Tycoon 2FA, un importante kit y plataforma de phishing que permitió a ciberdelincuentes poco capacitados eludir la autenticación multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el miércoles por una coalición global de empresas de seguridad y organismos encargados de hacer cumplir la ley.

Microsoft, que lideró el esfuerzo junto con Europol y autoridades de seis países y 11 empresas u organizaciones de seguridad, dijo que confiscó 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas.

La plataforma, que surgió en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing que llegó a más de 500.000 organizaciones en todo el mundo cada mes, según Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electrónico y a los servicios en línea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.

«A mediados de 2025, Tycoon 2FA representó aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, incluidos más de 30 millones de correos electrónicos en un solo mes. Eso colocó a Tycoon 2FA entre las operaciones de phishing más grandes del mundo», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicación de blog sobre el derribo.

“A pesar de las amplias defensas, el servicio está vinculado a unas 96.000 víctimas de phishing distintas en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft”, añadió Masada.

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendió a ciberdelincuentes en Telegram y Signal por 350 dólares al mes. La plataforma proporcionó componentes centrales para el phishing en un único panel que permitió a los ciberdelincuentes configurar, rastrear y perfeccionar sus campañas.

La plataforma también proporcionó a los ciberdelincuentes plantillas prediseñadas, archivos adjuntos para señuelos de phishing comunes, configuración de dominio y alojamiento y lógica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanzó un máximo de más de 30 millones de mensajes en noviembre de 2025.

Las organizaciones de educación y atención médica fueron las más afectadas por los ataques de phishing habilitados por Tycoon 2FA. Más de 100 miembros de Salud-ISAC, co-demandante en el caso judicial presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con éxito, dijo Masada.

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a través de Tycoon 2FA, lo que resultó en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atención de los pacientes, añadió.

Microsoft y Health-ISAC presentaron una denuncia civil contra el presunto creador Saad Fridi y cuatro asociados anónimos, exigiendo una orden judicial de 10 millones de dólares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permitió a Microsoft desmantelar y tomar posesión de la infraestructura técnica de Tycoon 2FA.

Autoridades de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido ayudaron en la operación junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro.

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcionó un declaración formal en apoyo de la orden judicialdijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint.

«Tycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminución significativa después de esta operación», dijo a CyberScoop.

«Muchos clientes encontrarán que su herramienta de piratería ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se verá significativamente perjudicada, y los clientes comprarán un kit de phishing menos eficaz o potencialmente repensarán sus elecciones de vida y saldrán del juego», añadió Larson.

Las capacidades robustas y fáciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El código base de la plataforma se actualizaba periódicamente y los operadores generaban un gran volumen de subdominios durante breves períodos antes de abandonarlos y pasar a nuevos dominios.

Los investigadores dijeron que la rápida rotación y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campañas.

La eliminación de Tycoon 2FA se produce tras una reciente ola de medidas enérgicas contra los delitos cibernéticos, incluidas acciones contra Racoon0365 y la operación de robo de información Lumma Stealer, que infectó alrededor de 10 millones de sistemas.

¿Puede sobrevivir el anonimato en Internet en la era de la IA generativa?

Un reciente estudiar de ETH Zurich examinó cómo los modelos de lenguaje grandes pueden combinar información de Internet para identificar al ser humano detrás de las cuentas de varias plataformas en línea.

En el estudio, los agentes de LLM recibieron biografías anónimas basadas en perfiles reales de usuarios en HackerNews y Reddit, y se les pidió que buscaran en Internet más detalles en un esfuerzo por identificar a los usuarios. Si bien los resultados variaron, las herramientas pudieron reemplazar “en minutos lo que un investigador humano dedicado podría tardar horas”. Para un conjunto de datos de perfiles proporcionado por la empresa de inteligencia artificial Anthropic, que también participó en el estudio, el LLM pudo volver a identificar correctamente a 9 de los 125 candidatos, a menudo simplemente dándole un resumen del perfil y pidiendo que identificara al usuario.

Los modelos ajustados identificaron a más personas conectando la información existente a perfiles de redes sociales como LinkedIn.

«Demostramos que los LLM cambian fundamentalmente el panorama, permitiendo ataques de anonimización totalmente automatizados que operan en texto no estructurado a escala», concluye el estudio.

Daniel Paleka, estudiante de doctorado y uno de los varios autores del estudio, dijo a CyberScoop que los hallazgos indican que las herramientas de inteligencia artificial han facilitado sustancialmente la identificación de personas pseudoanónimas en línea.

«Si su seguridad operativa requiere que nadie pase horas o días investigando quién es usted, este modelo de seguridad ya no funciona», afirmó.

Una advertencia importante: las personas identificadas en el estudio no eran personas con un alto nivel de privacidad que buscaban limitar la difusión de su información personal en Internet. Por razones éticas, los investigadores no probaron sus métodos en carteles reales, anónimos o pseudoanónimos.

Ya se han utilizado herramientas de inteligencia artificial para desenmascarar a personas en línea. El mes pasado, Grok de xAI reveló el nombre legal y la dirección de una actriz de cine para adultos, a pesar de que la persona ha utilizado un nombre artístico desde 2012. La intérprete, dirigiéndose a grok directamente en X, dijo que su nombre legal solo se hizo público después de que la herramienta de IA la había «doxxed», y que desde entonces su información privada había «sido proliferada en todo Internet por otros raspadores de IA».

Si bien los analistas de inteligencia y aplicación de la ley han combinado durante mucho tiempo Internet y otros datos de código abierto para identificar a los usuarios, los LLM pueden hacerlo mucho más rápido y a un costo mucho menor. Las investigaciones que normalmente requerirían la contratación de un investigador privado o un bufete de abogados ahora se pueden realizar por una fracción del costo.

Por ejemplo, Paleka dijo que algunas tareas fundamentales, como rastrear la huella en línea de una persona para identificar cualquier signo de nacionalidad, ubicación o lugar de empleo, ahora pueden ser realizadas por LLM en “cinco segundos” y por unos centavos en costos de inferencia.

En un momento, Paleka dijo «Estoy muy preocupado» y describió las capacidades de desanonimización de los LLM como una «invasión de la privacidad a gran escala».

“En general, no creo que la IA deba limitar a sus usuarios… este es uno de esos casos en los que tu libertad termina cuando la libertad de la otra persona [begins]”, dijo.

El estudio indica que las herramientas de inteligencia artificial podrían remodelar la privacidad en línea, y que los gobiernos, las fuerzas del orden, la industria legal, los anunciantes, los estafadores y los ciberdelincuentes utilizan herramientas similares. En países represivos, podría presentar mayores desafíos a los disidentes, activistas de derechos humanos, periodistas y otras personas que dependen del anonimato o pseudoanonimato para operar de manera segura.

Jacob Hoffman-Andrews, tecnólogo senior de la Electronic Frontier Foundation, dijo que el estudio “indica definitivamente hasta qué punto publicar incluso una pequeña cantidad de información de identificación – en contextos donde no imaginas que alguien esté tratando de desenmascararte – podría resultar en que alguien vincule esa identidad de alguna manera” a través de LLM.

Publicar incluso detalles personales inofensivos, o en la misma cuenta durante un largo período de tiempo, puede facilitar que una herramienta de inteligencia artificial correlacione una cuenta con otras y, eventualmente, con su identidad real. Los modelos de lenguaje grandes destacan por resumir documentos e información. También «trabajan rápido y no se aburren», dijo Hoffman-Andrews, lo que los hace ideales para la investigación en Internet.

Paleka dijo que las empresas que brindan servicios de seguros o verificación de antecedentes probablemente tendrían un gran interés en la tecnología de anonimización, y Hoffman-Andrews dijo que era fácil imaginar que las empresas de inteligencia artificial intentaran convertir las capacidades en un producto independiente en algún momento.

Es probable que el impacto a largo plazo sea una Internet en la que permanecer en el anonimato sea, para bien o para mal, mucho más difícil.

«Creo que tiene mucho valor ser pseudoanónimo en Internet, y hay muchas personas que quieren mantener [that] por una amplia variedad de razones y no todos deberían necesitar ser expertos en cómo evitar un adversario realmente dedicado, como efectivamente lo es un LLM”, dijo Hoffman-Andrews.

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

Autoridades de 14 países cerrar LeakBaseconfiscó sus dominios y arrestó a varias personas presuntamente involucradas en el mercado del delito cibernético por datos robados y herramientas de piratería, dijo el miércoles el Departamento de Justicia.

LeakBase tenía más de 142.000 miembros, lo que lo sitúa entre los foros para ciberdelincuentes más grandes del mundo. El sitio, que estaba disponible en la web abierta, contenía un archivo masivo de bases de datos pirateadas que incluía cientos de millones de credenciales de cuentas, dijeron los funcionarios.

Según los funcionarios, las bases de datos robadas, que incluían datos de corporaciones e individuos estadounidenses, estaban vinculadas a muchos ataques de alto perfil. Los datos incautados por las autoridades revelaron un tesoro de números de tarjetas de crédito y débito, información de rutas y cuentas bancarias, credenciales para apropiaciones de cuentas, registros comerciales confidenciales e información de identificación personal.

«El FBI, Europol y agencias de aplicación de la ley de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios», dijo Brett Leatherman, subdirector de la división cibernética del FBI, en un comunicado.

Las agencias policiales involucradas en la operación de derribo coordinada globalmente, que comenzó el martes, ejecutaron órdenes de registro, realizaron arrestos y entrevistaron a personas en Estados Unidos, Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

Las autoridades no nombraron de inmediato a ningún sospechoso, pero parte de la actividad ocurrió en San Diego y Provo, Utah. Los funcionarios dijeron que las oficinas de campo del FBI en San Diego y Salt Lake City, que está investigando el caso, participaron en la operación a nivel nacional. El Departamento de Policía de Provo también estuvo involucrado.

“Ocultarse detrás de una pantalla no protege a los ciberdelincuentes de la responsabilidad”, afirmó en un comunicado Robert Bohls, agente especial a cargo de la oficina de campo del FBI en Salt Lake City.

Las autoridades identificaron a varios usuarios que creían que estaban operando de forma anónima al apoderarse de la base de datos del foro.

«Esta operación internacional demuestra la fuerza de nuestras alianzas globales y nuestro compromiso compartido para alterar las plataformas que facilitan el robo de datos y la victimización de personas y organizaciones inocentes en todo el mundo», añadió Bohls. «Juntos, continuaremos identificando, desmantelando y responsabilizando a quienes buscan sacar provecho del cibercrimen, sin importar dónde operen».

Europol, que organizó la operación coordinada en La Haya, describió a LeakBase como “uneje central en el ecosistema del cibercrimen» que se especializaba en bases de datos filtradas y registros de ladrones. El sitio en inglés, que ha estado activo desde 2021, contenía más de 32.000 publicaciones y más de 215.000 mensajes privados.

Las autoridades participaron colectivamente en alrededor de 100 acciones de cumplimiento a nivel mundial y tomaron medidas contra 37 de los usuarios más activos de la plataforma el martes, según Europol.

La fase de interrupción técnica comenzó el miércoles y el El sitio ahora muestra una página de incautación.. Funcionarios de Canadá, Alemania, Grecia, Kosovo, Malasia y Países Bajos también apoyan la investigación.

«Junto con nuestros socios, estamos enviando el mensaje de que ningún delincuente es verdaderamente anónimo en línea y eliminando un punto fácil de acceso a información robada sobre empresas e individuos estadounidenses», dijo Leatherman. «El FBI seguirá defendiendo la patria desmantelando los servicios clave que utilizan los ciberdelincuentes para facilitar sus ataques».

de nubeflare informe inaugural de inteligencia sobre amenazas identifica una serie de debilidades en la tecnología de la que los atacantes han abusado e industrializado en «fábricas de ataques» profesionales, dejando a la mayoría de las organizaciones sin preparación para responder.

Los atacantes están convirtiendo los mismos servicios que las víctimas implementan y pagan en herramientas para lanzar ataques a gran escala. Los investigadores dicen que la barrera de entrada ha desaparecido, ya que las identidades y los tokens permiten a los atacantes convertir en armas las brechas en los sistemas basados ​​en la nube.

Los entornos de las organizaciones están plagados de posibles puntos de entrada. A medida que se difunde el modelo de todo como servicio, los sistemas se vuelven más interconectados y dependientes unos de otros, y muchos componentes de software son accesibles de maneras que los hacen casi tan accesibles para los atacantes como para los usuarios legítimos.

«Cuando una de esas interconexiones falla, de repente todo sale mal», dijo a CyberScoop Blake Darché, jefe de la unidad de inteligencia de amenazas de Cloudflare, Cloudforce One.

«Los datos son más accesibles que nunca, lo cual es bueno en muchos casos, pero los actores de amenazas están utilizando ese fácil acceso a esos datos como una forma de explotar a las personas, los sistemas y las organizaciones», añadió. «Será cada vez más difícil. Creo que algunas de las herramientas de inteligencia artificial lo empeorarán aún más».

Los atacantes han convertido «el tejido conectivo de la empresa moderna en su principal vulnerabilidad», escribieron los investigadores en el informe.

Cloudflare espera que los atacantes exploten las plataformas de forma rutinaria como táctica estándar este año. Los ciberdelincuentes, los estados-nación y otros utilizan habitualmente recursos de la nube pública para mezclarse con el tráfico legítimo, proporcionar infraestructura para las operaciones y lanzar señuelos de phishing basados ​​en enlaces en correos electrónicos que eluden o eluden protecciones ineficaces, escribieron los investigadores en el informe.

Las debilidades en las fisuras de los entornos de nube complejos son abundantes y trascendentes, lo que permite que los ataques basados ​​en identidad logren el mismo resultado que el malware complejo o los exploits de día cero.

Estos puntos ciegos hacen que los barómetros tradicionales de peligro (la sofisticación demostrada de los atacantes a través de un código elegante o novedosos días cero) sean efectivamente triviales, escribieron los investigadores en el informe.

«Si usted es una empresa que acaba de perder un millón de registros, no importa si el autor de la amenaza era sofisticado, poco sofisticado o un niño», dijo Darché.

Cloudflare sostiene que la industria debería replantear la forma en que categoriza el riesgo y adoptar un enfoque más pragmático: centrarse en la “eficacia”, medida por la relación entre el esfuerzo de un atacante y el resultado operativo que logra.

«Resulta que no es necesario ser sofisticado para tener éxito», dijo Darché. «En la industria, estamos demasiado centrados en la sofisticación de las amenazas y probablemente ya no se trate de eso, y con el tiempo se volverá menos el nivel de sofisticación».

La ola de ataques de gran alcance que se originó en Salesloft Drift el verano pasado, que afectó a Cloudflare y a más de 700 empresas adicionales a través de la conexión del agente de IA externo con Salesforce, ejemplificó los riesgos que acechan en lugares inesperados de la cadena de suministro.

Las relaciones de confianza de las que dependen estos servicios interconectados deben examinarse más a fondo, afirmó Darché. «Usted, como propietario de los datos, ni siquiera sabe adónde van a parar sus datos y su exposición es casi infinita».

Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado La Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportado por primera vez por CABLEADO.

«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y omisiones de mitigación». de acuerdo a a GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».

Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.

Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho El kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

«La Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», iVerify dicho.

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.

Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.

En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter[.]com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que abastecían a equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.

Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000el último de los cuales es una falla de uso después de la liberación en WebKit.

Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.

La tercera vez que se detectó un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

En diciembre de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».

Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.

A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

El dilema del CISO: tiene el presupuesto para IA, pero ¿tiene los requisitos?

A medida que la IA se convierte en el motor central de la productividad empresarial, los líderes de seguridad finalmente obtienen luz verde (y el presupuesto) para asegurarla. Pero se está desarrollando una crisis silenciosa en la sala de juntas: muchas organizaciones saben que necesitan «gobernanza de la IA», pero no tienen idea de lo que realmente están buscando.

Sin una forma estructurada de evaluar el creciente mercado de soluciones de control de uso de IA (AUC), los equipos corren el riesgo de «invertir» en herramientas heredadas que nunca se crearon para la era de los flujos de trabajo agentes y las extensiones de navegador oculto.

un nuevo Guía RFP para evaluar soluciones de control de uso y gobernanza de IA ha sido lanzado para resolver este problema exacto. No es sólo una lista de verificación; es un marco técnico diseñado para ayudar a los arquitectos de seguridad y CISO a pasar de objetivos vagos de «seguridad de IA» a criterios de proyecto específicos y mensurables.

Detener la lucha contra la proliferación de aplicaciones; Comience a gobernar las interacciones

La sabiduría convencional dice que para proteger la IA, es necesario catalogar cada aplicación que tocan sus empleados. Esta es una batalla perdida. La Guía RFP aboga por un cambio contrario a la intuición: la seguridad de la IA no es un problema de «aplicaciones»; es un problema de interacción.

Si te concentras en la aplicación, siempre estarás poniéndote al día con las más de 500 nuevas herramientas basadas en GPT que se lanzan cada semana. Si te concentras en el interacción (es decir, en el momento en que se escribe un mensaje o se carga un archivo), usted obtiene un control independiente de las herramientas.

El beneficio para usted: Al utilizar esta RFP para exigir una «inspección a nivel de interacción», deja de ser un cuello de botella para la innovación y comienza a ser un guardián de los datos, independientemente de qué herramienta de «IA en la sombra» acaba de descubrir su equipo de marketing.

Por qué su pila de seguridad actual no pasa la prueba de IA

Muchos proveedores afirman que «hacen seguridad de IA» como una característica de casilla de verificación dentro de su CASB o SSE. La Guía RFP le ayuda a comprender este marketing. La mayoría de las herramientas heredadas dependen de la visibilidad de la capa de red, que no ve lo que sucede dentro de un panel del lado del navegador o un complemento IDE cifrado.

La Guía obliga a los proveedores a responder las preguntas difíciles:

• ¿Puedes detectar el uso de IA en modo incógnito?
• ¿Admite navegadores «nativos de IA» como Atlas, Dia o Comet?
• ¿Puedes distinguir entre una identidad corporativa y una personal en una misma sesión?

El beneficio para usted: Este enfoque estructurado evita el «lavado de funciones» al obligar a los proveedores a demostrar que pueden operar en el punto de interacción sin requerir agentes de punto final pesados ​​ni cambios disruptivos en la red.

Los ocho pilares de un proyecto maduro de gobernanza de la IA

La plantilla RFP proporciona un sistema de calificación técnica en ocho dominios críticos para garantizar que la solución elegida esté preparada para el futuro:

La gobernanza no es un documento de política. Son controles ejecutables y mensurables.

El objetivo de esta RFP no es sólo recopilar datos; es para calificarlo. La Guía incluye un formato de respuesta que requiere que los proveedores proporcionen algo más que un simple «Sí/No». Más bien, deben describir la cómo y proporcionar referencias.

Este nivel de estructura elimina las conjeturas en el ámbito de las adquisiciones. En lugar de un «sentimiento» subjetivo acerca de un proveedor, obtiene una comparación basada en puntajes de cómo manejan los riesgos del mundo real, como inyecciones rápidas y entornos BYOD no administrados.

Su próximo paso: defina sus requisitos antes de que el mercado los defina por usted

Utilice el Guía RFP para evaluar soluciones de control de uso de IA para tomar la iniciativa. Le ayudará a estandarizar su evaluación, acelerar su investigación y, en última instancia, permitir una adopción segura de la IA que crezca con el negocio.

Descargue la guía y la plantilla de RFP aquí para comenzar a construir su marco de gobernanza de IA hoy.

Los investigadores de ciberseguridad han marcado Paquetes PHP maliciosos de Packagist disfrazados de utilidades de Laravel que actúan como conducto para un troyano de acceso remoto (RAT) multiplataforma que funciona en sistemas Windows, macOS y Linux.

Los nombres de los paquetes se enumeran a continuación –

• nhattuanbl/lara-helper (37 Descargas)
• nhattuanbl/simple-queue (29 Descargas)
• nhattuanbl/lara-swagger (49 Descargas)

Según Socket, el paquete «nhattuanbl/lara-swagger» no incorpora directamente código malicioso, sino que enumera «nhattuanbl/lara-helper» como un Dependencia del compositorprovocando que instale el RAT. Los paquetes todavía están disponibles para descargar desde el registro de paquetes PHP.

Se ha descubierto que tanto lara-helper como simple-queue contienen un archivo PHP llamado «src/helper.php», que emplea una serie de trucos para complicar el análisis estático mediante el uso de técnicas como la ofuscación del flujo de control, la codificación de nombres de dominio, nombres de comandos y rutas de archivos, e identificadores aleatorios para nombres de variables y funciones.

«Una vez cargada, la carga útil se conecta a un servidor C2 en helper.leuleu[.]net:2096, envía datos de reconocimiento del sistema y espera comandos, dándole al operador acceso remoto completo al host», dijo el investigador de seguridad Kush Pandya.

Esto incluye el envío de información del sistema y el análisis de comandos recibidos del servidor C2 para su posterior ejecución en el host comprometido. La comunicación se produce a través de TCP utilizando PHP. flujo_socket_client(). La lista de comandos admitidos se encuentra a continuación:

• silbidopara enviar un latido automáticamente cada 60 segundos
• informaciónpara enviar datos de reconocimiento del sistema al servidor C2
• cmdpara ejecutar un comando de shell
• powershellpara ejecutar un comando de PowerShell
• correrpara ejecutar un comando de shell en segundo plano
• captura de pantallapara capturar la pantalla usando imagegrabscreen()
• descargarpara leer un archivo del disco
• subira un archivo en el disco y otorgarle permisos de lectura, escritura y ejecución a todos los usuarios
• deteneral enchufe y salir

«Para la ejecución del shell, RAT prueba las funciones deshabilitadas y elige el primer método disponible entre: popen, proc_open, exec, shell_exec, system, passthru», dijo Pandya. «Esto lo hace resistente a las configuraciones comunes de refuerzo de PHP».

Si bien el servidor C2 actualmente no responde, el RAT está configurado de manera que reintenta la conexión cada 15 segundos en un bucle persistente, lo que lo convierte en un riesgo para la seguridad. Se recomienda a los usuarios que hayan instalado los paquetes que asuman un compromiso, los eliminen, roten todos los secretos accesibles desde el entorno de la aplicación y auditen el tráfico saliente al servidor C2.

Además de los tres paquetes antes mencionados, el actor de amenazas detrás de la operación ha publicado otras tres bibliotecas («nhattuanbl/lara-media», «nhattuanbl/snooze» y «nhattuanbl/syslog») que están limpias, probablemente en un esfuerzo por generar credibilidad y engañar a los usuarios para que instalen los maliciosos.

«Cualquier aplicación Laravel que instale lara-helper o simple-queue ejecuta una RAT persistente. El actor de la amenaza tiene acceso completo al shell remoto, puede leer y escribir archivos arbitrarios y recibe un perfil de sistema continuo para cada host conectado», dijo Socket.

«Debido a que la activación ocurre en el inicio de la aplicación (a través del proveedor de servicios) o en las cargas automáticas de clases (a través de una cola simple), el RAT se ejecuta en el mismo proceso que la aplicación web con los mismos permisos del sistema de archivos y variables de entorno, incluidas las credenciales de la base de datos, las claves API y los contenidos .env».

Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Dragón plateado que se ha relacionado con ataques cibernéticos dirigidos a entidades en Europa y el sudeste asiático desde al menos mediados de 2024.

«Silver Dragon obtiene su acceso inicial explotando servidores de Internet públicos y enviando correos electrónicos de phishing que contienen archivos adjuntos maliciosos», Check Point dicho en un informe técnico. «Para mantener la persistencia, el grupo secuestra servicios legítimos de Windows, lo que permite que los procesos de malware se mezclen con la actividad normal del sistema».

Se estima que Silver Dragon opera dentro del marco de APT41. APT41 es el criptonimo asignado a un prolífico grupo de hackers chino conocido por su objetivo de ciberespionaje en los sectores de salud, telecomunicaciones, alta tecnología, educación, servicios de viajes y medios de comunicación ya en 2012. También se cree que participa en actividades con motivación financiera potencialmente fuera del control estatal.

Se ha descubierto que los ataques organizados por Silver Dragon apuntan principalmente a entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los hosts comprometidos. También se sabe que emplea técnicas como el túnel DNS para la comunicación de comando y control (C2) para evitar la detección.

Check Point dijo que identificó tres cadenas de infección diferentes para entregar Cobalt Strike: Secuestro de dominio de aplicaciónDLL de servicio y phishing basado en correo electrónico.

«Las dos primeras cadenas de infección, el secuestro de AppDomain y el Service DLL, muestran una clara superposición operativa», dijo la empresa de ciberseguridad. «Ambas se entregan a través de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En varios casos, estas cadenas se implementaron tras el compromiso de servidores vulnerables expuestos públicamente».

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo utiliza para colocar MonikerLoader, un cargador basado en NET responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda etapa, por su parte, imita el comportamiento de MonikerLoader, actuando como un conducto para cargar la carga útil final de la baliza Cobalt Strike.

Por otro lado, la cadena de DLL del servicio utiliza un script por lotes para entregar un cargador de DLL de código shell denominado BamboLoader, que está registrado como un servicio de Windows. Es un malware C++ muy ofuscado que se utiliza para descifrar y descomprimir el código shell almacenado en el disco e inyectarlo en un proceso legítimo de Windows, como «taskhost.exe». El binario destinado a la inyección se puede configurar dentro de BamboLoader.

La tercera cadena de infección implica una campaña de phishing dirigida principalmente a Uzbekistán con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado está diseñado para iniciar código PowerShell mediante «cmd.exe», lo que lleva a la extracción y ejecución de cargas útiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:

• documento señuelo
• Ejecutable legítimo vulnerable a la carga lateral de DLL («GameHook.exe»)
• DLL maliciosa también conocida como BamboLoader («graphics-hook-filter64.dll»)
• Carga útil cifrada de Cobalt Strike («simhei.dat»)

Como parte de esta campaña, el documento señuelo se muestra a la víctima, mientras que, en segundo plano, la DLL maliciosa se descarga a través de «GameHook.exe» para finalmente iniciar Cobalt Strike. Los ataques también se caracterizan por el despliegue de diversas herramientas posteriores a la explotación:

• Pantalla plateadauna herramienta de monitoreo de pantalla .NET utilizada para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor.
• SSHcmduna utilidad SSH de línea de comandos .NET que proporciona ejecución remota de comandos y capacidades de transferencia de archivos a través de SSH.
• Puerta de engranajesuna puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.

Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por el atacante y carga un archivo de latido que contiene información básica del sistema. Curiosamente, la puerta trasera utiliza diferentes extensiones de archivo para indicar la naturaleza de la tarea a realizar en el host infectado. Los resultados de la ejecución de la tarea se capturan y cargan en Drive.

• *.pngpara enviar archivos de latidos.
• *.pdfpara recibir y ejecutar comandos, enumerar el contenido de un directorio, crear un nuevo directorio y eliminar todos los archivos dentro de un directorio específico. Los resultados de la operación se envían al servidor en forma de archivo *.db.
• *.taxipara recibir y ejecutar comandos para recopilar información del host y una lista de procesos en ejecución, enumerar archivos y directorios, ejecutar comandos a través de «cmd.exe» o tareas programadas, cargar archivos en Google Drive y finalizar el implante. El estado de ejecución se carga como un archivo .bak.
• *.rarpara recibir y ejecutar cargas útiles. Si el archivo RAR se llama «wiatrace.bak», la puerta trasera lo trata como un paquete de actualización automática. Los resultados se cargan como archivos .bak.
• *.7zpara recibir y ejecutar complementos en la memoria. Los resultados se cargan como archivos .bak.

Los vínculos de Silver Dragon con APT41 se derivan de superposiciones comerciales con scripts de instalación posteriores a la explotación anteriores. atribuido a este último y el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode vinculados a la actividad APT del nexo con China.

«El grupo evoluciona continuamente sus herramientas y técnicas, probando e implementando activamente nuevas capacidades en diferentes campañas», dijo Check Point. «El uso de diversos exploits de vulnerabilidad, cargadores personalizados y comunicación C2 sofisticada basada en archivos refleja un grupo de amenazas adaptable y con buenos recursos».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.