1. Principales Vulnerabilidades y Filtraciones de la semana

2. La función Google Tasks, utilizada en una nueva y sofisticada campaña de phishing

3. Zoom Stealer: extensiones de navegador que recopilan información de reuniones corporativas

💥La botnet RondoDox lleva nueve meses expandiéndose, ahora abusando de React2Shell (CVSS 10.0) para comprometer Next.js servidores y dispositivos IoT. (Noticia)

Según un análisis de CloudSEK, en diciembre de 2025 se observó que la actividad aprovechaba la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10,0), recientemente revelada, como vector de acceso inicial. Según las estadísticas de la Shadowserver, a 31 de diciembre de 2025 hay alrededor de 90.300 instancias que siguen siendo vulnerables.

💥GlassWorm utiliza extensiones de VS Code como vector contra macOS. (Noticia)

Se ha identificado una campaña asociada a GlassWorm que aprovecha extensiones de VS Code publicadas en repositorios públicos como vector para comprometer equipos macOS en entornos de desarrollo. La actividad se basa en la distribución de extensiones aparentemente legítimas que, tras su instalación, habilitan funcionalidades encubiertas orientadas a obtener acceso al sistema y a información sensible.

💥IBM advierte sobre una vulnerabilidad crítica que permite eludir la autenticación en API Connect. (Noticia)

Registrada como CVE-2025-13915 y con una gravedad de 9,8/10, esta falla de seguridad de omisión de autenticación afecta a las versiones 10.0.11.0 y 10.0.8.0 a 10.0.8.5 de IBM API Connect. Su explotación exitosa permite a los actores maliciosos no autenticados acceder de forma remota a las aplicaciones expuestas eludiendo la autenticación en ataques de baja complejidad que no requieren la interacción del usuario.

💥Vulnerabilidades de los auriculares Bluetooth permiten secuestrar los teléfonos inteligentes conectados. (Noticia)

Las tres vulnerabilidades CVE-2025-20700, CVE-2025-20701 y CVE-2025-20702 afectan a docenas de modelos populares de auriculares de Sony, Marshall, Jabra, Bose y otros fabricantes. Los atacantes que se encuentren dentro del alcance del Bluetooth pueden explotar estas fallas sin necesidad de emparejamiento previo ni interacción del usuario.

💥Nueva York prohíbe la Flipper Zero en eventos importantes (Noticia)

Flipper Zero es un pequeño dispositivo que sirve para realizar pruebas de hacking ético. Es útil para detectar posibles vulnerabilidades en una red, sin embargo, también ha estado relacionado con polémicas, como la posibilidad de abrir coches. Esto ha provocado que se prohíba en eventos multitudinarios.

La función Google Tasks, utilizada en una nueva y sofisticada campaña de phishing

Más de 3000 organizaciones fueron víctimas de una sofisticada campaña de phishing en diciembre de 2025 que aprovechó la propia infraestructura de aplicaciones de Google para eludir los controles de seguridad del correo electrónico empresarial.

Los atacantes enviaron mensajes engañosos desde [email protected], lo que supuso un cambio fundamental en la forma en que los autores de amenazas explotan las plataformas de confianza.

A diferencia de los intentos de phishing tradicionales, que se basan en la suplantación de dominios o en servidores de correo comprometidos, esta campaña se llevó a cabo íntegramente dentro de los sistemas legítimos de Google.

Los correos electrónicos superaron todas las comprobaciones de autenticación estándar, SPF, DKIM, DMARC y CompAuth, lo que creó un punto ciego fundamental para las herramientas de seguridad de correo electrónico convencionales

Los correos electrónicos procedían de sistemas válidos de Google, lo que les confería la alta reputación de remitente de Google y una lista de permitidos casi universal en todas las organizaciones.

La carga útil en dominios de confianza en lugar de alojar contenido malicioso en dominios sospechosos, los atacantes aprovecharon las URL de Google Cloud Storage, lo que hizo ineficaz la detección basada en la reputación de las URL.

Noticia GBhackers | Paper Raven

Zoom Stealer: extensiones de navegador que recopilan información de reuniones corporativas

Una campaña recién descubierta, denominada por los investigadores como Zoom Stealer, está afectando a 2,2 millones de usuarios de Chrome, Firefox y Microsoft Edge a través de 18 extensiones que recopilan datos relacionados con reuniones en línea, como URL, ID, temas, descripciones y contraseñas integradas.

Zoom Stealer es una de las tres campañas de extensiones de navegador que alcanzaron a más de 7,8 millones de usuarios durante siete años y se atribuyen a un único actor de amenazas identificado como DarkSpectre.

Basándose en la infraestructura utilizada, se cree que DarkSpectre es el mismo actor de amenazas vinculado a China que está detrás de GhostPoster, previamente documentado, que atacaba a usuarios de Firefox, y ShadyPanda, que distribuyera cargas útiles de spyware a usuarios de Chrome y Edge.

ShadyPanda permanece activo a través de 9 extensiones y 85 extensiones durmientes adicionales que crean una base de usuarios antes de volverse maliciosas mediante actualizaciones, según afirman los investigadores de la empresa de seguridad de la cadena de suministro Koi Security.

Las 18 extensiones de la campaña Zoom Stealer no están todas relacionadas con reuniones, y algunas pueden usarse para descargar videos o como asistentes de grabación: Chrome Audio Capture, con 800.000 instalaciones, y Twitter X Video Downloader. Ambas seguían disponibles en la Chrome Web Store al momento de la publicación.

Según los investigadores, todas las extensiones de la campaña Zoom Stealer solicitan acceso a 28 plataformas de videoconferencia (p. ej., Zoom, Microsoft Teams, Google Meet y Cisco WebEx) y recopilan los siguientes datos:

• URL e ID de reuniones, incluyendo contraseñas integradas

• Estado de registro, temas y horarios programados

• Nombres, cargos, biografías y fotos de perfil de oradores y anfitriones

• Logotipos, gráficos y metadatos de la sesión de la empresa

Estos datos se extraen mediante conexiones WebSocket y se transmiten a los atacantes en tiempo real. Esta actividad se activa cuando las víctimas visitan las páginas de registro de seminarios web, se unen a reuniones o navegan por plataformas de videoconferencias.

Fuente BleepingComputer

Ver historial de Publicaciones