Tema
Inteligencia de amenazas
3 de julio de 2025
Tomando SHELLTER: un marco de evasión comercial abusado en la práctica
Elastic Security Labs detectó la reciente aparición de ladrones de información que emplean una versión adquirida ilícitamente del marco de evasión comercial SHELLTER para implementar cargas útiles posteriores a la explotación.
De Sudamérica al Sudeste Asiático: La frágil red de REF7707
REF7707 tenía como objetivo un Ministerio de Relaciones Exteriores de Sudamérica empleando nuevas familias de malware. Las tácticas de evasión inconsistentes y los errores de seguridad operacional expusieron infraestructura adicional propiedad del adversario.
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar
La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
GrimResource - Consola de administración de Microsoft para acceso inicial y evasión
Los investigadores de Elastic descubrieron una nueva técnica, GrimResource, que permite la ejecución completa de código a través de archivos MSC especialmente diseñados. Suelta una tendencia de atacantes bien dotados de recursos que favorecen métodos innovadores de acceso inicial para evadir las defensas.
Ladrones distribuidos globalmente
Este artículo describe nuestro análisis de las principales familias de ladrones de malware, revelando sus metodologías de operación, actualizaciones recientes y configuraciones. Al comprender el modus operandi de cada familia, comprendemos mejor la magnitud de su impacto y podemos fortalecer nuestras defensas en consecuencia.
Mineros invisibles: revelar las operaciones de criptominería de GHOSTENGINE
Elastic Security Labs ha identificado REF4578, un conjunto de intrusión que incorpora varios módulos maliciosos y aprovecha los controladores vulnerables para desactivar soluciones de seguridad conocidas (EDRs) para la criptominería.
Hundimiento de barcos piratas de macOS con detecciones de comportamiento elástico
Esta investigación analiza una campaña de malware para macOS descubierta recientemente que emplea el marco de seguridad de puntos finales de macOS emparejado con Elastic Agent para buscar y detectar los comportamientos que exhibe este malware.
PIKABOT, ¡te elijo a ti!
Elastic Security Labs observó nuevas campañas de PIKABOT, incluida una versión actualizada. PIKABOT es un cargador ampliamente desplegado que los actores maliciosos utilizan para distribuir cargas útiles adicionales.
Desenmascarar una intrusión en los servicios financieros: REF0657
Elastic Security Labs detalla una intrusión que aprovecha las herramientas de código abierto y diferentes técnicas posteriores a la explotación dirigidas a la industria de servicios financieros en el sur de Asia.
El elástico atrapa a la RPDC y desmaya a KANDYKORN
Elastic Security Labs expone un intento de la RPDC de infectar a los ingenieros de blockchain con el nuevo malware de macOS.
GHOSTPULSE persigue a las víctimas usando la bolsa de trucos de evasión de defensa
Elastic Security Labs revela detalles de una nueva campaña que aprovecha las capacidades de evasión de defensa para infectar a las víctimas con ejecutables MSIX maliciosos.
Revelando la puerta trasera de BLOODALCHEMY
BLOODALCHEMY es una nueva puerta trasera desarrollada activamente que aprovecha un binario benigno como vehículo de inyección, y es parte del conjunto de intrusión REF5961.
Presentación del conjunto de intrusión REF5961
El conjunto de intrusión REF5961 revela tres nuevas familias de malware dirigidas a los afiliados a la ASEAN. El actor de amenazas que aprovecha este conjunto de intrusiones continúa desarrollando y madurando sus capacidades.
La RPDC ataca con una nueva variante de RUSTBUCKET
¡Cuidado! Recientemente descubrimos una variante de RUSTBUCKET. Lea este artículo para comprender las nuevas capacidades que observamos, así como para identificar en su propia red.
Investigación inicial que expone a JOKERSPY
Explora JOKERSPY, una campaña recientemente descubierta que se dirige a instituciones financieras con puertas traseras de Python. En este artículo, se habla del reconocimiento, los patrones de ataque y los métodos para identificar JOKERSPY en tu red.
Respuesta de Elastic a SPECTRALVIPER
Elastic Security Labs descubrió las familias de malware P8LOADER, POWERSEAL y SPECTRALVIPER dirigidas a una agroindustria nacional vietnamita. REF2754 comparte malware y elementos motivacionales de los grupos de actividad REF4322 y APT32.
La cadena de ataque conduce a XWORM y AGENTTESLA
Nuestro equipo observó recientemente una nueva campaña de malware que emplea un proceso bien desarrollado con múltiples etapas. La campaña está diseñada para engañar a los usuarios desprevenidos para que hagan clic en los documentos, que parecen ser legítimos.
REF2924: cómo mantener la persistencia como un (¿avanzado?) amenaza
Elastic Security Labs describe las nuevas técnicas de persistencia empleadas por el grupo detrás de SIESTAGRAPH, NAPLISTENER y SOMNIRECORD.
El malware PHOREAL apunta al sector financiero del sudeste asiático
Elastic Security descubrió el malware PHOREAL, cuyo objetivo son las organizaciones financieras del sudeste asiático, especialmente, las del sector financiero vietnamita.
Actualización del conjunto de intrusiones REF2924 y campañas relacionadas
Elastic Security Labs proporciona una actualización de la investigación REF2924 publicada en diciembre de 2022. Esta actualización incluye análisis de malware de los implantes, hallazgos adicionales y asociaciones con otras intrusiones.
SiestaGraph: Nuevo implante descubierto en el Ministerio de Relaciones Exteriores afiliada a la ASEAN
Elastic Security Labs está rastreando a varios actores de amenazas en la red que aprovechan los exploits de Exchange, los shells sitio web y el implante SiestaGraph recién descubierto para lograr y mantener el acceso, escalar privilegios y exfiltrar datos específicos.
Explorando el conjunto de intrusiones REF2731
El equipo de Elastic Security Labs estuvo rastreando REF2731, un conjunto de intrusiones de 5 etapas que involucra al cargador PARALLAX y al NETWIRE RAT.
Operación Oso Sangrante
Elastic Security verifica nuevo malware destructivo dirigido a Ucrania: Operation Bleeding Bear
Haciendo tiempo con el cuentagotas YIPPHB
Elastic Security Labs describe los pasos, recopila y analiza las diversas etapas del conjunto de REF4526 intrusión. Este conjunto de intrusiones usa un enfoque creativo de iconos Unicode en scripts de Powershell para instalar un cargador, un cuentagotas e implantes RAT.
La infraestructura de red de ICEDID está viva y coleando
Elastic Security Labs detalla el uso de la recopilación de datos de código abierto y el Elastic Stack para analizar la infraestructura C2 de la botnet ICEDID.
Análisis de la campaña de ransomware de CUBA
Elastic Security observó una campaña de ransomware y extorsión que aprovechaba una combinación de herramientas de seguridad ofensivas, LOLBAS y exploits para distribuir el malware CUBA ransomware.
Análisis del patrón de ataque de LUNA Ransomware
En esta publicación de investigación, exploraremos el patrón de ataque LUNA, una variante de ransomware multiplataforma.
Explorando el patrón de ataque QBOT
En esta publicación de investigación, exploraremos nuestro análisis del patrón de ataque QBOT, una familia de malware prolífica y con todas las funciones.
Elastic Security descubre una campaña de malware BLISTER
Elastic Security identificó intrusiones activas que aprovechan el cargador de malware BLISTER recientemente identificado que emplea certificados de firma de código válidos para evadir la detección. Proporcionamos orientación de detección para que los equipos de seguridad se protejan.
Una mirada cercana a las técnicas avanzadas empleadas en una campaña de APT centrada en Malasia
Nuestro equipo de investigación de Elastic Security se centró en las técnicas avanzadas empleadas en una campaña de APT centrada en Malasia. Aprenda quién está detrás, cómo funciona el ataque, las técnicas de ataque® de MITRE observadas y los indicadores de compromiso.
Jugando a la defensiva contra Gamaredon Group
Conozca la reciente campaña de un grupo de amenazas con sede en Rusia conocido como Grupo Gamaredon. Esta publicación revisará estos detalles y proporcionará estrategias de detección.
FORMBOOK adopta un enfoque sin CAB
Investigación y análisis de la campaña de un intento de intrusión observado en FORMBOOK.
Recopilación y puesta en práctica de datos de amenazas de la botnet Mozi
La botnet Mozi es una campaña de malware en curso dirigida a dispositivos de red no seguros y vulnerables. Esta publicación mostrará el viaje de los analistas para recopilar, analizar y poner en funcionamiento los datos de amenazas de la botnet Mozi.
Okta y LAPSUS$: Lo que necesitas saber
La última organización bajo la lupa del grupo LAPSUS$ es Okta. Búsqueda de amenazas para la brecha reciente dirigida a los usuarios de Okta mediante estos sencillos pasos en Elastic
Ransomware, interrumpido: Sodinokibi y la cadena de suministro
Conoce cómo las protecciones basadas en el comportamiento de Elastic Endpoint Security evitaron un ataque de ransomware dirigido en varios endpoints.