Curly COMrades explotan la virtualización para evadir la detección de EDR

En un nuevo informe de Bitdefender, se ha observado que el grupo de amenazas conocido como Curly COMrades utiliza la virtualización para eludir herramientas de seguridad y desplegar malware personalizado. Al habilitar Hyper-V en sistemas Windows 10 comprometidos, el grupo lanzó una máquina virtual ligera con Alpine Linux para alojar CurlyShell y CurlCat, herramientas diseñadas para acceso mediante shell inverso y proxy.

Activo desde finales de 2023 y alineado con intereses rusos, Curly COMrades ha atacado a Georgia y Moldavia, utilizando técnicas avanzadas para mantener acceso persistente. Su conjunto de herramientas incluye RuRat, Mimikatz y MucorAgent, con malware aislado en entornos virtuales para evadir la detección en los endpoints. La comunicación con los servidores de comando y control está cifrada mediante solicitudes HTTP, y el grupo ha demostrado adaptabilidad al introducir repetidamente nuevas herramientas.

La colaboración de Bitdefender con Georgia CERT reveló más infraestructura y estrategias de acceso a largo plazo, destacando la creciente sofisticación de las amenazas cibernéticas basadas en virtualización.

El organismo de privacidad de Suecia investiga la filtración de Miljödata que afecta a 1,5 millones de ciudadanos

La Autoridad Sueca de Protección de la Privacidad (IMY) ha iniciado una investigación sobre un ciberataque contra el proveedor de sistemas informáticos Miljödata, que expuso los datos personales de hasta 1,5 millones de personas. Miljödata presta servicios a aproximadamente el 80% de los municipios suecos y confirmó en agosto que los atacantes robaron datos y exigieron un rescate de 1,5 Bitcoin para evitar su publicación.

La brecha interrumpió operaciones en varias regiones, incluidas Halland, Gotland y Karlstad. IMY confirmó que información personal sensible fue publicada posteriormente en la dark web, lo que llevó a una investigación sobre posibles violaciones del RGPD. La investigación se centrará en las prácticas de seguridad de Miljödata y en cómo los municipios gestionaron los datos de los ciudadanos, especialmente los de niños y identidades protegidas.

El grupo Datacarry se atribuyó la responsabilidad, filtrando un archivo de 224MB en línea. El sitio Have I Been Pwned ha añadido los datos, identificando registros de aproximadamente 870.000 individuos.

Colapso de beneficios en M&S tras ciberataque de abril que causa pérdidas de £100 millones

Los beneficios antes de impuestos de Marks & Spencer (M&S) se desplomaron de £391,9 millones a solo £3,4 millones en los seis meses hasta el 27 de septiembre, tras el grave ciberataque que paralizó sus sistemas en abril de 2025. El cierre del sitio web y las interrupciones en la cadena de suministro afectaron las ventas totales, mientras que los supermercados sufrieron por rebajas y desperdicio de inventario debido a la asignación manual.

M&S reportó £101,6 millones en costes directos derivados del incidente, incluidos £82,7 millones en respuesta y recuperación, y £18,9 millones en gastos de terceros, parcialmente compensados por £100 millones en seguros cibernéticos. El CEO Stuart Machin elogió la resiliencia de la empresa y reafirmó su enfoque en la recuperación y el servicio al cliente.

El incidente subraya cómo incluso empresas consolidadas siguen siendo vulnerables ante amenazas cibernéticas cada vez más sofisticadas. También destaca que, aunque el seguro cibernético puede aliviar la carga financiera, rara vez cubre el coste total de un ataque. En última instancia, la prevención y preparación siguen siendo la mejor defensa.

Google detecta aumento de malware impulsado por IA que usa LLMs para evasión dinámica

El Grupo de Inteligencia de Amenazas de Google ha identificado un fuerte aumento de malware que integra modelos de lenguaje de gran tamaño (LLMs) para adaptarse durante la ejecución, marcando un cambio importante en las tácticas de amenazas cibernéticas. Esta nueva técnica de auto-modificación “just-in-time” permite que el código malicioso se altere en tiempo de ejecución, dificultando enormemente su detección.

Ejemplos incluyen PromptFlux, un dropper experimental en VBScript que consultaba el modelo Gemini de Google para obtener nuevo código ofuscado, y PromptSteal, un extractor de datos utilizado en Ucrania. Google ha bloqueado el acceso a Gemini relacionado con estas operaciones. Otros descubrimientos incluyen FruitShell, una shell inversa en PowerShell; QuietVault, un ladrón de credenciales en JavaScript dirigido a tokens de GitHub; y PromptLock, un ransomware multiplataforma basado en Lua.

Más allá del malware, actores estatales de China, Irán y Corea del Norte han abusado de herramientas de IA para facilitar el phishing, la investigación de exploits y el robo de datos. Los foros clandestinos también están comercializando herramientas de ciberdelincuencia basadas en IA, lo que indica una rápida evolución hacia ecosistemas de amenazas automatizados y adaptativos.

Italia sufre más del 10% de los ciberataques globales en 2025, impulsada por el auge del hacktivismo

Italia representó el 10,2% de todos los ciberataques a nivel mundial en la primera mitad de 2025, frente al 9,9% del mismo período del año anterior, según un nuevo informe de la Asociación Italiana para la Seguridad Informática (Clusit). Esta cifra marca un fuerte aumento respecto a 2021, cuando Italia representaba solo el 3,4% de los incidentes globales.

El análisis de Clusit destaca un aumento del 600% interanual en los ataques dirigidos a los sectores gubernamental y militar, que ahora constituyen el 38% del total nacional. La mayoría de estos incidentes se atribuyen a hacktivismo con motivaciones políticas o sociales, probablemente coordinado por estructuras gubernamentales rusas.

El hacktivismo representó el 54% de los incidentes cibernéticos en Italia, superando por primera vez al ciberdelito con fines financieros. Los ataques tradicionales orientados al robo de datos o ganancias económicas constituyeron el restante 46%, reflejando un cambio notable en el panorama de amenazas del país.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.