Botnet P2P híbrido, Apache RCE de 13 años y 18 historias más

Se ha observado una nueva variante de la botnet conocida como Phorpiex (también conocida como Trik), que utiliza un modelo de comunicación híbrido que combina el sondeo HTTP C2 tradicional con un protocolo peer-to-peer (P2P) sobre TCP y UDP para garantizar la continuidad operativa frente a caídas de servidores. El malware actúa como un conducto para cargas útiles cifradas, lo que dificulta que partes externas inyecten o modifiquen comandos. El objetivo principal de la variante Twizt de Phorpiex es colocar un cortapelos que redirija las transacciones de criptomonedas, así como distribuir spam de correo electrónico de sextorsión de gran volumen y facilitar la implementación de ransomware (por ejemplo, LockBit Black, Global). También exhibe un comportamiento similar al de un gusano al propagarse a través de unidades extraíbles y remotas, y soltar módulos responsables de filtrar frases mnemotécnicas y escanear en busca de vulnerabilidades de inclusión de archivos locales (LFI). “Phorpiex ha demostrado consistentemente su capacidad de evolucionar, pasando de una operación pura de spam a una plataforma sofisticada”, dijo Bitsight. “La botnet Phorpiex sigue siendo una amenaza altamente adaptable y resistente”. Hay una media de 125.000 infecciones diarias, siendo los países más afectados Irán, Uzbekistán, China, Kazajstán y Pakistán.

Una vulnerabilidad de ejecución remota de código (RCE) que estuvo al acecho en Apache ActiveMQ Classic durante 13 años podría estar encadenada con una falla más antigua (CVE-2024-32114) para eludir la autenticación. Registrado como CVE-2026-34197 (puntaje CVSS: 8.8), el error recientemente identificado permite a los atacantes invocar operaciones de administración a través de la API de Jolokia y engañar al intermediario de mensajes para que recupere un archivo de configuración remoto y ejecute comandos del sistema operativo. Según Horizon3.ai, el defecto de seguridad es una omisión de CVE-2022-41678, un error que permite a atacantes autenticados activar la ejecución de código arbitrario y escribir shells web en el disco. “La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos”, dijo Naveen Sunkavally, investigador de Horizon3.ai. “En algunas versiones (6.0.0 – 6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que inadvertidamente expone la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado”. El defecto de seguridad recién descubierto se solucionó en las versiones 5.19.4 y 6.2.3 de ActiveMQ Classic.

El fraude cibernético costó a las víctimas más de 17.700 millones de dólares durante 2025, a medida que las pérdidas financieras derivadas del fraude a través de Internet siguen aumentando. La pérdida total supera los 20.870 millones de dólares, un 26% más que en 2024. “El fraude cibernético es responsable de casi el 85% de todas las pérdidas reportadas al IC3 (Centro de Denuncias de Delitos en Internet) en 2025”, dijo la Oficina Federal de Investigaciones (FBI) de Estados Unidos. “El fraude en inversiones en criptomonedas fue la mayor fuente de pérdidas financieras para los estadounidenses en 2025, con 7.200 millones de dólares en pérdidas”. En todos los casos, las estafas de inversión encabezaron el grupo con 8.600 millones de dólares en pérdidas reportadas, seguidas por la vulneración del correo electrónico empresarial (3.000 millones de dólares) y las estafas de soporte técnico (2.100 millones de dólares). El año pasado se identificaron sesenta y tres nuevas variantes de ransomware, lo que provocó pérdidas de más de 32 millones de dólares. Akira, Qilin, INC./Lynx/Sinobi, BianLian, Play, Ransomhub, Lockbit, Dragonforce, Safepay y Medusa surgieron como las diez variantes principales que afectaron a entidades críticas de fabricación, atención médica, salud pública y gobierno.

Según datos de NETSCOUT, se registraron más de 8 millones de ataques DDoS en 203 países y territorios entre julio y diciembre de 2025. “El recuento de ataques se mantuvo estable en comparación con la primera mitad del año, pero la naturaleza y sofisticación de los ataques cambiaron dramáticamente”, dijo la compañía. “La clase TurboMirai de botnets de IoT, incluidas AISURU y Eleven11 (RapperBot), surgió como una fuerza importante. Las plataformas de alquiler de DDoS ahora están integrando LLM de la web oscura e IA conversacional, lo que reduce la barrera técnica para lanzar ataques complejos y multivectoriales. Incluso los actores de amenazas no capacitados ahora pueden orquestar campañas sofisticadas utilizando indicaciones en lenguaje natural, lo que aumenta el riesgo para todas las industrias”.

Un ex empleado de Meta en el Reino Unido está bajo investigación por acusaciones de que descargó ilegalmente unas 30.000 fotos privadas de Facebook. Según The Guardian, el acusado desarrolló un programa de software para evadir los sistemas de seguridad internos de Facebook y acceder a las imágenes privadas de los usuarios. Meta descubrió la infracción hace más de un año, despidió al empleado y remitió el caso a las autoridades. La compañía dijo que también notificó a los usuarios afectados, aunque no está claro cuántos se vieron afectados.

Google dijo que está rastreando un grupo de amenazas con motivación financiera llamado UNC6783 que está vinculado a la personalidad “Raccoon” y está apuntando a docenas de organizaciones de alto perfil en múltiples sectores al comprometer a los proveedores de subcontratación de procesos de negocios (BPO) y al personal de la mesa de ayuda para una posterior extorsión de datos. “La campaña se basa en ingeniería social de chat en vivo para dirigir a los empleados a inicios de sesión falsos de Okta utilizando dominios (org).zendesk-support(##).com”, dijo Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GITG). “Su kit de phishing roba el contenido del portapapeles para evitar MFA y registrar sus propios dispositivos para un acceso persistente. También los observamos usando actualizaciones de seguridad falsas (ClickFix) para eliminar malware de acceso remoto”. Se recomienda a las organizaciones que prioricen las claves de hardware FIDO2 para roles de alto riesgo, supervisen el chat en vivo en busca de enlaces sospechosos y auditen periódicamente los dispositivos MFA recién inscritos.

Una campaña Magecart a gran escala está utilizando elementos SVG invisibles de 1×1 píxeles para inyectar una superposición de pago falsa en 99 tiendas de comercio electrónico Magento, filtrando datos de pago a seis dominios controlados por atacantes. “En las primeras horas del 7 de abril, casi 100 tiendas Magento fueron infectadas masivamente con un skimmer de ‘doble toque’: un ladrón de tarjetas de crédito escondido dentro de un elemento SVG invisible”, dijo Sansec. “El posible vector de entrada es la vulnerabilidad PolyShell que continúa afectando a las tiendas Magento desprotegidas”. Al igual que otros ataques de este tipo, el skimmer muestra a las víctimas una superposición convincente de “Pago seguro”, completa con validación de tarjeta y campos de facturación. Una vez que se capturan los detalles del pago, redirige silenciosamente al comprador a la página de pago real. Adobe aún no ha publicado una actualización de seguridad para abordar la falla de PolyShell en las versiones de producción de Magento.

Los ciberdelincuentes utilizan emojis en comunidades ilícitas para señalar actividad financiera, acceso y compromiso de cuentas, ofertas de herramientas y servicios, representar objetivos o regiones y comunicar impulso o importancia. El uso de emojis permite a los malos actores eludir los controles de seguridad. “Los emojis proporcionan una capa visual compartida que permite a los actores comunicar conceptos centrales sin depender completamente del texto”, dijo Flashpoint. “Esto es particularmente valioso en: grandes canales de Telegram con membresía internacional, operaciones de fraude transfronterizas (y) mercados descentralizados. Esta capacidad de comprimir el significado en taquigrafía visual ayuda a escalar las operaciones y la coordinación entre diversas redes de actores”.

Una campaña de ClickFix dirigida a usuarios de Windows está aprovechando instaladores MSI maliciosos para ofrecer un ladrón de información basado en Node.js. “Esta carga útil de Windows es un troyano de acceso remoto (RAT) altamente adaptable que minimiza su huella forense mediante el uso de capacidad de carga dinámica”, dijo Netskope. “Los módulos de robo central y los protocolos de comunicación nunca se almacenan en el disco de la víctima. En cambio, se entregan en la memoria sólo después de que se establece una conexión C2 exitosa. Para ofuscar aún más la infraestructura del atacante, el malware dirige el tráfico de streaming gRPC a través de la red Tor, proporcionando un canal bidireccional persistente y enmascarado”.

Más ClickFix, esta vez dirigido a macOS. Según Jamf, un ataque macOS estilo ClickFix está abusando del esquema de URL “applescript://” para iniciar Script Editor y entregar una carga útil de robo de información de Atomic Stealer, evitando así Terminal por completo. El ataque aprovecha páginas web falsas con temas de Apple que incluyen instrucciones para “recuperar espacio en disco en su Mac” haciendo clic en un botón “Ejecutar” que activa el esquema de URL “applescript://”. Es probable que el nuevo enfoque sea una respuesta a una nueva característica de seguridad introducida por Apple en macOS 26.4 que escanea los comandos pegados en la Terminal antes de ejecutarlos. “Es un punto de fricción significativo, pero como ilustra esta campaña, cuando una puerta se cierra, los atacantes encuentran otra”, dijo el investigador de seguridad Thijs Xhaflaire.

Un paquete PyPI malicioso llamado hermes-px se ha anunciado como un “Proxy de inferencia de IA seguro”, pero contiene una funcionalidad para robar las indicaciones de los usuarios. “El paquete en realidad secuestra el punto final de IA privado de una universidad tunecina, incluye un aviso del sistema Anthropic Claude Code robado y renombrado, lava todas las respuestas para ocultar la verdadera fuente ascendente y filtra cada mensaje de usuario directamente a la base de datos Supabase del atacante, evitando el mismo anonimato de Tor que promete”, dijo JFrog.

Los datos de Censys han revelado que hay 5219 hosts expuestos a Internet que se autoidentifican como dispositivos Rockwell Automation/Allen-Bradley. “Estados Unidos representa el 74,6% de la exposición global (3.891 hosts), con una participación desproporcionada en los ASN de los operadores de telefonía celular, indicativos de dispositivos implementados en el campo en módems celulares”, dijo. “España (110), Taiwán (78) e Italia (73) representan las mayores concentraciones fuera de la anglosfera. La presencia de Islandia (36 anfitriones) es desproporcionada con respecto a su población y merece atención, dada su infraestructura de energía geotérmica”. La divulgación sigue a un aviso conjunto de agencias estadounidenses que advirtieron sobre la explotación continua de los controladores lógicos programables (PLC) de Rockwell Automation/Allen-Bradley conectados a Internet por parte de actores estatales afiliados a Irán desde marzo de 2026 para violar sectores de infraestructura críticos de EE. UU., causando interrupciones operativas y pérdidas financieras en algunos casos. Las agencias dijeron que los ataques recuerdan a ataques similares a PLC por parte de Cyber ​​Av3ngers a finales de 2023.

A finales de marzo de 2026, Anthropic expuso inadvertidamente material fuente interno de Claude Code a través de un paquete npm mal configurado, que incluía aproximadamente 512.000 líneas de TypeScript interno. Si bien la exposición duró solo unas tres horas, provocó una rápida duplicación del código fuente en GitHub, lo que llevó a Anthropic a emitir avisos de eliminación (y luego una retractación parcial). No hace falta decir que los actores de amenazas no perdieron el tiempo y aprovecharon la actualidad de la filtración para distribuir el malware proxy Vidar Stealer, PureLogs Stealer y GhostSocks a través de repositorios falsos filtrados de Claude Code GitHub. “La campaña abusa de GitHub Releases como canal confiable de entrega de malware, utilizando grandes archivos troyanizados y cuentas desechables para evadir repetidamente las eliminaciones”, dijo Trend Micro. “La funcionalidad combinada de las cargas útiles de malware permite el robo de credenciales, la exfiltración de billeteras de criptomonedas, el secuestro de sesiones y el abuso de proxy residencial en Windows, brindando a los operadores múltiples rutas de monetización a partir de una sola infección”.

Una nueva versión de 64 bits de Lumma Stealer llamada Remus (históricamente llamada Tenzor) ha surgido en la naturaleza luego del derribo de Lumma y el doxxing de sus presuntos miembros principales. “Las primeras campañas de Remus se remontan a febrero de 2026, cuando el malware pasó de los solucionadores de entrega muerta de Steam/Telegram a EtherHiding y empleó nuevas comprobaciones antianálisis”, dijeron los investigadores de Gen. Además de usar código idéntico, syscalls/sysenters directos y la misma técnica de ofuscación de cadenas, otro detalle que los vincula es el uso de un método de cifrado vinculado a la aplicación, que hasta la fecha solo se ha observado en Lumma Stealer.

En un revés para Anthropic, un tribunal federal de apelaciones de Washington, DC se negó a bloquear la designación de seguridad nacional de la empresa de inteligencia artificial por parte del Departamento de Defensa de EE. UU. como un riesgo para la cadena de suministro. La noticia se produce después de que otro tribunal de apelaciones de San Francisco llegara a la conclusión opuesta en un recurso legal separado presentado por Anthropic, otorgándole una orden judicial preliminar que impide a la administración Trump hacer cumplir una prohibición sobre el uso del chatbot de IA Claude. La compañía ha dicho que la designación podría costarle miles de millones de dólares en negocios perdidos y daños a su reputación. Como señala Reuters, la demanda es una de las dos que Anthropic presentó por la decisión sin precedentes de la administración Trump de clasificarla como un riesgo para la cadena de suministro después de que se negó a permitir que el ejército usara Claude para vigilancia masiva nacional o armas autónomas.

En una nueva campaña observada por Kaspersky, los usuarios involuntarios que buscan clientes proxy como Proxifier en motores de búsqueda como Google y Yandex son dirigidos a repositorios maliciosos de GitHub que alojan un ejecutable, que actúa como un envoltorio alrededor del instalador legítimo de Proxifier. Una vez iniciado, configura las exclusiones de Microsoft Defender Antivirus, inicia el instalador de Proxifier real, configura la persistencia y ejecuta un script de PowerShell que llega a Pastebin para recuperar una carga útil de la siguiente etapa. El script de PowerShell descargado es responsable de recuperar otro script que contiene el malware Clipper de GitHub. El malware sustituye las direcciones de billeteras de criptomonedas copiadas en el portapapeles por una billetera controlada por el atacante con la intención de redirigir las transacciones financieras. Desde principios de 2025, más de 2.000 usuarios de Kaspersky (la mayoría de ellos en India y Vietnam) se han enfrentado a la amenaza.

Los actores de amenazas están aprovechando los canales de notificación en plataformas de colaboración populares para enviar correos electrónicos no deseados y de phishing. Debido a que estos correos electrónicos se envían desde la propia infraestructura de la plataforma (por ejemplo, la función Invitar clientes de Jira), es poco probable que las herramientas de seguridad del correo electrónico los bloqueen. “Estos correos electrónicos se transmiten utilizando la infraestructura legítima de entrega de correo asociada con GitHub y Jira, minimizando la probabilidad de que sean bloqueados en tránsito para víctimas potenciales”, dijo Cisco Talos. “Al aprovechar la funcionalidad de notificación incorporada disponible en estas plataformas, los adversarios pueden eludir de manera más efectiva las soluciones de monitoreo y seguridad del correo electrónico y facilitar una entrega más efectiva a las víctimas potenciales”. El desarrollo coincide con una campaña de phishing dirigida a múltiples organizaciones con invitaciones enviadas desde cuentas de correo electrónico comprometidas que conducen a la implementación de herramientas legítimas de monitoreo y administración remota (RMM) como LogMeIn Resolve. La campaña, rastreada como STAC6405, ha estado en curso desde abril de 2025. En un caso, se descubrió que el actor de amenazas aprovechó una instalación preexistente de ScreenConnect para descargar un archivo ZIP protegido por HeartCrypt que, en última instancia, conduce a la instalación de malware compatible con ValleyRAT. Otras campañas han aprovechado los correos electrónicos con temas de adquisiciones para dirigir a los usuarios a archivos PDF alojados en la nube que contienen enlaces incrustados que, al hacer clic, llevan a las víctimas a páginas de recolección de credenciales de Dropbox. Los actores de amenazas también han distribuido archivos ejecutables disfrazados de avisos de violación de derechos de autor para engañarlos e instalar PureLogs Stealer como parte de una campaña de varias etapas. Es más, las publicaciones de Reddit que anuncian la versión premium de TradingView han actuado como un conducto para que Vidar y Atomic Stealer roben datos valiosos de los sistemas Windows y macOS. “El actor de amenazas comenta activamente sus propias publicaciones con diferentes cuentas, creando la ilusión de una comunidad ocupada y servicial”, dijo Hexastrike. “Lo más preocupante es que cualquier comentario de usuarios reales que señalen que las descargas son malware se eliminan en cuestión de minutos. La operación es práctica y se supervisa de cerca”.

Se ha revelado una falla de seguridad de alta gravedad en el servidor ksmbd SMB3 del kernel de Linux. Registrado como CVE-2026-23226 (puntuación CVSS: 8,8), cae dentro de la misma clase de error que CVE-2025-40039, que fue parcheado en octubre de 2025. “Cuando dos conexiones comparten una sesión a través de SMB3 multicanal, el kernel puede leer una estructura de canal liberada, exponiendo la clave de firma AES-128-CMAC por canal y provocando pánico en el kernel”, dijo Orca. “Un atacante necesita credenciales SMB válidas y acceso a la red al puerto 445”. Alternativamente, un atacante puede aprovechar la vulnerabilidad para filtrar la clave AES-128-CMAC por canal utilizada para firmar todo el tráfico SMB3, lo que le permite falsificar firmas, hacerse pasar por el servidor o eludir la verificación de firmas. Se ha solucionado en el compromiso “e4a8a96a93d”.

Una nueva investigación ha demostrado que es posible engañar a la herramienta de codificación Vibe de Anthropic, Claude Code, para que realice un ataque de penetración de alcance completo y un robo de credenciales modificando el archivo “CLAUDE.md” de un proyecto para evitar las barreras de seguridad del agente de codificación. Las instrucciones le dicen explícitamente a Claude Code que ayude al desarrollador a completar una evaluación de prueba de penetración en su propio sitio web y lo ayude en sus tareas. “Claude Code debería escanear CLAUDE.md antes de cada sesión, marcando instrucciones que de otro modo provocarían un rechazo si se intentaran directamente dentro de un mensaje”, dijo LayerX. “Cuando Claude detecta instrucciones que parecen violar sus barreras de seguridad, debe presentar una advertencia y permitir que el desarrollador revise el archivo antes de tomar cualquier medida”.

Grafana ha solucionado una vulnerabilidad de seguridad que podría haber permitido a los atacantes engañar a sus capacidades de inteligencia artificial (IA) para que filtren datos confidenciales mediante una inyección inmediata indirecta y sin requerir ninguna interacción del usuario. El ataque recibió el nombre en código GrafanaGhost de Noma Security. “Al evitar las protecciones del lado del cliente y las barreras de seguridad que restringen las solicitudes de datos externos, GrafanaGhost permite a un atacante cerrar la brecha entre su entorno de datos privados y un servidor externo”, dijo la compañía de ciberseguridad. “Debido a que el exploit ignora las restricciones del modelo y opera de forma autónoma, los datos empresariales confidenciales pueden filtrarse silenciosamente en segundo plano”. GrafanaGhost es sigiloso, ya que no requiere credenciales de inicio de sesión y no depende de que el usuario haga clic en un enlace malicioso. El ataque es otro ejemplo de cómo se puede abusar de las funciones asistidas por IA integradas en entornos empresariales para acceder y extraer activos de datos críticos sin dejar de ser completamente invisibles para los defensores.

LSPosed es un potente marco para dispositivos Android rooteados que permite a los usuarios modificar el comportamiento del sistema y las aplicaciones en tiempo real sin realizar ninguna modificación en los archivos APK. Según CloudSEK, los actores de amenazas ahora están utilizando la herramienta como arma para inyectar de forma remota mensajes SMS fraudulentos y falsificar identidades de usuarios en ecosistemas de pago modernos a través de un módulo malicioso llamado “Digital Lutera”. El ataque socava efectivamente las restricciones vinculantes de SIM aplicadas a aplicaciones bancarias y de pago instantáneo en India. Sin embargo, para que este enfoque funcione, el actor de la amenaza requiere que la víctima instale un troyano que pueda interceptar los mensajes SMS enviados hacia/desde el dispositivo. Si bien el ataque anteriormente combinaba un dispositivo móvil troyanizado (la víctima) y un APK de pago móvil modificado (en el dispositivo del atacante) para engañar a los servidores del banco haciéndoles creer que la tarjeta SIM de la víctima está físicamente presente en el teléfono del atacante, la última iteración se apoya en LSPosed para lograr los mismos objetivos. Un requisito clave para este ataque es que el atacante debe tener un dispositivo Android rooteado con el módulo LSPosed instalado. “Este nuevo vector de ataque permite a los actores de amenazas secuestrar aplicaciones de pago legítimas y no modificadas al ‘iluminar’ el sistema operativo Android subyacente”, dijo CloudSEK. “Al utilizar LSPosed, el actor de amenazas garantiza que la firma de la aplicación de pago siga siendo válida, haciéndola invisible para muchas comprobaciones de integridad estándar”.