DeepSeek-R1 expuesto, explotación activa en WSUS, operación APT31 y zero-day crítico en Oracle Identity Manager
Resumen del día
DeepSeek-R1 está generando código inseguro bajo ciertos términos censurados, exponiendo riesgos en entornos de desarrollo. ShadowPad continúa explotando servidores WSUS mediante una vulnerabilidad crítica para obtener control total. APT31 mantiene campañas encubiertas usando servicios en la nube para infiltrarse silenciosamente en proveedores de TI. Y CISA advierte sobre un zero-day en Oracle Identity Manager que ya está siendo utilizado activamente por atacantes.
DeepSeek-R1 es un modelo de IA desarrollado en China y disponible en formato open source. En tareas comunes —automatizar scripts, generar APIs, crear módulos backend, etc.— se comporta parecido a los modelos occidentales.El problema aparece cuando los prompts incluyen términos políticamente sensibles para el gobierno chino: Tíbet, Uyghurs, Falun Gong y otros.🔍 ¿Qué encontraron los analistas?Investigadores de CrowdStrike descubrieron un patrón preocupante:1. Hasta 50% más código vulnerable si usas palabras sensiblesCuando el prompt mencionaba temas políticamente delicados, DeepSeek-R1 generaba más errores graves, como:
Falta de gestión de sesiones
Algoritmos de hashing inseguros
Validaciones incompletas
Estructuras que rompen buenas prácticas de...
🚨 ShadowPad vuelve al juego: atacan WSUS con una vulnerabilidad crítica para tomar control total de tus sistemas
Si tu servidor WSUS no está parchado, hoy mismo podría estar instalando malware en lugar de actualizaciones. Y lo peor: ni te darías cuenta.ShadowPad Malware Explota Vulnerabilidad Crítica en WSUS: acceso total con privilegios de sistemaUna nueva campaña de ataque está aprovechando activamente la vulnerabilidad CVE-2025-59287 en Windows Server Update Services (WSUS).
Este servicio es clave en empresas, gobierno y entornos corporativos, porque centraliza las actualizaciones de Windows.Pero esta vez, el enemigo entró justo por ahí.🔥 ¿Qué hace la vulnerabilidad?Es un fallo de deserialización insegura que permite ejecución remota de código (RCE) con privilegios de SYSTEM.
Traducido para el día a día:
si tu WSUS está vulnerable, un atacante puede tomar control total del...
APT31 evitó técnicas ruidosas o fáciles de rastrear. En lugar de eso, se camufló dentro de servicios que las empresas ya usan todos los días.🟦 Servicios utilizados para C2 y exfiltración:
Yandex Cloud
Microsoft OneDrive
Estos servicios, populares en Rusia, sirven como “canal legítimo” para:
comandos cifrados
envío/recepción de órdenes
transferencia de datos robados
persistencia dentro de la red víctima
Si ves tráfico a OneDrive o Yandex Cloud, ¿lo consideras sospechoso?
Precisamente ese fue su punto fuerte.🎭 Técnicas avanzadas de ocultamientoAPT31 usó una combinación de tácticas silenciosas que complican la detección incluso para un SOC maduro:✔️ Comandos y payloads cifrados enviados desde perfiles en redes socialesEsto...
🚨 Zero-day en Oracle Identity Manager: CISA confirma explotación activa y urge a actualizar antes de que sea tarde
¿Tu organización usa Oracle Identity Manager? Entonces podrías estar frente a una vulnerabilidad que permite que un atacante tome control total de tu infraestructura… sin usuario, sin contraseña y sin interacción alguna.
Y ya está siendo explotada en el mundo real.CISA alerta sobre la vulnerabilidad crítica CVE-2025-61757: RCE sin autenticación en Oracle Identity ManagerLa CISA emitió una advertencia urgente tras confirmar la explotación activa del zero-day CVE-2025-61757, una vulnerabilidad crítica con CVSS 9.8 que permite ejecución remota de código sin autenticación en Oracle Identity Manager (OIM), parte esencial de Oracle Fusion Middleware.Este fallo afecta versiones ampliamente desplegadas, como:
12.2.1.4.0
14.1.2.1.0
El problema reside en una función...
