a una página de phishing que entrega un binario AutoHotKey y un script desde un bucket S3 controlado, instalando la extensión maliciosa SNOWBELT con persistencia mediante accesos directos y tareas programadas.

A través de SNOWGLAZE se establece un túnel WebSocket que permite movimiento lateral mediante PsExec, escaneo de puertos, extracción de memoria LSASS y uso de Pass-The-Hash para comprometer controladores de dominio, exfiltrando hashes y bases de datos de Active Directory mediante LimeWire.