< Back
dark blue background and colored padloks

Tags:

Threat intelligence
08 Octubre 2025

Resumen Semanal de los Ciberataques 02-08 octubre

OpenAI interrumpe varios clústeres que utilizan indebidamente ChatGPT para acelerar los delitos cibernéticos y las operaciones de influencia 

OpenAI publicó su último informe de inteligencia sobre amenazas, en el que revelaba que múltiples actores vinculados a Estados y delincuentes han utilizado ChatGPT para mejorar sus operaciones cibernéticas, estafas y campañas de influencia. Desde 2024, OpenAI ha desarticulado más de cuarenta redes por infringir sus políticas de uso, y ha descubierto que los adversarios integran cada vez más la IA en los flujos de trabajo existentes para optimizar el phishing, el desarrollo de malware y la propaganda, en lugar de crear nuevos métodos de ataque. El primero involucraba a operadores criminales de habla rusa que utilizaban ChatGPT para ayudar en el desarrollo de troyanos de acceso remoto y módulos de robo de credenciales. Estas cuentas, activas en Telegram y afiliadas a foros clandestinos de habla rusa, utilizaban el modelo para solucionar problemas y perfeccionar componentes para la post-explotación, la conversión de código shell y el análisis de credenciales del navegador. Los actores aprovecharon múltiples cuentas de ChatGPT para generar y depurar código modular para cargadores en memoria, secuestro del portapapeles y exfiltración basada en Telegram, tratando el modelo como un asistente técnico en lugar de un generador de malware. OpenAI hizo hincapié en que sus modelos rechazaban sistemáticamente las solicitudes explícitamente maliciosas y que no surgieron nuevas capacidades ofensivas más allá de las que ya están disponibles públicamente.

Paquete malicioso de Node distribuye OtterCookie 

Se ha investigado una campaña en la que un proyecto de código abierto troyanizado alojado en Bitbucket distribuyó OtterCookie, una familia de stealer/backdoor vinculada a Corea del Norte, dirigida a puestos de trabajo de desarrolladores y organizaciones del sector financiero. El repositorio malicioso se hacía pasar por un proyecto inocuo de ajedrez 3D, pero contenía una rutina de inicialización programada para fallar deliberadamente; al producirse ese fallo, un bloque catch contactaba un API remoto y descargaba JavaScript malicioso que luego se compilaba y ejecutaba localmente. Este diseño de carga remota permitía que el repositorio, aparentemente benigno, actuara como un canal de puesta en escena sigiloso: el código visible parecía legítimo, mientras que la respuesta del servidor ejecutaba acciones maliciosas

ShinyHunters lanza un sitio web dedicado a las filtraciones de datos: Trinity of Chaos anuncia nuevas víctimas de ransomware 

Un colectivo de ciberdelincuentes asociado con ShinyHunters, LAPSUS$ y Scattered Spider ha lanzado un nuevo sitio web de filtración de datos llamado Trinity of Chaos. Este sitio enumera 39 organizaciones como víctimas. Según los informes, los adversarios habrían aprovechado configuraciones débiles y flujos de autorización (OAuth) mal utilizados y sus integraciones, posiblemente utilizando el phishing de voz para engañar a los empleados y que concedieran a aplicaciones OAuth maliciosas acceso a la infraestructura crítica de CRM. Una vez que obtuvieron acceso, los atacantes exportaron grandes volúmenes de información de identificación personal (PII) y datos confidenciales. La fusión de la exfiltración de datos con la amenaza de cifrado o de una mayor exposición pública subraya que estos ataques son ahora una combinación de modelos de brecha y ransomware.

UAT-8099: Grupo de ciberdelincuentes de habla china ataca IIS de alto valor para cometer fraude SEO 

Se ha identificado a un grupo de ciberdelincuentes de habla china, denominado UAT-8099, como el responsable de una sofisticada campaña dirigida a servidores web IIS de alto valor en varios países. Los principales objetivos del grupo son el fraude SEO y el robo de credenciales, y entre sus víctimas se encuentran universidades, proveedores de telecomunicaciones y empresas tecnológicas de regiones como India, Tailandia, Vietnam, Canadá y Brasil. UAT‑8099 obtiene acceso inicial aprovechando configuraciones inseguras de carga de archivos en servidores IIS para implementar shells web. Una vez dentro, activan y escalan los privilegios de las cuentas de invitado para obtener acceso de administrador, lo que les permite establecer conexiones RDP (Protocolo de escritorio remoto). Al comprometer la infraestructura de servidores de confianza, UAT-8099 socava la integridad de los motores de búsqueda, exponiendo tanto a los usuarios como a las organizaciones a un riesgo continuo. 

WARMCOOKIE un año después: nuevas funciones y perspectivas renovadas 

Se han publicado conclusiones actualizadas sobre WARMCOOKIE, una backdcadooor de Windows observada en intrusiones dirigidas a empresas. El informe analiza cómo ha evolucionado la backdoor durante el último año: los operadores mantienen una infraestructura activa y han repetido las protecciones del código, mientras que el objetivo principal sigue siendo el mismo: establecer un punto de apoyo silencioso en los puntos finales y, a continuación, obtener el control práctico para la actividad posterior al compromiso. La cadena de ejecución de WARMCOOKIE conduce a un backdoor residente que se comunica con su mando y control a través de HTTP(S), intercambiando tareas y resultados cifrados. Una vez activa, admite la funcionalidad típica del backdoor que se utiliza habitualmente durante las primeras etapas de las intrusiones, incluyendo el reconocimiento y la toma de huellas digitales del host, la ejecución de comandos remotos, las operaciones con archivos (lectura/escritura/carga) y funciones de vigilancia como la captura de pantalla. Las muestras se caracterizan por fuertes medidas de ofuscación y antianálisis diseñadas para frustrar la inspección estática y el sandboxing, así como por comportamientos en tiempo de ejecución que minimizan los artefactos en el disco para complicar el análisis forense.