Los actores de amenazas con vínculos con Irán irrumpieron con éxito en la cuenta de correo electrónico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotografías y otros documentos a Internet.

Handala Hack Team, que llevó a cabo la violación, dijo en su sitio web que Patel «ahora encontrará su nombre entre la lista de víctimas pirateadas con éxito». En una declaración compartida con Reuters, el FBI confirmado Los correos electrónicos de Patel habían sido atacados y señalaron que se habían tomado las medidas necesarias para «mitigar los riesgos potenciales asociados con esta actividad».

La agencia también dijo que los datos publicados eran «de naturaleza histórica y no involucran información gubernamental». La filtración incluye correos electrónicos de 2010 y 2019 supuestamente enviados por Patel.

Se considera que Handala Hack es una persona hacktivista pro-iraní y pro-palestina adoptada por el Ministerio de Inteligencia y Seguridad de Irán (MOÍS). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el grupo también opera otra persona llamada Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.

Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.

Los datos recopilados por StealthMole han reveló que la presencia en línea de Handala se extiende más allá de las plataformas de mensajería y foros sobre delitos cibernéticos como BreachForums para dar a conocer sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.

«Handala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acceso inicial», Check Point dicho en un informe publicado este mes. «A lo largo de los últimos meses, identificamos cientos de intentos de inicio de sesión y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala».

Se sabe que los ataques montados por el grupo de proxy aprovechan RDP para el movimiento lateral e inician operaciones destructivas al eliminar familias de malware de limpieza como Handala Wiper y Handala PowerShell Wiper a través de scripts de inicio de sesión de Política de grupo. También se utilizan utilidades legítimas de cifrado de discos como VeraCrypt para complicar los esfuerzos de recuperación.

«A diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala históricamente ha enfatizado la disrupción, el impacto psicológico y las señales geopolíticas», Flashpoint dicho. «Las operaciones atribuidas a la persona con frecuencia se alinean con períodos de elevada tensión geopolítica y, a menudo, apuntan a organizaciones con valor simbólico o estratégico».

El desarrollo viene en el contexto de la Conflicto Estados Unidos-Israel-Iránlo que llevó a Irán a lanzar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack crédito reclamado por paralizar las redes del proveedor de servicios y dispositivos médicos Stryker al eliminar una gran cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es el primero confirmado Operación destructiva de limpieza dirigida a una empresa estadounidense Fortune 500.

En una actualización publicada en su sitio web esta semana, Stryker dicho «El incidente está contenido», y agregó que «reaccionó rápidamente no sólo para recuperar el acceso sino también para eliminar a la parte no autorizada de nuestro entorno» desmantelando los mecanismos de persistencia instalados. El incumplimiento, afirmó, fue confinado a su entorno interno de Microsoft.

Se ha descubierto que los actores de amenazas utilizan un archivo malicioso para ejecutar comandos que les permitieron ocultar sus acciones. Sin embargo, el archivo no posee ninguna capacidad para propagarse a través de la red, señaló Stryker.

Unidad 42 de Palo Alto Networks dicho El vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la «explotación de la identidad mediante phishing y acceso administrativo». a través de Microsoft Intune.» Hudson Rock tiene encontró evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas a través de malware de robo de información pueden haberse utilizado para llevar a cabo el ataque.

A raíz de la infracción, ambos microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una guía sobre cómo fortalecer los dominios de Windows y fortalecer Intune para defenderse contra ataques similares. Esto incluye utilizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) resistente al phishing y habilitar la aprobación de múltiples administradores en Intune para cambios sensibles.

Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la cadena de suministro, ya que la actividad cibernética vinculada al estado dirigida a proveedores críticos y de logística puede tener impactos en cascada en todo el ecosistema de atención médica.

La filtración de Handala Hack de los correos electrónicos personales de Patel se produce en respuesta a una operación autorizada por el tribunal que condujo a la incautación de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos también ofreciendo una recompensa de 10 millones de dólares para obtener información sobre los miembros del grupo. Los nombres de los dominios incautados se enumeran a continuación:

• justiciapatria[.]organización
• hackear handala[.]a
• karmabelow80[.]organización
• handala-redwanted[.]a

«Los dominios incautados […] fueron utilizados por el MOIS para promover intentos de operaciones psicológicas dirigidas a adversarios del régimen al reclamar crédito por actividades de piratería, publicar datos confidenciales robados durante dichos ataques y pedir el asesinato de periodistas, disidentes del régimen y personas israelíes», dijo el Departamento de Justicia de EE.UU. (DoJ) dicho.

Esto incluía los nombres y la información confidencial de aproximadamente 190 personas asociadas o empleadas por las Fuerzas de Defensa de Israel (FDI) y/o el gobierno israelí, y 851 GB de datos confidenciales de miembros de la comunidad judía jasídica Sanzer. Además, una dirección de correo electrónico vinculada al grupo («handala_team@outlook[.]com») supuestamente se utilizó para enviar amenazas de muerte a disidentes y periodistas iraníes que viven en Estados Unidos y otros lugares.

En un aviso separado, el FBI reveló que Handala Hack y otros actores cibernéticos de MOIS han empleado tácticas de ingeniería social para interactuar con posibles víctimas en aplicaciones de mensajería social para entregar malware de Windows capaz de permitir el acceso remoto persistente utilizando un bot de Telegram al enmascarar la carga útil de la primera etapa como programas de uso común como Pictory, KeePass, Telegram o WhatsApp.

El uso de Telegram (u otros servicios legítimos) como C2 es una táctica común de los actores de amenazas para ocultar la actividad maliciosa entre el tráfico normal de la red y reducir significativamente la probabilidad de detección. Los artefactos de malware relacionados encontrados en dispositivos comprometidos han revelado capacidades adicionales para grabar audio y pantalla mientras una sesión de Zoom estaba activa. Los ataques han tenido como objetivo a disidentes, grupos de oposición y periodistas, según el FBI.

«Los ciberactores de MOIS son responsables de utilizar Telegram como infraestructura de comando y control (C2) para impulsar malware dirigido a disidentes iraníes, periodistas opuestos a Irán y otros grupos de oposición en todo el mundo», dijo la oficina. dicho. «Este malware resultó en la recopilación de inteligencia, fugas de datos y daños a la reputación de las partes objetivo».

Handala Hack tiene desde que resurgió en un dominio clearnet diferente, «handala-team[.]», donde describió las incautaciones de dominio como «intentos desesperados de Estados Unidos y sus aliados para silenciar la voz de Handala».

El conflicto en curso también tiene provocó nuevas advertencias que corre el riesgo de convertir a los operadores del sector de infraestructura crítica en objetivos lucrativos, incluso cuando ha desencadenado un aumento en ataques DDoS, desfiguraciones del sitio weby operaciones de pirateo y filtración contra Israel y Organizaciones occidentales. Las entidades hacktivistas también han comprometido en operaciones psicológicas y de influencia con el objetivo de sembrar miedo y confusión entre las poblaciones objetivo.

En las últimas semanas, se ha observado que un grupo cibercriminal relativamente nuevo llamado Nasir Security tiene como objetivo el sector energético en Medio Oriente. «El grupo está atacando a los proveedores de la cadena de suministro involucrados en ingeniería, seguridad y construcción», Resecurity dicho. «Los ataques a la cadena de suministro atribuidos a Nasir Security probablemente sean llevados a cabo por cibermercenarios o individuos contratados o patrocinados por Irán o sus representantes».

«La actividad cibernética vinculada a este conflicto se está volviendo cada vez más descentralizada y destructiva», dijo en un comunicado Kathryn Raines, líder del equipo de inteligencia de amenazas cibernéticas de National Security Solutions en Flashpoint.

«Grupos como Handala y Fatimion están apuntando a organizaciones del sector privado con ataques diseñados para borrar datos, interrumpir servicios e introducir incertidumbre tanto para las empresas como para el público. Al mismo tiempo, estamos viendo un mayor uso de herramientas administrativas legítimas en estas operaciones cibernéticas, lo que hace que sea mucho más difícil de detectar para los controles de seguridad tradicionales».

Eso no es todo. Los actores vinculados a MOIS se han involucrado cada vez más con el ecosistema de delitos cibernéticos para respaldar sus objetivos y brindar cobertura a su actividad maliciosa. Esto incluye la integración por parte de Handala del ladrón Rhadamanthys en sus operaciones y el uso por parte de MuddyWater de la botnet Tsundere (también conocida como Dindoor) y Fakeset, el último de los cuales es un descargador utilizado para entregar CastleLoader.

«Dicho compromiso ofrece una doble ventaja: mejora las capacidades operativas a través del acceso a herramientas criminales maduras y a una infraestructura resistente, al tiempo que complica la atribución y contribuye a la confusión recurrente en torno a la actividad de amenaza iraní», Check Point dicho.

«El uso de tales herramientas ha creado una confusión significativa, lo que lleva a atribuciones erróneas y pivotamientos defectuosos, y a agrupar actividades que no están necesariamente relacionadas. Esto demuestra que el uso de software criminal puede ser efectivo para la ofuscación y resalta la necesidad de extrema precaución al analizar grupos superpuestos».

Una falla de seguridad crítica recientemente revelada que afecta a Citrix NetScaler ADC y NetScaler Gateway está siendo testigo de una actividad de reconocimiento activa, según Cibernético desactivado y torre de vigilancia.

La vulnerabilidad, CVE-2026-3055 (Puntuación CVSS: 9,3), se refiere a un caso de validación de entrada insuficiente que provoca una sobrelectura de la memoria, que un atacante podría aprovechar para filtrar información potencialmente confidencial.

Según Citrix, la explotación exitosa de la falla depende de que el dispositivo esté configurado como proveedor de identidad SAML (SAML IDP).

«Ahora estamos observando la actividad de huellas dactilares del método de autenticación contra NetScaler ADC/Gateway en la naturaleza», dijo Defused Cyber ​​en una publicación en X. «Los atacantes están investigando /cgi/GetAuthMethods para enumerar los flujos de autenticación habilitados en nuestros honeypots Citrix».

Es probable que esto sea un intento por parte de los actores de amenazas de determinar si NetScaler ADC y NetScaler Gateway están realmente configurados como un IDP de SAML.

En una advertencia similar, watchTowr dijo que ha detectado un reconocimiento activo contra instancias de NetScaler en su red honeypot, lo que plantea la posibilidad de que la explotación en estado salvaje pueda ocurrir en cualquier momento.

«Las organizaciones que ejecutan versiones afectadas de Citrix NetScaler en configuraciones afectadas deben eliminar las herramientas y aplicar parches de inmediato», dijo la compañía. «Cuando el reconocimiento de los atacantes pase a la explotación activa, la ventana para responder se evaporará».

La vulnerabilidad afecta a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262.

En los últimos años, una serie de vulnerabilidades de seguridad que afectan a NetScaler han sido objeto de explotación activa en la naturaleza. Estos incluyen CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 y CVE-2025-7775.

Por lo tanto, es crucial que los usuarios accedan rápidamente a las últimas actualizaciones lo antes posible para mantenerse protegidos, ya que no se trata de si, sino de cuándo.

Punto de prueba tiene revelado detalles de una campaña de correo electrónico dirigida en la que actores de amenazas con vínculos con Rusia están aprovechando el kit de explotación DarkSword recientemente revelado para apuntar a dispositivos iOS.

La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido como TA446, que también es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.

El grupo de hackers es conocido por sus campañas de phishing dirigidas a recopilar credenciales de objetivos de interés. Sin embargo, los ataques organizados por el actor de amenazas durante el año pasado se dirigieron a las cuentas de WhatsApp de las víctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.

La última actividad, destacada por Punto de prueba y Malforsimplica el uso de correos electrónicos falsos de «invitación a discusión» que suplantan al Atlantic Council para facilitar la entrega de GHOSTBLADE, un malware de minería de datos, a través del kit de explotación DarkSword. Los correos electrónicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios de correo electrónico era Leonid Vólkovun destacado político de la oposición rusa y director político de la Fundación Anticorrupción.

Se dice que un análisis automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF señuelo benigno, probablemente debido al filtrado del lado del servidor implementado para llevar solo a los navegadores de iPhone al kit de exploits.

«No hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la adopción del kit de explotación DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS», dijo Proofpoint.

La firma de seguridad empresarial también señaló que el volumen de correos electrónicos del actor de amenazas ha sido «significativamente mayor» en las últimas dos semanas, y agregó que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a través de archivos ZIP protegidos con contraseña.

El uso de DarkSword por parte del grupo también ha sido corroborado por el hecho de que un cargador DarkSword subido a VirusTotal se ha encontrado que hace referencia a «escofiringbijou[.]com«, un dominio de segunda etapa atribuido al actor de la amenaza.

Un escaneo de URL[.]el resultado io tiene reveló que el dominio controlado por TA446 ha servido al kit de explotación DarkSword, incluido el redirector inicial, el cargador de explotación, la ejecución remota de código y los componentes de omisión del Código de autenticación de puntero (PAC). Sin embargo, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.

Se sospecha que el TA446 está reutilizando el kit de exploits DarkSword para la recolección de credenciales y de inteligencia, y Proofpoint señaló que el objetivo observado en la campaña de correo electrónico fue «mucho más amplio de lo habitual» e incluyó al gobierno, grupos de expertos, entidades de educación superior, financieras y legales.

Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas esté aprovechando la nueva capacidad que ofrece DarkSword como parte de una campaña oportunista contra un conjunto de objetivos más amplio.

El desarrollo se produce cuando Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar la actualización para bloquear la amenaza. Este paso inusual indica que la empresa lo está tratando como una amenaza lo suficientemente amplia que requiere la atención inmediata de los usuarios.

La advertencia de Apple también coincide con la filtración de una nueva versión de DarkSword en GitHub, lo que genera preocupaciones de que podrían democratizar el acceso a exploits de estados-nación, cambiando fundamentalmente el panorama de amenazas móviles.

Justin Albrecht, investigador principal de Lookout, dijo que la versión filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje avanzado de iOS, convirtiéndolo en malware básico.

«DarkSword refuta la creencia común de que los iPhone son inmunes a las amenazas cibernéticas y que los ataques móviles avanzados sólo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de alto rango», añadió Albrecht.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

• Indicadores relacionados con archivos –
  • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
  • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
• Indicadores relacionados con registros –
  • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
  • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
  • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
• Otros TTP observados incluyen:
  • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
  • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
  • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
    • /var/sam/www/webtop/renderer/apm_css.php3
    • /var/sam/www/webtop/renderer/full_wt.php3
    • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

El problema afecta a las siguientes versiones:

• 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
• 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
• 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
• 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».