Hack de Vercel, fraude push, abuso de QEMU, surgen nuevas RAT de Android y más

El resumen del lunes muestra el mismo patrón en diferentes lugares. Una herramienta de terceros se convierte en una vía de entrada y luego conduce a un acceso interno. Se cambia brevemente una ruta de descarga confiable para entregar malware. Las extensiones del navegador actúan normalmente mientras extraen datos y ejecutan código. Incluso los canales de actualización se utilizan para impulsar cargas útiles. No se trata de romper sistemas, sino de alterar la confianza.

También hay un cambio en la forma en que se ejecutan los ataques. Registros más lentos, cargas útiles de varias etapas y más código guardado en la memoria. Los atacantes se basan en herramientas reales y flujos de trabajo normales en lugar de compilaciones personalizadas. Algunos casos apuntan a una dispersión de la cadena de suministro, donde un eslabón débil llega más lejos de lo esperado.

Repase todo el resumen. El patrón de acceso, ejecución y control solo aparece cuando lo ve todo junto.

⚡ Amenaza de la semana

Vercel revela violación de datos—El proveedor de infraestructura web Vercel ha revelado una brecha de seguridad que permite a los delincuentes obtener acceso no autorizado a “ciertos” sistemas internos de Vercel. El incidente se originó por el compromiso de Context.ai, una herramienta de inteligencia artificial (IA) de terceros, que fue utilizada por un empleado de la empresa, añadió. “El atacante utilizó ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permitió obtener acceso a algunos entornos de Vercel y variables de entorno que no estaban marcadas como ‘sensibles'”, dijo la compañía. Actualmente no se sabe quién está detrás del incidente, pero un actor de amenazas que utiliza la personalidad de ShinyHunters se atribuyó la responsabilidad del hack. Context.ai también reveló un incidente de marzo de 2026 que involucró el acceso no autorizado a su entorno AWS. Sin embargo, desde entonces se supo que el atacante probablemente también comprometió los tokens OAuth de algunos de sus usuarios consumidores. Además, Hudson Rock descubrió que un empleado de Context.ai se vio comprometido con Lumma Stealer en febrero de 2026, lo que plantea la posibilidad de que la infección haya desencadenado la “escalada de la cadena de suministro”.

🔔 Noticias destacadas

• La operación policial derriba la operación de alquiler de DDoS—Las agencias encargadas de hacer cumplir la ley en Europa, Estados Unidos y otros países socios tomaron medidas enérgicas contra el ecosistema comercial de alquiler de DDoS, apuntando tanto a operadores como a clientes de servicios utilizados para atacar sitios web y desconectarlos. Como parte del esfuerzo, las autoridades eliminaron 53 dominios, arrestaron a cuatro personas y enviaron notificaciones de advertencia a miles de usuarios delincuentes. El Departamento de Justicia de Estados Unidos dijo que se llevaron a cabo acciones autorizadas por los tribunales para interrumpir Vac Stresser y Mythical Stress. Las acciones son un juego persistente del gato y el ratón, ya que los servicios iniciados a menudo reaparecen con nuevos nombres y dominios a pesar de las repetidas eliminaciones. Si bien estas perturbaciones tienden a tener resultados a corto plazo, la resiliencia de la actividad criminal indica que los arrestos deben combinarse con incautaciones de infraestructura, perturbaciones financieras y disuasión de los usuarios para lograr un impacto duradero.
• La botnet PowMix recién descubierta afecta a los trabajadores checos—Una campaña maliciosa activa está dirigida a la fuerza laboral en la República Checa con una botnet previamente indocumentada denominada PowMix desde al menos diciembre de 2025. “PowMix emplea intervalos de balizas de comando y control (C2) aleatorios, en lugar de una conexión persistente al servidor C2, para evadir las detecciones de firmas de red”, dijo Cisco Talos. La botnet nunca antes vista está diseñada para facilitar el acceso remoto, el reconocimiento y la ejecución remota de código, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el árbol de procesos para garantizar que no se esté ejecutando otra instancia del mismo malware en el host comprometido.
• Pushpaganda impulsada por IA aprovecha Google Discover para cometer fraude publicitario—Se ha descubierto que un novedoso esquema de fraude publicitario aprovecha las técnicas de envenenamiento de motores de búsqueda (SEO) y el contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el feed Discover de Google y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras. Se ha descubierto que la campaña Pushpaganda se dirige a los canales de contenido personalizados de los usuarios de Android y Chrome. “Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y habiliten notificaciones que presentan mensajes alarmantes”, dijo HUMAN Security. Desde entonces, Google ha implementado correcciones y actualizaciones algorítmicas para solucionar el problema.
• El abuso del complemento Obsidian ofrece PHANTOMPULSE RAT—Una campaña de ingeniería social ha abusado de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas. Elastic Security Labs está rastreando la actividad con el nombre REF6598. Emplea elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS engañando a las víctimas para que abran una bóveda alojada en la nube en Obsidian. PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor C2. En macOS, el ataque se utiliza para entregar una carga útil no especificada.
• Descargas de CPUID secuestradas para servir STX RAT—Actores de amenazas desconocidos secuestraron la página oficial de descarga de CPUID para ofrecer instaladores troyanizados que finalmente llevaron a la implementación de STX RAT, un troyano de acceso remoto con capacidades de robo de información. El ataque no comprometió los archivos binarios firmados originales de CPUID; los actores de la amenaza entregaron sus propios paquetes troyanizados mediante redirección. “El actor de la amenaza comprometió la página oficial de descarga de CPUID para servir un paquete troyanizado, empleando la descarga de DLL como vector de ejecución inicial seguido de una cadena de descompresión en memoria de cinco etapas en capas diseñada para evadir la detección”, dijo Cyderes. “El uso de una marca de tiempo de compilación con marca de tiempo, carga de PE reflectante y ejecución de carga útil exclusivamente en memoria demuestra un esfuerzo deliberado para obstaculizar el análisis forense y eludir los controles de seguridad tradicionales”.
• 108 extensiones maliciosas de Chrome roban datos de Google y Telegram—Se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyección de anuncios y código JavaScript arbitrario en cada página web visitada. Las extensiones proporcionan la funcionalidad esperada para evitar generar señales de alerta, pero el código malicioso que se ejecuta en segundo plano se conecta al servidor C2 del actor de la amenaza para realizar las actividades nefastas. En el centro de la campaña hay un backend alojado en un servidor privado virtual (VPS) de Contabo, con múltiples subdominios que manejan el secuestro de sesiones, la recopilación de identidades, la ejecución de comandos y las operaciones de monetización. Hay evidencia que indica una operación rusa de malware como servicio (MaaS), basada en la presencia de un portal de pago y monetización en su infraestructura C2.
• OpenAI lanza GPT-5.4-Cyber—OpenAI anunció un nuevo modelo, GPT-5.4-Cyber, diseñado específicamente para ser utilizado por defensores digitales. Las empresas de inteligencia artificial (IA) han advertido repetidamente que modelos de IA más capaces podrían crear una oportunidad para que los malos actores exploten las vulnerabilidades y las brechas de seguridad en el software con nueva velocidad e intensidad. A diferencia de Anthropic, que dijo que su nuevo modelo Claude Mythos solo se está entregando de forma privada a un pequeño número de organizaciones confiables debido a la preocupación de que pueda ser explotado por adversarios, OpenAI dijo que “la clase de salvaguardas que se utilizan hoy en día reducen suficientemente el riesgo cibernético como para respaldar un amplio despliegue de los modelos actuales”, pero insinuó la necesidad de protecciones más avanzadas a largo plazo. La defensa del software crítico ha dependido durante mucho tiempo de la capacidad de encontrar y corregir vulnerabilidades más rápido de lo que los atacantes pueden explotarlas. GPT-5.4-Cyber ​​tiene un límite de rechazo más bajo para trabajos legítimos de ciberseguridad que el estándar GPT-5.4. Agrega capacidades destinadas a flujos de trabajo defensivos avanzados, incluida la ingeniería inversa binaria. “No creemos que sea práctico o apropiado decidir de forma centralizada quién puede defenderse”, afirmó OpenAI. “En lugar de ello, nuestro objetivo es permitir el mayor número posible de defensores legítimos, con un acceso basado en la verificación, las señales de confianza y la rendición de cuentas”. El uso de la IA para el descubrimiento y análisis de vulnerabilidades significa que la barrera de entrada para los atacantes se está derrumbando. Los malos actores podrían pedirle a un modelo de IA que analice las diferencias entre dos versiones de un binario y genere un exploit a un ritmo más rápido. Rob T. Lee, jefe de investigación del Instituto SANS, dijo que el debut de Mythos y GPT-5.4-Cyber ​​es “nada más que un proveedor tratando de superar a otro”, y agregó: “Necesitamos comenzar a evaluar cómo un modelo de IA es capaz de encontrar vulnerabilidades de código sobre otro y qué tan rápido lo hacen. Hay riesgos reales en juego aquí”. Al mismo tiempo, investigadores de AISLE y Xint descubrieron que es posible replicar los resultados de Mythos con modelos más pequeños y económicos. “La variable crítica en el descubrimiento de vulnerabilidades de la IA no es sólo el modelo”, afirmó Xint. “Es el sistema estructurado el que decide dónde buscar, valida que los hallazgos sean reales y explotables, elimina los falsos positivos y ofrece soluciones viables”.

🔥 CVE de tendencia

Los errores disminuyen semanalmente y la brecha entre un parche y un exploit se reduce rápidamente. Estos son los pesos pesados ​​de la semana: los de alta gravedad, los que se utilizan ampliamente o los que ya se están explorando en la naturaleza.

Consulte la lista, parchee lo que tiene y seleccione primero los marcados como urgentes: CVE-2026-20184 (Cisco Webex Services), CVE-2026-20147 (Cisco Identity Services Engine y ISE Passive Identity Connector), CVE-2026-20180, CVE-2026-20186 (Cisco Identity Services Engine), CVE-2026-33032 (nginx-ui), CVE-2026-32201 (Microsoft SharePoint Server), CVE-2026-27304 (Adobe ColdFusion), CVE-2026-39813, CVE-2026-39808 (Fortinet FortiSandbox), CVE-2026-40176, CVE-2026-40261 (Compositor), CVE-2025-0520 (ShowDoc), CVE-2026-22039 (Kyverno), CVE-2026-27681 (Planificación y consolidación empresarial de SAP y almacén empresarial), CVE-2026-34486, CVE-2026-29146 (Apache Tomcat), CVE-2026-40175 (Axios), CVE-2026-32196 (Centro de administración de Microsoft Windows), CVE-2026-20204 (Splunk Enterprise), CVE-2026-20205 (Servidor Splunk MCP) CVE-2026-6296, CVE-2026-6297, CVE-2026-6298, CVE-2026-6299, CVE-2026-6358, CVE-2026-5873 (Google Chrome), CVE-2026-34078 (Tails), CVE-2026-34622 (Adobe Acrobat Reader), CVE-2026-33413 (etcd), CVE-2026-1492 (complemento de registro de usuario y membresía), CVE-2026-23818 (HPE Aruba Networking Private 5G Core On-Prem), CVE-2025-54236 (Magento), CVE-2026-26980 (Ghost CMS), CVE-2026-40478 (Thymeleaf), CVE-2026-41242 (protobufjs), CVE-2026-40871 (Mailcow), CVE-2026-5747 (AWS Firecracker) y CVE-2025-50892 (eudskacs.sys).

🎥 Seminarios web sobre ciberseguridad

• La fuerza despierta en AppSec: repensar los mitos y las defensas organizacionales a la velocidad de la IA → Este seminario web explora cómo la piratería impulsada por la IA está haciendo que los parches de seguridad tradicionales sean demasiado lentos para ser efectivos. Se centra en la “brecha de parche” (el tiempo peligroso entre que se encuentra y se corrige un error) y ofrece una nueva forma de priorizar las vulnerabilidades basándose en el riesgo del mundo real. La sesión proporciona estrategias prácticas para que los líderes de seguridad se defiendan contra ataques automatizados de alta velocidad.
• El ascenso del agente: paso a la validación de exposición autónoma → Este seminario web explora cómo la IA “agente” está cambiando las pruebas de seguridad mediante el uso de agentes de IA autónomos para simular ataques del mundo real. A diferencia de los escáneres tradicionales, estas herramientas encuentran y validan continuamente qué brechas de seguridad son realmente accesibles para los piratas informáticos. La sesión se centra en pasar de comprobaciones manuales lentas a una validación de exposición automatizada para adelantarse a las amenazas impulsadas por la IA.

📰 Alrededor del mundo cibernético

• Vect se asocia con BreachForums y TeamPCP —Dataminr reveló que el grupo de ransomware Vect ha formalizado asociaciones con el mercado de delitos cibernéticos BreachForums y el grupo de piratería TeamPCP. La asociación permitirá a los miembros de BreachForums implementar ransomware y utilizará a las víctimas de los ataques a la cadena de suministro de TeamPCP para atacar a organizaciones que se encuentren en un estado vulnerable. “Entre las dos asociaciones, Vect reducirá la barrera de entrada para los actores de ransomware, incentivará a los miembros del grupo a realizar ataques y explotará las infracciones preexistentes para ampliar el impacto”, dijo la compañía. “La convergencia del robo de credenciales de la cadena de suministro a gran escala, una operación RaaS madura y la movilización masiva de foros de la web oscura representa un modelo sin precedentes de implementación de ransomware industrializado”.
• MuddyWater se dirige a organizaciones globales a través de Microsoft Teams —Se ha observado que el grupo de hackers iraní conocido como MuddyWater utiliza ingeniería social dirigida para acercarse a objetivos a través de Microsoft Teams haciéndose pasar por personal de soporte de TI para engañarlos para que ejecuten un malware botnet llamado Tsundere (también conocido como Dindoor). “Un aspecto notable de esta intrusión fue el abuso de Deno, un tiempo de ejecución legítimo de JavaScript y TypeScript que normalmente se utiliza para el desarrollo de aplicaciones backend”, dijo CyberProof. “El atacante aprovechó deno.exe para ejecutar una carga útil codificada en Base64 altamente ofuscada, rastreada como DINODANCE, directamente en la memoria, minimizando los artefactos en el disco y complicando la detección”. Una vez decodificado, el malware establece comunicaciones C2 con un servidor remoto, extrayendo metadatos básicos del host, como el nombre de usuario, el nombre del host y los detalles del sistema operativo.
• Una intrusión de varias etapas elimina Direct-Sys Loader y CGrabber Stealer —Una cadena de ataque que involucra archivos ZIP distribuidos a través de URL adjuntas de usuarios de GitHub está abusando de la carga lateral de DLL para entregar un cargador de malware llamado Direct-Sys Loader, que realiza comprobaciones antianálisis y luego descarta CGrabber. El malware, por su parte, evita infectar máquinas que se ejecutan en los países de la Comunidad de Estados Independientes (CEI) y recopila credenciales de navegador, datos de billeteras criptográficas, datos de administradores de contraseñas y una amplia gama de artefactos de aplicaciones. “Al omitir la ejecución en máquinas en esas regiones, reducen el riesgo de atraer la atención de las autoridades locales y evitan atacar su propia infraestructura o sus aliados”, dijo Cyderes. “Direct-Sys Loader y CGrabber Stealer representan un ecosistema de malware cohesivo, de múltiples etapas y centrado en el sigilo, diseñado con capacidades avanzadas de detección y evasión”.
• Hackers rusos atacan a agencias ucranianas —Los actores de amenazas vinculados a Rusia irrumpieron en más de 170 cuentas de correo electrónico pertenecientes a fiscales e investigadores en toda Ucrania en los últimos meses”, informó Reuters, citando datos de Ctrl-Alt-Intel. La actividad de espionaje también tuvo como objetivo funcionarios en Rumania, Grecia, Bulgaria y Serbia. En declaraciones a The Record, el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) confirmó que las agencias gubernamentales locales fueron el objetivo de una campaña de piratería de larga duración que ha estado rastreando desde 2023. Los ataques utilizan fallas en el software de correo web Roundcube para ejecutar código malicioso tan pronto como se abre un mensaje especialmente diseñado. Se cree que la campaña es obra de APT28 (también conocido como Fancy Bear).
• Los servicios de búsqueda de infostealers están cambiando el cibercrimen —Hudson Rock reveló que los servicios de búsqueda de ladrones de información, a algunos de los cuales se puede acceder mediante una simple búsqueda en Google, están impulsando rápidamente una nueva era de acceso inicial, cambiando la forma en que comienzan los ciberataques y transformando un complejo proceso de piratería en una transacción simple y automatizada. “Estas plataformas han convertido efectivamente miles de millones de credenciales comprometidas y cookies de sesión activas en un producto de bajo costo y con alta capacidad de búsqueda disponible para las masas”, dijo. “Debido a que estos datos son tan fácilmente accesibles, las organizaciones ya no pueden permitirse el lujo de ser reactivas”.
• AdaptixC2 detallado —Kaspersky ha detallado el funcionamiento interno de un marco de comando y control (C2) de código abierto conocido como AdaptixC2, que ha experimentado una mayor adopción por parte de malos actores durante el año pasado. Escrito en Go y C++, AdaptixC2 está diseñado para una interacción sigilosa y posterior a la explotación con sus agentes maliciosos implementados en sistemas comprometidos. También emplea diversas técnicas de post-explotación y comunicación de red para sortear las herramientas de monitoreo de tráfico y minimizar su huella. “A diferencia de muchas plataformas C2 de propósito general, AdaptixC2 se centra en la comunicación avanzada de agente a C2 y en técnicas de evasión específicas diseñadas para eludir las herramientas de seguridad modernas, incluidas las soluciones EDR y NDR”, dijo la compañía. “El marco proporciona la flexibilidad para desarrollar agentes personalizados y al mismo tiempo incluye implementaciones de agentes estándar en Go y C++ para Windows, macOS y Linux. Además, admite un enfoque modular para ampliar su funcionalidad”.
• La actualización de adware ofrece EDR Killer —En un ataque inusual, una familia de adware secuestrador de navegadores lanzó una actualización de varias fases que intentaba desactivar el software de seguridad en los hosts infectados. El adware está firmado por Dragon Boss Solutions LLC, una empresa con sede en los Emiratos Árabes Unidos que afirma realizar investigaciones sobre monetización de búsquedas y ha promocionado versiones modificadas del navegador Chrome (por ejemplo, Chromstera, Chromnius y Artificius). “El software firmado busca y ejecuta silenciosamente cargas útiles capaces de eliminar productos antivirus, todo mientras se ejecuta con privilegios de SISTEMA”, dijo Huntress. La capacidad de eliminación del antivirus se observó a partir de finales de marzo de 2025, aunque los componentes del cargador y del actualizador se remontan a finales de 2024. “La operación utiliza un mecanismo de actualización de software disponible para implementar estas cargas útiles basadas en MSI y PowerShell. Establecer la persistencia de WMI desactiva las aplicaciones de seguridad y bloquea la reinstalación del software protector”, añadió. El instalador MSI, descargado de un servidor de actualización alternativo, realiza reconocimientos, consultas sobre productos de seguridad instalados y ejecuta un script de PowerShell (“ClockRemoval.ps1”) para finalizar los procesos en ejecución, deshabilitar los servicios antivirus alterando el Registro de Windows, eliminar directorios de instalación y forzar la eliminación cuando fallan los desinstaladores. Lo importante es que el mecanismo de actualización se puede modificar para implementar cualquier carga útil. Para empeorar las cosas, el dominio de actualización principal integrado en la operación para recuperar el instalador MSI – chromsterabrowser(.)com – no quedó registrado, lo que significa que cualquier actor de amenazas podría haber registrado el dominio por tan solo $10 y enviar actualizaciones maliciosas, convirtiendo una infección de adware en un posible compromiso de la cadena de suministro. Desde entonces, el dominio se ha hundido. Dicho esto, 23.565 direcciones IP únicas se conectaron al sumidero durante un período de monitoreo de 24 horas. Las infecciones se concentran en Estados Unidos, Francia, Canadá, Reino Unido y Alemania. Entre ellos se encontraban universidades, redes de OT, entidades gubernamentales, instituciones de educación primaria y secundaria, organizaciones de atención médica y múltiples empresas de Fortune 500.

• India no exigirá a los fabricantes de teléfonos inteligentes que precarguen la aplicación Aadhaar —El gobierno indio ya no exigirá a los fabricantes de teléfonos inteligentes como Apple y Samsung que precarguen en sus dispositivos una aplicación de identificación biométrica de propiedad estatal, informó Reuters. El Ministerio de TI de la India revisó la propuesta y “no está a favor de exigir la preinstalación de la aplicación Aadhaar en los teléfonos inteligentes”, dijo UIDAI en un comunicado. La solicitud de Aadhaar fue la sexta vez en dos años que el gobierno solicitó la preinstalación de aplicaciones estatales en los teléfonos, según comunicaciones de la industria. Los fabricantes de teléfonos inteligentes expresaron preocupaciones sobre la seguridad y compatibilidad del dispositivo cuando recibieron la propuesta de precarga de Aadhaar, y también señalaron costos de producción más altos, ya que se les habría requerido operar líneas de fabricación separadas para India y los mercados de exportación.
• La campaña de inyección SQL se dirige a los servicios de pago —Se está operando una campaña activa de inyección de SQL a través de la infraestructura del atacante ubicada en Canadá. La campaña se ha dirigido a 35 sitios web, y se ha confirmado que la explotación exitosa de la inyección SQL y la exfiltración de datos afecta a tres organizaciones que operan en los sectores de pagos, bienes raíces y servicios para desarrolladores. Los artefactos del lado atacante indican una explotación coordinada y deliberada en lugar de un escaneo oportunista.
• QEMU abusado por evasión de defensa —Los actores de amenazas están abusando de QEMU, un emulador y virtualizador de máquinas de código abierto, para ocultar actividades maliciosas dentro de entornos virtualizados. “Los atacantes se sienten atraídos por QEMU y herramientas de virtualización basadas en hipervisor más comunes como Hyper-V, VirtualBox y VMware porque la actividad maliciosa dentro de una máquina virtual (VM) es esencialmente invisible para los controles de seguridad de los endpoints y deja poca evidencia forense en el propio host”, dijo Sophos. Se han detectado dos grupos de actividad: STAC4713, que ha utilizado QEMU como puerta trasera SSH inversa encubierta para entregar herramientas y recopilar credenciales de dominio con el objetivo final de probablemente implementar el ransomware Payouts King (probablemente vinculado a antiguos afiliados de BlackBasta) después de obtener acceso inicial mediante la explotación de fallas de seguridad conocidas en SolarWinds Web Help Desk, y STAC3725, que explota Citrix Bleed 2 (también conocido como CVE-2025-5777) para establecerse e instala ScreenConnect para acceso remoto persistente. Luego, los actores de amenazas implementan una máquina virtual QEMU para instalar herramientas adicionales para realizar enumeraciones y robo de credenciales. “La actividad de seguimiento difería entre las intrusiones, lo que sugiere que los intermediarios de acceso inicial originalmente comprometieron los entornos de las víctimas y luego vendieron el acceso a otros actores de amenazas”, dijo Sophos.
• El sitio falso de Adobe Reader cae ScreenConnect —Los actores de amenazas están utilizando sitios web falsos de Adobe Acrobat Reader para atraer a las víctimas a instalar ScreenConnect de ConnectWise. La cadena de ataque se detectó en febrero de 2026. “El ataque utiliza la reflexión .NET para mantener las cargas útiles solo en la memoria, lo que le ayuda a evadir las defensas basadas en firmas y obstaculizar el examen forense”, dijo Zscaler ThreatLabz. “Un cargador de VBScript reconstruye dinámicamente cadenas y objetos en tiempo de ejecución para anular el análisis estático y el sandboxing. Se abusa de los objetos del Modelo de objetos componentes (COM) elevados automáticamente para evitar el Control de cuentas de usuario (UAC) y ejecutarlos con privilegios elevados sin indicaciones del usuario”. El ataque emplea un cargador .NET en memoria que es responsable de iniciar ScreenConnect.
• Casi 6 millones de hosts utilizan FTP —Censys dijo que observó alrededor de 5.949.954 hosts ejecutando al menos un servicio FTP con acceso a Internet, frente a más de 10,1 millones en 2024, lo que equivale a una disminución del 40% en dos años. De ellos, casi 2,45 millones de hosts no tenían evidencia de cifrado. “Más de 150.000 servicios FTP de IIS devuelven una respuesta 534, lo que indica que TLS nunca se configuró”, dijo Censys. “Para la mayoría de los casos de uso, FTP se puede reemplazar sin interrupciones significativas. Si FTP debe permanecer, habilitar TLS explícito es un cambio de configuración, no una actualización de protocolo, y tanto Pure-FTPd como vsftpd lo admiten de forma nativa”.
• Los APK con formato incorrecto evitan las detecciones a medida que surgen nuevas RAT de Android —Los actores de amenazas utilizan cada vez más APK con formato incorrecto, que se refieren a paquetes de Android que se pueden instalar y ejecutar en Android pero que se rompen intencionalmente mediante el uso de métodos de compresión no compatibles, manipulación de encabezados o protección con contraseña falsa, para evitar las herramientas de análisis estático y retrasar la detección. Cleafy ha lanzado una herramienta de código abierto llamada Malfixer para detectar y reparar APK con formato incorrecto. El desarrollo se produce cuando Zimperium señaló cuatro nuevas familias de malware para Android, RecruitRat, SaferRat, Astrinox (también conocido como Mirax) y Massiv, que son capaces de recopilar información confidencial y facilitar transacciones financieras no autorizadas. En total, las campañas que distribuyen estas familias de malware se dirigen a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. RecruitRat aprovecha la ingeniería social relacionada con la contratación y las plataformas fraudulentas de búsqueda de empleo para el acceso inicial. SaferRat se distribuye a través de sitios web falsos que afirman ofrecer acceso gratuito a plataformas de transmisión premium y software legítimo de transmisión de video. Los cuatro troyanos bancarios abusan de la API de instalación de sesión nativa para evitar las restricciones de descarga de Android y solicitar permisos de servicios de accesibilidad para llevar a cabo sus actividades maliciosas.
• Más de 200 tiendas PrestaShop exponen el instalador —Más de 200 tiendas en línea PrestaShop han dejado su carpeta de instalación expuesta en línea, lo que permite a los atacantes abusar del comportamiento para sobrescribir la configuración de la base de datos, obtener acceso de administrador y ejecutar código arbitrario en el servidor. Según Sansec, las tiendas afectadas se encuentran en 27 países, entre ellos Francia, Italia, Polonia y la República Checa. Se ha descubierto que otro conjunto de 15 tiendas exponen Symfony Profiler, que se habilita cuando PrestaShop se ejecuta en modo de depuración.
• Cómo contener un dominio comprometido mediante blindaje predictivo —Microsoft detalló una cadena de ataque en la que un actor de amenazas atacó a una organización del sector público en junio de 2025, progresando metódicamente de un estado del ciclo de vida del ataque al siguiente, comenzando con la eliminación de un shell web luego de la explotación de una falla de carga de archivos en un servidor de Servicios de Información de Internet (IIS) con acceso a Internet. Luego, el atacante realizó un reconocimiento, aumentó sus privilegios, aprovechó la cuenta de servicio IIS comprometida para restablecer las contraseñas de identidades de alto impacto e implementó Mimikatz para recopilar credenciales. Luego, el actor de amenazas abusó de cuentas privilegiadas y creó de forma remota una tarea programada en un controlador de dominio para capturar instantáneas NTDS. El atacante también instaló un shell web de Godzilla en Exchange Server y aprovechó su contexto privilegiado para alterar los permisos del buzón, permitiéndole leer y manipular todo el contenido del buzón. Posteriormente, el actor de amenazas utilizó Impacket para enumerar las asignaciones de roles y otras actividades que Microsoft Defender marcó y bloqueó. “El actor de la amenaza luego lanzó una amplia red de contraseñas desde el servidor IIS inicialmente comprometido, desbloqueando el acceso a al menos 14 servidores mediante la reutilización de contraseñas”, dijo Microsoft. “También intentaron realizar un volcado remoto de credenciales contra un par de controladores de dominio y un servidor IIS adicional utilizando múltiples dominios y principales de servicio”. Después de que se habilitó el blindaje predictivo de Microsoft Defender a finales de julio de 2025, se bloquearon los intentos del atacante de iniciar sesión en los servidores de Microsoft Entra Connect. La campaña se detuvo el 28 de julio de 2025.
• Actor de malware de robo de carga realiza campañas de acceso remoto —En noviembre de 2025, Proofpoint detalló un actor de amenazas que utilizó tableros de carga comprometidos para obtener acceso a empresas de transporte con el objetivo final de desviar carga y robar carga. Una nueva investigación de la empresa de seguridad empresarial ha revelado que el atacante abusó de múltiples herramientas de acceso remoto como ScreenConnect, Pulseway y SimpleHelp para establecer persistencia en un entorno señuelo controlado, con intentos de identificar el acceso financiero, las plataformas de pago y los activos de criptomonedas para realizar fraudes de transporte y robos financieros más amplios. El actor mantuvo el acceso durante más de un mes. Se dice que al menos una instancia de ScreenConnect aprovechó un proveedor de firma como servicio externo para volver a firmar el instalador con un certificado de firma de código válido pero fraudulento. “Este reconocimiento se centró en identificar el acceso financiero, como banca, contabilidad, software fiscal y servicios de transferencia de dinero, así como entidades relacionadas con el transporte, incluidos servicios de tarjetas de combustible, plataformas de pago de flotas y operadores de tableros de carga”, dijo la compañía. “Esta última actividad probablemente fue diseñada para apoyar delitos contra la industria del transporte, incluido el robo de carga y el fraude financiero relacionado”.
• Un ciudadano británico se declara culpable de la campaña de arañas dispersas —Tyler Robert Buchanan, extraditado de España a Estados Unidos en abril pasado tras su arresto en la nación europea en junio de 2024, se declaró culpable de piratear una docena de empresas y robar al menos 8 millones de dólares en activos digitales. Se declaró culpable de un cargo de conspiración para cometer fraude electrónico y un cargo de robo de identidad agravado. “Desde septiembre de 2021 hasta abril de 2023, Buchanan y otros individuos conspiraron para realizar intrusiones cibernéticas y robos de moneda virtual”, afirmó el Departamento de Justicia de Estados Unidos. “Las víctimas y las víctimas previstas incluían empresas de entretenimiento interactivo, empresas de telecomunicaciones, empresas de tecnología, proveedores de subcontratación de procesos comerciales (BPO) y tecnología de la información (TI), proveedores de comunicaciones en la nube, empresas de moneda virtual e individuos”. Buchanan y sus cómplices llevaron a cabo ataques de phishing por SMS dirigidos a los empleados de la empresa víctima, engañándolos para que hicieran clic en enlaces falsos que filtraban sus credenciales a través de un kit de phishing a un canal de Telegram en línea bajo su control. Los datos robados se utilizaron luego para acceder a las cuentas, recopilar información confidencial de la empresa y desviar millones de dólares en moneda virtual después de realizar ataques de intercambio de SIM.

🔧 Herramientas de ciberseguridad

• Cirro → Es una herramienta de código abierto diseñada para ayudar a los expertos en seguridad a encontrar riesgos ocultos en entornos de nube. Funciona recopilando datos sobre las personas, sus permisos y los recursos digitales que utilizan, y luego convierte esa información en un mapa visual. Al mostrar cómo están conectadas estas diferentes piezas, la herramienta facilita la detección de “rutas de ataque”: las rutas paso a paso que un pirata informático podría tomar para moverse a través de un sistema y llegar a datos confidenciales. Si bien actualmente se centra en Azure, está diseñado para ser flexible, de modo que los usuarios puedan agregar otras plataformas con el tiempo.
• Janus → Es una herramienta de código abierto diseñada para ayudar a los equipos de seguridad a rastrear fallas técnicas durante las operaciones. Extrae automáticamente registros de plataformas de comando y control (C2) como Mythic y Cobalt Strike para identificar dónde fallaron las herramientas o se bloquearon los comandos. Al organizar estos “puntos de fricción” en informes, Janus ayuda a los equipos a ver exactamente dónde se ralentiza su flujo de trabajo y qué tareas deben mejorarse o automatizarse.

Descargo de responsabilidad: esto es estrictamente para investigación y aprendizaje. No ha pasado por una auditoría de seguridad formal, así que no lo dejes caer ciegamente en producción. Lea el código, primero divídalo en una zona de pruebas y asegúrese de que todo lo que esté haciendo se ajuste al lado correcto de la ley.

Conclusión

Con esto concluye el resumen de esta semana. La mayor parte no es ruidosa, pero muestra lo fácil que es que los caminos confiables se conviertan en puntos de entrada y que la actividad normal oculte el acceso real.

Esté atento a lo básico. Compruebe en qué confía, observe cómo funcionan las cosas y no ignore los pequeños cambios.