1. Principales Vulnerabilidades y Filtraciones de la semana

2. El FBI alerta de un nuevo kit de phishing que roba tokens de Microsoft 365 y esquiva la doble verificación

3. Actores rusos de GreyVibe utilizan ChatGPT y Gemini para potenciar sus ciberataques

💥CVE-2026-0257, un fallo de bypass de autenticación de PAN-OS (Palo Alto) y Prisma Access, está bajo explotación activa (Noticia)

💥Múltiples vulnerabilidades en Veeam Backup (Noticia)

💥Explotan una vulnerabilidad de FortiClient EMS para distribuir malware (Noticia)

💥Hackean las pizarras digitales y suena Bad Bunny en institutos y colegios de Andalucía (Noticia)

💥Un fallo crítico en LiteSpeed cPanel expone servidores a ataques con privilegios root (Noticia)

💥Vulnerabilidad de ConnectWise Automate permite saltar controles de seguridad (Noticia)

💥Microsoft ha parcheado una vulnerabilidad de ejecución remota de código de alta gravedad en SharePoint Server (Noticia)

El FBI alerta de un nuevo kit de phishing que roba tokens de Microsoft 365 y esquiva la doble verificación

El FBI ha lanzado una alerta pública sobre Kali365, una plataforma de phishing-as-a-service que está siendo utilizada para robar tokens OAuth de Microsoft 365 y acceder a cuentas corporativas sin necesidad de conocer la contraseña de la víctima. La amenaza preocupa especialmente porque permite a los atacantes eludir la autenticación multifactor y tomar el control de servicios como Outlook, Teams, SharePoint o OneDrive.

El principal riesgo de Kali365 está en que no se limita al phishing tradicional. En lugar de engañar al usuario para que introduzca su contraseña en una página falsa, una de sus técnicas abusa del flujo de código de dispositivo de Microsoft OAuth.

La víctima recibe un correo que suplanta a servicios de productividad o intercambio de documentos en la nube, como Adobe Acrobat Sign, DocuSign o SharePoint. En ese mensaje aparece un código de dispositivo y unas instrucciones para introducirlo en una página legítima de Microsoft. Arctic Wolf, que analizó la campaña en abril, señala que Kali365 ha sido utilizado en ataques de device code phishing a gran escala.

La autenticación multifactor sigue siendo una medida esencial, pero este tipo de ataques demuestra que no es infalible. Kali365 no necesita interceptar directamente la contraseña ni romper el segundo factor. Abusa de flujos legítimos de autenticación para obtener tokens válidos que permiten entrar en la cuenta como si el acceso hubiera sido autorizado correctamente.

Nota FBI enlace | Noticia BitLideMedia

Actores rusos de GreyVibe utilizan ChatGPT y Gemini para potenciar sus ciberataques

Un grupo de amenazas, probablemente ruso y conocido como GreyVibe, ha estado utilizando señuelos generados por IA y un amplio conjunto de herramientas de malware personalizadas para atacar a entidades de los sectores militar, gubernamental, civil y empresarial.

La campaña de ciberespionaje ha estado activa al menos desde agosto de 2025 y parece estar alineada con los intereses del Estado ruso, aunque los investigadores no pueden clasificarla con certeza como una operación estatal. La empresa de ciberseguridad WithSecure descubrió la actividad en enero de este año y determinó que su objetivo son organizaciones ucranianas o relacionadas con Ucrania.

La conexión con un actor de amenazas de habla rusa se ve respaldada por el idioma de los paneles de malware, los comentarios en los artefactos de código y la hora del servidor de comando y control (C2) configurada en UTC+3 (hora de Moscú). Según los investigadores, GreyVibe ha utilizado varias cadenas de ataque contra sus objetivos, entre ellas:

• PhantomMail: Correos electrónicos de spear phishing que distribuyen archivos ZIP/RAR maliciosos a través de enlaces de Google Drive y 4sync, utilizando archivos PDF falsos o errores simulados durante la instalación del malware. Los señuelos detectados suplantaban la identidad de entidades gubernamentales, de emergencia, de telecomunicaciones y de energía ucranianas.

• PhantomClick: Páginas falsas de CAPTCHA/ClickFix disfrazadas de sitios de Zoom y LAPAS engañan a las víctimas para que ejecuten comandos de autoinfección mediante falsas solicitudes de verificación de Cloudflare.

• PrincessClub: Sitios web falsos ucranianos para adultos/citas que distribuyen el spyware FallSpy para Android y el malware PhantomRelay/LegionRelay para Windows. Los operadores utilizaron perfiles falsos de mujeres en Telegram y posteriormente añadieron llamadas en directo basadas en WebRTC que podían capturar el audio y el vídeo de la víctima.

• DroneLink: Sitios web falsos de organizaciones benéficas militares ucranianas, centrados en drones FPV y vehículos aéreos no tripulados (UAV), compartían infraestructura y herramientas con las campañas de PrincessClub.

• Nebo: Las páginas falsas de inicio de sesión de comunicaciones militares rusas con el prefijo “СПО НЕБО” probablemente fueron diseñadas para engañar al personal militar ucraniano, haciéndoles creer que estaban accediendo a una terminal militar rusa.

La diversidad y la calidad de estos engaños son notables, y WithSecure afirma que esto se debe al uso de múltiples herramientas de IA, como ChatGPT, Ideogram AI y Google Gemini, para generar contenido detallado y realista que los respaldara.

Noticia BleepingComputer

Ver historial de Publicaciones