Malware Fast16, lanzamiento de XChat, puerta trasera federal, seguimiento de empleados mediante IA y más

Todo vuelve a ser tonto. Esta semana se siente rota de una manera muy familiar. Los viejos trucos han vuelto. Las nuevas herramientas están haciendo cosas turbias. Las cadenas de suministro se vieron afectadas. Las mesas de ayuda falsas funcionaron. Una investigación extraña demostró lo fáciles que siguen siendo algunos ataques.

La mayor parte parece algo que deberíamos haber solucionado hace años. Malas extensiones. Créditos robados. Se está abusando de las herramientas remotas. El malware se esconde en lugares en los que la gente confía. El mismo desorden, embalaje más limpio.

El café está frío. La lista de vulnerabilidades es fea. Entremos en ello.

⚡ Amenaza de la semana

El nuevo malware fast16 se desarrolló años antes que Stuxnet—Un nuevo malware basado en Lua llamado fast16, creado años antes que el famoso gusano Stuxnet, está diseñado principalmente para atacar software de cálculo de alta precisión para alterar los resultados. El marco se remonta a 2005. El análisis sugiere que fast16 estuvo activo al menos cinco años antes de la aparición de Stuxnet. Ampliamente considerado como un proyecto conjunto entre Estados Unidos e Israel, Stuxnet marcó un punto de inflexión en la guerra cibernética como la primera arma digital disruptiva y eventualmente sirvió como modelo para el rootkit de robo de información Duqu. Fast16, sin embargo, establece un cronograma mucho más temprano para operaciones tan sofisticadas. El desarrollo sitúa su origen mucho antes de que Stuxnet naciera. Aunque actualmente no se sabe si alguna vez se implementó en la naturaleza, la investigación encontró tres tipos potenciales de software de simulación física que el malware podría haber sido diseñado para manipular. “Se centra en realizar ligeras modificaciones en estos cálculos para que conduzcan a fallos, muy sutiles, tal vez no inmediatamente evidentes”, dijo a WIRED el investigador de seguridad Vitaly Kamluk. “Los sistemas podrían desgastarse más rápido, colapsar o colapsar, y la investigación científica podría arrojar conclusiones incorrectas, lo que podría causar daños graves”.

🔔 Noticias destacadas

• UNC6692 Recurre a la suplantación de la mesa de ayuda de Teams—Un nuevo grupo de amenazas identificado como UNC6692 utiliza ingeniería social para implementar un nuevo paquete de malware personalizado llamado Snow, que consta de una extensión de navegador, un tunelizador y una puerta trasera. El objetivo final es robar datos confidenciales después de que la red se vea comprometida mediante el robo de credenciales y la adquisición de dominios. “Este componente es donde ocurre el reconocimiento activo y la finalización de la misión”, señaló Google Mandiant. “Los comandos del atacante (como whoami o net user) se envían a través del túnel SnowGlaze, son interceptados por la extensión SnowBelt y luego enviados al servidor local SnowBasin a través de solicitudes HTTP POST. SnowBasin ejecuta estos comandos y transmite los resultados a través del mismo canal al atacante”.
• Agencia federal de EE. UU. atacada por la puerta trasera FIRESTARTER—La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que el dispositivo Cisco Firepower de una agencia civil federal anónima que ejecuta el software Adaptive Security Appliance (ASA) se vio comprometido en septiembre de 2025 con un nuevo malware llamado FIRESTARTER. FIRESTARTER se considera una puerta trasera diseñada para acceso y control remotos. Se cree que se implementó como parte de una campaña “generalizada” orquestada por un actor de amenaza persistente avanzada (APT) para obtener acceso al firmware de Cisco Adaptive Security Appliance (ASA) mediante la explotación de fallas de seguridad ahora parcheadas, como CVE-2025-20333 y CVE-2025-20362. Dada la capacidad de la puerta trasera para sobrevivir a parches y reinicios del sistema, Cisco recomienda a los usuarios volver a crear imágenes y actualizarlas a las últimas versiones fijas.
• El malware Lotus Wiper apunta a los sistemas energéticos venezolanos—Un limpiador de datos previamente indocumentado con nombre en código Lotus Wiper se utilizó en ataques dirigidos al sector de energía y servicios públicos en Venezuela a finales del año pasado y principios de 2026. “Dos secuencias de comandos por lotes son responsables de iniciar la fase destructiva del ataque y preparar el entorno para ejecutar la carga útil final del limpiador”, dijo Kaspersky. “Estos scripts coordinan el inicio de la operación en toda la red, debilitan las defensas del sistema e interrumpen las operaciones normales antes de recuperar, desofuscar y ejecutar un limpiador previamente desconocido”. Una vez implementado, el limpiador borra los mecanismos de recuperación, sobrescribe el contenido de las unidades físicas y elimina sistemáticamente archivos en los volúmenes afectados, dejando efectivamente el sistema en un estado inoperable.
• The Gentlemen implementa el malware SystemBC—Se ha observado que los actores de amenazas asociados con la operación The Gentlemen ransomware-as-a-service (RaaS) intentan implementar un conocido malware proxy llamado SystemBC. El grupo de ransomware se ha hecho rápidamente un nombre en cuestión de meses, reclamando más de 320 víctimas en su sitio de filtración de datos desde su aparición en julio de 2025. Según Comparitech, el grupo reclamó 202 ataques el último trimestre, solo superado por los 353 de Qilin. NCC Group descubrió que The Gentlemen fue responsable de 34 ataques en enero y 67 en febrero de 2026, lo que lo convierte en un actor destacado junto con otros grupos establecidos como Qilin, Akira y Cl0p. “El surgimiento del grupo The Gentlemen entre los tres principales actores de amenazas más activos es notable ya que demuestra cómo un grupo relativamente nuevo puede escalar sus operaciones rápidamente”, dijo NCC Group. El desarrollo se produce cuando otro grupo de ransomware incipiente llamado Kyber ha atraído la atención por convertirse en el primer equipo de RaaS en adoptar el algoritmo de cifrado post-cuántico Kyber1024 (también conocido como ML-KEM) para su variante de casillero para Windows. En noticias relacionadas, se ha observado que los actores de amenazas vinculados al ransomware Trigona, denominado Rhantus, utilizan una herramienta de exfiltración de datos personalizada diseñada para brindar a los atacantes más control sobre qué archivos elegir (o ignorar) y facilitar la transferencia rápida de datos al abrir cinco conexiones paralelas por archivo. Los ataques se detectaron en marzo de 2026. No se sabe por qué los actores de la amenaza abandonaron herramientas fácilmente disponibles como Rclone. El uso de herramientas personalizadas en el panorama del ransomware es algo raro, aunque es un arma de doble filo para los atacantes. “Si bien requiere tiempo y recursos de desarrollo, estas herramientas pueden proporcionar un nivel de sigilo que las herramientas genéricas no pueden igualar, al menos hasta que sean descubiertas”, afirmó el equipo Symantec y Carbon Black Threat Hunter.
• CLI de Bitwarden comprometida en campaña de cadena de suministro—Bitwarden CLI, la interfaz de línea de comandos para el administrador de contraseñas Bitwarden, se vio comprometida como parte de un nuevo ataque a la cadena de suministro dirigido a las imágenes Docker de Checkmarx, las extensiones de Visual Studio Code y el flujo de trabajo de GitHub Actions. El paquete afectado, @bitwarden/cli@2026.4.0, contenía código malicioso para robar datos confidenciales de los sistemas de los desarrolladores. El malware también presenta capacidades de autopropagación, utilizando credenciales npm robadas para identificar paquetes que la víctima puede modificar e inyectarles código malicioso para ampliar su alcance. Desde entonces, Bitwarden ha abordado el problema. El ataque parece ser obra de un actor de amenazas conocido como TeamPCP, aunque las referencias a la cadena “Shai-Hulud: The Third Coming” tienen una atribución complicada.

🔥 CVE de tendencia

Los errores disminuyen semanalmente y la brecha entre un parche y un exploit se reduce rápidamente. Estos son los pesos pesados ​​de la semana: los de alta gravedad, los que se utilizan ampliamente o los que ya se están explorando en la naturaleza.

Consulte la lista, parchee lo que tiene y presione primero los marcados como urgentes: CVE-2026-40372 (Microsoft ASP.NET Core), CVE-2026-33626 (LMDeploy), CVE-2026-5760 (SGLang), CVE-2026-5752 (Cohere AI Terrarium), CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048 (Progress LoadMaster, ECS Connection Manager, Object Scale Connection Manager y MOVEit WAF), CVE-2026-21876 (Progress MOVEit WAF), CVE-2026-32173 (Agente SRE de Microsoft Azure), CVE-2026-25262 (Qualcomm), CVE-2025-24371 (CometBFT), CVE-2026-5754 (Radware Alteon), CVE-2026-40872 (Mailcow), CVE-2026-27654 (Nginx), CVE-2026-5756 (DRC INSIGHT), CVE-2026-5757 (Ollama), CVE-2026-41651 también conocido como Pack2TheRoot (Linux PackageKit), CVE-2026-33824 (Microsoft Windows IKEv2), CVE-2026-21571, CVE-2026-33871 (Atlassian Bamboo Data Center), CVE-2026-40050 (CrowdStrike LogScale), CVE-2026-32604, CVE-2026-32613 (Spinnaker), CVE-2026-33694 (Tenable Nessus Agent en Windows), TRA-2026-30 (muestras de controladores de Windows), TRA-2026-35 (Yuma AI) y una falla de ejecución remota de código en Slippi (sin CVE).

🎥 Seminarios web sobre ciberseguridad

• Deje de realizar pruebas, comience a validar: supere a los piratas informáticos con IA agente → Deje de adivinar qué brechas de seguridad son más importantes mientras los piratas informáticos usan la IA para encontrarlas por usted. La mayoría de las herramientas simplemente siguen una lista de verificación estática, pero la “Validación de exposición a agentes” en realidad piensa como un atacante y descubre rutas ocultas a su red que los análisis tradicionales pasan por alto. Únase a este seminario web para ver cómo los agentes autónomos de IA pueden probar sus defensas las 24 horas del día, los 7 días de la semana y ayudarlo a solucionar los riesgos que realmente importan antes de que sean explotados.
• Detenga la propagación: Cómo matar al “Paciente Cero” antes de que su red se caiga → Solo se necesita un “Paciente Cero” para derribar a toda su empresa. Mientras que las herramientas tradicionales buscan amenazas antiguas, los piratas informáticos modernos utilizan trucos basados ​​en inteligencia artificial para burlar sus defensas sin ser detectados. Únase a este seminario web para ver cómo funcionan estos nuevos ataques y aprender pasos sencillos de “Confianza Cero” para detener una infracción antes de que se propague. No espere a que llegue una crisis: aprenda cómo bloquear su red hoy.
• Conecte los puntos: detenga a los atacantes antes de que alcancen sus datos → Los piratas informáticos no solo buscan un gran error; están encadenando pequeños espacios ocultos en su código y en la nube para crear una ruta directa a sus datos. La mayoría de las herramientas de seguridad sólo ven estos problemas de forma aislada, dejándote ciego al “panorama general” que ve un atacante. Únase a este seminario web para aprender cómo mapear estas complejas rutas de ataque y solucionar los riesgos reales antes de que sean explotados.

📰 Alrededor del mundo cibernético

• Convertir la Web en una trampa para los LLM —Google ha revelado que las inyecciones inmediatas indirectas (IPI) son una máxima prioridad de seguridad, calificándolas de “vector de ataque principal para que los adversarios apunten y comprometan a los agentes de IA”. A diferencia de la inyección rápida regular que busca manipular un chatbot para que ejecute instrucciones maliciosas, IPI ocurre cuando un sistema de inteligencia artificial procesa contenido, como un sitio web, un correo electrónico o un documento, que contiene comandos nefastos. A medida que la IA procesa este contenido, puede terminar siguiendo las órdenes del atacante en lugar de la intención original del usuario. Esto se complica por el hecho de que los atacantes utilizan una serie de trucos para ocultar instrucciones maliciosas a los ojos humanos y al mismo tiempo mantenerlas completamente visibles para la IA. A menudo, esto implica hacer que el texto sea invisible a través de CSS, codificarlo en varios formatos o esconderlo en lugares inesperados. En al menos un escenario malicioso, Google marcó una serie de sitios web que intentan destrozar las máquinas de cualquiera que utilice asistentes de inteligencia artificial. Si se ejecutan, los comandos de este ejemplo intentarían eliminar todos los archivos en la máquina del usuario. Algunos sitios web incluyen inyecciones rápidas con fines de SEO, tratando de manipular a los asistentes de IA para que promocionen su negocio sobre otros. “Además, aunque la sofisticación era baja, observamos un aumento en las detecciones con el tiempo: vimos un aumento relativo del 32% en la categoría maliciosa entre noviembre de 2025 y febrero de 2026, repitiendo el escaneo en múltiples versiones del archivo (CommonCrawl)”, dijo Google. “Esta tendencia ascendente indica un creciente interés en los ataques IPI”.
• Meta estrena cuenta meta mejorada —Meta ha introducido una Meta Cuenta mejorada como una forma centralizada de iniciar sesión y administrar Meta aplicaciones y dispositivos como Facebook, Instagram y gafas AI. Además de agregar soporte para claves de acceso, Meta también permite a los usuarios “opcionalmente configurar una única contraseña para iniciar sesión en sus aplicaciones y dispositivos para que ya no tenga que recordar varias contraseñas”.
• X lanza XChat —X lanzó XChat como una aplicación independiente para iOS, que permite a los usuarios de la plataforma conectarse con otros para enviar mensajes, compartir archivos, hacer llamadas de audio y video, así como chats grupales. La compañía afirma que todos los mensajes están cifrados de extremo a extremo y protegidos con PIN, aunque los expertos en seguridad han cuestionado previamente las afirmaciones de cifrado de la compañía cuando se presentó una versión inicial el año pasado. La página de listado de aplicaciones de XChat muestra que puede recopilar ubicación, contactos, historial de búsqueda, datos de uso, identificadores y diagnósticos de dispositivos, y vincular esa información directamente a la identidad de un usuario.
• Metaplanes para rastrear los movimientos del mouse y las pulsaciones de teclas de los empleados para la capacitación del modelo de IA —Meta está instalando software de seguimiento en los sistemas de los empleados estadounidenses para capturar los movimientos del mouse, los clics y las pulsaciones de teclas, según un informe de Reuters. Meta dijo que los datos se utilizarán para entrenar sus modelos de inteligencia artificial (IA) y no para las revisiones de los empleados. En un desarrollo similar, GitHub notificó a los usuarios que la CLI de GitHub ahora recopila telemetría de uso anónima de forma predeterminada y que deben desactivar la función si no desean compartir dicha información.
• Aumento de los ataques que involucran instancias de Bomgar comprometidas —Huntress ha registrado un aumento en los incidentes que involucran instancias de administración y monitoreo remoto (RMM) de Bomgar comprometidas. “El aumento sigue a las olas intermitentes de explotación que hemos visto en los últimos dos meses, después de que BeyondTrust revelara por primera vez una falla de gravedad crítica (CVE-2026-1731) en Bomgar en febrero”, dijo la compañía. “El 6 de febrero de 2026, BeyondTrust publicó correcciones para la falla en Bomgar (rebautizada como BeyondTrust Remote Support), que podría ser explotada por un atacante no autenticado para ejecutar código de forma remota”. La causa raíz específica detrás de estos ataques no está clara, pero es probable que los incidentes se deban a la explotación de CVE-2026-1731. Fortra también ha detectado campañas de phishing que intentan atraer a las víctimas para que instalen la herramienta de administración y monitoreo remoto CentraStage de Datto, que los atacantes luego utilizan para conectarse nuevamente a la red interna de la víctima. Los hallazgos demuestran el cambio continuo de los actores de amenazas hacia la explotación de RMM en lugar de utilizar malware tradicional.
• Más de 1,2 mil servidores C2 vinculados a proveedores de infraestructura rusos —Un estudio a gran escala del espacio de alojamiento web ruso ha encontrado más de 1.250 servidores de comando y control maliciosos alojados dentro de Rusia este año. La mayoría de los servidores están vinculados a familias de malware y botnets de IoT, como Keitaro, Hajime, Cobalt Strike, Sliver, Mozi y Mirai, según Hunt.io.
• Tether congela 344 millones de dólares —Tether anunció que apoyó al gobierno de EE. UU. en la congelación de 344 millones de dólares en dos direcciones. “La congelación se ejecutó después de que se identificaron las direcciones, lo que impidió un mayor movimiento de fondos”, dijo la compañía. “La congelación sigue a la información compartida con Tether por varias autoridades estadounidenses sobre actividades vinculadas a conductas ilegales. Cuando se identifica que las billeteras están conectadas con la evasión de sanciones, redes criminales u otras actividades ilícitas, Tether puede actuar para restringir esos activos”. Según TRM Labs, las dos direcciones de billetera están asociadas con el Banco Central de Irán. Las billeteras recibieron aproximadamente 370 millones de dólares en aproximadamente 1.000 transacciones desde marzo de 2021. “Durante los últimos meses, la OFAC ha tomado medidas sin precedentes contra el uso de la infraestructura criptográfica por parte de Irán”, dijo Ari Redbord, director global de políticas de TRM Labs. “A medida que el régimen se apoya más en las criptomonedas para mover fondos fuera del sistema financiero de EE. UU., las autoridades y los reguladores de EE. UU. están trabajando estrechamente con iniciativas del sector privado como T3 para congelar y confiscar carteras asociadas a Irán. Este es exactamente el tipo de perturbación público-privada necesaria para enfrentarse a actores de estado-nación deshonestos como Irán”.
• Extensión maliciosa de Chrome se hace pasar por Google Authenticator —Una extensión maliciosa de Chrome que se hace pasar por la aplicación oficial Google Authenticator fue identificada en el mercado oficial de extensiones como parte de una campaña maliciosa en curso con nombre en código AIFrame, activa desde al menos principios de 2026. “La extensión parece utilizar el sistema de localización de Chrome y el código esqueleto para eludir las revisiones de seguridad”, dijo DomainTools. “A pesar de su apariencia funcional, solicita permisos amplios e innecesarios y contiene una ‘infraestructura inactiva’. Esta extensión está vinculada a al menos otras seis a través de un frente de desarrollador compartido, dos de los cuales ya llevan cargas útiles maliciosas en pleno funcionamiento. Estas extensiones utilizan iframes ocultos para inyectar contenido controlado por atacantes en cada página web, implementar muros de pago fraudulentos para servicios gratuitos y mantener comunicación bidireccional con servidores C2”.
• Los sitios de WordPress comprometidos impulsan esquemas ClickFix —Varios sitios web se han visto comprometidos por un secuestrador del portapapeles ClickFix que tiene como objetivo engañar a los usuarios para que peguen comandos maliciosos en el cuadro de diálogo Ejecutar de Windows o en la aplicación Terminal de macOS para entregar malware. Se evalúa que la cadena de eliminación comparte superposiciones con un conocido sistema de distribución de tráfico (TDS) llamado KongTuke.
• Se descubren nuevos kits de herramientas de phishing —Se han detectado varios nuevos kits de herramientas de phishing como servicio: OLUOMO, ATHR, VENOM, p1bot, TMoscow Bot, REFUNDEE y UPMI.

🔧 Herramientas de ciberseguridad

• Malfixer → Deja de perder horas reparando manualmente malware roto sólo para ver cómo funciona. Malfixer hace el trabajo pesado reconstruyendo automáticamente archivos corruptos o “compactados” para que estén listos para el análisis en segundos. Es una forma sencilla y eficaz de evitar los trucos que utilizan los piratas informáticos para ocultar su código, permitiéndole ir directamente a su investigación.
• SmokedMeat → La mayoría de los desarrolladores no tienen idea de cuántas herramientas y scripts “ocultos” están ocultos dentro de sus canales de compilación de software. Smokedmeat arroja luz sobre estas GitHub Actions olvidadas y herramientas de terceros al escanear rápidamente su entorno para mostrarle exactamente qué se está ejecutando. Es una forma sencilla de encontrar puertas traseras ocultas y riesgos de seguridad antes de que lo hagan los atacantes.

Descargo de responsabilidad: esto es estrictamente para investigación y aprendizaje. No ha pasado por una auditoría de seguridad formal, así que no lo dejes caer ciegamente en producción. Lea el código, primero divídalo en una zona de pruebas y asegúrese de que todo lo que esté haciendo se ajuste al lado correcto de la ley.

Conclusión

Mismo patrón, nuevo desorden. Primero parchea las cosas obvias. Comprueba los inicios de sesión extraños. Mire detenidamente las extensiones del navegador, las herramientas remotas y cualquier cosa que afecte su cadena de compilación. Los aburridos cheques son aburridos hasta que ahorran empujones.

Eso es todo por esta semana. Mantenga las copias de seguridad limpias, la MFA ajustada y su presupuesto de confianza bajo.