Scattered Spider reaparece con nuevos ataques al sector financiero

Los investigadores de ciberseguridad han vinculado una nueva oleada de ataques contra servicios financieros a Scattered Spider, desmintiendo las afirmaciones del grupo de haberse “retirado”. Según los expertos, el colectivo ha cambiado su enfoque al sector financiero, utilizando dominios falsos y apuntando a un importante banco estadounidense. Los atacantes obtuvieron acceso mediante ingeniería social a la cuenta de un directivo y restableciendo su contraseña de Azure Active Directory. Después se movieron lateralmente por entornos Citrix y VPN, comprometieron VMware ESXi, elevaron privilegios en Azure e intentaron exfiltrar datos de Snowflake y AWS. Los expertos advierten que esta actividad señala una retirada táctica más que un retiro real. Scattered Spider, vinculado a ShinyHunters y LAPSUS$, es conocido por campañas de extorsión y robo de datos. Los analistas aconsejan a las organizaciones no confiarse, ya que los grupos criminales suelen rebrandearse o reorganizarse con nuevas identidades. El episodio resalta la necesidad de mantener la vigilancia frente a ataques de ingeniería social y basados en credenciales en sectores críticos.

La campaña de fraude publicitario slopads alcanza 2,3 mil millones de solicitudes diarias antes de ser desmantelada

Una amplia operación de fraude publicitario en Android llamada “SlopAds” ha sido desmantelada tras detectarse que 224 aplicaciones maliciosas en Google Play generaban más de 2,3 mil millones de solicitudes de anuncios al día. Los investigadores descubrieron la campaña, que utilizaba ofuscación y esteganografía para ocultar su actividad de las medidas de seguridad de Google. Con más de 38 millones de descargas en 228 países, SlopAds se dirigía principalmente a usuarios de EE. UU. (30 %), India (10 %) y Brasil (7 %).
Las apps funcionaban con normalidad si se instalaban directamente, pero cuando se descargaban a través de las campañas de los atacantes, obtenían una configuración cifrada para desplegar el malware “FatModule”. Este módulo, oculto en imágenes PNG, usaba WebViews encubiertos para imitar interacciones reales de los usuarios, generando miles de millones de impresiones y clics publicitarios falsos. Google ha retirado las apps identificadas y actualizado Play Protect, pero HUMAN advierte que el grupo tras SlopAds podría adaptarse y relanzar esquemas similares en el futuro, subrayando la magnitud y resiliencia del fraude publicitario móvil.

Microsoft y Cloudflare desmantelan la red de phishing-as-a-service raccoono365

Microsoft y Cloudflare han interrumpido conjuntamente una amplia operación de Phishing-as-a-Service (PhaaS) conocida como RaccoonO365, que facilitó el robo de miles de credenciales de Microsoft 365. En septiembre de 2025, la Unidad de Delitos Digitales de Microsoft, en colaboración con Cloudforce One y los equipos Trust and Safety de Cloudflare, incautó 338 sitios web y cuentas Worker vinculados al esquema.
Rastreado por Microsoft como Storm-2246, el grupo robó al menos 5.000 credenciales de Microsoft en 94 países desde julio de 2024, utilizando kits de phishing con páginas CAPTCHA y tácticas anti-bot para parecer legítimos. Una campaña con tema fiscal en abril de 2025 apuntó a más de 2.300 organizaciones estadounidenses, incluidas 20 del sector sanitario. Las credenciales y cookies robadas de OneDrive, SharePoint y cuentas de correo se utilizaron después para fraudes financieros, extorsión y como acceso inicial a otros ataques.
RaccoonO365 operaba con un modelo de suscripción a través de un canal privado de Telegram, cobrando entre 355 y 999 dólares en criptomonedas. Microsoft ha identificado al líder del grupo, el programador nigeriano Joshua Ogundipe, y ha remitido el caso a las fuerzas del orden internacionales.

Sonicwall insta a restablecer las credenciales de los firewalls tras una brecha

SonicWall ha advertido a sus clientes que restablezcan todas las credenciales relacionadas con los firewalls tras una violación que expuso archivos de copia de seguridad de la configuración de algunas cuentas de MySonicWall. La empresa afirma que los atacantes accedieron a menos del 5 % de estos archivos mediante ataques de fuerza bruta contra su servicio API en la nube. Aunque los archivos robados contenían contraseñas cifradas, también incluían información que podría facilitar la explotación de los firewalls afectados.
SonicWall ha publicado instrucciones detalladas para que los administradores reduzcan el riesgo, incluida la desactivación o restricción del acceso WAN antes de restablecer todas las credenciales, claves API y tokens de autenticación de usuarios, cuentas VPN y servicios. La empresa subrayó que las contraseñas y claves configuradas en SonicOS también pueden necesitar actualizarse con proveedores de servicios de Internet, pares de VPN o servidores de autenticación.
La compañía afirma que no hay pruebas de que los archivos se hayan filtrado en línea y recalca que no se trató de un ataque de ransomware. Se insta a los clientes a seguir el boletín Essential Credential Reset para asegurar rápidamente sus entornos.

Google corrige el sexto zero-day de Chrome de 2025 explotado activamente

Google ha lanzado actualizaciones de seguridad de emergencia para su navegador Chrome para corregir cuatro vulnerabilidades, incluida CVE-2025-10585, una falla zero-day ya explotada en ataques activos. El problema, descrito como un error de “type confusion” en el motor V8 JavaScript y WebAssembly de Chrome, puede permitir a los atacantes ejecutar código arbitrario o provocar fallos manipulando la memoria de formas inesperadas.
El Threat Analysis Group de Google descubrió y reportó la falla el 16 de septiembre de 2025, pero ha retenido más detalles para evitar explotaciones imitativas hasta que los usuarios actualicen el navegador. CVE-2025-10585 es el sexto zero-day de Chrome divulgado o explotado este año.
Se insta a actualizar Chrome de inmediato a la versión 140.0.7339.185/.186 en Windows y macOS, o 140.0.7339.185 en Linux a través de Más > Ayuda > Información de Google Chrome > Reiniciar. Otros navegadores basados en Chromium, incluidos Edge, Brave, Opera y Vivaldi, también deberían aplicar las actualizaciones en cuanto estén disponibles para mitigar el riesgo de ataque.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.