Defender 0-Day, SonicWall Brute-Force, Excel RCE de 17 años y 15 historias más

El servicio de billetera de criptomonedas Zerion ha revelado que uno de los dispositivos de un miembro de su equipo se vio comprometido, lo que resultó en el robo de aproximadamente $100 000 en fondos robados de las billeteras activas internas de la empresa. La compañía señaló que los fondos de los usuarios, las aplicaciones de Zerion o la infraestructura no se vieron afectados por la infracción. Se dice que el miembro del equipo fue el objetivo de un ataque de ingeniería social habilitado por inteligencia artificial (IA) llevado a cabo por un actor de amenazas norcoreano rastreado como UNC1069. Al grupo de hackers se le atribuyó recientemente el envenenamiento del popular paquete Axios npm. “Esto permitió al atacante obtener acceso a algunas de las sesiones y credenciales de los miembros del equipo, así como a claves privadas de billeteras activas de la compañía utilizadas para pruebas y fines internos”, dijo Zerion. “Este no fue un ataque oportunista. El actor es claramente sofisticado y cuenta con buenos recursos. Planearon el ataque minuciosamente”.

La Unión Europea ha anunciado que pronto lanzará una nueva aplicación de verificación de edad en línea para permitir a los usuarios demostrar su edad al acceder a plataformas en línea. Los usuarios pueden configurarlo descargando la aplicación en su dispositivo Android o iOS utilizando un pasaporte o documento de identidad. La Comisión ha subrayado que la aplicación respetará la privacidad de los usuarios. “Los usuarios demostrarán su edad sin revelar ninguna otra información personal”, dijo la presidenta de la Comisión Europea, Ursula von der Leyen. “En pocas palabras, es completamente anónimo: los usuarios no pueden ser rastreados. En tercer lugar, la aplicación funciona en cualquier dispositivo: teléfono, tableta, computadora, lo que sea. Y, finalmente, es completamente de código abierto: todos pueden verificar el código”. Este avance se produce mientras países de todo el mundo están emprendiendo varias etapas de acción regulatoria para mantener el ciberespacio como un lugar más seguro para niños y menores y protegerlos de daños graves.

Un investigador que utiliza el alias “Chaotic Eclipse” lanzó un exploit de día cero llamado BlueHammer a principios de este mes tras el manejo por parte de Microsoft del proceso de divulgación de la vulnerabilidad. Aunque el problema parece haberse solucionado a partir del lanzamiento del martes de parches de este mes (CVE-2026-33825), desde entonces el investigador ha revelado una nueva vulnerabilidad de escalada de privilegios de Microsoft Defender sin parches. El exploit recibió el nombre en código RedSun. “Esto funciona de manera 100% confiable para pasar de usuario sin privilegios a SISTEMA contra Windows 11 y Windows Server con actualizaciones de abril de 2026, así como Windows 10, siempre que tenga Windows Defender habilitado”, dijo el investigador de seguridad Will Dormann.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una antigua vulnerabilidad de ejecución remota de código que afecta a Microsoft Office a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la deficiencia antes del 28 de abril de 2026. La vulnerabilidad en cuestión es CVE-2009-0238, que tiene una puntuación CVSS de 8,8. “Microsoft Office Excel contiene una vulnerabilidad de ejecución remota de código que podría permitir a un atacante tomar el control total de un sistema afectado si un usuario abre un archivo Excel especialmente diseñado que incluye un objeto con formato incorrecto”, dijo CISA.

Raspberry Pi ha lanzado la versión 6.2 de su sistema operativo Raspberry Pi, que introduce un cambio significativo: deshabilita el sudo sin contraseña de forma predeterminada. Como resultado, a los usuarios que ejecuten un comando sudo para acceso a nivel de administrador se les pedirá que ingresen la contraseña del usuario actual. El cambio afecta únicamente a las nuevas instalaciones; Las configuraciones existentes no se modifican. “Dada la amenaza cada vez mayor del delito cibernético, revisamos continuamente la seguridad del sistema operativo Raspberry Pi para garantizar que sea lo suficientemente robusto para resistir ataques potenciales”, dijo Raspberry Pi. “Este es siempre un equilibrio complicado, ya que cualquier cosa que haga que el sistema operativo sea más seguro invariablemente incomodará a los usuarios legítimos hasta cierto punto, por lo que tratamos de mantener dichos cambios al mínimo. Esta actualización de seguridad en particular es una que muchos usuarios ni siquiera notarán, pero afectará a algunos”.

Un marco de comando y control (C2) previamente indocumentado denominado ObsidianStrike se ha implementado en la infraestructura de una firma de abogados brasileña. “Sólo existen dos casos de ObsidianStrike en todo Internet”, dijo Breakglass Intelligence. “El marco tiene cero presencia en GitHub, cero muestras en VirusTotal o MalwareBazaar, y una detección de proveedores casi nula. Este es un C2 en idioma portugués totalmente privado creado para operaciones específicas de Windows, oculto detrás del dominio de una organización víctima”. El proveedor de seguridad también descubrió ArchangelC2, un panel C2 detrás de una campaña de fraude de acceso remoto ScreenConnect a escala industrial que ha estado operativa desde noviembre de 2024.

Una aplicación Ledger falsa logró colarse en la App Store de Apple, extrayendo 9,5 millones de dólares en criptomonedas de más de 50 víctimas entre el 7 y el 13 de abril de 2026. La aplicación, llamada Ledger Live, fue lanzada por un desarrollador, “SAS Software Company”, y publicada bajo “Leva Heal Limited”. Los usuarios que descargaron la aplicación fraudulenta fueron engañados para que ingresaran sus frases iniciales, lo que les dio a los atacantes acceso completo a sus billeteras y les permitió enviar activos digitales a direcciones externas bajo su control. Si bien Apple eliminó la aplicación macOS de la tienda, quedan dudas sobre cómo logró pasar el proceso de revisión de la compañía. En más noticias relacionadas con Apple, la compañía también eliminó una aplicación de recolección de datos llamada Freecash de su App Store después de que fuera anunciada engañosamente como una forma de “ganar dinero simplemente navegando por TikTok”, mientras recopilaba información confidencial de los usuarios. Esto incluía detalles sobre la raza, religión, vida sexual, orientación sexual, salud y otros datos biométricos del usuario. Sin embargo, una vez instalado, en lugar de la funcionalidad prometida, los usuarios eran redirigidos a una lista de juegos móviles donde se les ofrecían recompensas en efectivo por completar desafíos dentro del juego por tiempo limitado. La aplicación sigue estando disponible en Google Play Store.

Según Acronis, los ciberdelincuentes están utilizando una nueva cepa de ransomware llamada JanaWare para atacar a personas en Turquía. El ataque aprovecha los correos electrónicos de phishing que contienen un enlace de Google Drive que allana el camino para la descarga y posterior ejecución de un archivo JAR malicioso a través de javaw.exe. La carga útil es una variante personalizada de Adwind (también conocida como AlienSpy, jRAT o Sockrat) con características polimórficas que se utiliza para entregar el módulo de ransomware. El malware implementa geocercas y filtrado ambiental para garantizar que los sistemas comprometidos coincidan con el idioma y la región turcos. Si bien ninguno de estos trucos es particularmente novedoso o avanzado, continúan funcionando contra objetivos pequeños desprotegidos. No está claro cuántas personas o empresas podrían haber sido víctimas del plan. El enfoque localizado y de bajo riesgo ha permitido que la campaña persista desde al menos 2020 sin grandes interrupciones. “La victimología parece incluir principalmente a usuarios domésticos y pequeñas y medianas empresas. Se considera que el acceso inicial se produce a través de correos electrónicos de phishing que entregan archivos Java maliciosos”, dijo la compañía. “Las demandas de rescate observadas en las muestras analizadas oscilan entre 200 y 400 dólares, lo que es consistente con un enfoque de monetización de bajo valor y alto volumen”.

Google dijo que está introduciendo una nueva política de spam para el “secuestro del botón Atrás”, que ocurre cuando un sitio interfiere con la navegación del navegador de un usuario y le impide usar el botón Atrás para regresar inmediatamente a la página de donde vino. En cambio, el hackeo podría redirigir a los usuarios a sitios dudosos u otras páginas que nunca antes habían visitado. “El secuestro del botón Atrás interfiere con la funcionalidad del navegador, interrumpe el viaje esperado del usuario y genera frustración en el usuario”, dijo Google. “Las páginas que participan en el secuestro del botón Atrás pueden estar sujetas a acciones manuales de spam o descensos de categoría automáticos, lo que puede afectar el rendimiento del sitio en los resultados de la Búsqueda de Google. Para dar tiempo a los propietarios de sitios para realizar los cambios necesarios, publicaremos esta política dos meses antes de su entrada en vigor el 15 de junio de 2026”.

Al grupo de hackers vinculado a China conocido como APT41 se le ha atribuido una puerta trasera ELF indetectable y especialmente diseñada que apunta a cargas de trabajo en la nube de Linux en los entornos de Amazon Web Services (AWS), Google Cloud, Microsoft Azure y Alibaba Cloud. “El implante utiliza el puerto SMTP 25 como un canal encubierto de comando y control, recopila credenciales y metadatos del proveedor de la nube, y los teléfonos albergan tres dominios typosquat con temática de Alibaba alojados en la infraestructura de Alibaba Cloud en Singapur”, dijo Breakglass Intelligence. “Un mecanismo selectivo de validación de protocolo de enlace C2 hace que el servidor sea invisible para las herramientas de escaneo convencionales como Shodan y Censys”.

A partir de la actualización de seguridad de abril de 2026 (CVE-2026-26151), Microsoft introdujo nuevas protecciones de Windows para defenderse contra ataques de phishing que abusan de los archivos de conexión a Escritorio remoto (RDP), agregando advertencias de seguridad y desactivando las redirecciones de forma predeterminada. “Los actores maliciosos hacen un mal uso de esta capacidad enviando archivos RDP a través de correos electrónicos de phishing”, dijo Microsoft. “Cuando una víctima abre el archivo, su dispositivo se conecta silenciosamente a un servidor controlado por el atacante y comparte recursos locales, dándole al atacante acceso a archivos, credenciales y más”. Grupos de hackers rusos como APT29 han utilizado archivos de configuración RDP como armas para atacar a agencias gubernamentales, empresas y entidades militares de Ucrania en el pasado.

Actores de amenazas desconocidos han organizado un ataque a la cadena de suministro contra un fabricante de complementos de WordPress llamado Essential Plugin (anteriormente WP Online Support) después de adquirirlo a principios de 2025 de los desarrolladores originales en un acuerdo de seis cifras para instalar una puerta trasera en agosto y posteriormente utilizarla como arma a principios de este mes para distribuir cargas útiles maliciosas a cualquier sitio web con los complementos instalados. Desde entonces, WordPress ha cerrado permanentemente todos los complementos. “El módulo wpos-analytics del complemento llamó a Analytics.essentialplugin.com, descargó un archivo de puerta trasera llamado wp-comments-posts.php (diseñado para parecerse al archivo principal wp-comments-post.php) y lo usó para inyectar un bloque masivo de PHP en wp-config.php”, dijo Anchor Hosting. “El código inyectado era sofisticado. Recuperaba enlaces spam, redirecciones y páginas falsas desde un servidor de comando y control. Sólo mostraba el spam al robot de Google, haciéndolo invisible para los propietarios del sitio”. Además, resolvió el dominio de comando y control (C2) a través de un contrato inteligente de Ethereum para hacerlo resistente a los esfuerzos de eliminación. Antes de su eliminación, los complementos tenían en conjunto más de 180.000 instalaciones. “Este es un caso clásico de compromiso de la cadena de suministro que ocurrió porque el proveedor original vendió sus complementos a un tercero, que resultó ser un actor de amenaza malicioso”, dijo Patchstack.

Telegram ha seguido albergando Xinbi Guarantee, un mercado ilícito que ha procesado más de 21.000 millones de dólares en volumen total de transacciones, a pesar de las sanciones impuestas por el Reino Unido el mes pasado. El desarrollo ha planteado dudas sobre la voluntad de la plataforma de vigilar su propio ecosistema y suspender a los malos actores. Se sabe que el bazar en idioma chino ofrece soluciones de lavado de dinero a estafadores de criptomonedas, servicios de acoso y productos como porras electrificadas y pistolas Taser que atienden a estafas de inversión que operan en el sudeste asiático. “Xinbi todavía se mantiene fuerte”, dijo a WIRED el cofundador y científico jefe de Elliptic, Tom Robinson. “Están en camino de convertirse en el mayor mercado de este tipo que jamás haya existido”.

Orange Cyberdefense ha revelado que los actores de amenazas utilizaron publicidad maliciosa en tres incidentes separados observados entre principios de febrero y principios de abril de 2026 para entregar la puerta trasera SmokedHam (también conocido como Parcel RAT, SharpRhino y WorkersDevBackdoor) haciéndola pasar por instaladores de RVTools o Remote Desktop Manager (RDM). Se considera que el malware es una versión modificada del troyano de código abierto conocido como ThunderShell. En al menos un caso, el ataque condujo a la implementación del ransomware Qilin, pero no sin antes abandonar el monitoreo de empleados y las soluciones de escritorio remoto como Controlio, TeraMind y Zoho Assist para el acceso persistente, la exfiltración de bases de datos de contraseñas de KeePass y la realización de descubrimientos y movimientos laterales. La adopción de herramientas legítimas de doble uso es una tendencia preocupante, ya que permite a los atacantes combinar sus acciones con actividades legítimas y reducir el riesgo de detección. La actividad se ha atribuido con confianza media a UNC2465, una filial de DarkSide, LockBit y Hunters International. También se superpone con una campaña detallada por Synacktiv y Field Effect a principios de 2025.

Una nueva investigación ha descubierto que el actor de amenazas conocido como Water Hydra (también conocido como DarkCasino) todavía está activo en 2026, con nueva evidencia que descubre una conexión no reportada anteriormente entre evilgrou-tech, un operador de productos básicos, y el grupo de hackers. “Se evalúa con moderada confianza que el identificador ‘evilgrou’ es una referencia deliberada a EvilNum (Evil + (num -> grupo)p), el grupo APT predecesor del que WaterHydra/DarkCasino se separó a finales de 2022”, dijo Breakglass Intelligence. El indicador de atribución más fuerte es una ruta de espacio de trabajo compartido para desarrolladores integrada en archivos binarios asociados con EvilNum y Water Hydra: “C:UsersAdministratorDesktopvaeevashellrundll.tlb”. Estos dos artefactos están separados por dos años, uno en julio de 2022 y el otro en enero de 2024.

Los investigadores de ciberseguridad han revelado fallas de seguridad en el software HDF5, un formato de archivo para administrar, procesar y almacenar datos heterogéneos, que podrían explotarse para comprometer un sistema vulnerable. “Las vulnerabilidades descubiertas, basadas en un desbordamiento del buffer de pila, podrían permitir a los actores de amenazas sobrescribir la memoria y comprometer los sistemas de destino para robar datos de investigación altamente clasificados, espionaje industrial o un punto de apoyo en la red interna”, dijo el cofundador de ThreatLeap, Leon Juranic. “En la práctica, esto significa que la vulnerabilidad podría ser explotada por un único archivo de entrada malicioso especialmente diseñado y, como resultado, todo un sistema podría verse comprometido”. Los problemas se abordaron en octubre de 2025 tras una divulgación responsable.

Los investigadores de seguridad han detectado un “fuerte aumento” en los intentos de fuerza bruta para secuestrar dispositivos SonicWall y FortiGate entre enero y marzo de 2026, y la gran mayoría (88%) parece originarse en Medio Oriente. La mayoría de los intentos no tuvieron éxito, ya sea bloqueados directamente por herramientas de seguridad o dirigidos a nombres de usuario no válidos. “Los atacantes están escaneando y probando agresivamente los dispositivos perimetrales en busca de credenciales débiles o expuestas”, dijo Barracuda Networks. “Incluso cuando los ataques fallan, el sondeo persistente aumenta el riesgo de que una única contraseña débil o una mala configuración puedan conducir a un compromiso”.

Se ha observado que Triad Nexus, un ecosistema de cibercrimen en expansión que actúa como columna vertebral de estafas, lavado de dinero y operaciones de juegos de azar ilícitos desde al menos 2020, utiliza vallas geográficas y blanquea su infraestructura a través de empresas fachada “limpias” para adquirir cuentas en los principales proveedores de nube empresarial (Amazon, Cloudflare, Google y Microsoft) y evitar sanciones. Además de participar en fraudes, el grupo se especializa en suplantación de marcas de alta fidelidad, utilizando como arma las identidades digitales de empresas Global 2000 para engañar a las víctimas. “La red ha industrializado el robo de marcas a escala global; su catálogo incluye clones ‘perfectos’ de todo, desde artículos de lujo de alta gama hasta servicios públicos”, dijo Silent Push. “A pesar de las sanciones federales en 2025, el grupo ha restablecido su motor de fraude global, cambiando su enfoque hacia los mercados emergentes mientras mantiene una amenaza persistente a los activos empresariales occidentales”. Se estima que Triad Nexus es responsable de más de 200 millones de dólares en pérdidas reportadas, impulsadas principalmente por la matanza de cerdos y las estafas de moneda virtual.