< Back
Blue background with padlock

Tags:

Threat intelligence
12 Noviembre 2025

Resumen Semanal de los ciberataques 06-12 noviembre

La nueva KomeX Android RAT llega a los foros de hackers con suscripciones escalonadas 

Un nuevo troyano de acceso remoto (RAT) para Android conocido como KomeX RAT ha aparecido en foros clandestinos de piratería informática, donde lo comercializa el actor malicioso Gendirector. El malware se basa en el código base BTMOB, documentado anteriormente. Se comercializa a través de un modelo de suscripción por niveles: 500 dólares por una licencia de un mes, 1200 dólares por una licencia de por vida y 3000 dólares por acceso completo al código fuente. KomeX RAT cuenta con un amplio conjunto de capacidades maliciosas que otorgan a los atacantes un control total sobre los dispositivos Android comprometidos. El malware puede otorgarse automáticamente todos los permisos necesarios y eludir Google Play Protect, evadiendo así una de las principales defensas de seguridad de Android. Sus funciones de vigilancia incluyen transmisión de pantalla en vivo a hasta 60 fotogramas por segundo, captura de cámara y micrófono, lectura/envío/eliminación de SMS, seguimiento de geolocalización con visualización de mapas integrada y una función de chat forzado que permite la interacción directa entre el atacante y la víctima.

El malware Danabot reaparece con la versión 669 tras la operación Endgame 

El famoso malware bancario Danabot ha reaparecido con el lanzamiento de la versión 669, lo que marca su regreso casi seis meses después de la operación policial Endgame que tuvo lugar en mayo de 2025. Este regreso demuestra que los ciberdelincuentes responsables de Danabot han logrado reagruparse y reconstruir su infraestructura de comando y control (C2), restaurando eficazmente las operaciones del malware a pesar de los esfuerzos internacionales por detenerlo. Los investigadores observaron que la nueva variante Danabot 669 incorpora una red C2 actualizada y diversificada, que cuenta tanto con servidores tradicionales basados en IP como con dominios de servicios ocultos basados en Tor para mejorar la persistencia y el anonimato. Además, el malware utiliza servidores C2 de reconexión, lo que permite el control remoto y mantiene el acceso continuo a los sistemas infectados a través de conexiones de shell inversas. La versión actualizada mantiene el robo de criptomonedas como su objetivo principal.

GTIG advierte sobre la creciente adopción de malware de IA automodificable por parte de los actores maliciosos 

El Grupo de Inteligencia sobre Amenazas de Google (GTIG) informa de un cambio importante en el comportamiento de los actores maliciosos: los adversarios ya no utilizan la inteligencia artificial únicamente para mejorar la productividad o como ayuda para las herramientas, sino que ahora están desplegando malware habilitado para IA que se modifica dinámicamente durante su ejecución. La última evaluación del GTIG muestra que tanto los grupos patrocinados por los Estados de Corea del Norte, Irán y China como los ciberdelincuentes con motivaciones económicas están integrando la IA generativa en todas las fases del ciclo de vida de los ataques, incluyendo el reconocimiento, el desarrollo de malware, la ejecución, el comando y control y la exfiltración.

HackedGPT: Las nuevas vulnerabilidades de la IA abren la puerta a la filtración de datos privados 

Se han revelado siete vulnerabilidades y técnicas de ataque recién descubiertas que afectan al ChatGPT de OpenAI, incluido el último modelo GPT-5. Las fallas permiten la inyección indirecta de comandos, la filtración de datos privados de los usuarios desde la memoria persistente y el historial de chat, eludir los mecanismos de seguridad y la persistencia a largo plazo en las conversaciones. El informe destaca que los adversarios pueden utilizar sitios web de confianza, resultados de navegación almacenados en caché, enlaces indexados por Bing e incluso URL de un solo clic para desencadenar comportamientos maliciosos sin que el usuario se dé cuenta.

URL de infección utilizadas en campañas regionales de phishing 

Se ha publicado un análisis detallado de las campañas de phishing que eludieron las puertas de enlace de correo electrónico seguras (SEG) y distribuyeron malware a través de "URL de infección" incrustadas en los cinco idiomas no ingleses más utilizados en las operaciones de phishing a nivel mundial: español, tailandés, alemán, chino y portugués. Las conclusiones se basan en datos recopilados durante dos años de más de 35 millones de empleados formados en todo el mundo, y revelan que las URL de infección siguen siendo un vector de acceso inicial principal y se utilizan cada vez más para acceder a servicios legítimos en la nube. En todos los idiomas estudiados, los servicios legítimos se utilizaron con más frecuencia que los dominios comprometidos o maliciosos, excepto en las campañas en chino y portugués, en las que predominaron las infraestructuras controladas por los atacantes o comprometidas.