marzo 2026 – Página 10

Los federales mantienen los ojos bien abiertos ante los ciberataques de Irán y responden a la violación de Stryker

Los funcionarios cibernéticos federales no están viendo un cambio significativo en los ataques vinculados a Irán desde que comenzó el conflicto, al menos no todavía, pero están atentos a cualquier repunte y se están centrando en el ataque Stryker en particular.

Terry Kalka, director del Entorno de Intercambio de Información Colaborativo de la Base Industrial de Defensa en el Centro de Delitos Cibernéticos del Departamento de Defensa, dijo el jueves que «hay algunos indicadores básicos, hay algunas tácticas, técnicas y procedimientos conocidos», pero «todavía no estamos viendo una enorme cantidad de impacto».

Ese sentimiento se alinea con lo que el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Nick Andersen, dijo a los periodistas el martes: «Todavía estamos viendo un estado estable. No hemos visto un aumento ni ningún aumento en la actividad de los actores de amenazas».

Pero ambos hombres dijeron que están monitoreando para ver si eso cambia. «Estamos muy alerta ante, si no Irán, actores influenciados por Irán», dijo Kalka a CyberScoop en la Cumbre del Sector Público Elastic.

El jueves, CISA recomendaciones emitidas vinculado al ciberataque de este mes contra el fabricante de dispositivos médicos Stryker, la actividad cibernética más llamativa con vínculos con Irán después de que un grupo de hackers iraní conocido como Handala se atribuyera el crédito por el ataque.

CISA instó a las organizaciones a mejorar sus defensas de los sistemas de gestión de terminales después de que el ataque provocara interrupciones globales en el entorno Microsoft de Stryker. CISA hizo varias recomendaciones, incluida la de configurar salvaguardas en la herramienta de administración de terminales Intune de Microsoft.

Stryker tiene contratos con el Departamento de Defensa.

«Todos estamos prestando atención al incidente de Stryker que estalló la semana pasada, porque tiene implicaciones para la tecnología de las comunicaciones y la información privada o corporativa que, incluso si no es información de defensa, obtener acceso al correo electrónico de alguien y comprender la infraestructura de la empresa es muy, muy útil», dijo Kalka.

Andersen dijo que CISA ha estado en contacto con Stryker, al igual que el FBI. El jueves se informó que el FBI y el Departamento de Justicia eliminó dos sitios web vinculado a Handala.

Andersen dijo, sin embargo, que el enfoque de la agencia no cambia mucho debido al conflicto.

«Simplemente no podemos quitar la vista del hecho de que otros adversarios continúan realizando maniobras en este espacio», dijo en un evento organizado por el Instituto McCrary de la Universidad de Auburn. «Los grupos cibercriminales continúan avanzando en este espacio. No se trataba sólo de un estado-nación en un momento determinado. Vemos una motivación persistente en todos los ámbitos para que las personas puedan aprovechar las debilidades cibernéticas en toda la infraestructura crítica y nuestros entornos de TI tradicionales».

CISA ha despedido a cientos de empleados mientras el Congreso continúa un enfrentamiento sobre la financiación para el Departamento de Seguridad Nacional sobre la administración Trump enfoque de aplicación de la ley de inmigración.

admin Noticias, Trending Abuse Citrix CYBERDEFENSA.MX exploits FortiGate LiveChat MCP Phish RaaS

FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More – CYBERDEFENSA.MX

ThreatsDay Bulletin is back on The Hacker News, and this week feels off in a familiar way. Nothing loud, nothing breaking everything at once. Just a lot of small things that shouldn’t work anymore but still do.

Some of it looks simple, almost sloppy, until you see how well it lands. Other bits feel a little too practical, like they’re already closer to real-world use than anyone wants to admit. And the background noise is getting louder again, the kind people usually ignore.

A few stories are clever in a bad way. Others are just frustratingly avoidable. Overall, it feels like quiet pressure is building in places that matter.

Skim it or read it properly, but don’t skip this one.

Emerging RaaS exploiting FortiGate flaws

Group-IB has shed light on the various tactics adopted by The Gentlemen, a nascent Ransomware-as-a-Service (RaaS) operation that consists of about 20 members. It originated from a payment dispute after its operator «hastalamuerte» opened a public arbitration thread on the RAMP cybercrime forum, accusing Qilin ransomware operators of unpaid affiliate commission amounting to $48,000. The group primarily uses CVE-2024-55591, a critical authentication bypass vulnerability in FortiOS/FortiProxy, for initial access. «The group maintains an operational database of approximately 14,700 already exploited FortiGate devices globally,» the company said. «Separate from exploited devices, the operators maintain 969 validated brute-forced FortiGate VPN credentials ready for attack.» The Gentlemen also employs defense evasion via the bring your own vulnerable driver (BYOVD) technique to terminate security processes at the kernel level. About 94 organizations have already been attacked by this threat group since its emergence in July/August 2025.
Pre-auth RCE chain in ITSM platform

Four security flaws (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259, and CVE-2025-71260) have been disclosed in BMC FootPrints, a widely deployed ITSM solution, that could be chained into pre-authentication remote code execution. The attack sequence begins with an authentication bypass (CVE-2025-71257) that extracts a guest session token («SEC_TOKEN») from the password reset endpoint, which is then used to reach an unsanitized Java deserialization sink (CVE-2025-71260) in the «/aspnetconfig» endpoint’s «__VIEWSTATE» parameter. Exploitation via the AspectJWeaver gadget chain enables arbitrary file write to the Tomcat web root directory, achieving full remote code execution. Armed with the SEC_TOKEN, an attacker could also exploit two SSRF flaws (CVE-2025-71258 and CVE-2025-71259) and potentially leak internal data. The issues were addressed in September 2025.
Loader deploys stealthy C2 malware

The malware loader known as Hijack Loader is being used to deliver a previously undocumented, C++-based command-and-control (C2) framework known as SnappyClient. «SnappyClient has an extended list of capabilities, including taking screenshots, keylogging, a remote terminal, and data theft from browsers, extensions, and other applications,» Zscaler ThreatLabz said. «SnappyClient employs multiple evasion techniques to hinder endpoint security detection, including an Antimalware Scan Interface (AMSI) bypass, as well as implementing Heaven’s Gate, direct system calls, and transacted hollowing. SnappyClient receives two configuration files from the C2 server, which contain a list of actions to perform when a specified condition is met, along with another that specifies applications to target for data theft.» The framework was first discovered in December 2025. The attack chain involves the distribution of malicious payloads after a user visits a website impersonating the Spanish telecom firm Telefónica. It’s assessed that the primary use for SnappyClient is cryptocurrency theft, with a possible connection between the developers of HijackLoader and SnappyClient based on observed code similarities.
Deep link abuse enables command execution

Proofpoint has detailed a new technique called CursorJack that abuses Cursor’s support for Model Context Protocol (MCP) deep links to enable local command execution or allow installation of a malicious remote MCP server. The attack takes advantage of the fact that MCP servers commonly specify a command in their «mcp.json» configuration. «The cursor:// protocol handler could be abused through social engineering in specific configurations,» the company said. «A single click followed by user acceptance of an install prompt could result in arbitrary command execution. The technique could be leveraged both for local code execution via the command parameter or to install a malicious remote MCP server via the URL parameter.» The enterprise security firm has also released a proof-of-concept (PoC) exploit on GitHub.
Mass exploitation hits Citrix flaws

A new campaign is actively targeting known security flaws in Citrix NetScaler (CVE-2025-5777 and CVE-2023-4966). According to Defused Cyber, more than 500 exploit attempts have been recorded against its honeypot system on March 16, 2026. «Highly elevated exploit activity against older vulnerabilities can often precede a zero-day vulnerability,» it said.
Teams phishing grants remote access

Rapid7 said it’s seeing an increase in phishing campaigns where threat actors impersonate internal IT departments via Microsoft Teams. «The primary objective is to persuade users to launch Quick Assist, granting the TA remote access to deploy malware, exfiltrate data, or facilitate lateral movement across the network,» it added. «The recent surge in Teams-based delivery highlights a critical vulnerability in how organizations manage external access. Teams often allows any external user to message internal staff. This is the functional equivalent of operating an email server without a gateway filter.»
ClickFix delivers AutoHotKey backdoor

A new ClickFix-style campaign has compromised a Pakistani government website («wasafaisalabad.gop[.]pk») to deliver fake CAPTCHA lures. The attack chain installs an MSI installer via a disguised clipboard command, which drops an AutoHotKey-based backdoor polling a remote server for tasks, Gen Digital said. It’s currently not known how the website was breached. The social engineering tactic has proved so effective that even nation-state groups such as North Korea’s Lazarus group, Iran’s MuddyWater, and Russia’s APT28 have adopted it. In January, researchers from Sekoia reported that a separate ClickFix framework dubbed IClickFix had been injected into over 3,800 WordPress sites since 2024.
Stealer upgrade spreads via pirated games

The malware loader known as Hijack Loader is being used to deliver an updated version of an information stealer referred to as ACRStealer. «This updated variant follows similar evasion techniques and C2 initialization strategy to make it even stealthier,» G DATA said. «This integration with HijackLoader highlights ACRStealer’s versatility and modularity, which will likely attract more malicious actors to use it as a final payload.» In these campaigns, Hijack Loader is downloaded from the domain associated with PiviGames, a Spanish portal hosting pirated PC games. The development comes against the backdrop of another campaign that involved several cases of malware being distributed through PiviGames.
Live chat phishing steals sensitive data

A new phishing campaign has been observed using LiveChat, a customer service software featuring live messaging, to steal data. Phishing emails using refund-related themes are used to redirect users to a link hosted via LiveChat’s service («direct.lc[.]chat»), from where they are asked to click on a link sent in the chat to complete the refund by entering their personal and financial information. «Unlike typical refund scams or credential phishing, this campaign engages victims through a real-time chat interface, impersonating well-known brands in order to harvest sensitive data such as account credentials, credit card details, multi-factor authentication (MFA) codes, and other personally identifiable information (PII),» Cofense said.
RagaSerpent expands multi-region espionage

A SideWinder-adjacent cluster known as RagaSerpent is suspected to be leveraging tax audit and government compliance themes in spear-phishing emails to deliver multi-stage malware for command-and-control (C2) and establish sustained access across targeted organizations in Southeast Asia, including Indonesia and Thailand. The attack chain is consistent with a prior campaign targeting India using similar tax-related lures to deliver a legitimate enterprise tool called SyncFuture TSM, developed by a Chinese company. «This is not unusual in APT operations: in-country targeting can be used to complicate attribution (e.g., by creating noisy ‘domestic’ victimology) or to reach foreign diplomats/missions operating inside India—a pattern explicitly noted in reporting on SideWinder’s broader geographic targeting and diplomatic victim set,» ITSEC Asia said. The recent campaigns show the threat actor has expanded its operations beyond South Asia and into Africa, Europe, the Middle East, and Southeast Asia.
Unauthenticated access exposed device data

DJI has patched a security flaw in its backend that could have allowed attackers to take over all its Romo smart vacuums. Security researcher Sammy Azdoufal said DJI servers returned data for any device just by providing a device serial number. DJI shared the data on any device without any authentication or authorization. The researcher said he was able to map the locations of more than 7,000 Romo smart vacuums and 3,000 DJI portable power stations that shared the same server.
New password layer strengthens account security

WhatsApp has begun testing support for setting an alphanumeric account password. It can be anywhere between six and 20 characters long and should include at least one letter and one number. Adding an alphanumeric password to the equation is likely an effort to make brute-force attempts harder. For example, if a threat actor carries out a SIM swap to intercept messages and bypass two-factor authentication, they would still need to enter the 6-20 character-long password to gain access to the victim’s WhatsApp account.
Suspected ransomware group appears fabricated

More evidence has emerged that the 0APT ransom group is likely a fake and a fraud. «Thus far, the threat actor has not provided credible proof of ransomware or data exfiltration attacks as the data samples on the DLS appeared to be fabricated,» Intel 471 said. «For example, the files that supposedly contained metadata of data stolen from victim networks were unusually large, reaching several terabytes each. Additionally, partial downloads of those files indicated they did not contain any useful data, and in fact, we observed several instances in which the content contained a repeating pattern of null bytes.»
Google blocks millions of risky apps

Google rejected 1.75 million policy-violating Android apps and blocked more than 80,000 developer accounts from the Google Play Store in 2025, down from 2.36 million apps and 158,000 accounts in 2024. The company said that through 2025, it blocked more than 255,000 Android apps from obtaining excessive access to sensitive user data, and that it implemented more than 10,000 safety checks on published apps and strengthened detection capabilities by integrating Google’s latest generative artificial intelligence (AI) models into the review process. Android’s built-in security suite, Play Protect, which now scans over 350 billion apps every day, has identified over 27 million malicious apps sideloaded from outside Google Play. Play Protect’s ‘enhanced fraud protection’ has been expanded to cover over 2.8 billion Android devices in 185 markets, blocking 266 million installation attempts from 872,000 unique risky apps. In a related development, the tech giant has made available Scam Detection for phone calls on Google Pixel devices in the U.S., U.K., Australia, Canada, France, Germany, India, Ireland, Italy, Japan, Mexico, and Spain. It’s also being expanded to Samsung Galaxy S26 series in the U.S.
1% of flaws drove most attacks

A report from VulnCheck found that a mere 1% of 2025 CVEs were exploited in the wild by the end of the year. Network edge devices accounted for a third of all products exploited last year. «There was a small decrease (-13%) in new vulnerabilities linked to named state-sponsored threat groups and APTs over the course of 2025,» the cybersecurity company said. «New CVE exploits attributed to China-nexus groups increased while Iranian exploit activity fell.» Another report from IBM X-Force revealed that there has been a 44% increase in cyberattacks exploiting public-facing applications.
AOT malware evades analysis and detection

A previously undocumented attack chain delivered via a phishing URL has been found to distribute a ZIP archive containing a C++ trojan downloader, which then initiates a loader responsible for decrypting and staging the Rhadamanthys stealer and XMRig cryptocurrency miner. «The campaign’s core evasion relies on .NET Native Ahead-of-Time (AOT) compiled binaries, which strip traditional .NET metadata, frustrate common .NET analysis tools, and force analysts to fall back on native-level tooling, making detection and reverse engineering significantly harder,» Cyderes said. «Sophisticated anti-analysis capabilities: The AOT loader employs a sandbox scoring system evaluating RAM size, system uptime, user file counts, and AV process presence; virtual machine detection via registry inspection; and active suppression of miner activity when monitoring tools like Task Manager, Process Hacker, or x64dbg are detected.»
Secrets sprawl surges across GitHub

GitGuardian’s State of Secrets Sprawl report has found that 28,649,024 new secrets were added to public GitHub commits in 2025 alone, up 34% from the previous year. The figure also represents a 152% increase in leaked secrets growth since 2021. In 2025, AI service secrets reached 1,275,105, up 81% year-over-year. Also identified by GitGuardian were 24,008 unique secrets exposed in MCP-related configuration files across public GitHub, including 2,117 unique valid credentials.
Malicious themes inject ads and redirects

Six malicious Packagist packages posing as OphimCMS themes have been found to contain trojanized jQuery that exfiltrates URLs, injects full-screen overlay ads, and loads Funnull-linked redirects. The packages are ophimcms/theme-dy, ophimcms/theme-mtyy, ophimcms/theme-rrdyw, ophimcms/theme-pcc, ophimcms/theme-motchill, and ophimcms/theme-legend. «All six ship trojanized JavaScript assets, primarily disguised as legitimate jQuery libraries, that redirect visitors, exfiltrate URLs, inject ads, and in the most severe case load a second-stage payload – a mobile-targeted redirect to gambling and adult content sites, from infrastructure operated by Funnull,» Socket said.
Multi-stage phishing bypasses security filters

A C-level executive at Swedish security firm Outpost24 was targeted in a sophisticated phishing attack. The multi-chain redirect phishing campaign impersonated JPMorgan Chase to trick the recipient into reviewing a document by clicking on a link and triggering the infection. The link is a redirect URL hosted within Cisco’s infrastructure, which then initiates a series of URL redirects that leverage trusted services like Nylas as well as compromised legitimate infrastructure to bypass security filters and conceal the final phishing destination. «Several stages redirect victims through legitimate or previously reputable domains, reducing the likelihood that security scanners or reputation-based filtering will block the link,» Specops said. «The attackers went as far as to implement a legitimate Cloudflare-based ‘human validation’ step to ensure that only real people saw the actual landing page where credentials are requested.» The attack, ultimately unsuccessful, is said to have used a new phishing-as-a-service (PhaaS) toolkit named Kratos.

Some of this will fade by next week. Some of it won’t. That’s the annoying part, figuring out which “minor” thing quietly sticks around and turns into a real problem later.

Anyway, that’s the rundown. Take what you need, ignore what you can, and keep an eye on the stuff that feels a little too easy.

admin Noticias, Trending Android aplicaciones bancario confidenciales CYBERDEFENSA.MX datos extraer las malware monitorea notas nuevo para Perseus

El nuevo malware bancario Perseus para Android monitorea las aplicaciones de notas para extraer datos confidenciales – CYBERDEFENSA.MX

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
TvTApp (com.tvtapps.live) – Carga útil de Perseo
PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
parada_vncpara detener la sesión remota.
inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
parada_hvncpara detener la sesión remota.
enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
camisónpara silenciar el audio.
clic_coordpara realizar un toque en coordenadas de pantalla específicas.
instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

admin Noticias, Trending adquisición cero CYBERDEFENSA.MX DarkSword del días dispositivo explotación fallas iOS kit para total utiliza

El kit de explotación DarkSword iOS utiliza 6 fallas y 3 días cero para la adquisición total del dispositivo – CYBERDEFENSA.MX

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»

admin Noticias, Trending brinda Ceros Claude Code como control CYBERDEFENSA.MX equipos los seguridad visibilidad

Cómo Ceros brinda visibilidad y control a los equipos de seguridad en Claude Code – CYBERDEFENSA.MX

Los equipos de seguridad han pasado años creando controles de identidad y acceso para usuarios humanos y cuentas de servicio. Pero una nueva categoría de actor ha entrado silenciosamente en la mayoría de los entornos empresariales y opera completamente fuera de esos controles.

Claude Code, el agente de codificación de IA de Anthropic, ahora se ejecuta en organizaciones de ingeniería a escala. Lee archivos, ejecuta comandos de shell, llama a API externas y se conecta a integraciones de terceros llamadas servidores MCP. Hace todo esto de forma autónoma, con todos los permisos del desarrollador que lo lanzó, en la máquina local del desarrollador, antes de que cualquier herramienta de seguridad de capa de red pueda verlo. No deja ningún rastro de auditoría para cuya captura se construyó la infraestructura de seguridad existente.

Este tutorial cubre Ceros, una capa de confianza de IA creada por Más allá de la identidad que se encuentra directamente en la máquina del desarrollador junto con Claude Code y proporciona visibilidad en tiempo real, aplicación de políticas en tiempo de ejecución y un seguimiento de auditoría criptográfica de cada acción que realiza el agente.

El problema: Claude Code opera fuera de los controles de seguridad existentes

Antes de analizar el producto, es útil comprender por qué las herramientas existentes no pueden abordar este problema.

La mayoría de las herramientas de seguridad empresarial se encuentran en el borde de la red o en la puerta de enlace API. Estas herramientas ven el tráfico después de que sale de la máquina. Para cuando un SIEM ingiere un evento o un monitor de red señala tráfico inusual, Claude Code ya ha actuado: el archivo ya ha sido leído, el comando de shell ya se ha ejecutado y los datos ya se han movido.

El perfil de comportamiento de Claude Code agrava significativamente este problema. Vive de la tierra, utilizando herramientas y permisos que ya están en la máquina del desarrollador en lugar de traer los suyos propios. Se comunica a través de llamadas de modelos externos que parecen tráfico normal. Ejecuta secuencias complejas de acciones que ningún ser humano programó explícitamente. Y se ejecuta con todos los permisos heredados de quien lo lanzó, incluido el acceso a credenciales, sistemas de producción y datos confidenciales que los desarrolladores tienen en sus máquinas.

El resultado es una brecha que las herramientas de la capa de red estructuralmente no pueden cerrar: todo lo que Claude Code hace en la máquina local, antes de que cualquier solicitud abandone el dispositivo. Ahí es donde opera Ceros.

Primeros pasos: dos comandos, treinta segundos

Ceros está diseñado para que la instalación no interrumpa el flujo de trabajo del desarrollador. La configuración requiere dos comandos:

curl -fsSL https://agent.beyondidentity.com/install.sh | bash

ceros claude

El primer comando instala la CLI. El segundo lanza Claude Code a través de Ceros. Se abre una ventana del navegador, solicita una dirección de correo electrónico y envía un código de verificación de seis dígitos. Después de ingresar el código, Claude Code se inicia y funciona exactamente como antes. Desde la perspectiva del desarrollador, nada ha cambiado.

Para implementaciones en toda la organización, los administradores pueden configurar Ceros para que se solicite a los desarrolladores que se inscriban automáticamente cuando inicien Claude Code. La seguridad se vuelve invisible para el desarrollador, que es la única forma en que la seguridad se adopta a escala.

Una vez inscrito, antes de que Claude Code genere un único token, Ceros captura el contexto completo del dispositivo, incluido el sistema operativo, la versión del kernel, el estado de cifrado del disco, el estado de arranque seguro y el estado de protección del endpoint, todo en menos de 250 milisegundos. Captura la ascendencia completa del proceso de cómo se invocó Claude Code, con hashes binarios de cada ejecutable en la cadena. Y vincula la sesión a una identidad humana verificada a través de la plataforma de Beyond Identity, firmada con una clave criptográfica vinculada al hardware.

La consola: vea lo que Claude Code ha estado haciendo realmente

Después de registrar un dispositivo y ejecutar Claude Code normalmente durante unos días, navegar a la consola de administración de Ceros revela algo que la mayoría de los equipos de seguridad nunca antes habían visto: un registro completo de lo que Claude Code ha estado haciendo realmente en su entorno.

La vista de conversaciones muestra cada sesión entre un desarrollador y Claude Code en todos los dispositivos registrados, enumerados por usuario, dispositivo y marca de tiempo. Al hacer clic en cualquier conversación se muestra el intercambio completo entre el desarrollador y el agente. Pero entre las indicaciones y las respuestas, algo más es visible: llamadas a herramientas.

Cuando un desarrollador le pregunta a Claude Code algo tan simple como «¿qué archivos hay en mi directorio?», el LLM no simplemente sabe la respuesta. Le indica al agente que ejecute una herramienta en la máquina local, en este caso bash ls -la. Ese comando de shell se ejecuta en el dispositivo del desarrollador con los permisos del desarrollador. Una pregunta casual desencadena una ejecución real en una máquina real.

La vista Conversaciones muestra cada una de estas invocaciones de herramientas en cada sesión. Para la mayoría de los equipos de seguridad, esta es la primera vez que ven estos datos.

La vista Herramientas tiene dos pestañas. La pestaña Definiciones muestra todas las herramientas disponibles para Claude Code en el entorno inscrito, incluidas herramientas integradas como Bash, ReadFile, WriteFile, Edit y SearchWeb, así como todos los servidores MCP que los desarrolladores han conectado a sus agentes. Cada entrada incluye el esquema completo de la herramienta: las instrucciones dadas al LLM sobre lo que hace la herramienta y cómo invocarla.

La pestaña Llamadas muestra lo que realmente se ejecutó. No sólo lo que existe, sino lo que se invocó, con qué argumentos y lo que se devolvió. Los equipos de seguridad pueden profundizar en cualquier llamada de herramienta individual y ver el comando exacto que se ejecutó, los argumentos pasados y el resultado completo que se obtuvo.

La vista del servidor MCP Es donde muchos equipos de seguridad tienen su momento de descubrimiento más significativo. Los servidores MCP son la forma en que Claude Code se conecta a herramientas y servicios externos, incluidas bases de datos, Slack, correo electrónico, API internas e infraestructura de producción. Los desarrolladores los agregan de manera casual, pensando en la productividad más que en la seguridad. Cada uno es una ruta de acceso a datos que nadie revisó.

El panel de Ceros muestra cada servidor MCP conectado a Claude Code en todos los dispositivos registrados, cuándo se vio por primera vez, en qué dispositivos aparece y si ha sido aprobado. Para la mayoría de las organizaciones, la brecha entre lo que los equipos de seguridad asumieron que estaba conectado y lo que realmente está conectado es significativa.

Políticas: Aplicación de controles en el código Claude en tiempo de ejecución

La visibilidad sin gobernanza pone de manifiesto el riesgo, pero no lo previene. La sección de Políticas es donde Ceros pasa de la observabilidad a la aplicación, y donde la historia del cumplimiento se vuelve concreta.

Políticas en Ceros se evalúan en tiempo de ejecución, antes de que se ejecute la acción. Esta distinción es importante para el cumplimiento: el control opera en el momento de la acción, no reconstruido después del hecho.

Lista de permitidos del servidor MCP es la política de mayor impacto que la mayoría de las organizaciones escriben primero. Los administradores definen una lista de servidores MCP aprobados y configuran el valor predeterminado para bloquear todo lo demás. A partir de ese momento, cualquier instancia de Claude Code que intente conectarse a un servidor MCP no aprobado se bloquea antes de que se establezca la conexión y el intento se registra.

Políticas a nivel de herramienta Permitir a los administradores controlar qué herramientas Claude Code puede invocar y bajo qué condiciones. Una política puede bloquear completamente la herramienta Bash para equipos que no necesitan acceso de shell por parte de sus agentes. Puede permitir lecturas de archivos dentro del directorio del proyecto mientras bloquea lecturas en rutas confidenciales como ~/.ssh/ o /etc/. El motor de políticas evalúa no sólo qué herramienta se está utilizando sino también qué argumentos se están pasando, lo cual es la diferencia entre una política útil y un teatro de políticas.

Requisitos de postura del dispositivo sesiones de Gate Claude Code sobre el estado de seguridad de la máquina. Una política puede requerir que se habilite el cifrado de disco y que se ejecute la protección de endpoints antes de que se permita iniciar una sesión. Ceros reevalúa continuamente la postura del dispositivo durante toda la sesión, no solo al iniciar sesión. Si la protección de endpoints está deshabilitada mientras Claude Code está activo, Ceros lo ve y actúa en consecuencia según la política.

El registro de actividad: evidencia lista para auditoría

El Registro de actividad es donde Ceros se vuelve directamente relevante para los equipos de cumplimiento. Cada entrada no es simplemente un registro; es una instantánea forense del entorno en el momento exacto en que se invocó el Código Claude.

Una única entrada de registro contiene la postura de seguridad completa del dispositivo en ese momento, la ascendencia completa del proceso que muestra cada proceso en la cadena que invocó Claude Code, firmas binarias de cada ejecutable en esa ascendencia, la identidad del usuario a nivel de sistema operativo vinculada a un humano verificado y cada acción que Claude Code realizó durante la sesión.

Esto es importante para el cumplimiento porque los auditores exigen cada vez más pruebas de que los registros son inmutables. Los archivos de registro estándar que los administradores pueden editar no cumplen este requisito. Ceros firma cada entrada con una clave criptográfica vinculada al hardware antes de salir de la máquina. El registro no se puede modificar después del hecho.

Para los marcos que requieren registros de auditoría a prueba de manipulaciones, incluidos CC8.1 de SOC 2, AU-9 de FedRAMP, requisitos de control de auditoría de HIPAA y Requisito 10 de PCI-DSS v4.0, este es el artefacto de evidencia específico que satisface el control. Cuando un auditor solicita evidencia de monitoreo y controles de acceso a agentes de IA, la respuesta es una exportación desde el panel de Ceros que cubre todo el período de auditoría, firmada criptográficamente, con atribución de usuario y contexto del dispositivo en cada entrada.

Implementación de MCP administrada: estandarización de las herramientas de Claude Code en toda la organización

Para las organizaciones que desean estandarizar las herramientas disponibles para Claude Code en lugar de bloquear únicamente las no aprobadas, Ceros proporciona implementación de MCP administrada desde la consola de administración.

Los administradores pueden enviar servidores MCP aprobados a la instancia de Claude Code de cada desarrollador desde una única interfaz, sin necesidad de ninguna configuración del desarrollador. El servidor MCP aparece automáticamente en el agente del desarrollador en el próximo lanzamiento.

Combinado con la lista de permitidos del servidor MCP, esto crea un modelo de gobierno completo: los administradores definen qué se requiere, qué se permite y qué se bloquea. Los desarrolladores trabajan dentro de ese ámbito sin fricciones.

El panel: postura de riesgo de IA agente en toda la organización

Lo que viene es El tablerouna vista única de la postura de riesgo de la IA en toda su organización inscrita. Mientras que las vistas a nivel de sesión le indican lo que hizo el agente de un desarrollador, el Panel le informa lo que está sucediendo en toda la flota: cuántos dispositivos están aprovisionados, inscritos y ejecutando activamente Claude Code, con señalización automática cuando las brechas de adopción indican que los agentes se están ejecutando fuera de la ruta de inscripción de Ceros y fuera de sus controles. Inscribirse para recibir una notificación cuando se envíe The Dashboard.

Conclusión

La brecha de seguridad que crea Claude Code no está en el borde de la red. Es en la máquina del desarrollador, donde opera el agente antes de que cualquier herramienta de seguridad existente pueda verlo. Ceros cierra esa brecha viviendo donde vive el agente, capturando todo antes de que se ejecute y produciendo evidencia firmada criptográficamente sobre la cual los equipos de seguridad y cumplimiento pueden actuar.

Para los equipos de seguridad cuyas organizaciones han implementado Claude Code y están comenzando a considerar lo que eso significa para su postura y controles de auditoría, el punto de partida es la visibilidad. No se puede gobernar lo que no se puede ver y, hasta ahora, no ha habido ninguna herramienta que pueda mostrar lo que Claude Code estaba haciendo realmente.

Ceros ya está disponible y comenzar es gratis. Los equipos de seguridad pueden registrar un dispositivo y ver la actividad de su Código Claude por primera vez en más allá de la identidad.ai.

Ceros está desarrollado por Beyond Identity, que cumple con SOC 2/FedRAMP y se puede implementar como SaaS en la nube, autohospedado o totalmente aislado en las instalaciones.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

admin Noticias, Trending advierte afectado ataques CISA Cisco CYBERDEFENSA.MX por ransomware SharePoint sobre vulnerabilidades ZeroDay Zimbra

CISA advierte sobre Zimbra y vulnerabilidades de SharePoint; Cisco Zero-Day afectado por ataques de ransomware – CYBERDEFENSA.MX

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a aplicar parches para dos fallas de seguridad que afectan Suite de colaboración Synacor Zimbra (ZCS) y Microsoft Office SharePointafirmando que han sido explotados activamente en la naturaleza.

Las vulnerabilidades en cuestión son las siguientes:

CVE-2025-66376 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS, donde los atacantes podrían abusar de las directivas @import de hojas de estilo en cascada (CSS) en un mensaje de correo electrónico HTML. (Corregido en las versiones 10.0.18 y 10.1.13 en noviembre 2025)
CVE-2026-20963 (Puntuación CVSS: 8,8): una vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint que permite a un atacante no autorizado ejecutar código a través de una red. (Fijado en enero 2026)

Actualmente no hay informes públicos que hagan referencia a la explotación de las fallas antes mencionadas, quién puede estar aprovechándolas y la escala de dichos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches para CVE-2025-66376 antes del 1 de abril de 2026 y para CVE-2026-20963 antes del 23 de marzo de 2026.

La divulgación se produce cuando Amazon reveló que los actores de amenazas asociados con el ransomware Interlock han explotado una falla de seguridad de máxima gravedad que afecta el software de administración de firewall de Cisco (CVE-2026-20131, puntuación CVSS: 10.0) desde el 26 de enero de 2026, más de un mes antes de que se divulgara públicamente.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

El ataque destaca una vez más un patrón persistente de actores de amenazas que apuntan a dispositivos de red perimetrales de diferentes proveedores, incluidos Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 se haya convertido en un arma de día cero muestra que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían otorgarles un acceso elevado.

admin Latest Cisco fondo más ola patrón preocupante tiene última vulnerabilidades

La última ola de vulnerabilidades de Cisco tiene un patrón más preocupante en el fondo

Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

admin Latest ayuda chinos empresas estadounidenses federal fuera las los mantener para quieren redes robótica robots

Las empresas de robótica estadounidenses quieren ayuda federal para mantener a los robots chinos fuera de las redes estadounidenses

Los ejecutivos de las principales empresas de robótica estadounidenses pidieron al Congreso dólares federales, nueva legislación y un campo regulatorio más simple, argumentando que el apoyo es necesario para adaptarse a la era de la IA y competir con sus bien aceitados competidores chinos financiados por el estado.

El sector de la robótica estadounidense, cuyo valor se estima en 50.000 millones de dólares, incluye empresas de fama mundial como Boston Dynamics. Se prevé que la industria venda millones de robots en todo el país durante los próximos cuatro años.

Según un 2025 informe Según la Federación Internacional de Robótica, el mercado ha vendido e instalado una media de 500.000 robots entre 2020 y 2024. Solo China representó el 54% de esas instalaciones, frente a solo el 9% de Estados Unidos.

Matthew Malchano, vicepresidente de software de Boston Dynamics, dijo a los legisladores en la audiencia del subcomité cibernético de Seguridad Nacional de la Cámara de Representantes el martes que la robótica representa la infraestructura física necesaria para respaldar los esfuerzos del país por dominar la carrera global de IA, con robots, drones y otras máquinas que integrarán más completamente los sistemas de IA en los próximos años.

Señaló a empresas chinas como Unitree, que están capturando participación de mercado con departamentos de policía y universidades en todo Estados Unidos, a pesar de tener vínculos con el ejército chino y vulnerabilidades de ciberseguridad. como un exploit para gusanos descubierto en 2025 que permitiría a un atacante apoderarse de flotas de robots Unitree.

Malchano dijo que Unitree es una de las «docenas» de empresas chinas respaldadas por el plan nacional de robótica e inteligencia artificial de China, que «prevé transformar prácticamente todas las industrias importantes de China mediante la integración de robots impulsados por inteligencia artificial» a través de financiación y políticas favorables.

Presionó a los legisladores estadounidenses para que adoptaran una estrategia nacional similar y se mostró perplejo ante la aprobación de la Ley de la Comisión Nacional de Robóticapatrocinado por el representante Jay Olbernolte, republicano por California, que desarrollaría una comisión bipartidista para impulsarlo.

Max Fenkell, jefe global de políticas y relaciones gubernamentales de ScaleAI, dijo que si bien Estados Unidos está ganando la carrera de la IA en las métricas elegidas (calidad del modelo y chips), está «perdiendo» en datos e implementación.

A diferencia de los grandes modelos de lenguaje, que descargan datos de entrenamiento directamente desde Internet, los sistemas de inteligencia artificial para robots requerirán datos de entrenamiento únicos recopilados, categorizados y etiquetados a través de miles de horas de pruebas personalizadas.

Si bien China ha seguido una estrategia de capacitación “industrializada” junto con la industria, financiando tramos de almacenes de kilómetros de largo dedicados a recopilar datos de capacitación para empresas chinas, Estados Unidos no tiene una estrategia similar.

«Estamos viendo dos carreras diferentes y me temo que en este momento Estados Unidos puede estar ganando la carrera equivocada», dijo.

Los ejecutivos en la audiencia fueron unánimes al sugerir que el Congreso impida que las agencias federales estadounidenses compren robots fabricados en China y cree un estándar regulatorio federal único para la industria, mientras que Fenkell y Malchado pidieron que la Agencia de Seguridad de Infraestructura y Ciberseguridad lleve a cabo una revisión de seguridad de los robots fabricados en el extranjero.

En la audiencia, el representante James Walkinshaw, demócrata por Virginia, destacó una larga historia de cooperación bipartidista para ayudar a las empresas estadounidenses a competir contra las empresas chinas subsidiadas por el estado.

«Con una amplia inversión estatal en empresas de tecnología y leyes que reclutan empresas privadas para servir a los intereses del gobierno, la fusión militar-civil de la República Popular China es una grave amenaza para nuestra propia seguridad nacional», dijo Walkinshaw.

Los robots impulsados por IA chocan con la sed de datos de la administración Trump

Mientras los legisladores sopesan cuál es la mejor manera de posicionar a las empresas estadounidenses para competir con China, también deben lidiar con la posibilidad de que los robots impulsados por inteligencia artificial puedan ser pirateados, manipulados o vueltos intencionalmente contra el público.

Los expertos en privacidad y libertades civiles han expresado durante mucho tiempo preocupaciones sobre el uso de robots en áreas como la policía, en ciertos contextos militares y contra ciudadanos estadounidenses.

Las solicitudes de más ayuda de Washington se producen al mismo tiempo que el gobierno de Estados Unidos, incluido el ejército y el Departamento de Seguridad Nacional, se ha vuelto notablemente más agresivo bajo la administración Trump en el seguimiento de datos sobre estadounidenses y el uso de la fuerza contra ciudadanos estadounidenses involucrados en operaciones de inmigración.

Empresas como Boston Dynamics venden sus robots a instalaciones de fabricación, fabricantes de semiconductores, plantas de energía, socorristas y el Servicio Secreto de Estados Unidos. Pero también los venden a los departamentos de policía y al ejército estadounidense, y una primera versión del modelo cuadrúpedo viral «BigDog» de la compañía fue creada a través de la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa.

El año pasado, Inmigración y Control de Aduanas gastado 78.000 dólares por un robot canadiense que podría realizar tareas similares a las de Spot, otro modelo de robot de Boston Dynamics, incluido el despliegue de bombas de humo, según Governing.

El mes pasado, el DHS finalizó un contrato de mil millones de dólares con Palantir para expandir el análisis de datos de IA en todo el departamento para apoyar la aplicación de la ley de inmigración. Sólo la Guardia Costera es invertir 350 millones de dólares en robótica y sistemas autónomos para 2028.

Los demócratas del Congreso actualmente están bloqueando la financiación del DHS por sus políticas de inmigración y recopilación de datos.

admin Noticias, Trending armas destrucción falsos financia masiva mediante OFAC programas red remotos RPDC sanciona trabajadores trabajos

La OFAC sanciona a la red de trabajadores de TI de la RPDC que financia programas de armas de destrucción masiva mediante trabajos remotos falsos

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha sancionado a seis personas y dos entidades por su participación en el plan de trabajadores de tecnología de la información (TI) de la República Popular Democrática de Corea (RPDC) con el objetivo de defraudar a empresas estadounidenses y generar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).

«El régimen de Corea del Norte ataca a las empresas estadounidenses a través de esquemas engañosos llevados a cabo por sus operadores de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas mediante pagos sustanciales». dicho El secretario del Tesoro, Scott Bessent.

El plan fraudulento, también llamado Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se basa en documentación falsa, identidades robadas y personas inventadas para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas en los EE. UU. y otros lugares. Luego, una parte desproporcionada de los salarios se canaliza de regreso a Corea del Norte para facilitar los programas de misiles de la nación, en violación de las sanciones internacionales.

En algunos casos, estos esfuerzos se complementan con la implementación de malware para robar información privada y confidencial, así como con esfuerzos de extorsión exigiendo rescates a cambio de no filtrar públicamente los datos robados.

Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:

Empresa de desarrollo tecnológico Amnokganguna empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisiciones ilícitas para obtener y vender tecnología militar y comercial a través de sus redes en el extranjero.
Nguyen Quang Vietdirector ejecutivo de una empresa vietnamita Quangvietdnbg International Services Company Limited que facilita los servicios de conversión de moneda para los norcoreanos. Se estima que la compañía convirtió alrededor de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
Phi Khanhun asociado de Kim Se Un, que fue sancionado por Estados Unidos en julio de 2025. Se alega que Do actuó como representante de Kim y permitió que Kim usara su identidad para abrir cuentas bancarias y lavar ganancias de trabajadores de TI.
Hoang Van Nguyenquien también ayuda a Kim a abrir cuentas bancarias y permite transacciones de criptomonedas para Kim.
Yun Song Gukun ciudadano norcoreano que dirigió un grupo de trabajadores de TI que realizaban trabajos de TI independientes desde Boten, Laos, desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por un valor de más de 70.000 dólares con Hoang Minh Quang relacionados con servicios de TI, y ha trabajado con York Luis Celestino Herrera desarrollar contratos freelance de servicios TI.

El desarrollo se produce cuando LevelBlue destacó el uso de Astrill VPN por parte del plan de trabajadores de TI para realizar sus operaciones mientras se encuentran en países como China, debido a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de Estados Unidos, permitiéndoles efectivamente hacerse pasar por empleados domésticos legítimos.

«Estos actores de amenazas comúnmente operan desde China en lugar de Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios VPN para ocultar su verdadero origen geográfico», dijo el investigador de seguridad Tue Luu. dicho. «Los subgrupos del Grupo Lazarus, incluido Contagious Interview, dependen de esta capacidad para acceder a Internet global sin restricciones, gestionar la infraestructura de comando y control y enmascarar su verdadera ubicación».

La empresa de ciberseguridad también dijo que detectó un intento fallido por parte de Corea del Norte de infiltrarse en una organización respondiendo a un anuncio de búsqueda de ayuda. El trabajador de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con datos de Salesforce, fue despedido 10 días después después de mostrar indicadores que mostraban inicios de sesión consistentes desde China.

Un aspecto notable del oficio de Jasper Sleet es el uso de inteligencia artificial para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a largo plazo a bajo costo, lo que subraya cómo los servicios impulsados por IA pueden reducir las barreras técnicas y aumentar las capacidades de los actores de amenazas.

«Jasper Sleet aprovecha la IA durante todo el ciclo de vida del ataque para ser contratado, permanecer contratado y hacer mal uso del acceso a escala», Microsoft dicho. «Los actores de amenazas están utilizando la IA para acortar el proceso de reconocimiento que informa el desarrollo de personas digitales convincentes adaptadas a roles y mercados laborales específicos».

Otro componente crucial implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar los rostros de los trabajadores de TI de Corea del Norte en documentos de identidad robados y generar fotografías pulidas para los currículums. Al hacerlo, estos esfuerzos no solo apuntan a mejorar la precisión de sus campañas, sino también aumentar la credibilidad mediante la elaboración de identidades digitales convincentes.

Además, se considera que la amenaza de los trabajadores de TI remotos ha aprovechado herramientas de IA agente para crear sitios web corporativos falsos y para generar, refinar y reimplementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos de lenguajes grandes (LLM).

«Los actores de amenazas, como los trabajadores remotos de TI de Corea del Norte, dependen de un acceso confiable a largo plazo», dijo Microsoft. «Debido a este hecho, los defensores deberían tratar el empleo fraudulento y el uso indebido del acceso como un escenario de riesgo interno, centrándose en detectar el uso indebido de credenciales legítimas, patrones de acceso anormales y una actividad baja y lenta sostenida».

En un informe detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas empleadas por los trabajadores de TI, salió a la luz que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de puestos, elaborar aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.

El esquema de trabajadores de TI se construye sobre una estructura operativa de varios niveles que involucra reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel distinto:

Reclutadores, que son responsables de seleccionar a los posibles trabajadores de TI y grabar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
Facilitadores y trabajadores de TI, que tienen la tarea de crear personalidades, obtener empleo independiente o de tiempo completo e incorporar nuevas contrataciones.
Colaboradores, que son reclutados para donar su identidad personal y/o información para ayudar a los trabajadores de TI a completar el proceso de contratación y recibir computadoras portátiles proporcionadas por la empresa.

«Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, que, voluntaria o involuntariamente, proporcionan sus identidades para su uso en el esquema de fraude de los trabajadores de TI, NKITW puede penetrar de manera más profunda y confiable en una organización, durante un período de tiempo más largo», afirman las empresas. dicho en un informe compartido con The Hacker News.

«Las operaciones de los trabajadores de TI de Corea del Norte están generalizadas y profundamente integradas dentro del partido-estado de la RPDC. Es un componente integral de la maquinaria de generación de ingresos y evasión de sanciones de la RPDC».

admin Noticias, Trending acceso Cisco CVE202620131 CYBERDEFENSA.MX explota FMC Interlock para raíz ransomware ZeroDay

Interlock Ransomware explota Cisco FMC Zero-Day CVE-2026-20131 para acceso raíz – CYBERDEFENSA.MX

Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

Latest

Los clientes de Fortinet se enfrentan a la explotación activa del día cero y aún queda pendiente un parche completo

abril 6, 2026

Noticias, Trending

La campaña de pulverización de contraseñas vinculada a Irán está dirigida a más de 300 organizaciones israelíes de Microsoft 365

abril 6, 2026

Noticias, Trending

Hackers vinculados a la RPDC utilizan GitHub como C2 en ataques de múltiples etapas dirigidos a Corea del Sur – CYBERDEFENSA.MX

abril 6, 2026

La sentencia del fabricante de stalkerware de pcTattleTale incluye una liberación supervisada y multada

Latest

Cómo LiteLLM convirtió las máquinas de los desarrolladores en bóvedas de credenciales para los atacantes – CYBERDEFENSA.MX

abril 6, 2026

Noticias, Trending

Qilin y Warlock Ransomware utilizan controladores vulnerables para deshabilitar más de 300 herramientas EDR – CYBERDEFENSA.MX

abril 6, 2026

Noticias, Trending

BKA identifica a los líderes REvil detrás de 130 ataques de ransomware alemanes – CYBERDEFENSA.MX

abril 6, 2026

Noticias, Trending

Hack de deriva por valor de 285 millones de dólares se remonta a una operación de ingeniería social de seis meses en la RPDC – CYBERDEFENSA.MX

abril 5, 2026

Breaking News

Los federales mantienen los ojos bien abiertos ante los ciberataques de Irán y responden a la violación de Stryker

FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More – CYBERDEFENSA.MX

El nuevo malware bancario Perseus para Android monitorea las aplicaciones de notas para extraer datos confidenciales – CYBERDEFENSA.MX

El kit de explotación DarkSword iOS utiliza 6 fallas y 3 días cero para la adquisición total del dispositivo – CYBERDEFENSA.MX

Cómo Ceros brinda visibilidad y control a los equipos de seguridad en Claude Code – CYBERDEFENSA.MX

El problema: Claude Code opera fuera de los controles de seguridad existentes

Primeros pasos: dos comandos, treinta segundos

La consola: vea lo que Claude Code ha estado haciendo realmente

Políticas: Aplicación de controles en el código Claude en tiempo de ejecución

El registro de actividad: evidencia lista para auditoría

Implementación de MCP administrada: estandarización de las herramientas de Claude Code en toda la organización

El panel: postura de riesgo de IA agente en toda la organización

Conclusión

CISA advierte sobre Zimbra y vulnerabilidades de SharePoint; Cisco Zero-Day afectado por ataques de ransomware – CYBERDEFENSA.MX

La última ola de vulnerabilidades de Cisco tiene un patrón más preocupante en el fondo

El ransomware Interlock ataca los firewalls de Cisco

4 defectos de Cisco SD-WAN bajo ataque

Las empresas de robótica estadounidenses quieren ayuda federal para mantener a los robots chinos fuera de las redes estadounidenses

Los robots impulsados por IA chocan con la sed de datos de la administración Trump

La OFAC sanciona a la red de trabajadores de TI de la RPDC que financia programas de armas de destrucción masiva mediante trabajos remotos falsos

Interlock Ransomware explota Cisco FMC Zero-Day CVE-2026-20131 para acceso raíz – CYBERDEFENSA.MX

Los clientes de Fortinet se enfrentan a la explotación activa del día cero y aún queda pendiente un parche completo

La campaña de pulverización de contraseñas vinculada a Irán está dirigida a más de 300 organizaciones israelíes de Microsoft 365

Hackers vinculados a la RPDC utilizan GitHub como C2 en ataques de múltiples etapas dirigidos a Corea del Sur – CYBERDEFENSA.MX

La sentencia del fabricante de stalkerware de pcTattleTale incluye una liberación supervisada y multada

Axios Hack, Chrome 0-Day, Fortinet Exploits, Paragon Spyware and More – CYBERDEFENSA.MX

Cómo los SOC cierran un riesgo crítico en 3 pasos – CYBERDEFENSA.MX

Cómo LiteLLM convirtió las máquinas de los desarrolladores en bóvedas de credenciales para los atacantes – CYBERDEFENSA.MX

Qilin y Warlock Ransomware utilizan controladores vulnerables para deshabilitar más de 300 herramientas EDR – CYBERDEFENSA.MX

BKA identifica a los líderes REvil detrás de 130 ataques de ransomware alemanes – CYBERDEFENSA.MX

Hack de deriva por valor de 285 millones de dólares se remonta a una operación de ingeniería social de seis meses en la RPDC – CYBERDEFENSA.MX

Or Check Our Popuplar Categories...

Monthly Archives: marzo 2026

El problema: Claude Code opera fuera de los controles de seguridad existentes

Primeros pasos: dos comandos, treinta segundos

La consola: vea lo que Claude Code ha estado haciendo realmente

Políticas: Aplicación de controles en el código Claude en tiempo de ejecución

El registro de actividad: evidencia lista para auditoría

Implementación de MCP administrada: estandarización de las herramientas de Claude Code en toda la organización

El panel: postura de riesgo de IA agente en toda la organización

Conclusión

El ransomware Interlock ataca los firewalls de Cisco

4 defectos de Cisco SD-WAN bajo ataque

Los robots impulsados ​​por IA chocan con la sed de datos de la administración Trump

Los robots impulsados por IA chocan con la sed de datos de la administración Trump