Google dijo el lunes que está implementando oficialmente la verificación de desarrollador de Android para todos los desarrolladores para combatir el problema de los malos actores que distribuyen aplicaciones dañinas mientras «se esconden detrás del anonimato».
El desarrollo se produce antes de un mandato de verificación planificado que entrará en vigor en Brasil, Indonesia, Singapur y Tailandia en septiembre, antes de expandirse a nivel mundial el próximo año.
Como parte de este esfuerzo, Google exige a los desarrolladores de aplicaciones que distribuyen aplicaciones fuera de Google Play que creen una cuenta en la Consola de desarrollador de Android para confirmar su identidad. Aquellos que distribuyen aplicaciones a través del mercado oficial de aplicaciones de Android y han verificado su identidad pueden «ya estar configurados», dijo el gigante tecnológico.
«Para la gran mayoría de los usuarios, la experiencia de instalar aplicaciones seguirá siendo exactamente la misma», dijo Matthew Forsythe, director de gestión de productos para Android App Safety. dicho. «Solo cuando un usuario intenta instalar una aplicación no registrada necesitará ADB o flujo avanzado, lo que nos ayuda a mantener segura a la comunidad en general y al mismo tiempo preserva la flexibilidad para nuestros usuarios avanzados».
Los desarrolladores de Android Studio pueden esperar ver el estado de registro de su aplicación directamente desde el entorno de desarrollo integrado (IDE) en los próximos dos meses cuando generen un App Bundle o APK firmado.
Los desarrolladores que hayan completado los requisitos de verificación de desarrollador de Play Console registrarán automáticamente sus aplicaciones de Play elegibles. Si no se puede registrar una aplicación, se solicita a los desarrolladores que sigan un proceso de reclamo de aplicación manual.
Como se anunció hace un par de semanas, los usuarios avanzados siempre tienen la opción de habilitar la descarga de archivos APK no registrados a través de un flujo avanzado que requiere un paso de autenticación para confirmar que están dando este paso por su propia voluntad y un período de espera único de 24 horas para disuadir a los estafadores.
«Este flujo es un proceso único para usuarios avanzados, pero fue diseñado cuidadosamente para evitar que aquellos que se encuentran en medio de un intento de estafa sean coaccionados por tácticas de alta presión para instalar software malicioso», dijo Forsythe.
El desarrollo llega como lo ha hecho Apple. revisado su Acuerdo de Licencia del Programa de Desarrolladores para hacer cumplir las reglas de privacidad con respecto al acceso de dispositivos portátiles de terceros a actividades y notificaciones en vivo.
Apple señaló explícitamente que terceros «no pueden usar la información de reenvío para publicidad, elaboración de perfiles, modelos de entrenamiento o monitoreo de ubicación», y agregó que «no pueden difundir la información de reenvío a ninguna otra aplicación ni a ningún otro dispositivo además de su accesorio de destino autorizado».
La sección recién agregada también enfatizó que los desarrolladores no pueden almacenar de forma remota ninguna información de reenvío en un servicio en la nube, realizar modificaciones que cambien «materialmente» el significado del contenido o descifrar los datos en cualquier otro lugar que no sea el propio accesorio.
El panorama de la ciberseguridad se está acelerando a un ritmo sin precedentes. Lo que está surgiendo no es simplemente un aumento en el número de vulnerabilidades o herramientas, sino un aumento dramático en la velocidad. Velocidad de ataque, velocidad de explotación y velocidad de cambio en entornos modernos.
Este es el desafío que define la nueva era de la guerra digital: la militarización de la Inteligencia Artificial. Los actores que amenazan, desde Estados-nación hasta empresas criminales sofisticadas, ya no se limitan a atacar. Están automatizando toda la cadena de destrucción.
En esta carrera armamentista de la IA, las estrategias defensivas tradicionales ya no son suficientes. Las evaluaciones periódicas en un momento determinado, la clasificación manual y la respuesta a la velocidad humana ya estaban bajo presión en entornos en rápido movimiento. Contra adversarios que utilizan IA, son cada vez más inadecuados.
Soluciones como PlexTrac están diseñados para ayudar a las organizaciones a ir más allá de los hallazgos fragmentados, las herramientas desconectadas y los flujos de trabajo manuales lentos al unificar la gestión, la corrección y la validación de la exposición en un único sistema operativo. A medida que la brecha entre el descubrimiento y la explotación continúa reduciéndose, los equipos de seguridad necesitan una forma de evaluar continuamente la exposición, priorizar lo que importa e impulsar acciones con la suficiente rapidez para mantener el ritmo.
Para mantenerse al día con los adversarios que utilizan la IA, los defensores también deben utilizarla. Específicamente, necesitan la convergencia de dos capacidades críticas: Evaluación de exposición autónoma y Evaluación continua de amenazas impulsada por IA agente.
El adversario moderno: la IA en el arsenal de los actores de amenazas
Para entender la defensa, es necesario entender el ataque.
La IA se ha convertido en un multiplicador de fuerzas para los actores de amenazas. Los adversarios están utilizando IA generativa para crear campañas de phishing altamente específicas a escala. Están utilizando el aprendizaje automático para analizar defensas, identificar vulnerabilidades automáticamente y encadenar rutas de ataque complejas más rápido que cualquier operador humano. Quizás lo más alarmante sea el aumento del malware polimórfico, que puede reescribir su propio código en tiempo real para evadir la detección basada en firmas.
Atrás quedaron los días de investigar y descubrir vulnerabilidades manualmente, determinar si una o más se pueden encadenar y decidir si se pueden utilizar para alcanzar un objetivo. Hoy en día, ese ciclo se puede comprimir en horas o días mediante la automatización impulsada por la IA.
En resumen, los actores de amenazas ahora operan con mayor velocidad, sigilo y eficiencia que nunca.
Mantenerse a la vanguardia con la gestión unificada de la exposición
1. Evaluación de exposición autónoma sostenible
En este entorno de alta velocidad, comprender la superficie de ataque es la base de la defensa. Pero la gestión tradicional de vulnerabilidades no funciona. Es demasiado lento, demasiado ruidoso y produce datos planos y desconectados.
Aquí es donde las plataformas de evaluación de exposición impulsadas por IA como PlexTrac asunto.
PlexTrac funciona como el sistema sensorial de una estrategia de defensa moderna. No solo busca CVE. Ingiere datos de todo el ecosistema (configuraciones erróneas de la nube, riesgos de identidad, fallas de aplicaciones, hallazgos de pentest y más) para crear una visión unificada y dinámica del riesgo.
Con PlexTrac, las organizaciones pueden:
Corta el ruido
Aplique puntuación contextual para priorizar las vulnerabilidades que realmente presentan un riesgo significativo, en lugar de abrumar a los equipos con miles de alertas «críticas».
Visualice la ruta de ataque
Vaya más allá de los hallazgos aislados y vea cómo un actor de amenazas podría encadenar debilidades aparentemente menores en un compromiso para todo el dominio.
Pasar de reactivo a proactivo
Utilice evaluaciones automatizadas y conocimientos predictivos para identificar dónde puede surgir el riesgo a continuación, de modo que los equipos puedan fortalecer las defensas antes de que ocurran los ataques.
2. Evaluación continua de amenazas con IA agente
La evaluación de la exposición proporciona visibilidad, pero la visibilidad por sí sola es sólo un requisito previo para la acción. Para mantenerse a la cabeza en la carrera armamentista de la IA, las organizaciones necesitan una validación autónoma y continua. Aquí es donde la IA agente cobra importancia.
La IA agente representa un cambio significativo con respecto a los copilotos de IA tradicionales. En lugar de esperar indicaciones, los sistemas agentes pueden planificar, razonar y ejecutar tareas de varios pasos con mayor autonomía.
Esto transforma la Evaluación Continua de Amenazas de un concepto a una capacidad práctica.
Pentesting Autónomo
La IA agente puede operar como un equipo rojo sintético, probando defensas continuamente. No duerme, no se fatiga y puede simular técnicas de ataque modernas impulsadas por IA en tiempo real.
Esto incluye la capacidad de:
Planificar y adaptar rutas de ataque
En lugar de ejecutar una lista de verificación estática, estos sistemas pueden analizar la topología de la red, priorizar objetivos y construir rutas de ataque de varias etapas. Si encuentran una barrera, pueden ajustar las tácticas de manera que se parezcan más a un operador humano capacitado.
Emular comportamientos adversarios
Utilizando modelos fundamentales entrenados en grandes conjuntos de inteligencia sobre amenazas, estos sistemas pueden emular TTP conocidos o simular métodos de ataque emergentes habilitados por IA.
Validar la efectividad del stack defensivo
Pueden probar continuamente si las herramientas SIEM, EDR y XDR realmente detectan los comportamientos correctos y alertan a las personas adecuadas, proporcionando pruebas de eficacia defensiva en lugar de una cobertura supuesta.
Adaptarse en tiempo real
A medida que cambian las configuraciones de la red o surge nueva inteligencia sobre amenazas, los sistemas agentes pueden actualizar su lógica de evaluación y sus procedimientos de prueba para mantenerse al día con el entorno de amenazas real.
Al automatizar gran parte del trabajo repetitivo de los equipos rojos, las organizaciones pueden liberar a los operadores humanos para que se concentren en vectores de ataque verdaderamente novedosos, sofisticados y matizados.
3. Cerrar el círculo: corrección y validación impulsadas por la IA
Encontrar una vulnerabilidad no es suficiente si todavía lleva semanas solucionarla. Los adversarios aprovechan este retraso.
Por eso es tan importante el papel de PlexTrac a la hora de cerrar el ciclo. La gestión de la exposición no puede detenerse en la detección. Debe extenderse a la remediación y validación.
Cuando se identifica una ruta explotable, los flujos de trabajo habilitados por IA dentro de una plataforma de gestión de exposición pueden ayudar a que ese problema se convierta en acción más rápido:
Contexto instantáneo y creación de tickets
En el momento en que se valida una ruta crítica, se puede generar un ticket de solución detallado en sistemas como Jira o ServiceNow, completo con pasos de reproducción, contexto de gravedad y acción requerida.
Actualizaciones automáticas de políticas
Si un firewall está mal configurado, el cambio de configuración necesario se puede redactar y preparar para la aprobación humana antes de la implementación.
Gestión de parches orquestada
Para las vulnerabilidades críticas, el flujo de trabajo puede priorizar el parche, respaldar las pruebas en la etapa de preparación y acelerar la implementación para reducir el tiempo medio de reparación.
Validación automatizada
Los agentes pueden validar si los controles implementados para solucionar un problema realmente han surtido efecto, lo que ayuda a los equipos a reducir el riesgo y, al mismo tiempo, obtener un mejor valor de su pila de seguridad existente.
Al integrar el equipo rojo, la remediación y la validación impulsados por Agentic AI en una plataforma de gestión de exposición, PlexTrac brinda a las organizaciones la capacidad de luchar contra la IA con IA. Así es como los equipos de seguridad pasan de una vulnerabilidad constante a una postura de seguridad demostrable y continua.
Un nuevo camino a seguir para la resiliencia en ciberseguridad
La resiliencia de la ciberseguridad ahora depende de un conocimiento proactivo, una validación continua y la capacidad de avanzar más rápido de lo que permiten los flujos de trabajo manuales. El objetivo es pasar de una postura caótica y reactiva a una que sea intencional, resiliente y mensurable.
PlexTrac se centra en ayudar a los equipos de seguridad a hacer ese cambio combinando la gestión de exposición unificada con capacidades impulsadas por IA que automatizan lo tedioso, consolidan lo fragmentado y aceleran la acción.
La carrera armamentista de la IA ya está aquí.
La pregunta ya no es si las organizaciones serán atacadas por actores de amenazas que utilizan IA. La pregunta es si desarrollarán la resiliencia, el conocimiento y la autonomía limitada necesarios para resistirlos.
Nota:Este artículo fue escrito y contribuido de manera experta por Rohit Unnikrishnan, director de productos y tecnología de PlexTrac. Rohit es un experimentado ejecutivo de seguridad cibernética con experiencia en gestión de productos, análisis de mercado, estrategia, ventas e ingeniería. Durante las últimas dos décadas, ha desempeñado muchas funciones: ingeniero, operador, ventas, gerente de producto y empresario. Con su diversa experiencia, aporta una capacidad única para gestionar equipos multifuncionales y ejecutar compromisos multidisciplinarios.
¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
Un hacker entregó brevemente malware esta semana a través de un popular proyecto de código abierto para desarrolladores de software que tiene aproximadamente 100 millones de descargas semanales, lo que aumenta la posibilidad de que los compromisos se propaguen ampliamente a través de un ataque a la cadena de suministro.
Axios es una biblioteca cliente de JavaScript que se utiliza en solicitudes web. El atacante desconocido secuestró la cuenta npm (npm es un administrador de paquetes para JavaScript) del principal mantenedor de axios y luego publicó versiones maliciosas de axios con troyanos de acceso remoto en npm. Eso sucedió el domingo por la noche hasta el lunes por la mañana, empresa de ciberseguridad. Cazadora dijo, antes de que se sacaran las versiones envenenadas.
Aikidootra empresa de seguridad, lo calificó como «uno de los ataques a la cadena de suministro de npm más impactantes jamás registrados». Los investigadores de un gran número de empresas cibernéticas han hecho sonar las alarmas sobre el ataque, entre ellas Paso de seguridad, Enchufe, Laboratorios Endor y otros.
Según Step Security, las versiones maliciosas “axios@1.14.1” y “axios@0.30.4” inyectan una nueva dependencia de software, Plain-crypto-js@4.2.1, que actúa como cargador del malware. Está dirigido a dispositivos MacOS, Windows y Linux.
Pero, aunque los investigadores lo describen como malware, señalan que «no hay líneas de código malicioso dentro del propio axios». Más bien, el software simplemente funciona según lo diseñado o rediseñado.
“Ambas versiones envenenadas inyectan una dependencia falsa… nunca importada a ninguna parte de la fuente de axios, cuyo único propósito es ejecutar un [post installation] script que implementa un troyano de acceso remoto multiplataforma”, escribió Ashish Kurmi, director de tecnología y fundador de Step Security.
Feross Aboukhadijeh, director ejecutivo y fundador de Socket, calificó la situación como “un compromiso vivo” con un amplio radio potencial de explosión.
«Este es un software malicioso instalador de la cadena de suministro de libros de texto», Aboukhadijeh escribió el lunes X por la nochey agrega sobre las versiones maliciosas que «Cada instalación de npm que extrae la última versión está potencialmente comprometida en este momento».
El paquete de software introducido por las versiones maliciosas de axios tiene cargas útiles integradas que evaden los métodos estáticos de análisis de ciberseguridad y confunden a los revisores humanos, y elimina y cambia el nombre de los artefactos para destruir la evidencia forense.
Aboukhadijeh dio consejos contundentes a cualquiera que haya descargado o usado axios al menos durante la semana pasada.
«Si usa axios, fije su versión inmediatamente y audite sus archivos de bloqueo», escribió. «No actualice».
Kurmi describió el ataque como de “precisión”, y señaló que la dependencia maliciosa se realizó con menos de 24 horas de anticipación y que ambas versiones maliciosas fueron envenenadas en la misma hora.
Dado el período de tiempo durante el cual las versiones maliciosas de axios estuvieron en línea, eso podría traducirse en aproximadamente 600.000 descargas, dijo Joshua Wright, miembro de la facultad del Instituto SANS y director técnico senior de Counter Hack Innovations.
«Esa es una gran cantidad de compromisos, y tan pronto como se instala el software, se eliminan las credenciales de acceso, por lo que ahora los actores de amenazas podrían recurrir a AWS y a otros paquetes de GitHub a través de claves de GitHub eliminadas, y esa es la parte que es realmente difícil de articular», dijo a CyberScoop, advirtiendo que las consecuencias podrían extenderse durante semanas. «Vamos a ver más y más historias sobre personas que se dan cuenta de que han sido violadas, ya que hoy están tratando de descubrir cuál es el impacto de eso».
Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un día cero como parte de una campaña dirigida a entidades gubernamentales en el sudeste asiático denominada Verdadero Caos.
La vulnerabilidad en cuestión es CVE-2026-3502 (Puntuación CVSS: 7,8), falta de verificación de integridad al recuperar el código de actualización de la aplicación, lo que permite a un atacante distribuir una actualización manipulada, lo que resulta en la ejecución de código arbitrario. Se ha parcheado en el cliente TrueConf de Windows a partir de versión 8.5.3lanzado a principios de este mes.
«La falla surge del abuso del mecanismo de validación del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf local distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados», Check Point dicho en un informe publicado hoy.
En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf local puede sustituir el paquete de actualización por una versión envenenada, que luego es extraída por la aplicación cliente instalada en los terminales de los clientes, debido al hecho de que no aplica una validación adecuada para garantizar que la actualización proporcionada por el servidor no haya sido manipulada.
Se ha descubierto que la campaña TrueChaos utiliza esta falla en el mecanismo de actualización como arma para probablemente implementar el marco de comando y control (C2) de código abierto Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del nexo chino.
Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de actualización se utilizó como arma para impulsar un instalador fraudulento que, a su vez, aprovecha la carga lateral de DLL para lanzar una puerta trasera de DLL.
También se ha observado que el implante DLL («7z-x64.dll») realiza acciones prácticas en el teclado para realizar reconocimiento, configurar la persistencia y recuperar cargas útiles adicionales («iscsiexe.dll») desde un servidor FTP («47.237.15).[.]197»). El objetivo principal de «iscsiexe.dll» es garantizar la ejecución de un binario benigno («poweriso.exe») que se coloca para cargar la puerta trasera.
Aunque no está claro cuál es el malware exacto de la etapa final entregado como parte del ataque, se evalúa con alta confianza que el objetivo final es implementar el implante Havoc.
Los vínculos de TrueChaos con un actor de amenazas del nexo chino se basan en las tácticas observadas, como el uso de carga lateral de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.
Además de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste asiático en 2025.
«La explotación de CVE-2026-3502 no requirió que el atacante comprometiera cada punto final individualmente», dijo Check Point. «En cambio, el atacante abusó de la relación de confianza entre un servidor central TrueConf local y sus clientes. Al reemplazar una actualización legítima por una maliciosa, convirtieron el flujo de actualización normal del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas».
Los usuarios de habla china son el objetivo de una campaña activa que utiliza dominios con errores tipográficos que se hacen pasar por marcas de software confiables para entregar un troyano de acceso remoto previamente indocumentado llamado AtlasCross RAT.
«La operación cubre clientes VPN, mensajería cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electrónico, con once dominios de entrega confirmados que se hacen pasar por marcas como Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams y otras», dijo la empresa de ciberseguridad con sede en Alemania Hexastrike. dicho en un informe publicado la semana pasada.
La actividad se ha atribuido a un grupo de cibercrimen chino llamado Silver Fox, al que también se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El descubrimiento de AtlasCross RAT representa una evolución del arsenal del actor de amenazas a partir de derivados de Gh0st RAT como ValleyRAT (también conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins).
Las cadenas de ataques implican el uso de sitios web falsos como señuelo para engañar a los usuarios para que descarguen archivos ZIP que contienen un instalador que coloca un binario troyanizado de Autodesk junto con la aplicación señuelo legítima.
El instalador troyanizado de AutoDesk, a su vez, inicia un cargador de código shell que descifra una configuración integrada de Gh0st RAT para extraer los detalles de comando y control (C2) y luego descarga una carga útil de código shell de segunda etapa desde «bifa668″.[.]com» a través de TCP en el puerto 9899, lo que finalmente conduce a la ejecución de AtlasCross RAT en la memoria.
La mayoría de los sitios web falsos se registraron en un solo día, el 27 de octubre de 2025, lo que indica un enfoque deliberado detrás de la campaña. La lista de dominios de entrega de malware confirmados se muestra a continuación:
aplicación-zoom.com (Zoom)
eyy-eyy.com (desconocido)
kefubao-pc.com (KeFuBao, un software chino de atención al cliente para comercio electrónico)
quickq-quickq.com (QuickQ VPN)
signal-signal.com (Señal)
telegrtam.com.cn (Telegrama)
trezor-trezor.com (Trezor)
ultraviewer-cn.com (UltraViewer)
wwtalk-app.com (WangWang)
www-surfshark.com (VPN de Surfshark)
www-teams.com (equipos de Microsoft)
Se ha descubierto que todos los paquetes de instalación identificados llevan el mismo certificado de firma de código de validación extendida robado emitido a DUC FABULOUS CO.,LTD, una entidad vietnamita registrada en Hanoi. El hecho de que el mismo certificado haya sido usado en otras campañas de malware no relacionadas ha planteado la posibilidad de una reutilización generalizada dentro del ecosistema cibercriminal para dar a las cargas maliciosas un barniz de legitimidad y eludir los controles de seguridad.
«El RAT incorpora el marco PowerChell, un motor de ejecución nativo de C/C++ PowerShell que aloja .NET CLR directamente dentro del proceso de malware y desactiva AMSI, ETW, modo de lenguaje restringido y el registro de ScriptBlock antes de ejecutar cualquier comando», dijo Hexastrike. «El tráfico C2 se cifra con ChaCha20 utilizando claves aleatorias por paquete generadas mediante RNG de hardware».
AtlasCross RAT viene con capacidades para facilitar la inyección de DLL dirigida en WeChat, secuestro de sesiones RDP, terminación activa de conexiones a nivel TCP de productos de seguridad chinos (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager) en lugar de utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD), operaciones de archivos y shell, y creación persistente de tareas programadas.
«AtlasAgent/AtlasCross RAT representa la evolución actual de las herramientas del grupo, basándose en las bases del protocolo Gh0st RAT consistentes con el linaje ValleyRAT y Winos 4.0», añadió la compañía. «La incorporación del marco PowerChell y una cadena de derivación de seguridad integral marca una mejora significativa de la capacidad».
En un informe publicado a principios de este mes, el proveedor de seguridad chino Knownsec 404 caracterizó a Silver Fox como una de las «amenazas cibernéticas más activas» de los últimos años, dirigida al personal directivo y financiero de las organizaciones a través de WeChat, QQ, correos electrónicos de phishing y sitios de herramientas falsas para infectarlos con malware que permita el control remoto, el robo de datos y el fraude financiero.
«La estrategia de dominios de Silver Fox depende de una gran imitación de los dominios oficiales combinados con un etiquetado regional para eliminar las sospechas de los usuarios», dijo la empresa. dicho. «Los operadores utilizan un enfoque múltiple (errores tipográficos, secuestro de dominios y manipulación de DNS) para crear una fachada de legitimidad».
También se ha observado que campañas de ataque recientes pasan de ValleyRAT entregado a través de archivos adjuntos PDF maliciosos en correos electrónicos de phishing dirigidos a organizaciones taiwanesas a abusar de una herramienta china legítima pero mal configurada de monitoreo y administración remota (RMM) llamada SyncFuture TSM, y luego a implementar un ladrón basado en Python disfrazado de una aplicación de WhatsApp.
Estos ataques se han dirigido a entidades en Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde al menos diciembre de 2025. Algunos aspectos de la campaña fueron destacados previamente por eSentire en enero de 2026, y los ataques utilizaron señuelos con temas fiscales para apuntar a usuarios indios con el malware Blackmoon.
El uso de ValleyRAT por parte de Silver Fox junto con herramientas RMM y un ladrón personalizado destaca un arsenal flexible que permite al adversario adaptar rápidamente sus cadenas de infección y realizar operaciones estratégicas avanzadas en conjunto con campañas con fines de lucro en el sur de Asia, mientras mantiene el acceso a largo plazo a los sistemas comprometidos.
«El grupo mantiene un modelo de doble vía, ejecutando campañas amplias y oportunistas junto con sus operaciones más sofisticadas mediante la evolución continua de sus herramientas», dijo la empresa francesa de ciberseguridad Sekoia. dicho. «La segunda y tercera campañas basadas en la herramienta RMM y el ladrón Python parecen alinearse más estrechamente con el cibercrimen oportunista que con las operaciones APT».
A partir de la semana pasada, el grupo de hackers también ha sido atribuido a una campaña activa de phishing que utiliza señuelos persuasivos de phishing relacionados con violaciones de cumplimiento tributario, ajustes salariales, cambios de puesto de trabajo y planes de propiedad de acciones de los empleados para identificar a los fabricantes japoneses y otras empresas e infectarlos con ValleyRAT.
«Una vez implementado, ValleyRAT permite al actor tomar control remoto de la máquina comprometida, recopilar información confidencial, monitorear la actividad del usuario y mantener la persistencia en el entorno objetivo», ESET dicho. «Esto puede permitir al atacante profundizar en la red, robar datos confidenciales o preparar etapas adicionales de un ataque».
Los investigadores de ciberseguridad han revelado un «punto ciego» de seguridad en la plataforma Vertex AI de Google Cloud que podría permitir que un atacante utilice agentes de inteligencia artificial (IA) para obtener acceso no autorizado a datos confidenciales y comprometer el entorno de nube de una organización.
Según la Unidad 42 de Palo Alto Networks, el problema se relaciona con cómo se puede hacer un mal uso del modelo de permisos de Vertex AI aprovechando la agente de servicioEl alcance excesivo del permiso de forma predeterminada.
«Un agente mal configurado o comprometido puede convertirse en un ‘agente doble’ que parece cumplir su propósito previsto, mientras extrae secretamente datos confidenciales, compromete la infraestructura y crea puertas traseras en los sistemas más críticos de una organización», dijo el investigador de la Unidad 42, Ofir Shaty. dicho en un informe compartido con The Hacker News.
Específicamente, la empresa de ciberseguridad descubrió que el agente de servicio por proyecto y por producto (P4SA) asociado con un agente de IA implementado creado con el kit de desarrollo de agentes de Vertex AI (ADK) tenía permisos excesivos otorgados de forma predeterminada. Esto abrió la puerta a un escenario en el que los permisos predeterminados de P4SA podrían usarse para extraer las credenciales de un agente de servicio y realizar acciones en su nombre.
Después de implementar el agente Vertex a través de Motor de agentecualquier llamada al agente invoca el servicio de metadatos de Google y expone las credenciales del agente de servicio, junto con el proyecto de Google Cloud Platform (GCP) que aloja al agente de IA, la identidad del agente de IA y los alcances de la máquina que aloja al agente de IA.
La Unidad 42 dijo que pudo usar las credenciales robadas para saltar del contexto de ejecución del agente de IA al proyecto del cliente, socavando efectivamente las garantías de aislamiento y permitiendo el acceso de lectura sin restricciones a todos los datos de los depósitos de Google Cloud Storage dentro de ese proyecto.
«Este nivel de acceso constituye un riesgo de seguridad significativo, transformando al agente de IA de una herramienta útil a una potencial amenaza interna», añadió.
Eso no es todo. Con el Vertex AI Agent Engine implementado ejecutándose dentro de un proyecto de inquilino administrado por Google, las credenciales extraídas también otorgaron acceso a los depósitos de Google Cloud Storage dentro del inquilino, ofreciendo más detalles sobre la infraestructura interna de la plataforma. Sin embargo, se descubrió que las credenciales carecían de los permisos necesarios para acceder a los depósitos expuestos.
Para empeorar las cosas, las mismas credenciales del agente de servicio P4SA también permitieron el acceso a repositorios restringidos de Artifact Registry propiedad de Google que se revelaron durante la implementación de Agent Engine. Un atacante podría aprovechar este comportamiento para descargar imágenes de contenedores de repositorios privados que constituyen el núcleo de Vertex AI Reasoning Engine.
Es más, las credenciales de P4SA comprometidas no solo permitieron descargar imágenes que aparecían en los registros durante la implementación de Agent Engine, sino que también expusieron el contenido de los repositorios de Artifact Registry, incluidas varias otras imágenes restringidas.
«Obtener acceso a este código propietario no sólo expone la propiedad intelectual de Google, sino que también proporciona al atacante un modelo para encontrar más vulnerabilidades», explicó la Unidad 42.
«El Artifact Registry mal configurado resalta una falla adicional en la gestión del control de acceso para la infraestructura crítica. Un atacante podría potencialmente aprovechar esta visibilidad no intencionada para mapear la cadena de suministro de software interna de Google, identificar imágenes obsoletas o vulnerables y planificar futuros ataques».
Google desde entonces actualizó su documentación oficial para explicar claramente cómo Vertex AI utiliza los recursos, las cuentas y los agentes. El gigante tecnológico también recomendó que los clientes utilicen Traiga su propia cuenta de servicio (BYOSA) para reemplazar al agente de servicio predeterminado y hacer cumplir el principio de privilegio mínimo (PoLP) para garantizar que el agente tenga solo los permisos que necesita para realizar la tarea en cuestión.
«Otorgar a los agentes permisos amplios de forma predeterminada viola el principio de privilegio mínimo y es una falla de seguridad peligrosa por diseño», dijo Shaty. «Las organizaciones deben tratar la implementación de agentes de IA con el mismo rigor que el nuevo código de producción. Validar los límites de permisos, restringir los alcances de OAuth al mínimo privilegio, revisar la integridad de la fuente y realizar pruebas de seguridad controladas antes del lanzamiento de la producción».
El popular cliente HTTP conocido como axios ha sufrido un ataque a la cadena de suministro después de que dos versiones recientemente publicadas del paquete npm introdujeran una dependencia maliciosa.
Se ha descubierto que las versiones 1.14.1 y 0.30.4 de Axios inyectan «cripto-js simple» versión 4.2.1 como una dependencia falsa.
Según StepSecurity, las dos versiones fueron publicado utilizando las credenciales npm comprometidas del mantenedor principal de Axios («jasonsaayman»), lo que permite a los atacantes eludir la canalización CI/CD de GitHub Actions del proyecto.
«Su único propósito es ejecutar un script posterior a la instalación que actúa como un gotero de troyano de acceso remoto (RAT) multiplataforma, dirigido a macOS, Windows y Linux», dijo el investigador de seguridad Ashish Kurmi. dicho. «El dropper contacta con un servidor de comando y control en vivo y entrega cargas útiles de segunda etapa específicas de la plataforma. Después de la ejecución, el malware se elimina y reemplaza su propio paquete.json con una versión limpia para evadir la detección forense».
Los usuarios que tengan instaladas las versiones 1.14.1 o 0.30.4 de Axios deben rotar sus secretos y credenciales con efecto inmediato y bajar a una versión segura (1.14.0 o 0.30.3). Las versiones maliciosas, así como «plain-crypto-js», ya no están disponibles para descargar desde npm.
Con más de 83 millones de descargas semanales, Axios es uno de los clientes HTTP más utilizados en el ecosistema JavaScript en marcos frontend, servicios backend y aplicaciones empresariales.
«Esto no fue oportunista», añadió Kurmi. «La dependencia maliciosa se organizó con 18 horas de anticipación. Se preconstruyeron tres cargas útiles separadas para tres sistemas operativos. Ambas ramas de lanzamiento fueron atacadas en 39 minutos. Cada rastro fue diseñado para autodestruirse».
La cronología del ataque es la siguiente:
30 de marzo de 2026, 05:57 UTC: se publica una versión limpia del paquete «plain-crypto-js@4.2.0».
30 de marzo de 2026, 23:59 UTC: se publica una nueva versión («plain-crypto-js@4.2.1») con la carga útil agregada.
31 de marzo de 2026, 00:21 UTC: se publica una nueva versión de Axios («axios@1.14.1») que inyecta «plain-crypto-js@4.2.1» como una dependencia de tiempo de ejecución utilizando la cuenta comprometida «jasonsaayman».
31 de marzo de 2026, 01:00 UTC: se publica una nueva versión de Axios («axios@0.30.4») que inyecta «plain-crypto-js@4.2.1» como una dependencia de tiempo de ejecución utilizando la cuenta comprometida «jasonsaayman».
Según StepSecurity, se dice que el actor de amenazas detrás de la campaña comprometió la cuenta npm de «jasonsaayman» y cambió su dirección de correo electrónico registrada a una dirección de Proton Mail bajo su control («ifstap@proton.me»). El «plain-crypto-js» fue publicado por un usuario de npm llamado «nrwise» con la dirección de correo electrónico «nrwise@proton.me».
Se cree que el atacante obtuvo un token de acceso npm clásico de larga duración para que la cuenta tomara el control y publicara directamente versiones envenenadas de Axios en el registro.
El malware incrustado, por su parte, se lanza a través de un dropper ofuscado de Node.js («setup.js») y está diseñado para ramificarse en una de las tres rutas de ataque basadas en el sistema operativo:
En macOS, ejecuta una carga útil AppleScript para recuperar un binario troyano de un servidor externo («sfrclak.com:8000»), guardarlo como «/Library/Caches/com.apple.act.mond», cambiar sus permisos para hacerlo ejecutable y ejecutarlo en segundo plano a través de /bin/zsh. El archivo AppleScript se elimina después de la ejecución para cubrir las pistas.
En Windows, localiza la ruta binaria de PowerShell, la copia en «%PROGRAMDATA%\wt.exe» (disfrazándola de la aplicación Terminal de Windows), escribe un script de Visual Basic (VBScript) en el directorio temporal y lo ejecuta. VBScript se pone en contacto con el mismo servidor para buscar un script PowerShell RAT y ejecutarlo. El archivo descargado se elimina.
En otras plataformas (por ejemplo, Linux), el dropper ejecuta un comando de shell a través de execSync de Node.js para recuperar un script Python RAT del mismo servidor y guardarlo en «/tmp/ld.py,» y ejecútelo en segundo plano usando el comando nohup.
«Cada plataforma envía un cuerpo POST distinto a la misma URL C2: paquetes.npm.org/product0 (macOS), paquetes.npm.org/product1 (Windows), paquetes.npm.org/product2 (Linux)», dijo StepSecurity. «Esto permite que el servidor C2 proporcione una carga útil apropiada para la plataforma en respuesta a un único punto final».
El binario de segunda etapa descargado para macOS es un RAT C++ que toma huellas digitales del sistema y envía señales a un servidor remoto cada 60 segundos para recuperar comandos para su posterior ejecución. Admite capacidades para ejecutar cargas útiles adicionales, ejecutar comandos de shell, enumerar el sistema de archivos y finalizar la RAT.
Una vez que se inicia la carga útil principal, el malware Node.js también toma medidas para realizar tres pasos de limpieza forense: eliminando el script postinstalación del directorio del paquete instalado, eliminando el «package.json», que hace referencia al gancho postinstalación para iniciar el cuentagotas, y cambiando el nombre de «package.md» a «package.json».
Vale la pena señalar que el archivo «package.md» está incluido en «plain-crypto-js» y es un manifiesto «package.json» limpio sin el gancho postinstalación que desencadena todo el ataque. Al cambiar los manifiestos del paquete, la idea es evitar generar señales de alerta durante la inspección posterior a la infección del paquete.
«Ninguna versión maliciosa contiene una sola línea de código malicioso dentro del propio Axios», dijo StepSecurity. «En cambio, ambos inyectan una dependencia falsa, Plain-crypto-js@4.2.1, un paquete que nunca se importa a ninguna parte del código fuente de Axios, cuyo único propósito es ejecutar un script posterior a la instalación que implementa un troyano de acceso remoto multiplataforma (RAT)».
Se recomienda a los usuarios que realicen las siguientes acciones para determinar el compromiso:
Busque las versiones maliciosas de Axios.
Compruebe si hay artefactos RAT: «/Library/Caches/com.apple.act.mond» (macOS), «%PROGRAMDATA%\wt.exe» (Windows) y «/tmp/ld.py» (Linux).
Cambie a las versiones 1.14.0 o 0.30.3 de Axios.
Elimine «plain-crypto-js» del directorio «node_modules».
Si se detectan artefactos RAT, asuma un compromiso y rote todas las credenciales en el sistema.
Audite las canalizaciones de CI/CD en busca de ejecuciones que instalaron las versiones afectadas.
Bloquear el tráfico de salida al dominio de comando y control («sfrclak[.]es»)
Socket, en su propio análisis del ataque, dijo que identificó dos paquetes adicionales que distribuyen el mismo malware a través de dependencias proporcionadas:
En el caso de «@shadanai/openclaw», el paquete malicioso «plain-crypto-js» está incrustado en lo profundo de una ruta proporcionada. Por otro lado, «@qqbrowser/openclaw-qbot@0.0.130» incluye un «axios@1.14.1» manipulado en sus node_modules.
«El axios real tiene sólo tres dependencias (follow-redirects, form-data, proxy-from-env)», la empresa de seguridad de la cadena de suministro dicho. «La adición de Plain-crypto-js es una manipulación inequívoca. Cuando npm procesa este axios suministrado, instala Plain-crypto-js y activa la misma cadena de postinstalación maliciosa».
