<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Threat Intelligence on Dust115 // SkullFox Digital Archive</title><link>https://fennek.org/categories/threat-intelligence/</link><description>Recent content in Threat Intelligence on Dust115 // SkullFox Digital Archive</description><generator>Hugo</generator><language>en</language><lastBuildDate>Wed, 01 Jul 2026 20:00:00 -0400</lastBuildDate><atom:link href="https://fennek.org/categories/threat-intelligence/index.xml" rel="self" type="application/rss+xml"/><item><title>Nightmare Eclipse: ocho zero-days, seis semanas y un rencor con MSRC</title><link>https://fennek.org/posts/nightmare-eclipse/</link><pubDate>Wed, 01 Jul 2026 20:00:00 -0400</pubDate><guid>https://fennek.org/posts/nightmare-eclipse/</guid><description>Entre abril y junio de 2026, un investigador en disputa con Microsoft soltó ocho PoCs contra Defender y BitLocker, cronometrados para caer justo después de cada Patch Tuesday. No es una APT: es una persona con un rencor, y su código terminó armando a bandas de ransomware. Índice de la serie y mapa defensivo de toda la campaña.</description></item><item><title>BlueHammer y RedSun: cuando tu antivirus escribe en System32 por ti</title><link>https://fennek.org/posts/bluehammer-redsun/</link><pubDate>Wed, 01 Jul 2026 19:50:00 -0400</pubDate><guid>https://fennek.org/posts/bluehammer-redsun/</guid><description>Dos CVE distintos, la misma idea: hacer que Microsoft Defender —que corre como SYSTEM— escriba un fichero atacante dentro de C:\Windows\System32. La clave no es el CVE, es la clase de bug: una carrera TOCTOU armada con oplocks y junctions de NTFS. Deep-dive defensivo con detección comportamental.</description></item><item><title>UnDefend: cómo ciegan tu EDR sin que salte una sola alerta</title><link>https://fennek.org/posts/undefend/</link><pubDate>Wed, 01 Jul 2026 19:40:00 -0400</pubDate><guid>https://fennek.org/posts/undefend/</guid><description>CVSS 4.0. El más bajo de la campaña, y el más peligroso dentro de una kill chain. UnDefend no escala privilegios: es un DoS que deja a Microsoft Defender inservible mientras el panel sigue diciendo &amp;lsquo;protección activada&amp;rsquo;. El eslabón silencioso que precede a todo lo demás.</description></item><item><title>YellowKey y GreatXML: BitLocker no te protege si el atacante llega al arranque</title><link>https://fennek.org/posts/yellowkey-greatxml/</link><pubDate>Wed, 01 Jul 2026 19:30:00 -0400</pubDate><guid>https://fennek.org/posts/yellowkey-greatxml/</guid><description>Dos bypass de BitLocker que atacan el mismo punto ciego —el entorno de recuperación de Windows (WinRE), que corre antes de que las defensas despierten— pero con modelos de amenaza opuestos: YellowKey necesita acceso físico y TPM-only; GreatXML necesita ser admin una vez y luego sobrevive a la respuesta a incidentes.</description></item><item><title>RoguePlanet: la carrera a SYSTEM que sobrevive al parche de junio</title><link>https://fennek.org/posts/rogueplanet/</link><pubDate>Wed, 01 Jul 2026 19:20:00 -0400</pubDate><guid>https://fennek.org/posts/rogueplanet/</guid><description>La cuarta vulnerabilidad de Defender del mismo actor, y la que seguía sin parche cuando escribí esto. Misma clase de bug que BlueHammer —TOCTOU con oplock y junction— pero por otra ruta: el pipeline de cuarentena, apoyado en Windows Error Reporting para ejecutar como SYSTEM. Deep-dive con detección comportamental, que aquí es el único control real.</description></item><item><title>GreenPlasma y MiniPlasma: CTFMON y el CVE zombie que revivió tras seis años</title><link>https://fennek.org/posts/greenplasma-miniplasma/</link><pubDate>Wed, 01 Jul 2026 19:10:00 -0400</pubDate><guid>https://fennek.org/posts/greenplasma-miniplasma/</guid><description>Dos rutas más a SYSTEM. Una nueva (GreenPlasma, abusando del framework de texto CTFMON); otra que no debería existir (MiniPlasma, que reutiliza sin cambios un PoC de Project Zero de 2020 porque el parche de entonces nunca funcionó de verdad). La historia de por qué un CVE de 2020 escala privilegios en 2026.</description></item></channel></rss>