Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 20-26 diciembre
Prince of Persia reaparece con nueva actividad maliciosa
El grupo APT iraní Infy, también conocido como Prince of Persia, ha reaparecido con nueva actividad maliciosa tras casi cinco años de aparente inactividad, según un análisis técnico de SafeBreach. Activo al menos desde 2004, el grupo ha llevado a cabo una campaña encubierta reciente dirigida a víctimas de alto valor en Oriente Medio, Europa, India y Canadá, utilizando versiones actualizadas del descargador Foudre y del implante Tonnerre para el perfilado y la exfiltración de datos.
La campaña muestra una evolución en sus cadenas de ataque, sustituyendo macros por ejecutables incrustados en documentos y reforzando su infraestructura C2 mediante un algoritmo de generación de dominios (DGA) y un mecanismo de validación basado en firmas RSA.
Alianza estratégica entre Qilin, DragonForce y LockBit en el ecosistema ransomware
En septiembre de 2025, DragonForce anunció una supuesta alianza con Qilin y LockBit en un foro clandestino ruso, en un contexto de fuerte presión policial y fragmentación del ecosistema ransomware.
De acuerdo con Yarix, el anuncio se produjo tras operaciones internacionales que desmantelaron grupos relevantes como HIVE, AlphV/BlackCat y especialmente LockBit, afectado por la operación Cronos en febrero de 2024. El análisis de reclamaciones de ransomware en 2025 muestra un aumento global del 61 % interanual, pero con una menor concentración de actividad entre los principales actores.
Tras el anuncio, Qilin incrementó notablemente su actividad, alcanzando el primer puesto con el 13,07 % de las reclamaciones anuales, mientras DragonForce mostró un crecimiento moderado. En contraste, LockBit permanece inactivo desde junio de 2025, pese a anunciar una versión 5.0 y sufrir un rechazo a la restauración de su cuenta en foros underground.
DIG AI: consolidación de un LLM ilícito en el cibercrimen
Resecurity ha identificado la aparición de DIG AI, un modelo de lenguaje no censurado (dark LLM) operando en la red Tor y orientado a actividades criminales. Detectado por primera vez el 29 de septiembre, su uso aumentó de forma significativa durante el cuarto trimestre de 2025, especialmente en el periodo de vacaciones.
A diferencia de plataformas legítimas, DIG AI carece de salvaguardas éticas y permite el acceso anónimo sin registro. Según el equipo HUNTER de Resecurity, la herramienta facilita la automatización de campañas maliciosas y reduce la barrera de entrada al cibercrimen.
Entre sus capacidades se incluyen la generación de código malicioso, contenido fraudulento y material ilegal de alta peligrosidad. Aunque presenta limitaciones en tareas computacionalmente intensivas, sus resultados son operativamente viables.
DIG AI se enmarca en el crecimiento de las denominadas “Not Good AI”, cuyas menciones en foros criminales aumentaron más de un 200% entre 2024 y 2025.
Operación PCPcat compromete miles de servidores Next.js y roba credenciales en masa
La operación PCPcat es una campaña altamente sofisticada de robo de credenciales que ha comprometido más de 59.000 servidores Next.js a nivel global, explotando vulnerabilidades críticas (CVE-2025-29927 y CVE-2025-66478) para lograr ejecución remota de código.
Mediante escaneos masivos y ataques de contaminación de prototipos, los atacantes inyectan cargas maliciosas que permiten la extracción sistemática de datos sensibles como archivos .env, claves SSH, credenciales en la nube y tokens de desarrollo.
La infraestructura C2, alojada en Singapur, expone métricas operativas sin autenticación, revelando una tasa de éxito del 64,6 %, entre 300.000 y 590.000 credenciales robadas y un potencial de expansión de hasta 41.000 servidores diarios.
Italia multa a Apple con 98 millones por la gestión del consentimiento en App Tracking Transparency
La Autoridad Garante de la Competencia y del Mercado (AGCM) de Italia ha impuesto una multa de 98 millones de euros a Apple por abusar de su posición dominante en el mercado de distribución de aplicaciones móviles con su función de App Tracking Transparency (ATT), introducida en 2021.
El regulador determinó que las reglas de ATT obligan a los desarrolladores externos a solicitar el consentimiento de los usuarios dos veces para fines de seguimiento de datos y publicidad personalizada, mientras que las propias aplicaciones de Apple no muestran ese aviso, generando una ventaja competitiva injusta que puede perjudicar a terceros.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
