Una vulnerabilidad previamente desconocida en OpenAI ChatGPT permitió que se filtraran datos confidenciales de conversaciones sin el conocimiento o consentimiento del usuario, según nuevos hallazgos de Check Point.

«Un solo aviso malicioso podría convertir una conversación ordinaria en un canal de exfiltración encubierto, filtrando mensajes de usuarios, archivos cargados y otro contenido sensible», dijo la empresa de ciberseguridad. dicho en un informe publicado hoy. «Un GPT con puerta trasera podría abusar de la misma debilidad para obtener acceso a los datos del usuario sin el conocimiento o el consentimiento del usuario».

Tras una divulgación responsable, OpenAI abordó el problema el 20 de febrero de 2026. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.

Si bien ChatGPT está construido con varias barreras de seguridad para evitar el intercambio o generación de datos no autorizados. solicitudes de red salientes directasla vulnerabilidad recientemente descubierta elude por completo estas salvaguardas al explotar un canal lateral que se origina en el tiempo de ejecución de Linux utilizado por el agente de inteligencia artificial (IA) para la ejecución de código y el análisis de datos.

Específicamente, abusa de una ruta de comunicación oculta basada en DNS como un «mecanismo de transporte encubierto» al codificar información en solicitudes de DNS para sortear las barreras de seguridad visibles de la IA. Es más, la misma ruta de comunicación oculta podría usarse para establecer un acceso remoto al shell dentro del tiempo de ejecución de Linux y lograr la ejecución de comandos.

En ausencia de cualquier advertencia o diálogo de aprobación del usuario, la vulnerabilidad crea un punto ciego de seguridad, y el sistema de inteligencia artificial supone que el entorno estaba aislado.

Como ejemplo ilustrativo, un atacante podría convencer a un usuario de que pegue un mensaje malicioso haciéndolo pasar como una forma de desbloquear capacidades premium de forma gratuita o mejorar el rendimiento de ChatGPT. La amenaza se magnifica cuando la técnica está integrada dentro de GPT personalizados, ya que la lógica maliciosa podría incorporarse en lugar de engañar al usuario para que pegue un mensaje especialmente diseñado.

«Lo más importante es que, debido a que el modelo operaba bajo el supuesto de que este entorno no podía enviar datos directamente, no reconocía ese comportamiento como una transferencia de datos externa que requería resistencia o mediación del usuario», explicó Check Point. «Como resultado, la filtración no generó advertencias sobre los datos que salían de la conversación, no requirió confirmación explícita del usuario y permaneció en gran medida invisible desde la perspectiva del usuario».

Con herramientas como ChatGPT cada vez más integradas en entornos empresariales y usuarios cargando información muy personal, vulnerabilidades como estas subrayan la necesidad de que las organizaciones implementen su propia capa de seguridad para contrarrestar las inyecciones rápidas y otros comportamientos inesperados en los sistemas de IA.

«Esta investigación refuerza una dura verdad para la era de la IA: no asuma que las herramientas de IA son seguras por defecto», dijo Eli Smadja, jefe de investigación de Check Point Research, en un comunicado compartido con The Hacker News.

«A medida que las plataformas de IA evolucionan hacia entornos informáticos completos que manejan nuestros datos más confidenciales, los controles de seguridad nativos ya no son suficientes por sí solos. Las organizaciones necesitan visibilidad independiente y protección en capas entre ellas y los proveedores de IA. Así es como avanzamos de manera segura: repensando la arquitectura de seguridad para la IA, sin reaccionar al siguiente incidente».

El desarrollo se produce cuando se ha observado que los actores de amenazas publican extensiones de navegador web (o actualizan las existentes) que participan en la dudosa práctica de caza furtiva rápida para desviar silenciosamente conversaciones de chatbot de IA sin el consentimiento del usuario, destacando cómo complementos aparentemente inofensivos podrían convertirse en un canal para la filtración de datos.

«Casi no hace falta decir que estos complementos abren las puertas a varios riesgos, incluido el robo de identidad, campañas de phishing dirigidas y la venta de datos confidenciales en foros clandestinos», dijo el investigador de Expel, Ben Nahorney. dicho. «En el caso de organizaciones donde los empleados pueden haber instalado estas extensiones sin saberlo, es posible que hayan expuesto propiedad intelectual, datos de clientes u otra información confidencial».

La vulnerabilidad de inyección de comandos en OpenAI Codex lleva a un compromiso del token de GitHub

Los hallazgos también coinciden con el descubrimiento de una vulnerabilidad crítica de inyección de comandos en OpenAI. Códiceun agente de ingeniería de software basado en la nube, que podría haber sido aprovechado para robar datos de credenciales de GitHub y, en última instancia, comprometer a varios usuarios que interactúan con un repositorio compartido.

«La vulnerabilidad existe dentro de la solicitud HTTP de creación de tareas, que permite a un atacante contrabandear comandos arbitrarios a través del parámetro de nombre de rama de GitHub», dijo el investigador de BeyondTrust Phantom Labs, Tyler Jespersen. dicho en un informe compartido con The Hacker News. «Esto puede resultar en el robo del token de acceso de usuario de GitHub de la víctima, el mismo token que Codex usa para autenticarse con GitHub».

El problema, según BeyondTrust, se debe a una limpieza inadecuada de la entrada al procesar nombres de ramas de GitHub durante la ejecución de tareas en la nube. Debido a esta insuficiencia, un atacante podría inyectar comandos arbitrarios a través del parámetro de nombre de rama en una solicitud HTTPS POST a la API del Codex backend, ejecutar cargas útiles maliciosas dentro del contenedor del agente y recuperar tokens de autenticación confidenciales.

«Esto otorgó movimiento lateral y acceso de lectura/escritura a todo el código base de la víctima», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust. dicho en una publicación en X. OpenAI lo parchó a partir del 5 de febrero de 2026, después de que se informara el 16 de diciembre de 2025. La vulnerabilidad afecta al sitio web ChatGPT, Codex CLI, Codex SDK y la extensión Codex IDE.

El proveedor de ciberseguridad dijo que la técnica de inyección de comandos de rama también podría extenderse para robar tokens de acceso de instalación de GitHub y ejecutar comandos bash en el contenedor de revisión de código cada vez que se haga referencia a @codex en GitHub.

«Con la rama maliciosa configurada, hicimos referencia a Codex en un comentario sobre una solicitud de extracción (PR)», explicó. «Codex luego inició un contenedor de revisión de código y creó una tarea en nuestro repositorio y sucursal, ejecutando nuestra carga útil y reenviando la respuesta a nuestro servidor externo».

La investigación también destaca un riesgo creciente de que el acceso privilegiado otorgado a los agentes de codificación de IA pueda usarse como arma para proporcionar una «ruta de ataque escalable» a los sistemas empresariales sin activar los controles de seguridad tradicionales.

«A medida que los agentes de IA se integran más profundamente en los flujos de trabajo de los desarrolladores, la seguridad de los contenedores en los que se ejecutan (y la entrada que consumen) debe tratarse con el mismo rigor que cualquier otro límite de seguridad de la aplicación», dijo BeyondTrust. «La superficie de ataque se está expandiendo y la seguridad de estos entornos debe seguir el ritmo».

Una nueva campaña de robo de credenciales basada en malware, que los investigadores denominan «DeepLoad», ha estado infectando entornos de TI empresariales en el pasado.

en un informe publicado el lunes, los investigadores de IA de ReliaQuest, Thassanai McCabe y Andrew Currie, dicen que la característica más relevante de este ataque es la forma en que utiliza la inteligencia artificial y otras ingenierías “para derrotar los controles en los que confían la mayoría de las organizaciones, convirtiendo la acción de un usuario en un acceso persistente y de robo de credenciales”.

DeepLoad se entrega a las víctimas mediante técnicas de ingeniería social «QuickFix», como mensajes falsos del navegador o páginas de error. Si el usuario cae en la trampa, los desarrolladores de malware (o más probablemente sus herramientas de inteligencia artificial) se esfuerzan mucho en crear evasión de la tecnología de seguridad «en cada etapa» de la cadena de ataque.

El cargador «entierra el código funcional bajo miles de asignaciones de variables sin sentido» y la carga útil se ejecuta detrás de un proceso de pantalla de bloqueo de Windows que es «pasado por alto por las herramientas de seguridad» que monitorean las amenazas. ReliaQuest dijo que «el gran volumen» de relleno de código probablemente descarta la participación únicamente humana.

«Evaluamos con gran confianza que se utilizó IA para construir esta capa de ofuscación», escriben McCabe y Currie. «Si es así, las organizaciones deberían esperar actualizaciones frecuentes del malware y menos tiempo para adaptar la cobertura de detección entre oleadas».

DeepLoad puede robar credenciales mediante el registro de teclas en tiempo real, e incluso si los equipos de seguridad bloquean el cargador inicial, pudo persistir a través de contingencias de respaldo.

«En los incidentes que investigamos, el cargador se propagó a las unidades USB conectadas, lo que significa que es poco probable que el host inicial sea el único sistema afectado», escribieron McCabe y Currie. «Incluso después de la limpieza, un mecanismo de persistencia oculto no abordado por los flujos de trabajo de remediación estándar volvió a ejecutar el ataque tres días después».

La investigación de ReliaQuest ofrece más evidencia de que durante el año pasado, algunas prácticas tradicionales de ciberseguridad estática, como la búsqueda de firmas de malware o patrones basados ​​en archivos, pueden volverse obsoletas rápidamente, ya que los modelos de IA pueden generar infinitas variaciones de herramientas de ataque con firmas únicas.

Otras organizaciones como Google y Anthropic han estado haciendo sonar la alarma de que los ciberataques mejorados por IA están reduciendo drásticamente el tiempo que los defensores deben responder a un compromiso.

En la Conferencia RSA celebrada este año en San Francisco, los expertos dijeron a CyberScoop que los próximos dos años serán una “tormenta perfecta” que favorecerá las ofensivas impulsadas por la IA, en la que los ciberdelincuentes y los Estados-nación adaptarán más rápidamente la tecnología para añadir mayor velocidad y escala a sus ataques que sus homólogos defensivos.

McCabe y Currie dicen que el probable uso continuo de la IA para frustrar el seguimiento del análisis estático significa que los defensores tendrán que cambiar su atención hacia otros indicadores de compromiso.

«Según lo que hemos observado, las organizaciones deben priorizar la detección de comportamiento en tiempo de ejecución, no el escaneo basado en archivos, para detectar esta campaña (y otras similares) temprano», escribieron.

Una nueva campaña ha aprovechado la táctica de ingeniería social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda.

«Es probable que utilice ofuscación asistida por IA e inyección de procesos para evadir el escaneo estático, mientras que el robo de credenciales comienza inmediatamente y captura contraseñas y sesiones incluso si el cargador principal está bloqueado», afirman los investigadores de ReliaQuest Thassanai McCabe y Andrew Currie. dicho en un informe compartido con The Hacker News.

El punto de partida de la cadena de ataque es un señuelo ClickFix que engaña a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de diálogo Ejecutar de Windows con el pretexto de abordar un problema inexistente. Este, a su vez, utiliza «mshta.exe», una utilidad legítima de Windows para descargar y ejecutar un cargador PowerShell ofuscado.

Se ha descubierto que el cargador, por su parte, oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de engañar a las herramientas de seguridad. Se evalúa que los actores de amenazas confiaron en una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscación.

DeepLoad hace esfuerzos deliberados para integrarse con la actividad habitual de Windows y pasar desapercibido. Esto incluye ocultar la carga útil dentro de un ejecutable llamado «LockAppHost.exe», un proceso legítimo de Windows que administra la pantalla de bloqueo.

Además, el malware oculta sus propias huellas al desactivar el historial de comandos de PowerShell e invocar directamente las funciones principales nativas de Windows en lugar de depender de los comandos integrados de PowerShell para iniciar procesos y modificar la memoria. Al hacerlo, evita los ganchos de monitoreo comunes que controlan la actividad basada en PowerShell.

«Para evadir la detección basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la característica incorporada de PowerShell Add-Type, que compila y ejecuta código escrito en C#», dijo ReliaQuest. «Esto produce un archivo temporal de biblioteca de vínculos dinámicos (DLL) que se coloca en el directorio Temp del usuario».

Esto ofrece una manera para que el malware eluda las detecciones basadas en nombres de archivos, ya que la DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.

Otra táctica de evasión de defensa notable adoptada por DeepLoad es el uso de inyección de llamada a procedimiento asincrónico (APC) para ejecutar la carga útil principal dentro de un proceso confiable de Windows sin una carga útil decodificada escrita en el disco después de iniciar el proceso de destino en un estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecución del proceso.

DeepLoad está diseñado para facilitar el robo de credenciales extrayendo las contraseñas del navegador del host. También elimina una extensión de navegador maliciosa que intercepta las credenciales a medida que se ingresan en las páginas de inicio de sesión y persiste en las sesiones de los usuarios a menos que se elimine explícitamente.

Una característica más peligrosa del malware es su capacidad de detectar automáticamente cuando se conectan dispositivos de medios extraíbles, como unidades USB, y copiar los archivos con malware usando nombres como «ChromeSetup.lnk», «Firefox Installer.lnk» y «AnyDesk.lnk» para desencadenar la infección una vez que se hace doble clic.

«DeepLoad utilizó el Instrumental de administración de Windows (WMI) para reinfectar un host ‘limpio’ tres días después sin acción del usuario ni interacción del atacante», explicó ReliaQuest. «WMI cumplió dos propósitos: rompió las cadenas de procesos padre-hijo para las cuales la mayoría de las reglas de detección están diseñadas para detectar, y creó una suscripción de evento WMI que silenciosamente volvió a ejecutar el ataque más tarde».

Al parecer, el objetivo es implementar malware multipropósito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y eludir la detección mediante controles de seguridad al evitar escribir artefactos en el disco, mezclarse con los procesos de Windows y propagarse rápidamente a otras máquinas.

La divulgación viene como G DATA detallado otro cargador de malware denominado Kiss Loader que se distribuye a través de archivos de acceso directo a Internet (URL) de Windows adjuntos a correos electrónicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para ofrecer un acceso directo secundario que se hace pasar por un documento PDF.

Una vez ejecutado, el acceso directo inicia un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF señuelo, configura la persistencia en la carpeta Inicio y descarga el Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, usando inyección APC.

Actualmente no se sabe qué tan extendidos están los ataques que implementan Kiss Loader y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detrás del cargador afirma ser de Malawi.

¿Qué es lo que realmente está frenando el Nivel 1: la amenaza misma o el proceso que la rodea? En muchos SOC, los mayores retrasos no se deben únicamente a la amenaza. Provienen de flujos de trabajo fragmentados, pasos de clasificación manual y visibilidad limitada al principio de la investigación. Corregir esas brechas en los procesos puede ayudar al Nivel 1 a avanzar más rápido, reducir escalaciones innecesarias y mejorar la forma en que todo el SOC responde bajo presión.

Aquí hay tres correcciones de procesos que pueden ayudar a desbloquear un rendimiento de Nivel 1 más sólido.

Proceso #1: Reemplazar el cambio de herramientas con un flujo de trabajo de investigación multiplataforma

El problema: El nivel 1 a menudo pierde tiempo moviéndose entre diferentes herramientas, interfaces y procesos para investigar actividades sospechosas en todos los sistemas operativos. Lo que comienza como una alerta puede convertirse rápidamente en un flujo de trabajo fragmentado.

Por qué perjudica la productividad: El cambio constante de herramientas ralentiza la clasificación, interrumpe el enfoque de la investigación y dificulta la creación de una imagen clara de lo que está sucediendo. También aumenta la posibilidad de perder el contexto, especialmente cuando la actividad sospechosa involucra más de un entorno o no encaja perfectamente en un proceso de Windows.

La solución: Reemplace los pasos de investigación fragmentados con un flujo de trabajo unificado para el análisis de URL y archivos sospechosos en todos los sistemas operativos. En lugar de enviar al Nivel 1 a través de herramientas y procesos separados para cada entorno, bríndeles un lugar para observar el comportamiento, recopilar evidencia y tomar decisiones. Esto reduce la fricción en la clasificación diaria y mantiene las investigaciones consistentes en Windows, macOS, Linux y Android.

Sandbox de ANY.RUN que admite 4 sistemas operativos principales

Esto es aún más importante a medida que macOS se convierte en una parte cada vez más importante de los entornos empresariales y los atacantes continúan expandiéndose más allá de las campañas tradicionales centradas en Windows. Los equipos de seguridad necesitan la capacidad de investigar amenazas relacionadas con macOS sin interrumpir su flujo de trabajo. Con ANY.RUN sandbox, Tier 1 puede analizar la actividad en macOS, Windows, Linux y Android en un solo lugar, reduciendo los puntos ciegos y acelerando las decisiones en las primeras etapas.

Consulte el ejemplo del mundo real: Miolab Stealer analizado en entorno macOS

Ladrón de Miolab analizado dentro del sandbox de ANY.RUN

Esta sesión de Miolab Stealer muestra por qué la visibilidad multiplataforma es importante en la clasificación moderna. La muestra imita un mensaje de autenticación legítimo de macOS, roba la contraseña del usuario, recopila archivos de directorios clave y envía los datos a un servidor remoto. Dentro del sandbox de ANY.RUN, este comportamiento se vuelve visible desde el principio, lo que ayuda al equipo a comprender rápidamente la amenaza y responder con más confianza.

Qué ayuda a lograr un flujo de trabajo unificado:

• Menor fricción en la investigación en el Nivel 1, con menos tiempo perdido en herramientas desconectadas
• Calidad de triaje más consistente en Windows, macOS, Linux y Android
• Riesgo reducido de pérdida de contexto cuando las amenazas abarcan múltiples sistemas operativos
• Decisiones de respuesta más rápidas y un camino más fluido desde la clasificación hasta la escalada

Proceso #2: Cambiar el Nivel 1 a una clasificación que priorice el comportamiento con automatización e interactividad

El problema: El nivel 1 suele dedicar demasiado tiempo a revisar alertas, indicadores estáticos y contexto disperso antes de comprender si un archivo o URL sospechoso es realmente malicioso.

Por qué perjudica la productividad: Los datos estáticos pueden sugerir que algo parece sospechoso, pero no siempre muestran lo que realmente hace el objeto durante la ejecución. Además de eso, muchas amenazas modernas no revelan su comportamiento completo sin acciones del usuario, como abrir un archivo, hacer clic en una página o completar parte de una cadena de interacción. Esto crea retrasos, agrega trabajo manual y aumenta las escaladas innecesarias.

La solución: Cambie el proceso de una revisión de alerta primero a una clasificación de comportamiento primero respaldada por la automatización y la interactividad. En lugar de depender principalmente de hashes, dominios o metadatos, deje que el Nivel 1 comience con una ejecución real en un entorno seguro. Esto es especialmente poderoso cuando la parte interactiva del análisis también se puede automatizar.

La interactividad automatizada de ANY.RUN abre el enlace malicioso oculto bajo un código QR sin ningún esfuerzo manual

En lugar de dedicar tiempo de analista a códigos QR, comprobaciones de CAPTCHA y otros pasos diseñados para retrasar o evadir la detección, el flujo de trabajo puede avanzar por sí solo hasta que aparezca un comportamiento significativo. Con ANY.RUN, los equipos pueden descubrir cadenas complejas de phishing y malware más rápido, reducir el esfuerzo manual durante la clasificación y tomar decisiones de escalamiento más claras antes. De hecho, en el 90% de los casos, el comportamiento necesario para validar una amenaza se vuelve visible dentro de los primeros 60 segundos de la detonación.

Se requiere menos de un minuto para analizar la cadena de ataque completa dentro del sandbox de ANY.RUN

Qué ayuda a lograr la clasificación de comportamiento primero con interactividad automatizada:

• Mejor uso de la capacidad de Nivel 1, con menos tiempo perdido en acciones manuales repetitivas
• Validación de amenazas más rápida antes de que la actividad sospechosa se convierta en una investigación más larga
• Menos escaladas causado por evidencia poco clara en las primeras etapas
• Mayor velocidad de respuesta SOC a través de una confirmación anterior basada en el comportamiento de intenciones maliciosas

Proceso #3: Estandarizar la escalada con evidencia lista para responder

El problema: Demasiadas investigaciones llegan a una escalada sin pruebas claras suficientes. El nivel 1 puede saber que algo parece sospechoso, pero el siguiente equipo todavía tiene que dedicar tiempo a reconstruir el contexto, volver a verificar el comportamiento y descubrir qué es lo que realmente importa.

Por qué perjudica la productividad: Cuando las escaladas son inconsistentes o incompletas, el SOC pierde tiempo en múltiples niveles. Los equipos de nivel 2 y de respuesta a incidentes tienen que repetir el trabajo, los casos urgentes tardan más en validarse y el liderazgo tiene menos confianza en la rapidez con la que el equipo puede pasar de la clasificación a la acción.

La solución: Estandarice la escalada en torno a evidencia lista para responder en lugar de suposiciones o notas parciales. Con ANY.RUN sandbox, el Nivel 1 puede escalar con un informe listo para manejar en lugar de reconstruir manualmente los hallazgos. Genera automáticamente un informe de análisis estructurado con evidencia de comportamiento, actividad del proceso, detalles de la red, capturas de pantalla y otro contexto recopilado durante la detonación.

Informe generado automáticamente para eficiencia y ahorro de tiempo.

Como resultado, el Nivel 2 recibe una visión más clara de la cadena de ataque desde el principio, lo que reduce el trabajo repetido y ayuda a pasar de la clasificación a la respuesta con menos demora.

Qué ayuda a lograr la escalada lista para la respuesta:

• Carga de documentación reducida en el Nivel 1 durante la escalada
• Traspaso más rápido al Nivel 2 con una imagen más clara de la cadena de ataque
• Investigación menos repetida trabajar en todas las funciones SOC
• Decisiones de respuesta más consistentes basado en evidencia conductual completa

Cómo estas correcciones de procesos mejoran el rendimiento del SOC

Cuando los equipos del SOC solucionan las brechas en los procesos que ralentizan el Nivel 1, el impacto va mucho más allá de una clasificación más rápida. Reducen la carga de trabajo manual, mejoran la calidad de la escalada y brindan a todo el equipo un camino más claro desde la validación inicial hasta la respuesta.

En la práctica, las organizaciones que utilizan ANY.RUN informan ganancias mensurables tanto en las operaciones diarias como en el rendimiento SOC más amplio.

• Arriba a Carga de trabajo de Nivel 1 un 20% menor a través de una validación más rápida y menos trabajo de clasificación manual
• Alrededor 30% menos escalamientos de Nivel 1 a Nivel 2ayudando a los miembros superiores del equipo a mantenerse enfocados en amenazas de mayor prioridad
• El 94% de los usuarios reportan una clasificación más rápida en flujos de trabajo SOC reales
• Arriba a Eficiencia/rendimiento de SOC 3 veces más fuerteimpulsado por una validación más rápida y flujos de trabajo más fluidos
• Reduzca los costos de infraestructura reemplazando las configuraciones de análisis con mucho hardware por un entorno basado en la nube
• un promedio Reducción de 21 minutos en MTTR por casoapoyando una contención y respuesta más rápidas
• Menos fatiga de alerta y decisiones más tempranas basadas en evidencia a través de un acceso más rápido al comportamiento y contexto de las amenazas.

Fortalecer el desempeño de Nivel 1 y brinde a su SOC un camino más rápido desde la clasificación hasta la respuesta con ANY.RUN.

Some weeks are loud. This one was quieter but not in a good way. Long-running operations are finally hitting courtrooms, old attack methods are showing up in new places, and research that stopped being theoretical right around the time defenders stopped paying attention.

There’s a bit of everything this week. Persistence plays, legal wins, influence ops, and at least one thing that looks boring until you see what it connects to.

All of it below. Let’s go.

⚡ Threat of the Week

Citrix Flaw Comes Under Active Exploitation — A critical security flaw in Citrix NetScaler ADC and NetScaler Gateway (CVE-2026-3055, CVSS score: 9.3) has come under active exploitation as of March 27, 2026. The vulnerability refers to a case of insufficient input validation leading to memory overread, which an attacker could exploit to leak potentially sensitive information. Per Citrix, successful exploitation of the flaw hinges on the appliance being configured as a SAML Identity Provider (SAML IDP).

🔔 Top News

• FBI Confirms Hack of Director Kash Patel’s Personal Email Account — The U.S. Federal Bureau of Investigation (FBI) confirmed that threat actors gained access to an email account belonging to FBI Director Kash Patel, but said no government information has been compromised. The Iran-linked hacker group Handala claimed responsibility for the hack, releasing files allegedly representing photos, emails, and classified documents taken from the FBI director’s inbox. «The so-called ‘impenetrable’ systems of the FBI were brought to their knees within hours by our team,» the hackers wrote. It’s unclear when the account was hacked. The U.S. government, which recently took down multiple sites operated by Iranian state actors, said it’s offering up to $10 million for information on threat groups like Parsian Afzar Rayan Borna and Handala.
• Red Menshen Uses Stealthy BPFDoor to Spy on Telecom Networks — A China-linked state-sponsored threat actor known as Red Menshen has deployed kernel implants and passive backdoors deep within telecommunication backbone infrastructure worldwide for long-term persistence. The implants have been fittingly described as sleeper cells that lie dormant and blend into target environments, but spring into action upon receiving a magic packet by quietly monitoring network traffic instead of opening a visible connection. Initial access is usually gained by exploiting known vulnerabilities in edge networking devices and VPN products or by leveraging compromised accounts. Once inside, the threat actor maintains long-term access by deploying tools like BPFdoor. Some BPFdoor samples mimic bare-metal infrastructure, posing as legitimate enterprise platforms to blend into operational noise. Others spoof core containerization components. By embedding the implant deep below traditional visibility layers, the goal is to significantly complicate detection efforts. Rapid7 has released a scanning script designed to detect known BPFDoor variants across Linux environments.
• GlassWorm Evolves to Drop Extension-Based Stealer — A new evolution of the GlassWorm campaign is delivering a multi-stage framework capable of comprehensive data theft and installing a remote access trojan (RAT), which deploys an information-stealing Google Chrome extension masquerading as an offline version of Google Docs. «It logs keystrokes, dumps cookies and session tokens, captures screenshots, and takes commands from a C2 server hidden in a Solana blockchain memo,» Aikido said. GlassWorm is the moniker assigned to a persistent campaign that obtains an initial foothold through rogue packages published across npm, PyPI, GitHub, and the Open VSX marketplace. In addition, the operators are known to compromise the accounts of project maintainers to push poisoned updates.
• Russian Hacker Sentenced to 2 Years for TA551-Linked Ransomware Attacks — Ilya Angelov, a 40-year-old Russian national, was sentenced to two years in prison for managing a botnet that was used to launch ransomware attacks against U.S. companies. Angelov, who went by the online aliases «milan» and «okart,» is said to have co-managed a Russia-based cybercriminal group known as TA551 (aka ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra, Shathak, and UNC2420) between 2017 and 2021. The attacks leveraged spam emails to compromise systems and rope them into a botnet that other cybercriminals used to break into corporate systems and deploy ransomware. This included threat actors affiliated with BitPaymer and IcedID.
• FCC Bans New Foreign-Made Routers Over Security Risks — The U.S. Federal Communications Commission (FCC) said it was banning the import of new, foreign-made consumer routers, citing «unacceptable» risks to cyber and national security. To that end, all consumer-grade routers manufactured in foreign countries have been added to the Covered List, unless they have been granted a Conditional Approval by the Department of War (DoW) or the Department of Homeland Security (DHS) after determining that they do not pose any risks. The development comes as the Indian government appears to be preparing to bar Chinese CCTV product makers, such as Hikvision, Dahua, and TP-Link, from selling their cameras from April 1, 2026, to tighten oversight under the Standardisation Testing and Quality Certification (STQC) rules, the Economic Times reported.

‎️‍🔥 Trending CVEs

New vulnerabilities show up every week, and the window between disclosure and exploitation keeps getting shorter. The flaws below are this week’s most critical — high-severity, widely used software, or already drawing attention from the security community.

Check these first, patch what applies, and don’t wait on the ones marked urgent — CVE-2026-3055 (Citrix NetScaler ADC and NetScaler Gateway), CVE-2025-62843, CVE-2025-62844, CVE-2025-62845, CVE-2025-62846 (QNAP), CVE-2026-22898 (QNAP QVR Pro), CVE-2026-4673, CVE-2026-4677, CVE-2026-4674 (Google Chrome), CVE-2026-4404 (GoHarbor Harbor), CVE-2026-1995 (IDrive for Windows), CVE-2026-4681 (Windchill and FlexPLM), CVE-2025-15517, CVE-2025-15518, CVE-2025-15519, CVE-2025-15605, CVE-2025-62673 (TP-Link),CVE-2025-66176 (HikVision), CVE-2026-32647 (NGINX Open Source and NGINX Plus), CVE-2026-22765, CVE-2026-22766 (Dell Wyse Management Suite), CVE-2026-21637, CVE-2026-21710 (Node.js), CVE-2026-25185 aka LnkMeMaybe (Microsoft), CVE-2026-1519, CVE-2026-3104, CVE-2026-3119, CVE-2026-3591 (BIND 9), CVE-2026-2931 (Amelia Booking plugin), CVE-2026-33656 (EspoCRM), CVE-2026-3608 (Kea), CVE-2026-20817 (Microsoft Windows Error Reporting), CVE-2025-33244 (NVIDIA Apex), CVE-2026-32746 (Synology DiskStation Manager), and CVE-2026-3098 (Smart Slider 3 plugin).

🎥 Cybersecurity Webinars

📰 Around the Cyber World

• Fortinet FortiClient EMS Flaw Comes Under Attack — A recently patched security flaw affecting Fortinet FortiClient EMS has come under active exploitation in the wild as of March 24, 2026. The vulnerability in question is CVE-2026-21643 (CVSS score: 9.1), a critical SQL injection that could allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests. The issue was addressed by Fortinet last month in FortiClient EMS version 7.4.5. «Attackers can smuggle SQL statements through the ‘Site’-header inside an HTTP request,» Defused Cyber said. Nearly 1,000 FortiClient EMS are publicly exposed.
• Meta Disrupts Influence Operation Linked to Iran — Meta said it disrupted an influence operation linked to Iran that employed «sophisticated fake personas» on Instagram to build relationships with U.S. users before sending political messaging. The network used accounts posing as journalists, commentators, and ordinary people to engage users and gradually introduce political narratives. A second layer of accounts amplified posts to help spread the messaging.
• Armenian National Extradited to U.S. in Connection with RedLine Stealer Operations — An Armenian national has been extradited to the United States over his alleged role in the administration of the RedLine infostealer malware. Hambardzum Minasyan, per court documents, allegedly developed and managed the stealer, while unnamed conspirators maintained digital infrastructure, including the command-and-control (C2) servers and administrative panels to enable the deployment of the malware by affiliates, and collected payments from the affiliates. «They allegedly responded to questions and requests from actual and potential RedLine affiliates, conspired with each other and affiliates to steal and possess the financial information, including access devices, of victims, and laundered the proceeds of cybercrime through cryptocurrency exchanges and other means,» the U.S. Justice Department said. Minasyan has also been accused of registering two virtual private servers to host portions of RedLine’s infrastructure, as well as two internet domains in support of the scheme, repositories on an online file sharing site to distribute the stealer to affiliates, and registering a cryptocurrency account in November 2021 to receive payments. RedLine Stealer was disrupted in an international law enforcement operation in October 2024. Minasyan has been charged with conspiracy to commit access device fraud, conspiracy to violate the Computer Fraud and Abuse Act, and conspiracy to commit money laundering. If convicted, he faces up to 10 years in prison for access device fraud and up to 20 years in prison for the other two counts. In June 2025, the U.S. Department of State announced a $10 million reward for information on Maxim Alexandrovich Rudometov, who is believed to be the main developer and administrator of RedLine.
• Android 17 Beta Gains New Security Features — To improve security against code injection attacks, Android now enforces that dynamically loaded native libraries must be read-only. If your app targets Android 17 or higher, all native files loaded using System.load() must be marked as read-only beforehand. Another new addition is the support for Post-Quantum Cryptography (PQC) through the new v3.2 APK Signature Scheme. This scheme utilizes a hybrid approach, combining a classical signature with an ML-DSA signature.
• China-Linked Actors Deliver Mofu Loader and KIVARS — In recent months, Chinese-affiliated espionage clusters like DRBControl have employed DLL side-loading techniques to deliver Mofu Loader – a malware previously attributed to GroundPeony – which then drops a C++ backdoor capable of executing commands issued by an attacker-controlled server. Last year, companies and organizations in Japan and Taiwan have also been targeted by variants of a backdoor called KIVARS, which is tied to a Chinese hacking group called BlackTech.
• Automated Traffic Outpaces Human Traffic — HUMAN Security found that automated traffic grew eight times faster than human traffic year-over-year. «In 2025, automated traffic across the internet grew 23.51% year over year, while human traffic increased 3.10% over the same period,» the company said. The cybersecurity company noted that its customers experienced more than 400,000 attempted post-login account compromise attacks, more than quadruple that of 2024.
• U.S. Accuses China of Backing Scam Compounds — A senior U.S. official accused Beijing of implicitly backing Chinese criminal syndicates running cyber scam compounds across Southeast Asia. Speaking during a Joint Economic Committee congressional hearing about U.S. efforts to combat digital scams, Reva Price, commissioner with the U.S.-China Economic and Security Review Commission, said links have been unearthed between scam centers and the Chinese government’s Belt and Road Initiative. Chinese criminal syndicates have «invested in projects linked to China’s Belt and Road Initiative alongside China’s state-owned enterprises,» she said, adding that they «have also seen criminal leaders who appear to have gotten a pass by promoting messaging and other activities aligned with Chinese Communist Party priorities.» Scam centers in Southeast Asia are often operated by Chinese crime syndicates that lure people into the region with enticing job opportunities and coerce them into participating in pig butchering or romance baiting scams by confiscating their passports and subjecting them to torture.
• Exploitation Against Oracle WebLogic Servers — A recently disclosed security flaw in Oracle WebLogic (CVE-2026-21962, CVSS score: 10.0) witnessed automated exploitation attempts almost immediately after public exploit code was released, demonstrating how software flaws are being rapidly weaponized by bad actors. The activity, detected by CloudSEK against its honeypots, also leveraged other WebLogic flaws (CVE-2020-14882, CVE-2020-14883, CVE-2020-2551, and CVE-2017-10271), as well as flaws impacting Hikvision and PHPUnit, indicating a spray and pray approach. «Attackers predominantly utilized rented Virtual Private Servers (VPS) from common hosting providers like DigitalOcean and HOSTGLOBAL.PLUS,» the company said. «The overall activity was characterized by high-volume, automated scanning, with tools like libredtail-http and the Nmap Scripting Engine dominating the malicious traffic.»
• Security Flaws in Cisco Catalyst 9300 Series Switches — Details have emerged about now-patched vulnerabilities in Cisco Catalyst 9300 Series switches (CVE-2026-20110, CVE-2026-20112, CVE-2026-20113, and CVE-2026-20114) that could result in privilege escalation, operational denial-of-service, stored cross-site scripting (XSS), and CRLF injection. «Collectively, these vulnerabilities introduce risks to administrative trust boundaries, service availability, session integrity, and system log reliability – affecting both operational continuity and security monitoring capabilities,» OPSWAT said. «CVE-2026-20114 and CVE-2026-20110 are the most operationally impactful when chained. A low-privilege Web UI user can escalate access and invoke a maintenance-mode operation, resulting in full denial of service that may require physical intervention to restore.» The issues were patched by Cisco last week.
• Financial Institution Targeted by BRUSHWORM and BRUSHLOGGER — A modular backdoor with USB-based spreading capabilities was used in an attack targeting an unnamed South Asian financial institution, according to findings from Elastic Security Labs. The malware, dubbed BRUSHWORM, is one of the two malware components identified in the victim’s infrastructure, the other being a DLL keylogger referred to as BRUSHLOGGER. «BRUSHWORM features anti-analysis checks, AES-CBC encrypted configuration, scheduled task persistence, modular DLL payload downloading, USB worm propagation, and broad file theft targeting documents, spreadsheets, email archives, and source code,» security researcher Salim Bitam said. BRUSHWORM is also responsible for running basic anti-analysis checks, maintaining persistence, command-and-control (C2) communication, and downloading additional modular payloads. BRUSHLOGGER augments the backdoor by capturing system-wide keystrokes via a simple Windows keyboard hook and logging the active window context for each keystroke session. «Neither binary employs meaningful code obfuscation, packing, or advanced anti-analysis techniques,» Elastic said. «Given the absence of a kill switch, the use of free dynamic DNS servers in testing versions, and some coding mistakes, we assess with moderate confidence that the author is relatively inexperienced and may have leveraged AI code-generation tools during development without fully reviewing the output.»
• U.K. Sanctions Xinbi — The U.K.’s Foreign, Commonwealth and Development Office (FCDO) has sanctioned Xinbi, a Chinese-language guarantee marketplace accused of enabling large-scale online fraud and human exploitation by supporting #8 Park (aka Legend Park), an industrial-scale scam compound in Cambodia notorious for large-scale pig butchering scams and forced labor of trafficked workers. The U.K. is the first country to sanction Xinbi. The move is designed to isolate Xinbi from the legitimate crypto ecosystem and disrupt its operations. Xinbi is estimated to have processed over $19.9 billion between 2021 and 2025. «The platform facilitates everything from ‘Black U’ money laundering and unlicensed OTC trades to the sale of compromised personal databases and scam infrastructure,» Chainalysis said. «In the face of previous takedowns, Xinbi demonstrated significant resilience by rapidly migrating to the SafeW messaging app and launching its own proprietary payment app, XinbiPay. This evolution highlights the challenges around pursuing illicit services as they build custom financial rails to insulate themselves from platform-level disruptions.» According to a report published by Elliptic last month, #8 Park is linked to a company named Legend Innovation, which, in turn, has ties to Prince Group, whose chairman, Chen Zhi, was arrested and extradited to China in connection with a crackdown on a large-scale fraud operation. #8 Park is also tied to HuiOne Group, with its payment business, HuiOne Pay (later rebranded as H-PAY), which operates a physical store within the compound. There has since been a sharp decline in incoming payments to merchants operating inside the compound beginning around February 9, 2026, with transactions almost entirely ceasing by February 13.
• What is Tsundere? — Tsundere is a botnet that enables system fingerprinting and arbitrary command execution on victim machines. It’s notable for the use of a technique called EtherHiding to retrieve command-and-control (C2) servers stored in smart contracts on the Ethereum blockchain. The malware is suspected to be a Malware-as-a-Service (MaaS) offering of Russian origin, owing to logic that checks whether the infected host is located in a CIS country, including Ukraine, and terminates execution if so. Most recently, the use of the botnet has been linked to the Iranian state-sponsored actor MuddyWater.
• Jailbreaking, a Continued Risk to LLMs — New research from Palo Alto Networks Unit 42 has uncovered that prompt jailbreaking remains a practical risk to large language models (LLMs) and that a genetic algorithm-based fuzzing approach can be used to generate meaning-preserving prompt variants to trigger policy-violating outcomes against both closed-source and open-weight pre-trained models. «The broader implication is that guardrails should be treated as probabilistic controls that require continuous adversarial evaluation, not as definitive security boundaries,» Unit 42 said. The findings reinforce that security for LLM applications cannot rely on a single layer, necessitating that organizations define and enforce application scope, use robust, multi-signal content controls, treat user input as untrusted and isolate it from privileged instructions, validate outputs against scope and policy, and monitor for misuse, and apply standard security controls, such as authentication, rate limiting, and and least privilege tool permissions.
• SEO Campaign Delivers AsyncRAT — Since October 2025, an unknown threat actor has been running an active SEO poisoning campaign, using impersonation sites of over 25 popular applications to direct victims to malicious installers, including VLC Media Player, OBS Studio, KMS Tools, and CrosshairX. The campaign uses ScreenConnect, a legitimate remote management tool, to establish initial access and to deliver AsyncRAT. «Most notable in this campaign is the RAT’s added cryptocurrency clipper, dynamic plugin system capable of loading arbitrary capabilities at runtime, and a geo-fencing mechanism that deliberately excludes targets across the Middle East, North Africa, and Central Asia,» NCC Group said. AsyncRAT has also been delivered as part of a series of attacks on Libyan organizations between November 2025 and February 2026. The attacks targeted an oil refinery, a telecoms organization, and a state institution. «AsyncRAT is a remote access Trojan with a variety of capabilities, including keylogging, screen capture, and remote command execution capabilities, making it ideal for use in intelligence gathering and espionage attacks,» Symantec and Carbon Black said. «It is also modular, meaning it can be updated and customized, which is attractive for attackers.»
• Nigerian National Sentenced to 7 Years in Prison — A Nigerian man has been sentenced to more than seven years in a U.S. prison for his role in a scheme that broke into business email accounts and tricked victims into sending millions of dollars to fraudulent bank accounts. James Junior Aliyu, 31, received a 90-month prison sentence for conspiracy to commit wire fraud and money laundering. The court also ordered Aliyu to forfeit $1.2 million and repay nearly $2.39 million to the victims. Aliyu, who pleaded guilty in August 2025, acknowledged that he conspired with others, including Kosi Goodness Simon-Ebo, 31, and Henry Onyedikachi Echefu, 34, to deceive and defraud multiple American victims from February 2017 until at least July 2017. The business email compromise scheme targeted American businesses and individuals by compromising email accounts and sending false wiring instructions to deceive victims into sending money to bank accounts under their control. «Aliyu and his accomplices conspired to commit money laundering by disbursing the fraudulently obtained funds in the drop accounts to other accounts,» the U.S. Justice Department said. «Co-conspirators moved the stolen money by initiating account transfers, withdrawing cash, and obtaining cashier’s checks. They also wrote checks to other individuals and entities to hide the true ownership and source of these assets. In total, Aliyu and his co-conspirators attempted to defraud victims of at least $10.4 million, and the victims suffered an actual loss of at least $2,389,130.»
• Sensor Technology to Combat Deepfakes — Researchers at ETH Zürich have developed a sensor system that stamps a cryptographic signature onto images, video, and audio within a sensor chip at the exact moment they are captured, making it impossible to tamper with the data without being detected. «If the signatures are uploaded to a public ledger (e.g., a blockchain), anyone can verify the authenticity of videos and other data,» ETH Zürich said. «The technology can, in principle, be integrated into any type of sensor or camera. It would then be possible to identify manipulated content on online platforms with minimal effort.»
• Middle East Conflict Fuels Cyber Attacks — Threat actors have been capitalizing on geopolitical tensions in the Middle East region to spread Android spyware by distributing trojanized versions of Israel’s Red Alert apps via SMS phishing messages. The espionage campaign has been codenamed Operation False Siren by CYFIRMA. ZIP archives containing lures related to the conflict are also being used to launch malicious payloads that lead to the deployment of PlugX and LOTUSLITE backdoors. These ZIP-based phishing campaigns have been attributed to a Chinese nation-state actor known as Mustang Panda. Elsewhere, an Iran-themed fake news blog site hosting malicious JavaScript has been found, leading to the deployment of StealC malware.
• Apple Tests Ways to Block Malicious Copy-Pastes in macOS — With the release of macOS 26.4 last week, Apple has introduced a new feature that warns Mac users if they paste harmful commands in the Terminal app to curb ClickFix-style attacks that have increasingly targeted macOS in recent months. «Scammers often encourage pasting text into Terminal to try and harm your Mac or compromise your privacy,» the message reads. «These instructions are commonly offered via websites, chat agents, apps, files, or a phone call.» The alert comes with a «Paste Anyway» for those who wish to proceed. The disclosure comes as multiple ClickFix campaigns have come to light, including using a Cloudflare-themed verification page to deliver a Python-based macOS stealer dubbed Infiniti Stealer. A similar Cloudflare verification, but for Windows, has been used to launch PowerShell commands that ultimately drop StealC, Lumma, Rhadamanthys, Vidar Stealer, and Aura Stealer malware. The ClickFix strategy has also been adopted by a traffic distribution system known as KongTuke to redirect visitors of compromised WordPress websites to phishing pages and malware payloads. According to eSentire, ClickFix lures have been used to deliver EtherRAT, a Node.js-based backdoor linked to North Korean threat actors. «EtherRAT allows threat actors to run arbitrary commands on compromised hosts, gather extensive system information, and steal assets such as cryptocurrency wallets and cloud credentials,» the Canadian security company said. «Command-and-Control (C2) addresses are retrieved using ‘EtherHiding,’ a technique to make C2 addresses more resilient by storing and updating them in Ethereum smart contracts, allowing threat actors to rotate infrastructure at a small cost and avoid takedowns by law enforcement.» Recorded Future said it has identified five distinct clusters leveraging ClickFix to facilitate initial access to Windows and macOS systems since May 2024. «This indicates that the ClickFix methodology has transitioned into a standardized, high-ROI template adopted across a fragmented ecosystem of threat actors,» Insikt Group said. «While visually diverse, all analyzed clusters use a consistent execution framework that bypasses traditional browser security controls by shifting the point of exploitation to user-assisted manual commands. These campaigns target a wide variety of sectors, including accounting (QuickBooks), travel (Booking.com), and system optimization (macOS).»
• Apple Rolls Out Mandatory Age Verification in U.K. — In more Apple news, the tech giant has rolled out mandatory U.K. age verification with iOS 26.4, requiring users to provide a credit card or ID to confirm if they are an adult before «downloading apps, changing certain settings, or taking other actions with your Apple Account.» The move comes at a time when online child safety is increasingly drawing attention from regulators, causing many digital services, including social media apps and porn sites, to roll out similar checks. Discord, which announced plans to verify the ages of all its users last month, has since paused the effort until H2 2026 after concerns were raised about how IDs and personal information would be handled. Discord has reiterated that it does not receive any identifying personal information from users who need to manually verify their age. Instead, it is partnering with third-party age verification companies, who will «handle verification and only pass back your age group.» The company also said it’s no longer working with age verification vendor Persona, which has attracted criticism over allegations that it shared users’ data with other companies and left its frontend source code exposed to the internet.

🔧 Cybersecurity Tools

• OpenClaw Security Handbook → It is a detailed security guide published by ZAST AI for users of OpenClaw, a multi-channel AI gateway that connects messaging platforms, LLMs, and local system capabilities. Because that combination creates a serious attack surface, the handbook covers the real risks — prompt injection, malicious skills, exposed ports, credential theft — backed by documented incidents and CVEs, with practical configuration guidance for locking it down.
• VulHunt → It is an open-source framework from Binarly’s research team for hunting vulnerabilities in software binaries and UEFI firmware. It uses customizable rulepacks for scanning and can connect to Binarly’s Transparency Platform for large-scale triage. It also supports running as an MCP server, letting AI assistants interact with it directly.

Disclaimer: For research and educational use only. Not security-audited. Review all code before use, test in isolated environments, and ensure compliance with applicable laws.

Conclusion

That’s the week. Some of it will age well, some of it is already being quietly exploited while you’re reading this sentence.

The through-line, if there is one: patience. Attackers are playing long games. The detections, the arrests, the patches — they matter, but they’re almost always trailing. Stay sharp, check the CVE list, and see you next Monday.

La expansión de los secretos no se está desacelerando: en 2025, se aceleró más rápido de lo que la mayoría de los equipos de seguridad anticiparon. Informe sobre la expansión del estado de los secretos 2026 de GitGuardian analizó miles de millones de confirmaciones en GitHub público y descubrió 29 millones de nuevos secretos codificados solo en 2025, un aumento del 34% año tras año y el mayor salto en un solo año jamás registrado.

Los hallazgos de este año revelan tres tendencias centrales: la IA ha remodelado fundamentalmente cómo y dónde se filtran las credenciales, los sistemas internos están mucho más expuestos de lo que la mayoría de las organizaciones creen y la remediación sigue siendo el talón de Aquiles de la industria.

Aquí hay nueve conclusiones estratégicas que importan.

1. Los secretos crecen más rápido que la población de desarrolladores

Desde 2021, los secretos filtrados han crecido un 152 %, mientras que la base de desarrolladores públicos de GitHub se expandió un 98 %. Más desarrolladores y más generación de código asistida por IA significan más credenciales en circulación, y la detección por sí sola no puede seguir el ritmo.

2. Los servicios de IA generaron un 81% más de filtraciones año tras año

GitGuardian detectó 1.275.105 secretos filtrados vinculados a servicios de IA en 2025, un 81% más que en 2024. Ocho de las diez categorías de secretos filtrados de más rápido crecimiento estaban relacionadas con la IA. No se trata sólo de OpenAI o claves antrópicas. La verdadera explosión está ocurriendo en la infraestructura LLM: API de recuperación como Brave Search (+1255%), herramientas de orquestación como Firecrawl (+796%) y backends administrados como Supabase (+992%). Cada nueva integración de IA introduce otra identidad de máquina y cada una amplía la superficie de ataque. La implementación segura de la IA requiere una estrategia de seguridad de secretos adecuada.

3. Los repositorios internos tienen 6 veces más probabilidades de sufrir fugas que los públicos

Si bien el GitHub público llama la atención, los repositorios internos son donde residen las credenciales de mayor valor. La investigación de GitGuardian encontró que el 32,2% de los repositorios internos contienen al menos un secreto codificado, en comparación con sólo el 5,6% de los repositorios públicos. Estas no son claves de prueba. Son tokens CI/CD, credenciales de acceso a la nube y contraseñas de bases de datos, los activos exactos a los que se dirigen los atacantes una vez que logran afianzarse. La seguridad a través de la oscuridad ha fracasado. Trate los repositorios internos como fuentes de fugas de primera clase.

4. El 28% de las filtraciones ocurren completamente fuera del código.

Los secretos no sólo viven en depósitos. GitGuardian descubrió que el 28 % de los incidentes en 2025 se originaron completamente fuera del código fuente, en Slack, Jira, Confluence y herramientas de colaboración similares. Estas fugas son más peligrosas: El 56,7 % de los secretos encontrados únicamente en herramientas de colaboración se clasificaron como críticosen comparación con el 43,7% de los incidentes de solo código. Los equipos comparten credenciales durante la respuesta a incidentes, la resolución de problemas y la incorporación. Si solo estás escaneando código, te estás perdiendo una cuarta parte de tu exposición. Y las credenciales que se filtran en las herramientas de colaboración suelen ser más críticas y graves.

5. Los registros autohospedados de GitLab y Docker exponen secretos a una tasa de 3 a 4 veces mayor que la de GitHub público

GitGuardian descubrió miles de instancias de GitLab autohospedadas y registros de Docker expuestos involuntariamente en 2025. El escaneo de estos sistemas reveló 80.000 credenciales, de las cuales 10.000 aún son válidas. Los secretos en las imágenes de Docker eran particularmente preocupantes: el 18% de las imágenes de Docker escaneadas contenían secretos, y el 15% de ellos eran válidos, en comparación con el 12% de los repositorios de GitLab con una tasa de validez del 12%. Los secretos de Docker también son más adyacentes a la producción. El perímetro entre lo privado y lo público es poroso.

6. El 64% de los secretos filtrados en 2022 siguen siendo válidos hoy

La detección no es remediación. GitGuardian volvió a probar los secretos confirmados como válidos en 2022 y descubrió que el 64% todavía son explotables cuatro años después. Esto no es un error de redondeo. Es una prueba de que la rotación y la revocación no son rutinarias, no son propias ni están automatizadas en la mayoría de las organizaciones. Las credenciales integradas en los sistemas de compilación, las variables de CI, las imágenes de contenedores y las integraciones de proveedores son difíciles de reemplazar sin interrumpir la producción. Para muchos equipos, la opción más segura a corto plazo es no hacer nada, lo que deja a los atacantes vías de acceso duraderas.

7. Los puntos finales de desarrollador son la nueva capa de agregación de credenciales

El Ataque a la cadena de suministro de Shai-Hulud 2 dio a los investigadores una visibilidad poco común sobre cómo se ven realmente los secretos en máquinas de desarrollador comprometidas. En 6.943 sistemas, GitGuardian identificó 294.842 ocurrencias secretas correspondientes a 33.185 secretos únicos. En promedio, cada secreto activo apareció en ocho ubicaciones diferentes en la misma máquina, distribuidos en archivos .env, historial de shell, configuraciones IDE, tokens en caché y artefactos de compilación. Lo más sorprendente es que el 59% de las máquinas comprometidas eran procesadores de CI/CD, no computadoras portátiles personales. Una vez que los secretos comienzan a extenderse por la infraestructura de la construcción, se convierten en un problema de exposición organizacional, no solo en una cuestión de higiene individual.

Más recientemente, el Ataque a la cadena de suministro de LiteLLM demostró el mismo patrón, con paquetes comprometidos que recopilan claves SSH, credenciales de nube y tokens API de máquinas de desarrollo donde las herramientas de desarrollo de IA se concentran cada vez más.

8. Los servidores MCP expusieron más de 24.000 secretos en su primer año

El Model Context Protocol (MCP) hizo que los sistemas de IA fueran más útiles al conectarlos a herramientas y fuentes de datos. También introdujo una nueva clase de exposición de credenciales. En 2025, GitGuardian encontró 24.008 secretos únicos en archivos de configuración relacionados con MCP en GitHub público, de los cuales 2.117 se verificaron como válidos. A medida que se acelera la adopción de la IA agente, MCP y marcos similares normalizarán la colocación de credenciales en archivos de configuración, indicadores de inicio y JSON local. El ecosistema de agentes se está expandiendo más rápido de lo que los controles de seguridad pueden adaptarse.

9. Pasar de la detección de secretos a la gobernanza de identidades no humanas

El factor limitante de la industria es responder tres preguntas a escala:

– ¿Qué identidades no humanas existen en mi entorno?

– ¿A quién pertenecen?

– ¿A qué pueden acceder?

Las organizaciones que adoptan la IA agente deben ir más allá de la detección y construir una gobernanza continua del NHI. Eso significa eliminar las credenciales estáticas de larga duración siempre que sea posible, adoptar acceso de corta duración basado en identidadimplementando el almacenamiento de secretos como el flujo de trabajo predeterminado del desarrollador y tratando cada cuenta de servicio, trabajo de CI y agente de IA como una identidad gobernada con gestión del ciclo de vida.

La conclusión

La expansión de los secretos no se está desacelerando. Se está acelerando junto con la adopción de la IA, las herramientas de productividad de los desarrolladores y la entrega distribuida de software. El antiguo modelo de escanear repositorios públicos y esperar el cumplimiento ya no es suficiente. Los equipos de seguridad necesitan visibilidad de los sistemas internos, las herramientas de colaboración, los registros de contenedores y los puntos finales de los desarrolladores. Necesitan flujos de trabajo de remediación que puedan rotar las credenciales sin interrumpir la producción. Y lo más importante, deben dejar de tratar los secretos como incidentes aislados y empezar a gestionarlos como parte de un programa más amplio de gobernanza de identidades no humanas.

La superficie de ataque ha cambiado. La pregunta es si los programas de seguridad cambiarán con ello.

Acerca de la investigación

El informe anual State of Secrets Sprawl de GitGuardian se publicó por quinta vez, analizando miles de millones de compromisos públicos en GitHub, monitoreando incidentes internos en entornos de clientes y realizando investigaciones originales sobre la exposición de la infraestructura autohospedada y los compromisos de la cadena de suministro.

Investigadores de ciberseguridad han descubierto un conjunto de herramientas de acceso remoto de origen ruso que se distribuye a través de archivos maliciosos de acceso directo de Windows (LNK) disfrazados de carpetas de claves privadas. El kit de herramientas CTRL, según Censys, está diseñado a medida utilizando .NET e incluye varios ejecutables» para facilitar el phishing de credenciales, el registro de teclas, el secuestro del Protocolo de escritorio remoto (RDP) y el túnel inverso.

Tres grupos de actividades de amenazas alineados con China han apuntado a una organización gubernamental en el sudeste asiático como parte de lo que se ha descrito como una «operación compleja y con buenos recursos».

Las campañas han llevado a la implementación de varias familias de malware, incluidas HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch), PUBLOAD, EggStremeFuel (también conocido como RawCookie), EggStremeLoader (también conocido como Gorem RAT), MASOL RAT, PoshRATTrackBak Stealer, RawCookie, Hypnosis Loader y FluffyGh0st.

El actividad se ha atribuido a los siguientes grupos:

• Junio ​​- agosto de 2025: Mustang Panda (también conocido como Stately Taurus).
• Marzo – septiembre de 2025: CL-STA-1048, que se superpone con grupos documentados públicamente bajo los apodos Earth Estries y Crimson Palace.
• Abril y agosto de 2025: CL-STA-1049, que se superpone con un grupo documentado públicamente conocido como Unfading Sea Haze.

Cronograma de actividades

«Estos grupos de actividades se superponen con campañas informadas públicamente destinadas a establecer un acceso persistente», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Doel Santos y Hiroaki Hara. dicho. «La superposición significativa de tácticas, técnicas y procedimientos (TTP) con campañas conocidas alineadas con China sugiere que los grupos y el grupo de amenaza tienen un objetivo de interés común, coordinando potencialmente sus esfuerzos».

Cadena de infección de CL-STA-1048 26m

La actividad de Mustang Panda, registrada entre el 1 de junio y el 15 de agosto de 2025, implicó el uso de un malware basado en USB conocido como HIUPAN para entregar la puerta trasera PUBLOAD mediante una DLL maliciosa con nombre en código Claimloader. El primer uso registrado de las fechas de Claimloader por parte del actor de amenazas volver a finales de 2022 en ataques contra organizaciones gubernamentales en Filipinas.

Un análisis adicional de la red de víctimas ha descubierto la implementación de COOLCLIENT, otra puerta trasera conocida atribuida a Mustang Panda durante más de tres años. Admite descarga/carga de archivos, grabación de pulsaciones de teclas, tunelización de paquetes y captura de información de mapas de puertos.

Las herramientas utilizadas por CL-STA-1048 varían ya que son ruidosas.

• EggStremeFuel, una puerta trasera liviana que está equipada para descargar/cargar archivos, enumerar archivos y directorios, iniciar o finalizar un shell inverso, enviar la dirección IP global actual y actualizar la configuración C2.
• EggStremeLoader, otro componente del marco de malware EggStreme lanzado por EggStremeFuel. Admite 59 comandos de puerta trasera para respaldar un robo de datos extenso. Esto incluye una variante que facilita la descarga/carga de archivos a través de Dropbox.
• MASOL RAT (también conocido como Backdr-NQ), un troyano de acceso remoto con funciones de descarga/carga de archivos y ejecución de comandos arbitrarios.
• TrackBak, un ladrón de información que recopila registros, datos del portapapeles, información de red y archivos de las unidades.

La actividad vinculada a CL-STA-1049, por otro lado, implica el uso de un novedoso cargador de DLL llamado Hypnosis Loader, que se inicia mediante carga lateral de DLL, para finalmente instalar FluffyGh0st RAT. El vector de acceso inicial exacto utilizado por CL-STA-1048 y CL-STA-1049 aún no está claro.

«La convergencia de estos grupos de actividades, todos los cuales muestran vínculos con actores conocidos alineados con China, apunta a un esfuerzo coordinado para lograr un objetivo estratégico común», dijo la Unidad 42. «La metodología de los atacantes indica que pretendían obtener acceso persistente y a largo plazo a redes gubernamentales sensibles, no sólo causar interrupciones».