< Back
A blurred silhouettes

Tags:

Threat intelligence
29 Octubre 2025

Resumen Semanal de los Ciberataques 23-29 octubre

El nuevo malware para Android Herodotus imita el comportamiento humano para evadir la detección 

Investigadores de ciberseguridad han descubierto un nuevo troyano bancario para Android llamado Herodotus, un sofisticado malware diseñado para llevar a cabo ataques de apropiación de dispositivos imitando el comportamiento humano para evadir los sistemas de detección y biometría conductual. Herodotus fue identificado después de que los analistas observaran que se distribuían muestras maliciosas desconocidas junto con malware conocido para Android, como Hook y Octo. Sin embargo, el análisis técnico reveló vínculos más estrechos con Brokewell, un troyano bancario independiente descubierto en 2024. Aunque Herodotus comparte partes del código de Brokewell, parece ser una nueva familia de malware desarrollada por un actor conocido como K1R0, que ya la ha promocionado como una oferta de malware como servicio (MaaS) en foros clandestinos. Herodotus se distribuye mediante carga lateral, posiblemente a través de enlaces SMiShing, lo que lleva a las víctimas a descargar un dropper que instala el payload principal eludiendo las restricciones de Android 13+ sobre los servicios de accesibilidad. El malware sigue en fase de desarrollo activo y se espera que sus operadores amplíen su funcionalidad y alcance geográfico. 

Malware GhostGrab para Android 

Investigadores de ciberseguridad han analizado GhostGrab, una familia de malware para Android recientemente identificada y muy sofisticada que combina el robo de datos a gran escala con la minería encubierta de criptomonedas. La campaña representa una nueva evolución en las amenazas móviles, diseñada para generar dos fuentes de ingresos para los ciberdelincuentes al recolectar simultáneamente los datos financieros de las víctimas y explotar los recursos de los dispositivos para minar Monero. Distribuida a través de una aplicación bancaria falsa, la infección comienza cuando se engaña a los usuarios para que descarguen un APK dropper. Una vez ejecutado, el dropper abusa del permiso REQUEST_INSTALL_PACKAGES para instalar cargas útiles ocultas, oculta su icono y mantiene la persistencia mediante la reproducción silenciosa de audio y servicios en primer plano que impiden la terminación del sistema.

La avalancha de smishing: una campaña con origen en China inunda los mensajes de texto a nivel mundial 

Investigadores de ciberseguridad han descubierto una campaña global masiva de smishing atribuida al grupo ciberdelincuente con sede en China conocido como Smishing Triad. La operación, que comenzó a dirigirse a residentes de EE. UU. en abril de 2024, se ha convertido en un ecosistema de phishing como servicio (PhaaS) altamente descentralizado y sofisticado que afecta a víctimas de todo el mundo. La campaña distribuye mensajes SMS fraudulentos que se hacen pasar por avisos de infracción de peaje, fallos en la entrega de paquetes y notificaciones gubernamentales, incitando a los destinatarios a hacer clic en enlaces que conducen a páginas de phishing diseñadas para robar datos personales y financieros. Los investigadores identificaron más de 194 000 dominios maliciosos y 136 933 dominios raíz registrados desde enero de 2024, en su mayoría a través de Dominet (HK) Limited, un registrador con sede en Hong Kong, que utiliza servidores de nombres chinos, pero alojados principalmente en servicios en la nube de EE. UU.

Análisis de la red de distribución de malware de YouTube 

Check Point Research reveló la existencia de YouTube Ghost Network, un sofisticado y persistente ecosistema de distribución de malware que opera dentro de YouTube desde al menos 2021. Esta red coordinada se basa en miles de cuentas comprometidas y falsas que explotan sistemáticamente las funciones de la plataforma (vídeos, publicaciones de la comunidad y secciones de comentarios) para distribuir malware bajo la apariencia de contenido de software legítimo. Los investigadores identificaron y denunciaron más de 3000 vídeos maliciosos vinculados a esta actividad, la mayoría de los cuales han sido eliminados por Google, aunque la operación en general sigue activa y cada vez más eficaz. Solo en 2025, el número de subidas maliciosas se triplicó en comparación con años anteriores, lo que ilustra la escalabilidad y el éxito continuo de este modelo de distribución. La red fantasma de YouTube opera aprovechándose de la confianza. Los actores maliciosos comprometen cuentas legítimas o crean perfiles falsos convincentes para promocionar contenido malicioso disfrazado de trucos para videojuegos, software pirateado o aplicaciones piratas.

Jingle Thief: Dentro de una campaña de fraude con tarjetas regalo basada en la nube 

Investigadores de ciberseguridad descubrieron una operación fraudulenta a gran escala basada en la nube denominada Jingle Thief, dirigida por actores maliciosos con motivaciones económicas que operaban desde Marruecos. El grupo, al que se le ha asignado el nombre interno CL-CRI-1032 y que se cree que está relacionado con Atlas Lion y STORM-0539, se especializa en explotar entornos de para cometer fraudes con tarjetas regalo durante épocas festivas y de alto gasto. Sus operaciones se dirigen principalmente a empresas globales de los sectores minorista y de servicios al consumidor, y abusan de las funciones de identidad en la nube de confianza en lugar de utilizar malware tradicional. La campaña comienza con campañas de phishing y smishing que muestran páginas de inicio de sesión falsas. Estas se envían a través de programas de correo PHP autohospedados en servidores WordPress comprometidos y suelen utilizar estructuras de URL engañosas, como o"rganization[.]com@malicious.tld", para ocultar el dominio real. Se engaña a las víctimas para que introduzcan sus credenciales, lo que concede a los atacantes acceso directo a las cuentas corporativas en la nube.