Tipo: Ciberseguridad
Actor de amenazas: Gentlemen
Fuente: GBHackers Security
El modelo ransomware-as-a-service (RaaS) Gentlemen ha integrado los módulos de evasión HexKiller, ThrottleBlood y HavocKiller en un marco centralizado diseñado para neutralizar soluciones EDR.
Esta arquitectura unificada reduce la complejidad operativa para los afiliados, facilitando la adopción de técnicas avanzadas de evasión y posicionando al grupo entre las cinco operaciones de ransomware más activas.
La suite permite la ofuscación de artefactos, la manipulación de procesos de seguridad y la persistencia prolongada, incrementando la efectividad de los ataques sin requerir conocimientos profundos por parte de los operadores.
Tipo: Ciberseguridad
Actor de amenazas: TA569
Fuente: Infoblox Blog
Una acción multinacional, enmarcada en la Operación Endgame, ha desmantelado la infraestructura del framework dañino SocGholish, utilizado por TA569 para ofrecer acceso inicial mediante falsas actualizaciones en sitios WordPress comprometidos.
La operación eliminó 106 servidores y dominios y remedio casi 15.000 sitios WordPress, reduciendo significativamente la capacidad de venta de acceso a actores como EvilCorp.
SocGholish, activo desde 2017, emplea una cadena de cuatro etapas: adquisición de tráfico, filtrado, presentación de actualizaciones falsas y ejecución de un stager JScript con C2 mediante shadowing de dominios.
Tipo: Ciberseguridad
Actor de amenazas: Grupo criminal rusófono
Fuente: Cyber Security News
La campaña FortiBleed ha comprometido más de 73.900 URLs de firewalls Fortinet en 194 países, mediante ataques automatizados que combinan credential stuffing y fuerza bruta contra dispositivos FortiGate y pasarelas SSL VPN.
Los atacantes utilizan bases de datos de credenciales filtradas por malware infostealer y descifran hashes de autenticación VPN con un clúster de 45 GPU.
Tras obtener acceso, pivotan a entornos Active Directory internos, manteniendo presencia persistente y exfiltrando datos, incluyendo documentos clasificados de un contratista de defensa turco.
Recomendaciones: rotar credenciales, habilitar MFA, auditar logs y restringir el acceso a interfaces de gestión.
Tipo: Ciberseguridad
Actor de amenazas: Interlock, Rhysida
Sector: Salud, Educación, Gobierno
País afectado: Estados Unidos
Fuente: Cyber Security News
Investigaciones de IBM X-Force revelan que los grupos Interlock y Rhysida utilizan el mismo backdoor, denominado Supper (también conocido como SocksShell o WINDYTWIST), y comparten gran parte del código de sus herramientas, incluyendo NodeSnake, InterlockRAT y el downloader JunkFiction.
Interlock opera desde septiembre de 2024 sin afiliados externos; Rhysida funciona como Ransomware‑as‑a‑Service desde al menos mayo de 2023. Ambos grupos han afectado aproximadamente 80 víctimas cada uno, principalmente en EE. UU.
El análisis muestra coincidencias estructurales en comandos, formatos de registro y métodos de auto‑eliminación entre Supper y los ransomware de Interlock, sugiriendo un origen común de desarrollo o intercambio de código.
Tipo: Ciberseguridad
Fuente: Brandefense
Los atacantes aprovechan credenciales comprometidas obtenidas de bases de datos de filtraciones y registros de infostealers para ejecutar campañas de credential stuffing, permitiendo la toma de control de cuentas y la infiltración en entornos corporativos.
El proceso incluye la recolección de credenciales, su validación automática contra servicios en línea, la explotación de sesiones activas y la escalada de privilegios dentro de la infraestructura objetivo.
Estas técnicas reducen la dependencia de vulnerabilidades de día cero y aumentan la eficiencia de los ataques dirigidos, facilitando el acceso a datos sensibles y la persistencia en la red comprometida.
Tipo: Ciberseguridad
Actor de amenazas: Fox Kitten
Sector: Energía, Tecnología, Gobierno, Defensa, Salud, Finanzas, Telecomunicaciones
País afectado: EE. UU., Israel, Azerbaiyán, Emiratos Árabes Unidos
Fuente: SOCRadar
Fox Kitten es un grupo patrocinado por el Estado iraní activo desde al menos 2017, que combina espionaje dirigido con la venta de acceso a redes comprometidas a afiliados de ransomware para obtener beneficios financieros.
Su método se centra en la explotación de CVEs en dispositivos perimetrales (VPN, firewalls, gateways), seguido de robo de credenciales, persistencia mediante web shells y movimiento lateral mediante RDP, SMB y SSH.
El grupo utiliza herramientas de túnel y proxy (ngrok, FRPC, ReverseSocks5) y servicios en la nube (AWS) para C2, desplegando malware personalizado como HanifNet, HXLibrary y NeoExpressRAT. Ha facilitado campañas de ransomware contra organizaciones estadounidenses.
Tipo: Ciberseguridad
Actor de amenazas: Rhysida, Interlock
Fuente: GBHackers Security
Los grupos Rhysida e Interlock operan dentro de la misma cadena de suministro de ransomware, pero su comportamiento reciente indica una relación más compleja que la mera reutilización de código.
Un análisis prolongado de IBM X-Force los asocia a brokers de acceso inicial, crypters privados, descargadores y puertas traseras que facilitan la construcción de cadenas de intrusión antes de la fase de cifrado.
La investigación destaca que ambos grupos dependen de infraestructura compartida para obtener acceso inicial y preparar el entorno antes de ejecutar el ransomware.
Tipo: Geopolítica
Actor de amenazas: Rusia, China
País afectado: Estados Unidos
Fuente: Cyber Security News
Operaciones de influencia vinculadas a Rusia y China han adoptado IA para simular comportamiento humano en redes sociales, reduciendo la frecuencia de publicaciones y simulando ciclos de sueño para evadir sistemas de detección de bots.
Entre 2024 y 2026, el número de cuentas inauténticas activas se mantuvo entre 5.000 y 11.000 por país. La proporción de publicaciones originales con imágenes se cuadruplicó para Rusia y se duplicó para China.
Los actores pro‑Rusia incrementaron la propaganda anti‑EEUU con ataques personales al presidente y narrativas sobre debilidad militar; los pro‑China reforzaron mensajes anti‑EEUU y promovieron a China como líder en IA. Se recomienda implementar herramientas de detección basadas en IA que analicen señales de comportamiento más allá del volumen de publicaciones.
Tipo: Ciberseguridad
Actor de amenazas: APT37
Fuente: GBHackers Security
APT37 ha desplegado una cadena de intrusión que inicia con correos de spear‑phishing con temática de Microsoft, continúa mediante archivos LNK maliciosos y scripts PowerShell, y culmina con un backdoor escrito en Python.
El backdoor utiliza un canal C2 de tipo dead‑drop alojado en pCloud, incorporando abuso de LOLBin, persistencia mediante tareas programadas, ejecución en memoria y robo selectivo de datos.
La operación evidencia un nivel avanzado de tradecraft por parte del actor, combinando técnicas de evasión con infraestructura de mando y control de difícil atribución.
Tipo: Ciberseguridad
Actor: Ucrania
País afectado: Ucrania
Fuente: Europa Press
La Unión Europea ha aprobado la incorporación de Ucrania a la Reserva Europea de Ciberseguridad, un mecanismo que coordina la respuesta conjunta ante incidentes de gran escala.
El mecanismo está orientado a proteger proveedores de servicios digitales críticos, como los sectores de salud y energía, permitiendo una actuación rápida y coordinada entre los Estados miembros y el nuevo integrante.
Inteligencia estratégica para proteger tu negocio en el panorama actual de ciberamenazas.
Análisis continuo de actores, TTPs y campañas activas para anticipar riesgos antes de que impacten.
Seguimiento y priorización de CVEs con contexto operacional para una respuesta eficaz.
Briefings semanales adaptados al nivel directivo para una toma de decisiones informada.
Semana del 15 Junio del 2026