Hack DeFi de 290 millones de dólares, abuso de macOS LotL, granjas de SIM ProxySmart +25 historias nuevas

El protocolo de comunicación entre cadenas de bloques LayerZero ha revelado que los actores de amenazas norcoreanos rastreados por TraderTraitor pueden haber estado detrás del reciente hackeo del proyecto de finanzas descentralizadas (DeFi) KelpDAO, que resultó en el robo de 290 millones de dólares. “El ataque fue diseñado específicamente para manipular o envenenar la infraestructura RPC descendente al comprometer un quórum de los RPC en los que se basó LayerZero Labs DVN para verificar las transacciones”, dijo LayerZero. KelpDAO, en una publicación en X, dijo: “Dos nodos RPC alojados por LayerZero fueron comprometidos. Se lanzó un ataque DDoS simultáneo contra el tercer nodo RPC. Este fue un ataque a la infraestructura de LayerZero. Los propios sistemas de Kelp no participaron en la construcción ni en la operación de esa infraestructura”. Mientras tanto, el Consejo de Seguridad de Arbitrum ha congelado temporalmente los 30,766 ETH que se encuentran en la dirección de Arbitrum One que está conectada al exploit KelpDAO. En un análisis publicado hoy, Chainalysis dijo: “Lo más importante es que esto no fue un hack de contrato inteligente, sino un ataque sofisticado a la infraestructura fuera de la cadena. Los atacantes comprometieron nodos RPC internos y nodos externos de DDoS para alimentar datos falsos a una red de verificación de punto único de falla (una configuración DVN 1 de 1). Esto engañó al contrato de Ethereum para que liberara fondos basándose en una ‘quema’ de token fantasma en la cadena de origen”. Vale la pena señalar que TraderTraiter se atribuyó al mega hackeo de Bybit a principios de 2025 que condujo al robo de 1.500 millones de dólares en activos digitales. Recientemente, Lazarus Group también fue vinculado al robo de 285 millones de dólares del Drift Protocol.

Por otra parte, VulnCheck advirtió sobre ataques que intentan explotar dos fallas en MajorDoMo, una plataforma de automatización del hogar inteligente. Si bien CVE-2026-27175 es una vulnerabilidad crítica de inyección de comandos que comenzó a explotarse el 13 de abril, CVE-2026-27174 permite la ejecución remota de código no autenticado a través de la consola PHP en el panel de administración y se detectó por primera vez el 18 de abril. “CVE-2026-27175 fue explotado para soltar un webshell PHP que ofrece acceso persistente por puerta trasera”, dijo VulnCheck. “CVE-2026-27174 vio una explotación que terminó en una carga útil preparada de Metasploit php/meterpreter/reverse_tcp”. Otras vulnerabilidades que han sido testigos de esfuerzos de explotación incluyen CVE-2025-22952, un SSRF en Elestio Memos, y CVE-2024-57046, una omisión de autenticación en los enrutadores NETGEAR DGN2200.

Se han descubierto varios paquetes maliciosos en el registro npm: ixpresso-core, forge-jsx, @genoma-ui/components, @needl-ai/common, rrweb-v1, cjs-biginteger, sjs-biginteger, bjs-biginteger, @fairwords/websocket, @fairwords/loopback-connector-es, @fairwords/encryption, js-logger-pack y @kindo/selfbot. Estos paquetes vienen con funciones para robar datos confidenciales de hosts comprometidos, realizar reconocimiento del sistema e implantar una puerta trasera SSH inyectando la clave pública del atacante en ~/.ssh/authorized_keys, entregar un ladrón de información y difundir el troyano de acceso remoto (RAT) XWorm. También se ha descubierto que los paquetes publicados bajo el alcance “@fairwords” se autopropagan a todos los paquetes npm utilizando el token de la víctima e intentan la propagación entre ecosistemas a PyPI mediante la inyección de archivos .pth. Desde entonces, se ha descubierto que nuevas versiones de js-logger-pack aprovechan el repositorio de Hugging Face para buscar actualizaciones y utilizarlo como destino de robo de datos. También se detectó el compromiso de @velora-dex/sdk (versión 9.4.1) para decodificar y ejecutar una carga útil Base64 que recupera un script de shell de un servidor remoto que, a su vez, descarga y persiste un troyano de acceso remoto basado en Go llamado minirat en sistemas macOS. Otro paquete legítimo que se vio comprometido fue mgc (versiones 1.2.1 a 1.2.4), al que se le inyectó un gotero que detecta el sistema operativo y recupera una RAT específica de la plataforma de un GitHub Gist para filtrar datos valiosos.

Forcepoint ha detectado 10 nuevas cargas útiles de inyección inmediata indirecta (IPI) dirigidas a agentes de inteligencia artificial (IA) con instrucciones maliciosas diseñadas para lograr fraude financiero, destrucción de datos, robo de claves API y ataques de denegación de servicio de IA. “Independientemente de la técnica de carga útil específica o la intención del atacante, cada caso sigue la misma secuencia fundamental: el atacante envenena el contenido web, oculta la carga útil de la vista humana, espera a que un agente de IA ingiera la página, explota la incapacidad del LLM para distinguir instrucciones confiables del contenido controlado por el atacante y desencadena una acción del mundo real con un canal de retorno de exfiltración encubierto al atacante”, dijo la compañía.

Se ha descubierto que la aplicación de escritorio Claude se otorga permiso para acceder a los datos del navegador web, incluso si algunos navegadores ni siquiera se han instalado en la computadora del usuario, dijo el experto en privacidad web Alexander Hanff. Se ha detectado que la aplicación coloca archivos de configuración en ubicaciones preestablecidas para navegadores basados ​​en Chromium como Brave, Google Chrome, Microsoft Edge y Vivaldi. Los archivos de manifiesto de Native Messaging autorizan previamente a Claude a interactuar con el navegador incluso antes de que el usuario lo instale. El asunto ha sido calificado como un caso de patrón oscuro que viola las leyes de privacidad en la UE.

El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha presentado una nueva tecnología llamada SilentGlass que está diseñada para proteger las conexiones de vídeo de ataques cibernéticos. “SilentGlass, un dispositivo plug-and-play, bloquea activamente cualquier cosa inesperada o maliciosa entre las conexiones y pantallas HDMI y Display Port”, dijo el NCSC. “SilentGlass, que ya se ha implementado con éxito en propiedades gubernamentales, ahora está disponible para que cualquiera pueda comprarlo y utilizarlo. Ha sido aprobado para su uso en los entornos de mayor amenaza”.

En un desarrollo relacionado, el NCSC también aprobó las claves de acceso como estándar de autenticación predeterminado y la “primera opción de inicio de sesión” para acceder a todos los servicios digitales. “Las claves de acceso son un método más nuevo para iniciar sesión en cuentas en línea, que hacen gran parte del trabajo pesado para los usuarios, y solo requieren la aprobación del usuario en lugar de ingresar una contraseña”, dijo el NCSC. “Esto hace que las claves de acceso sean más rápidas y fáciles de usar y más difíciles de comprometer para los ciberatacantes”. También dijo que la mayoría de los daños cibernéticos a las personas comienzan cuando los delincuentes roban o comprometen los datos de inicio de sesión, lo que hace que la adopción de claves de acceso sea un “gran salto” para aumentar la resistencia a los ataques de phishing. Se dice que más del 50% de los usuarios activos de los servicios de Google en el Reino Unido ya utilizan claves de acceso.

Los informes de los medios iraníes han afirmado que el hardware fabricado por Cisco, Juniper, Fortinet y MikroTik se reinició o se desconectó durante los recientes ataques a Irán, a pesar de que el país estaba aislado de Internet global. “El aspecto más sorprendente y sospechoso de este incidente es su momento preciso y la falta de acceso a Internet internacional en ese momento”, dijo el sitio web de noticias iraní Entekhab. “Esta interrupción se produjo en un momento en que las puertas de enlace internacionales estaban efectivamente bloqueadas o eran inaccesibles; por lo tanto, atribuir este colapso de la cadena a ‘un simple ciberataque desde más allá de las fronteras’ no sólo no es convincente sino que también revela rastros de un sabotaje profundamente arraigado incrustados dentro del equipo”. El informe plantea la hipótesis de la presencia de puertas traseras de firmware ocultas o implantes no autorizados dentro de los dispositivos comprometidos, creando una botnet inactiva que se activa cuando ocurre un evento determinado sin necesidad de acceso a Internet. La otra posibilidad es un compromiso en la cadena de suministro. “Si los chips o archivos de instalación de los productos Cisco y Juniper se ven comprometidos antes de ingresar al país, ni siquiera reemplazar el sistema operativo resolverá el problema, porque la raíz del problema está incrustada en el hardware y la memoria de sólo lectura (ROM)”, señala el informe. Estos argumentos han encontrado apoyo en China, cuya agencia estatal de medios Xinhua llamó a los equipos fabricados en Estados Unidos el “verdadero caballo de Troya”. La revelación se produce cuando DomainTools reveló que los diversos personajes hacktivistas adoptados por Irán, como Homeland Justice, Karma y Handala, “constituyen un ecosistema de influencia cibernética coordinado y alineado con MOIS que opera bajo múltiples identidades de marca que desempeñan funciones operativas distintas pero complementarias”.

El grupo de ransomware Krybit ha pirateado el sitio web del grupo de rescate rival 0APT después de que este último amenazara con engañar a los miembros de Krybit. Según la firma de seguridad Barricade, 0APT filtró la base de datos completa de la operación del ransomware Krybit, incluidos registros de víctimas, credenciales de texto plano, billeteras Bitcoin, tokens de cifrado y un inventario de archivos de exfiltración de 56 MB. A cambio, Krybit contraatacó comprometiendo el servidor de 0APT en 48 horas, desfigurando su sitio de fuga de datos y publicando código fuente, historial de bash, registros de Nginx y archivos del sistema. Para echar sal en la herida, el grupo incluyó a 0APT como víctima número 1 en su propio sitio de fuga.

Existe una nueva plataforma de cifrado como servicio llamada FUD Crypt (fudcrypt(.)net). “Por $ 800 a $ 2000 por mes, los suscriptores cargan un ejecutable arbitrario de Windows y reciben un paquete de implementación de múltiples etapas que intenta la descarga automática de DLL, interferencia AMSI y ETW en memoria, elevación silenciosa de UAC a través de CMSTPLUA y manipulación de Windows Defender a través de la Política de grupo en compilaciones empresariales”, dijo Ctrl-Alt-Intel.

Dos campañas de phishing diferentes dirigidas a empresas griegas, españolas, eslovenas, bosnias, latinas y centroamericanas están utilizando diferentes técnicas para distribuir malware Formbook. “FormBook es un malware de robo de datos dirigido a sistemas Windows, distribuido principalmente a través de correos electrónicos de phishing con archivos adjuntos maliciosos”, dijo WatchGuard. “Recopila información confidencial, como credenciales de inicio de sesión, datos del navegador y capturas de pantalla, utilizando técnicas de evasión avanzadas para evitar la detección”.

Se ha observado un marco de post-explotación altamente sofisticado y de múltiples etapas dirigido a organizaciones en los sectores financieros de Medio Oriente y EMEA. “El actor de amenazas aprovecha una utilidad Intel legítima firmada digitalmente (IAStorHelp.exe) abusando del mecanismo .NET AppDomainManager, convirtiendo efectivamente un binario confiable en un contenedor de ejecución sigilosa”, dijo CYFIRMA. “Este enfoque permite que se ejecute código malicioso dentro de un entorno confiable. Elude los controles de seguridad convencionales sin modificar el binario firmado original”. Debido a que el secuestro de AppDomainManager permite la ejecución sigilosa dentro de un binario firmado confiable, permite que se ejecute código malicioso sin modificar el ejecutable original, evitando efectivamente los controles de confianza de firma de código. El ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP, que contiene un archivo LNK disfrazado de documento PDF para ejecutar “IAStorHelp.exe”. Actualmente no se sabe quién está detrás de la campaña, pero el nivel de sofisticación, el diseño modular y la disciplina operativa sugieren capacidades consistentes con los actores de amenazas avanzadas.

Una nueva campaña de malware está difundiendo simultáneamente un troyano de acceso remoto y un adware, lo que permite a los atacantes establecer un acceso persistente y obtener ganancias financieras. Se ha descubierto que el ataque aprovecha un cargador para entregar el troyano Gh0st RAT y el software publicitario CloverPlus, un software no deseado diseñado para instalar componentes publicitarios y cambiar el comportamiento del navegador, como páginas de inicio y anuncios emergentes, según Splunk.

En un nuevo análisis, Cisco Talos reveló que los delincuentes pueden eludir los controles de seguridad en Apple macOS reutilizando funciones nativas como Remote Application Scripting (RAS) para la ejecución remota y abusando de los metadatos de Spotlight (comentarios del Finder) para organizar cargas útiles de una manera que evade el análisis de archivos estáticos. “Debido a que Finder es programable a través de RAE, el comentario de un archivo en una máquina remota se puede configurar a través del protocolo “eppc://”. Al codificar en Base64 una carga útil localmente, se puede almacenar un script de varias líneas dentro de este campo de cadena única. El comando crear nuevo archivo maneja la creación del archivo de destino, asegurando que no se requiera ningún archivo preexistente”, dijo Talos. “La carga útil reside completamente dentro de los metadatos de Spotlight, una ubicación que permanece en gran medida sin ser examinada por las soluciones estándar de detección y respuesta de endpoints (EDR). Esto crea un área de preparación sigilosa donde el código malicioso puede persistir en el disco sin activar alertas asociadas con contenidos de archivos sospechosos”. Además, los atacantes pueden mover kits de herramientas y establecer persistencia utilizando protocolos integrados como SMB, Netcat, Git, TFTP y SNMP que operan completamente fuera de la visibilidad de la telemetría estándar basada en SSH. En algunos casos, los adversarios también pueden eludir las restricciones integradas utilizando Terminal como proxy para la ejecución, codificando cargas útiles en Base64 e implementándolas por etapas.

Un grupo de académicos ha lanzado un marco de código abierto pirateable, modular y configurable llamado Terrarium para estudiar y evaluar sistemas multiagente (MAS) descentralizados basados ​​en LLM. “A medida que las capacidades de los agentes progresan (por ejemplo, la llamada de herramientas) y su espacio de estado se expande (por ejemplo, Internet), los sistemas multiagente surgirán naturalmente en escenarios únicos e inesperados”, dijeron los investigadores, y agregaron que actúa como “un campo de juego aislado para estudiar el comportamiento, las vulnerabilidades y la seguridad de los agentes. Permite la personalización completa del protocolo de comunicación, el proxy de comunicación, el entorno, el uso de herramientas y los agentes”.

Según Reuters, la empresa de inteligencia artificial Clarifai dijo que eliminó 3 millones de fotos de perfil tomadas del sitio de citas OkCupid en 2014. Esto sigue a un acuerdo alcanzado el mes pasado entre la Comisión Federal de Comercio de EE. UU. (FTC) y Match Group, el propietario de OkCupid. Se dice que Clarifai certificó la eliminación de datos ante la FTC el 7 de abril de 2026 y eliminó todos los modelos que se entrenaron con los datos. La empresa también enfatizó que no había compartido los datos con terceros. La FTC abrió la investigación en 2019, después de que The New York Times informara que Clarifai había creado una base de datos de capacitación utilizando fotos de perfil de citas de OkCupid. El comportamiento fue una violación directa de la política de privacidad de OkCupid, aunque Clarifai no fue acusada de ningún delito.

VulnCheck dijo que está viendo una explotación activa de la cadena de ejecución remota de código Apache ActiveMQ Jolokia que une CVE-2026-34197 y CVE-2024-32114. “CVE-2024-32114 elimina por completo la autenticación del punto final Jolokia en las versiones ActiveMQ 6.0.0 a 6.1.1”, dijo Jacob Baines de VulnCheck. “Combinado con CVE-2026-34197, es un RCE sin credenciales”.

Ha habido un aumento en los correos electrónicos de phishing que utilizan líneas de asunto vacías como una forma de atraer a los usuarios para que hagan clic y abran el correo electrónico sin las señales de advertencia habituales. Conocida como phishing de asunto silencioso o de asunto nulo, la técnica está diseñada para explotar puntos ciegos en las defensas del correo electrónico, ya que permite que dichos correos electrónicos eludan los filtros de seguridad que se basan en el análisis de las líneas de asunto en busca de palabras clave específicas que pueden indicar un posible phishing o estafa. “Los correos electrónicos con asuntos vacíos evaden las sospechas de los usuarios al explotar la curiosidad humana”, dijo CyberProof. “El objetivo principal de una campaña de sujetos silenciosos es obtener acceso inicial a través de ingeniería social, lo que lleva a comprometer las credenciales, acceso no autorizado y posible movimiento lateral dentro de entornos específicos, centrándose especialmente en usuarios VIP o de alto valor”.

Una solución llave en mano con sede en Bielorrusia está ayudando a los operadores de granjas de SIM a respaldar el delito cibernético a escala industrial. Infrawatch dijo que identificó 87 instancias de paneles de control ProxySmart en 17 países que están vinculados a al menos 24 proveedores de proxy comerciales y 35 proveedores de telefonía celular. La presencia abarca 94 ubicaciones de granjas telefónicas, distribuidas en 19 estados de EE. UU., así como en países de Europa y América del Sur. ProxySmart proporciona una plataforma de extremo a extremo para operar y monetizar la infraestructura de proxy móvil, incluida la gestión de granjas, el control de dispositivos, el aprovisionamiento de clientes, las ventas minoristas de proxy y el manejo de pagos. Se puede acceder a él a través de un panel de control basado en web autohospedado por el operador de la granja. Los dispositivos en las granjas son teléfonos Android físicos o módems USB 4G/5G. Los teléfonos se inscriben a través de un paquete APK de Android no firmado descargado del sitio web de ProxySmart, con capacidad de envío y recepción de SMS incluida. Los módems se administran a través de ModemManager, una herramienta de administración de dongle USB de código abierto. El servicio ProxySmart está escrito en Python y ofuscado mediante PyArmour. “ProxySmart está asociado públicamente con una huella de proveedor con sede en Bielorrusia y ofrece una pila de extremo a extremo para operar y monetizar una granja física, incluida la gestión de dispositivos, la rotación automatizada de IP, el aprovisionamiento de clientes, la aplicación de planes y las contramedidas anti-bot”, dijo la compañía. “El análisis técnico indica que las capacidades del operador son consistentes con la habilitación de evasión a gran escala, incluida la rotación automatizada de IP, el control remoto de dispositivos y la suplantación de huellas dactilares de la red”. Las granjas de SIM permiten una variedad de actividades de delitos cibernéticos, como smishing, fraude con números de tarifa superior, registros de bots e interceptación de contraseñas de un solo uso. En respuesta a los hallazgos, ProxySmart cuestionó su caracterización como una granja de SIM, afirmando que es una “plataforma de gestión de proxy de ruta de datos” y que su infraestructura de proxy móvil “respalda una amplia gama de actividades comerciales y de investigación legítimas”, incluida la verificación de publicidad, la protección de marcas, el seguimiento de precios y la capacitación en modelos antifraude, entre otros.

Ofcom, el regulador independiente de comunicaciones del Reino Unido, ha iniciado una investigación sobre Telegram en virtud de la Ley de Seguridad en Línea del país para examinar si la plataforma se está utilizando para compartir material de abuso sexual infantil (CSAM) y está haciendo lo suficiente para combatir la amenaza. “Recibimos pruebas del Centro Canadiense para la Protección Infantil sobre la supuesta presencia y el intercambio de material de abuso sexual infantil en Telegram, y llevamos a cabo nuestra propia evaluación de la plataforma”, dijo Ofcom. “A la luz de esto, hemos decidido abrir una investigación para examinar si Telegram no ha cumplido o no cumple con sus deberes en relación con el contenido ilegal”. En una declaración compartida con The Record, Telegram dijo que “niega categóricamente las acusaciones de Ofcom”, y agregó que ha “prácticamente eliminado la propagación pública de CSAM en su plataforma a través de algoritmos de detección de clase mundial y la cooperación con ONG”. A principios de este año, Ofcom también inició una investigación sobre X para determinar si el servicio está tomando las medidas necesarias para eliminar contenido ilegal, incluidas imágenes íntimas no consentidas y CSAM.

La Unión Europea impuso sanciones a dos organizaciones prorrusas acusadas de difundir desinformación y apoyar las operaciones de influencia híbridas del Kremlin contra Europa y Ucrania. Las medidas están dirigidas a Euromore y a la Fundación para el apoyo y la protección de los derechos de los compatriotas residentes en el extranjero (Pravfond). La medida es parte del esfuerzo más amplio de la UE para contrarrestar la información rusa y las operaciones de influencia dirigidas a Europa desde el inicio de la invasión a gran escala de Ucrania por parte de Moscú en 2022. La UE ha impuesto sanciones a 69 personas y 19 entidades vinculadas a la guerra híbrida rusa.

Las autoridades ucranianas han desmantelado una granja de bots que supuestamente proporcionó miles de cuentas falsas de redes sociales a los servicios de inteligencia rusos para su uso en campañas de desinformación contra Ucrania. El presunto organizador de la red ha sido detenido en la ciudad norteña de Zhytomyr y cerca de 20.000 perfiles fraudulentos en línea que se utilizaban en operaciones de información han sido bloqueados. Se cree que el sospechoso vendió más de 3.000 cuentas falsas de Telegram cada mes a clientes rusos. Las cuentas se crearon utilizando números de teléfonos móviles ucranianos y luego se anunciaron en plataformas en línea utilizadas por actores prorrusos. Si es declarado culpable, el sospechoso enfrenta hasta seis años de prisión.

Más de 130.000 usuarios han descargado e instalado extensiones maliciosas de Chrome y Edge que, si bien ofrecen la funcionalidad prometida, también implementan seguimiento encubierto, capacidades de configuración remota y mecanismos de recopilación de datos. Las 12 extensiones se hicieron pasar por herramientas para descargar videos de TikTok y estaban disponibles a través de las tiendas oficiales de Chrome y Edge. La actividad ha recibido el nombre en código StealTok. Se ha descubierto que las extensiones utilizan la configuración remota para evitar la revisión de la tienda. “Más allá de las preocupaciones de privacidad, el uso de puntos finales de configuración remota introduce un riesgo de seguridad significativo, permitiendo cambios de comportamiento posteriores a la instalación que eluden los mecanismos de revisión del mercado”, dijo LayerX.

En una nueva campaña detectada por Sucuri, los actores de amenazas están colocando una nueva puerta trasera basada en PHP en sitios Joomla para inyectar spam de SEO. El script inyectado actúa como un cargador remoto para enviar información sobre el sitio web infectado y espera más instrucciones de un servidor controlado por el atacante. “Los atacantes inyectan código malicioso que silenciosamente entrega contenido spam a los visitantes y motores de búsqueda, todo sin que el propietario del sitio lo sepa”, dijo Sucuri. “El objetivo es simple: abusar de la reputación del sitio para dirigir el tráfico hacia los productos que el atacante quiere promocionar”.

Se ha promocionado un nuevo servicio llamado Leak Bazaar en el foro TierOne de habla rusa que pretende procesar datos robados de extorsión y ataques de ransomware y convertirlos en “algo más legible, más selectivo y preciso, y hacerlo comercializable para que la población general lo ingiera”. Lo anuncia un usuario llamado Snow, que se unió al foro el 3 de marzo de 2026. “Lo que Leak Bazaar realmente ofrece no es un DLS o datos o un sitio de fuga dedicado en el sentido convencional, sino una capa de servicio posterior a la filtración”, dijo Flare. “Se trata de tranquilizar tanto a proveedores como a compradores de que la plataforma puede resolver la parte más frustrante del robo de datos, que es que un gran porcentaje del material exfiltrado es demasiado ruidoso, demasiado desestructurado o demasiado engorroso para usarlo sin mano de obra adicional”.

GreyNoise ha revelado que un pequeño grupo de 21 direcciones IP ahora es responsable de generar casi la mitad de todo el tráfico de escaneo RDP en la Internet pública. Las direcciones están registradas a nombre de ColocaTel (AS213438), una empresa con sede en Seychelles. Según la firma de inteligencia de amenazas, la actividad de escaneo masivo de Internet ahora precede a las revelaciones de vulnerabilidades de los proveedores con más frecuencia que antes, con un 49% de los aumentos repentinos que llegan dentro de los 10 días posteriores a la divulgación y el 78% dentro de los 21 días. En un desarrollo relacionado, el investigador de seguridad Morgan Robertson reveló que casi tres cuartas partes de los servidores de administración de código fuente de Perforce P4 conectados a Internet están mal configurados y filtran código fuente y archivos confidenciales. “La configuración predeterminada de Perforce permite a los usuarios no autenticados crear cuentas, enumerar usuarios existentes, acceder a cuentas sin contraseña y, hasta la versión 2025.1, permitía sincronizar repositorios de forma remota; exponiendo potencialmente la propiedad intelectual en más de una docena de sectores, incluidos los juegos, la atención médica, la automoción, las finanzas y el gobierno”, dijo Robertson. “Se recomienda que todos los administradores de Perforce tomen medidas para garantizar el refuerzo de la seguridad, incluido el establecimiento de requisitos de autenticación más estrictos, la desactivación de la creación automática de cuentas y el aumento de los niveles de seguridad”.

Se han detectado varios equipos nuevos de hacktivistas, extorsión de datos y ransomware. Estos incluyen Harakat Ashab al-Yamin al-Islamia, World Leaks, Lamashtu, Payouts King, BravoX, Black Shrantac, NBLOCK, Ndm448, Chip, Ransoomed y Zollo.