Resumen de ciberataques 14 a 20 de agosto
GodRAT: nuevo RAT dirigido a instituciones financieras
Investigadores de seguridad han descubierto una campaña cibernética en curso dirigida a instituciones financieras, concretamente a empresas de comercio y corretaje, mediante el despliegue de un nuevo troyano de acceso remoto (RAT) conocido como GodRAT. La campaña, activa desde al menos septiembre de 2024, distribuye archivos ejecutables maliciosos .scr (salvapantallas) y .pif (archivo de información del programa) camuflados como documentos financieros, principalmente a través de Skype Messenger. El malware es una sofisticada evolución del antiguo código base Gh0st RAT y presenta similitudes sorprendentes con AwesomePuppet RAT, que anteriormente se atribuía al grupo Winnti APT. Los atacantes emplean técnicas de esteganografía, incrustando código shell en imágenes que, una vez descodificadas, descargan y ejecutan GodRAT desde servidores de comando y control (C2) remotos. Las cadenas de infección también aprovechan binarios legítimos como Valve.exe y loaders como SDL2.dll, ambos firmados con certificados digitales caducados, para ejecutar código shell oculto y establecer persistencia mediante modificaciones del registro. Una vez operativo, GodRAT se comunica con sus servidores C2 utilizando paquetes cifrados y comprimidos personalizados, transmitiendo información del sistema de la víctima, como la versión del sistema operativo, el nombre del host, los ID de los procesos, la presencia de antivirus y las credenciales de los usuarios.
El grupo de minería criptográfica Kinsing amplía sus operaciones a Rusia, advierten los investigadores
Investigadores rusos en ciberseguridad han informado de que el grupo de minería criptográfica Kinsing ha ampliado sus operaciones a Rusia en una campaña a gran escala dirigida a sistemas vulnerables para la minería de criptomonedas. La empresa de ciberseguridad con sede en Rusia F6 afirmó que los ataques comenzaron en abril e implicaron infecciones con el malware Kinsing y XMRig, ambos ampliamente utilizados para minar la criptomoneda Monero (XMR). Aunque F6 no reveló qué empresas se vieron afectadas, confirmó que los atacantes explotaron CVE-2017-9841, una vulnerabilidad crítica de ejecución remota de código en el marco de pruebas PHP PHPUnit. El fallo, parcheado en 2017 pero aún explotable en sistemas obsoletos, permitió a los hackers tomar el control total de los servidores comprometidos. Kinsing, también conocido como H2Miner o Resourceful Wolf, lleva activo desde 2019 y está considerado uno de los grupos de criptojacking más prolíficos. En lugar de recurrir al phishing, el grupo suele escanear redes en busca de vulnerabilidades de software para desplegar código malicioso. Aunque la mayoría de sus ataques se han observado anteriormente en Norteamérica, Europa Occidental y Asia, esta es la primera campaña a gran escala confirmada en Rusia.
PhantomCard: nuevo malware para Android basado en NFC que está surgiendo en Brasil
Loa analistas de ciberseguridad de ThreatFabric han identificado un nuevo troyano bancario para Android llamado PhantomCard, que actualmente ataca a usuarios de Brasil y podría expandirse a nivel mundial. PhantomCard es un malware basado en NFC diseñado para transmitir datos de las tarjetas bancarias de las víctimas directamente a los dispositivos de los ciberdelincuentes, lo que permite realizar transacciones fraudulentas en cajeros automáticos o terminales de punto de venta como si el delincuente tuviera físicamente la tarjeta de la víctima. El malware se distribuye a través de páginas web falsas de Google Play que se hacen pasar por aplicaciones legítimas llamadas "Proteção Cartões" (Protección de tarjetas), respaldadas por reseñas positivas falsas para ganarse la confianza de las víctimas. Una vez instalado, el malware solicita a las víctimas que pasen sus tarjetas bancarias por el teléfono infectado. PhantomCard captura los datos NFC ISO-DEP (ISO 14443-4) de la tarjeta, los transmite a través de un servidor proxy controlado por los delincuentes e incluso solicita a las víctimas que introduzcan sus códigos PIN. Esto permite a los atacantes autenticar las transacciones en tiempo real mientras utilizan físicamente los datos de la tarjeta transmitidos en un terminal de punto de venta o cajero automático. Los vídeos publicados por el operador muestran el relé sin fisuras: la víctima pasa su tarjeta por el dispositivo infectado y el atacante completa inmediatamente un pago utilizando el relé clonado. El análisis reveló que PhantomCard tiene su origen en una plataforma china de malware como servicio (MaaS) llamada NFU Pay, especializada en el fraude de relé NFC. El distribuidor de PhantomCard, un actor con sede en Brasil conocido como Go1ano developer, personalizó NFU Pay para el mercado local y lo está promocionando como GHOST NFC CARD. La campaña está adaptada a Brasil, con indicadores como un punto final del servidor C2 llamado /baxi/b (Baxi es la palabra china para Brasil). Sin embargo, el distribuidor comercializa explícitamente PhantomCard como una herramienta preparada para el mercado global, lo que sugiere que es posible adaptarla a otras regiones.
Bufetes de abogados ficticios apuntan a víctimas de estafas con criptomonedas
El FBI ha emitido una actualización de su Aviso de Servicio Público (PSA) alertando sobre bufetes ficticios que apuntan a víctimas de estafas con criptomonedas, ofreciendo fraudulentamente recuperar los fondos perdidos. Este esquema, que amplía un patrón detectado en junio de 2024 y agosto de 2023, combina múltiples tácticas para defraudar aún más a las víctimas, especialmente personas mayores y financieramente vulnerables. Los criminales se hacen pasar por abogados y bufetes legítimos, usan documentos legales falsificados con membretes creíbles y afirman falsamente tener vínculos con agencias gubernamentales de EE. UU. y extranjeras. En algunos casos, inventan organismos reguladores ficticios, como la llamada “International Financial Trading Commission (INTFTC)”. Estos estafadores pueden tener información detallada sobre transferencias previas de las víctimas y empresas asociadas, explotando esos datos para ganar credibilidad. Con frecuencia, las víctimas reciben la noticia de que están en una lista oficial de personas elegibles para recuperación de fondos y son referidas a falsos “bufetes de recuperación cripto”. Los delincuentes suelen instruir a las víctimas a abrir cuentas en bancos extranjeros —sitios web que parecen legítimos pero son fraudulentos y controlados por los estafadores—, e incluso las agregan a chats grupales de WhatsApp u otras apps con el pretexto de mantener la “seguridad”. Allí, supuestos procesadores bancarios y abogados extranjeros solicitan pagos en criptomonedas o tarjetas prepago para “verificar identidad” antes de liberar los fondos. Evitan mostrar credenciales, no aparecen en cámara y rechazan videollamadas. En ocasiones, instruyen enviar pagos a terceros para “mantener la confidencialidad”. El FBI recalca que no existen bufetes autorizados oficialmente para asociarse con agencias del Gobierno de EE. UU., y que las autoridades legítimas nunca solicitan pagos por investigaciones. Entre febrero de 2023 y febrero de 2024, las víctimas reportaron pérdidas adicionales por encima de 9,9 millones de dólares debido a estas estafas. La advertencia recomienda adoptar un enfoque de “confianza cero”, desconfiar de ofertas legales no solicitadas, exigir credenciales verificables, confirmar vínculos con agencias oficiales y documentar todas las interacciones. Se insta a quienes sospechen ser blanco de este fraude a reportarlo a su oficina local del FBI y al Centro de Quejas de Delitos en Internet (IC3).
Los grupos de amenazas ShinyHunters y Scattered Spider colaboran para extorsionar a empresas
Los grupos de amenazas ShinyHunters y Scattered Spider parecen estar colaborando en una campaña de extorsión de datos centrada en clientes de Salesforce, con indicios de que pronto podrían dirigirse a proveedores de servicios financieros y tecnológicos. ShinyHunters ha evolucionado desde el robo de credenciales y explotación de bases de datos hacia técnicas de Scattered Spider: vishing altamente dirigido, ingeniería social, apps maliciosas disfrazadas, páginas de phishing con temática de Okta y uso de VPN para exfiltración de datos. Desde 2020, ShinyHunters monetiza brechas a través de RaidForums y BreachForums y ha relanzado BreachForums varias veces entre 2023 y 2025. Recientemente, autoridades francesas arrestaron a cuatro personas supuestamente relacionadas con BreachForums y ShinyHunters, aunque el grupo asegura que los arrestos son falsos. El 8 de agosto de 2025 surgió un nuevo canal de Telegram, “scattered lapsu$ hunters”, combinando marcas de ShinyHunters, Scattered Spider y LAPSUS$, y anunciando un RaaS llamado ShinySp1d3r para competir con LockBit y DragonForce. Telegram eliminó el canal en tres días. Analistas señalan superposición táctica, patrones de ataque compartidos y cuentas como “Sp1d3rHunters” vinculadas a brechas previas de ShinyHunters, sugiriendo colaboración de largo plazo. ShinyHunters anunció que BreachForums está bajo control de autoridades francesas y del FBI, advirtiendo que cualquier futura reaparición sería una trampa.