Investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).

En un informe publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede aprovechar para habilitar shells interactivos y evitar el aislamiento de la red. La emisión, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.

Intérprete de código de Amazon Bedrock AgentCore es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en entornos aislados tipo sandboxde modo que las cargas de trabajo agentes no puedan acceder a sistemas externos. Fue lanzado por Amazon en agosto de 2025.

El hecho de que el servicio permita consultas de DNS a pesar de la configuración de «sin acceso a la red» puede permitir que «los actores de amenazas establezcan canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para acceder a recursos de AWS, como depósitos S3 que almacenan esos datos, y ejecutar comandos.

Es más, se puede abusar del mecanismo de comunicación DNS para entregar cargas útiles adicionales que se envían al intérprete de código, lo que hace que sondee el servidor de comando y control (C2) de DNS en busca de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a través de consultas de subdominio DNS.

Vale la pena señalar que Code Interpreter requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, otorgándole amplios permisos para acceder a datos confidenciales.

«Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red de los intérpretes de código aislados», dijo BeyondTrust. «Al utilizar este método, los atacantes podrían haber extraído datos confidenciales de los recursos de AWS accesibles a través de la función IAM del intérprete de código, lo que podría causar tiempo de inactividad, violaciones de datos de información confidencial del cliente o infraestructura eliminada».

Tras la divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, e instó a los clientes a utilizar modo VPC en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnológico también recomienda el uso de un cortafuegos DNS para filtrar el tráfico DNS saliente.

«Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y migrar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC», dijo Jason Soroko, miembro senior de Sectigo.

«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos intérpretes, aplicando estrictamente el principio de privilegio mínimo para restringir el radio de explosión de cualquier posible compromiso».

LangSmith es susceptible a un error de adquisición de cuentas

La divulgación se produce cuando Miggo Security reveló una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750puntuación CVSS: 8,5) que exponía a los usuarios a un posible robo de tokens y apropiación de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube, se solucionó en la versión 0.12.71 de LangSmith, lanzada en diciembre de 2025.

La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL derivada de una falta de validación en el parámetro baseUrl, lo que permite a un atacante robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesión y transmitidos a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado como el siguiente:

• Nube – smith.langchain[.]es/studio/?baseUrl=https://attacker-server.com
• Autohospedado – /studio/?baseUrl=https://attacker-server.com

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de seguimiento de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.

«Un usuario de LangSmith que haya iniciado sesión podría verse comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso», afirman los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje. dicho.

«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo pasan por alto sin darse cuenta las barreras de seguridad. Este riesgo se agrava porque, al igual que el software ‘tradicional’, los agentes de IA tienen acceso profundo a fuentes de datos internas y servicios de terceros».

Defectos de deserialización de pepinillos inseguros en SGLang

También se han señalado vulnerabilidades de seguridad en SGLang, un popular marco de código abierto para servir modelos de lenguaje grandes y modelos de IA multimodal, que, si se explotan con éxito, podrían desencadenar una deserialización insegura de pickle, lo que podría resultar en la ejecución remota de código.

Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, siguen sin parchearse al momento de escribir este artículo. Una breve descripción de las fallas es la siguiente:

• CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (también conocido como ZMQ), que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al módulo de generación multimodal de SGLang.
• CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del módulo de desagregación, que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al sistema de desagregación paralela del codificador SGLang.
• CVE-2026-3989 (Puntuación CVSS: 7,8): el uso de una función pickle.load() insegura sin validación y deserialización adecuada en «replay_request_dump.py» de SGLang, que puede explotarse proporcionando un archivo pickle malicioso.

«Los dos primeros permiten la ejecución remota de código no autenticado contra cualquier implementación de SGLang que exponga sus características de generación o desagregación multimodal a la red», Stepansky dicho. «El tercero implica una deserialización insegura en una utilidad de reproducción de volcado de memoria».

En un aviso coordinado, el Centro de Coordinación CERT (CERT/CC) dijo que SGLang es vulnerable a CVE-2026-3059 cuando el sistema de generación multimodal está habilitado, y a CVE-2026-3060 cuando el sistema de desagregación paralela del codificador está habilitado.

«Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede enviar solicitudes al servidor, puede explotar la vulnerabilidad enviando un archivo pickle malicioso al corredor, que luego lo deserializará», CERT/CC dicho.

Se recomienda a los usuarios de SGLang restringir el acceso a las interfaces del servicio y asegurarse de que no estén expuestos a redes que no sean de confianza. También se recomienda implementar controles de acceso y segmentación de red adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.

Si bien no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza, es crucial monitorear conexiones TCP entrantes inesperadas al puerto del corredor ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por el proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.

La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

La mayoría de los líderes de seguridad están luchando por defender los sistemas de inteligencia artificial con herramientas y habilidades que no son aptas para el desafío, según el Informe comparativo de pruebas adversas y de IA 2026 de Pentera.

El informe, basado en una encuesta de 300 CISO y altos líderes de seguridad de EE. UU., examina cómo las organizaciones están asegurando la infraestructura de IA y destaca brechas críticas relacionadas con la escasez de habilidades y la dependencia de controles de seguridad no diseñados para la era de la IA.

La adopción de la IA está superando la visibilidad de la seguridad

Los sistemas de IA rara vez se implementan de forma aislada. Están superpuestos e integrados en la tecnología corporativa existente, desde plataformas en la nube y sistemas de identidad hasta aplicaciones y canales de datos. Con la propiedad repartida entre equipos dispares, la supervisión centralizada eficaz ha colapsado.

Como resultado, el 67 por ciento de los CISO informaron una visibilidad limitada sobre cómo se utiliza la IA en su organización. Ninguno de los encuestados indicó que tiene visibilidad total; más bien, reconocen ser conscientes o aceptar alguna forma de uso de IA no gestionado o no autorizado.

Sin una visión clara de dónde operan los sistemas de IA o a qué recursos pueden acceder, los equipos de seguridad luchan por evaluar el riesgo de manera efectiva. Preguntas básicas, como en qué identidades se basan los sistemas de IA, a qué datos pueden acceder o cómo se comportan cuando fallan los controles, a menudo quedan sin respuesta.

Las habilidades, no el presupuesto, son la principal barrera

Aunque la seguridad de la IA es ahora un tema habitual en las salas de juntas y los debates ejecutivos, el estudio muestra que los mayores desafíos no son financieros.

Los CISO identificaron los siguientes como sus principales obstáculos para proteger la infraestructura de IA:

• Falta de experiencia interna (50 por ciento)
• Visibilidad limitada del uso de la IA (48 por ciento)
• Herramientas de seguridad insuficientes diseñadas específicamente para sistemas de inteligencia artificial (36 por ciento)

Sólo el 17 por ciento citó las restricciones presupuestarias como una preocupación principal. Esto sugiere que muchas organizaciones están dispuestas a invertir en seguridad de la IA, pero aún no cuentan con las habilidades especializadas necesarias para evaluar los riesgos relacionados con la IA en entornos reales.

Los sistemas de IA introducen comportamientos que los equipos de seguridad aún están aprendiendo a evaluar, incluida la toma de decisiones autónoma, rutas de acceso indirecto y la interacción privilegiada entre sistemas. Sin la experiencia adecuada y pruebas activas, resulta difícil evaluar si los controles existentes son efectivos según lo previsto.

Los controles heredados soportan la mayor parte de la carga

A falta de mejores prácticas, habilidades y herramientas específicas de IA, la mayoría de las empresas están ampliando los controles de seguridad existentes para cubrir la infraestructura de IA.

El estudio encontró que el 75 por ciento de los CISO dependen de controles de seguridad heredados, como herramientas de seguridad de terminales, aplicaciones, nube o API, para proteger los sistemas de inteligencia artificial. Sólo el 11 por ciento informó tener herramientas de seguridad diseñadas específicamente para proteger la infraestructura de IA.

Este enfoque refleja un patrón familiar observado durante cambios tecnológicos anteriores, donde las organizaciones inicialmente adaptan las defensas existentes antes de que surjan prácticas de seguridad más personalizadas. Si bien esto puede proporcionar una cobertura básica, es posible que los controles creados para los sistemas tradicionales no tengan en cuenta cómo la IA cambia los patrones de acceso y amplía las posibles rutas de ataque.

Un desafío familiar, ahora aplicado a la IA

En conjunto, los hallazgos muestran que los desafíos de seguridad de la IA surgen de brechas fundamentales más que de una falta de conciencia o intención.

A medida que la IA se convierte en una parte central de la infraestructura empresarial, el informe sugiere que las organizaciones deberán centrarse en desarrollar experiencia y mejorar la forma en que validan los controles de seguridad en entornos donde la IA ya está operando.

Para explorar los hallazgos completos, descargue el Informe comparativo de pruebas adversas y de IA 2026 para una discusión más profunda de los datos y conclusiones clave.

Nota: Este artículo fue escrito por Ryan Dory, director de asesores técnicos de Pentera.

Se ha observado que los actores de amenazas norcoreanos envían phishing para comprometer objetivos y obtener acceso a la aplicación de escritorio KakaoTalk de la víctima para distribuir cargas útiles maliciosas a ciertos contactos.

La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como Konni.

«El acceso inicial se logró a través de un correo electrónico de phishing disfrazado de aviso que nombraba al destinatario como un conferenciante de derechos humanos de Corea del Norte», informó el Centro de Seguridad Genians (GSC). anotado en un análisis.

«Después de que el ataque de phishing tuvo éxito, la víctima ejecutó un archivo LNK malicioso, lo que resultó en una infección con malware de acceso remoto. El malware permaneció oculto y persistente en el terminal de la víctima durante un período prolongado, robando documentos internos e información confidencial».

Se dice que el actor de amenazas permaneció en el host comprometido durante un período prolongado de tiempo, aprovechando el acceso no autorizado para desviar documentos internos y utilizar la aplicación KakaoTalk para propagar selectivamente el malware a contactos específicos.

El ataque se caracteriza por abusar de la confianza asociada con las víctimas comprometidas para engañar y atrapar objetivos adicionales. Esta no es la primera vez que Konni emplea la aplicación de mensajería como vector de distribución. En noviembre de 2025, se descubrió que el grupo de piratas informáticos abusaba de las sesiones iniciadas en la aplicación de chat KakaoTalk para enviar cargas útiles maliciosas a los contactos de las víctimas en forma de un archivo ZIP, al mismo tiempo que iniciaba un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.

El punto de partida de la última campaña de ataque es un correo electrónico de phishing que se utiliza como estrategia para engañar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Tras la ejecución, el archivo LNK descarga una carga útil de la siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y, en última instancia, ejecuta el malware, mientras muestra un documento PDF señuelo al usuario como mecanismo de distracción.

Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido a través de capacidades como administración de archivos, acceso remoto al shell, transferencia de datos y persistencia.

Un análisis más detallado del host infectado ha descubierto la presencia de varios artefactos maliciosos, incluidos scripts AutoIt correspondientes a RftRAT y RemcosRAT, lo que indica que el adversario consideró que la víctima era lo suficientemente valiosa como para eliminar varias familias de RAT para mejorar la resistencia.

Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicación KakaoTalk de la víctima instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. Básicamente, esto convierte a las víctimas existentes en intermediarios para futuros ataques.

«Esta campaña se evalúa como una operación de ataque de múltiples etapas que se extiende más allá del simple phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas», dijo Genians. «El actor seleccionó ciertos contactos de la lista de amigos de la víctima y les envió archivos maliciosos adicionales. Al hacerlo, el atacante usó nombres de archivos disfrazados de materiales que presentaban contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos».

Después de décadas de desarrollo, la computación cuántica está cada vez más disponible para uso científico y comercial avanzado. Las maravillas potenciales van desde acelerar el descubrimiento de fármacos y la ciencia de materiales hasta optimizar la logística compleja y los modelos financieros.

Pero hay una paradoja en esta tendencia: la computación cuántica también representa una amenaza creciente para la seguridad de los datos.

El riesgo es que los algoritmos y protocolos que se utilizan actualmente para proteger dispositivos, aplicaciones y sistemas informáticos puedan eventualmente ser violados por actores maliciosos que utilicen la computación cuántica, comprometiendo incluso las medidas de seguridad más estrictas. Según algunas estimaciones, los estándares de cifrado ampliamente utilizados, como RSA y ECC, podrían ser descifrados por computadoras cuánticas ya en 2029, un día apocalíptico conocido como “Q-Day”, cuando los estándares de seguridad actuales quedarían ineficaces debido a la destreza de cálculo numérico de la computación cuántica.

La posibilidad de que la computación cuántica pueda romper los protocolos de protección de datos actuales está llevando a los directores de seguridad y de tecnología a intensificar las contramedidas. Lo están haciendo con la criptografía poscuántica (PQC), un área de nicho de la ciberseguridad cuya prioridad está aumentando en todo el mundo empresarial. La falta de preparación podría resultar costosa, con un informe situando el costo económico potencial de un ataque cuántico en Estados Unidos en más de 3 billones de dólares. Incluso antes de esa posible calamidad, el costo promedio actual de una violación de datos es superior a $10 millonesy ese número sólo aumentará proporcionalmente a la escala de una brecha inducida por cuántica.

Por eso la amenaza cuántica no debería ser tratada como una preocupación exclusiva de los ejecutivos con visión de futuro. Debe convertirse en una cuestión a nivel de las juntas directivas de todas las empresas. Las organizaciones deberían lanzar una iniciativa integral de PQC que genere conciencia en toda la empresa y actualice los sistemas digitales y los activos de datos para que sean resistentes a los ataques cuánticos.

Esperar hasta el Día Q sería un error porque la gente no sabrá cuándo ocurrirá. Probablemente no llegará con comunicados de prensa ni anuncios de productos. En cambio, esto puede desarrollarse silenciosamente a medida que los atacantes intentan maximizar lo que pueden robar antes de que alguien se dé cuenta. La realidad es que los datos confidenciales ya corren el riesgo de ser robados y almacenados para poder decodificarlos (un ataque denominado “cosechar ahora, descifrar después”) cuando el Q-Day sea una realidad. Los profesionales de la seguridad deben prestar atención inmediata a esta cuestión, incluso si la amenaza definitiva parece estar dentro de unos años.

Datos de prueba cuántica a escala

Los equipos de seguridad suelen centrarse en las amenazas inmediatas, pero todavía tienen una ventana de oportunidad para prepararse para el Q-Day, siempre que empiecen ahora.

Una medida provisional en marcha es la transición a versiones más robustas de los certificados y claves digitales que ya son omnipresentes en los negocios y la vida cotidiana. Estos certificados, que actúan como credenciales de identidad, se utilizan para autenticar miles de millones de usuarios, dispositivos, documentos y otras formas de comunicaciones y puntos finales. Los certificados contienen claves criptográficas. Los equipos de seguridad están introduciendo gradualmente “claves de 47 días”, que están diseñadas para caducar y ser reemplazadas en 47 días, con mucha más frecuencia que la generación actual. Es un paso en la dirección correcta, pero no suficiente.

Establecer una defensa PQC reforzada requiere mucho más que un parche de software estándar o una actualización de la infraestructura de clave pública (PKI) utilizada en la mayoría de los lugares para administrar certificados digitales y cifrar datos. Se debe adoptar e implementar a escala una estrategia de PQC para toda la empresa.

Consideremos el rápido aumento de la IA agente, donde las organizaciones pueden necesitar asignar identidades digitales a miles o incluso millones de agentes de IA. Eso requerirá un nivel de autenticación que vaya mucho más allá de la infraestructura existente.

Estos proyectos serán dirigidos por el CISO, pero la planificación y ejecución deben incluir a otros líderes empresariales porque la seguridad poscuántica debe llegar a todas las partes del entorno digital de la organización. Las juntas directivas también deben participar, dados los riesgos de gobernanza y la importante inversión de capital requerida.

Desarrollar una estrategia plurianual y multifacética

Las organizaciones de industrias reguladas (banca, atención médica y gobierno, por ejemplo) generalmente están un paso adelante en la preparación para la amenaza poscuántica. Sin embargo, independientemente de la industria, pocos están completamente preparados porque la preparación requiere una imagen detallada del panorama de seguridad y datos de extremo a extremo de una organización.

En mi experiencia, esa visión holística es una rareza. Para los CISO y sus colegas de línea de negocio, un buen punto de partida es crear un inventario completo de sistemas y datos en toda la empresa y luego priorizar lo que se debe proteger.

Otro paso importante es comenzar a probar y adoptar los últimos algoritmos y protocolos resistentes a los cuánticos que han sido estandarizados por el NIST. Una gama cada vez mayor de productos y plataformas PKI admiten esas especificaciones. Esto es esencial porque la única forma en que las empresas podrán orquestar, monitorear y gestionar el alcance de la implementación es a través de la automatización.

Estas actualizaciones son vitales, pero no se trata simplemente de reemplazar las especificaciones precuánticas por otras más nuevas. Debido a que PQC será una tarea de varios años, las organizaciones deben cerrar la brecha entre lo antiguo y lo nuevo. La mejor estrategia para algunos será un enfoque híbrido que combine la criptografía clásica y los algoritmos de próxima generación, aunque la estandarización sigue siendo un trabajo en progreso. Otras organizaciones están avanzando hacia un modelo poscuántico “puro” o no combinado.

En cuanto a esos ataques de recolección, la mejor defensa es sencilla: cifrar sus datos más confidenciales y de larga duración con algoritmos resistentes a los cuánticos lo antes posible.

PQC es una responsabilidad compartida

Desafortunadamente, no hay una línea de meta en la carrera hacia la seguridad de la era cuántica. E incluso si una organización bloquea sus sistemas contra amenazas emergentes, no hay garantía de que los clientes y socios comerciales hagan lo mismo.

Aún persistirán muchas vulnerabilidades, razón por la cual el argumento comercial para PQC incluye proteger los datos de los clientes y salvaguardar la reputación y la confianza en la marca a medida que las amenazas digitales evolucionan rápidamente. Incluso hoy en día, una infracción importante puede costar millones y causar daños duraderos a una marca corporativa.

La computación cuántica promete aportar muchas capacidades nuevas a las empresas y la sociedad, desde transformar la optimización de la cadena de suministro y el análisis de riesgos hasta permitir descubrimientos revolucionarios en medicina y ciencia climática. Pero los riesgos potenciales son igualmente sustanciales. Después de años de observar y esperar la tecnología cuántica, los líderes empresariales no tienen más remedio que tomar medidas.

Chris Hickman es el director de seguridad de Keyfactor, un proveedor líder de soluciones de seguridad cuánticas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta a Wing FTP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.

«Wing FTP Server contiene una generación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valor largo en la cookie UID», dijo CISA.

La deficiencia afecta a todas las versiones del software anteriores a la versión 7.4.3 incluida. El problema se solucionó en la versión 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.

Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.

Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.

Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor proporcionado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, genera un mensaje de error que revela la ruta completa del servidor local.

«Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812», el investigador agregado.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 30 de marzo de 2026.

Los atletas profesionales de la NBA y la NFL supuestamente fueron engañados y victimizados por un hombre de Georgia de 34 años. esquema astuto de ingeniería social que corrió haciéndose pasar por una conocida estrella de cine para adultos, dijo el lunes el Departamento de Justicia.

Kwamaine Jerell Ford supuestamente inició y cometió algunos de los delitos mientras estaba encarcelado en una prisión federal por una estafa de phishing generalizada similar que también se dirigió a atletas universitarios y profesionales y artistas musicales a partir de 2015.

“Mientras cumplía condena por robar números de tarjetas de crédito de atletas y celebridades para financiar su estilo de vida, Ford supuestamente incurrió nuevamente en la misma conducta”, dijo en un comunicado Theodore S. Hertzberg, fiscal federal para el Distrito Norte de Georgia.

El presunto reincidente, mientras adoptaba la personalidad de un modelo de películas para adultos, engañó a atletas profesionales para que le proporcionaran sus credenciales de inicio de sesión de iCloud y códigos de autenticación multifactor para esas cuentas con el fin de robar información financiera y de identificación personal para pagar gastos personales.

Ford está acusado de ejecutar más de 2.000 transacciones no autorizadas con tarjetas de débito y crédito de atletas profesionales desde noviembre de 2020 hasta septiembre de 2024, según una acusación abierta. Estuvo bajo custodia federal durante los primeros 14 meses de la conspiración y quedó en libertad condicional por delitos anteriores en enero de 2022.

Los fiscales no nombraron a las víctimas ni divulgaron cuántos atletas supuestamente victimizó Ford durante su último plan, ni cuánto dinero obtuvo a través de la conspiración.

Se declaró inocente el viernes de 22 cargos por delitos que incluyen fraude electrónico, obtención de información de una computadora protegida, fraude de dispositivos de acceso, robo de identidad agravado y tráfico sexual. Ford se encuentra detenido sin derecho a fianza en espera de juicio.

Utilizando la identidad del modelo de películas para adultos, Ford supuestamente atrajo a sus víctimas de alto perfil a comunicarse con él en las redes sociales afirmando falsamente que les enviaría contenido de películas para adultos a través de iCloud.

Cuando un atleta profesional respondió, Ford supuestamente envió mensajes de phishing a la víctima diseñados para parecerse a mensajes de texto legítimos del servicio de atención al cliente de Apple. Los funcionarios dijeron que Ford falsificó cuentas legítimas de servicio al cliente de Apple y se hizo pasar por un representante de atención al cliente de Apple para solicitar los detalles de inicio de sesión de las víctimas a través de mensajes de texto.

Los fiscales dijeron que Ford les dijo a sus víctimas que los mensajes contenían un archivo de video compartido a través de un enlace de iCloud que les exigía responder con un código MFA. Ford supuestamente intentó acceder a las cuentas de iCloud de sus víctimas al mismo tiempo, lo que provocó la entrega de un código MFA al dispositivo de la víctima.

Los atletas profesionales que proporcionaron sus códigos iCloud MFA a Ford finalmente fueron engañados para que le dieran acceso completo a sus cuentas de iCloud, dijeron los funcionarios. Ford supuestamente utilizó ese acceso para robar datos confidenciales, licencias de conducir e información de tarjetas de crédito que utilizó para gastos personales.

Ford también, mientras se hacía pasar por la estrella de cine para adultos, supuestamente victimizó a un modelo de Onlyfans al afirmar que avanzaría en su carrera. Los fiscales dijeron que Ford atrajo a la modelo Onlyfans para que participara y grabara actos sexuales comerciales con atletas profesionales sin su consentimiento.

«Ford claramente no aprendió de su condena anterior por un plan similar. Esta vez, supuestamente intensificó su actividad criminal: robo de identidades y dinero y al mismo tiempo pasó a la coerción y el tráfico sexual», dijo en un comunicado Peter Ellis, agente especial interino a cargo de la oficina del FBI en Atlanta.

Ford supuestamente anunció a la víctima entre los atletas seleccionados, coordinó su viaje para que coincidiera con los lugares conocidos de los atletas y negoció pagos de los atletas por tener relaciones sexuales con la víctima. Los fiscales dijeron que Ford recibió un recorte financiero de esos actos sexuales comerciales, muchos de los cuales la víctima fue obligada a filmar sin el conocimiento de los atletas.

Ford también está acusado de utilizar estos vídeos de la modelo Onlyfans para interactuar con atletas adicionales con falsos pretextos. Cuando el modelo de OnlyFans se resistió a filmar los actos sexuales, Ford supuestamente los obligó a enviarle dinero en lugar de los videos.

En 2019, Ford se declaró culpable de fraude informático. condenado a tres años de prisión y se le ordenó pagar una restitución de casi 700.000 dólares después de que se declarara culpable de fraude informático y robo de identidad agravado. Ese plan, que también duró unos cuatro años, permitió a Ford piratear más de 100 cuentas de Apple pertenecientes a atletas y raperos profesionales de alto perfil.

Ford todavía estaba en prisión por esos crímenes cuando supuestamente estableció un nuevo plan dirigido a víctimas similares en algunas de las mismas plataformas tecnológicas.

Puede leer la acusación a continuación.

La campaña de malware GlassWorm se está utilizando para impulsar un ataque continuo que aprovecha los tokens de GitHub robados para inyectar malware en cientos de repositorios de Python.

«El ataque se dirige a proyectos Python, incluidas aplicaciones Django, código de investigación de aprendizaje automático, paneles Streamlit y paquetes PyPI, agregando código ofuscado a archivos como setup.py, main.py y app.py», StepSecurity dicho. «Cualquiera que ejecute pip install desde un repositorio comprometido o clone y ejecute el código activará el malware».

Según la empresa de seguridad de la cadena de suministro de software, las primeras inyecciones se remontan al 8 de marzo de 2026. Los atacantes, al obtener acceso a las cuentas de los desarrolladores, rebase las últimas confirmaciones legítimas en la rama predeterminada de los repositorios de destino con código malicioso y luego forzar los cambios, manteniendo intactos el mensaje, el autor y la fecha del autor de la confirmación original.

Esta nueva rama de la campaña GlassWorm ha recibido el nombre en código ForceMemo. El ataque se desarrolla a través de los siguientes cuatro pasos:

• Comprometer los sistemas de los desarrolladores con el malware GlassWorm a través de extensiones maliciosas de VS Code y Cursor. El malware contiene un componente dedicado a robar secretos, como tokens de GitHub.
• Utilice las credenciales robadas para forzar la implementación de cambios maliciosos en cada repositorio administrado por la cuenta de GitHub violada al cambiar la base del malware ofuscado a archivos Python llamados «setup.py», «main.py» o «app.py».
• La carga útil codificada en Base64, adjunta al final del archivo Python, presenta comprobaciones similares a GlassWorm para determinar si el sistema tiene su configuración regional configurada en ruso. Si es así, omite la ejecución. En todos los demás casos, el malware consulta el Campo de nota de transacción asociado con una billetera Solana («BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC») previamente vinculado a GlassWorm para extraer la URL de carga útil.
• Descargue cargas útiles adicionales del servidor, incluido JavaScript cifrado diseñado para robar criptomonedas y datos.

«La primera transacción en la dirección C2 data del 27 de noviembre de 2025, más de tres meses antes de las primeras inyecciones de repositorio de GitHub el 8 de marzo de 2026», dijo StepSecurity. «La dirección tiene 50 transacciones en total, y el atacante actualiza periódicamente la URL de la carga útil, a veces varias veces al día».

La divulgación se produce cuando Socket marcó una nueva iteración de GlassWorm que técnicamente conserva el mismo oficio principal al tiempo que mejora la capacidad de supervivencia y la evasión al aprovechar extensionPack y extensionDependencies para entregar la carga útil maliciosa mediante un modelo de distribución transitiva.

Además, Aikido Security también atribuyó al autor de GlassWorm una campaña masiva que comprometió más de 151 repositorios de GitHub con código malicioso oculto mediante caracteres Unicode invisibles. Curiosamente, la carga útil decodificada está configurada para recuperar las instrucciones C2 de la misma billetera Solana, lo que indica que el actor de la amenaza ha estado apuntando a los repositorios de GitHub en múltiples oleadas.

El uso de diferentes métodos de entrega y métodos de ofuscación de código, pero la misma infraestructura de Solana, sugiere que ForceMemo es un nuevo vector de entrega mantenido y operado por el actor de amenazas GlassWorm, que ahora ha pasado de comprometer las extensiones de VS Code a una adquisición más amplia de cuentas de GitHub.

«El atacante inyecta malware forzando la rama predeterminada de los repositorios comprometidos», señaló StepSecurity. «Esta técnica reescribe el historial de git, conserva el mensaje de confirmación y el autor originales, y no deja ninguna solicitud de extracción ni rastro de confirmación en la interfaz de usuario de GitHub. Ninguna otra campaña documentada de la cadena de suministro utiliza este método de inyección».

Some weeks in security feel normal. Then you read a few tabs and get that immediate “ah, great, we’re doing this now” feeling.

This week has that energy. Fresh messes, old problems getting sharper, and research that stops feeling theoretical real fast. A few bits hit a little too close to real life, too. There’s a good mix here: weird abuse of trusted stuff, quiet infrastructure ugliness, sketchy chatter, and the usual reminder that attackers will use anything that works.

Scroll on. You’ll see what I mean.

⚡ Threat of the Week

Google Patches 2 Actively Exploited Chrome 0-Days — Google released security updates for its Chrome web browser to address two high-severity vulnerabilities that it said have been exploited in the wild. The vulnerabilities related to an out-of-bounds write vulnerability in the Skia 2D graphics library (CVE-2026-3909) and an inappropriate implementation vulnerability in the V8 JavaScript and WebAssembly engine (CVE-2026-3910) that could result in out-of-bounds memory access or code execution, respectively. Google did not share additional details about the flaws, but acknowledged that there exist exploits for both of them. The issues were addressed in Chrome versions 146.0.7680.75/76 for Windows and Apple macOS, and 146.0.7680.75 for Linux. 

🔔 Top News

• Meta to Discontinue Instagram E2EE in May 2026 — Meta announced plans to discontinue support for end-to-end encryption (E2EE) for chats on Instagram after May 8, 2026. In a statement shared with The Hacker News, a Meta spokesperson said, «Very few people were opting in to end-to-end encrypted messaging in DMs, so we’re removing this option from Instagram in the coming months. Anyone who wants to keep messaging with end-to-end encryption can easily do that on WhatsApp.»
• Authorities Disrupt SocksEscort Service — A court-authorized international law enforcement operation dismantled a criminal proxy service named SocksEscort that enslaved thousands of residential routers worldwide into a botnet for committing large-scale fraud. «The malware allowed SocksEscort to direct internet traffic through the infected routers. SocksEscort sold this access to its customers,» the U.S. Justice Department said. The main thing to note here is that SocksEscort was powered by AVrecon, a malware written in C to explicitly target MIPS and ARM architectures via known security flaws in edge network devices. The malware also featured a novel persistence mechanism that involved flashing custom firmware, which intentionally disables future updates, permanently transforming SOHO routers into SocksEscort proxy nodes to blindside corporate monitoring.
• UNC6426 Exploits nx npm Supply Chain Attack to Gain AWS Admin Access in 72 Hours — A threat actor known as UNC6426 leveraged keys stolen following the supply chain compromise of the nx npm package in August 2025 to completely breach a victim’s AWS environment within 72 hours. UNC6426 used the access to abuse the GitHub-to-AWS OpenID Connect (OIDC) trust and create a new administrator role in the cloud environment, Google said. Subsequently, this role was abused to exfiltrate files from the client’s Amazon Web Services (AWS) Simple Storage Service (S3) buckets and perform data destruction in their production cloud environments.
• KadNap Enslaves Network Devices to Fuel Illegal Proxy — A takedown-resistant botnet comprising more than 14,000 routers and other network devices has been conscripted into a proxy network that anonymously ferries traffic used for cybercrime. The botnet, named KadNap, exploits known vulnerabilities in Asus routers (among others), leveraging the initial access to drop shell scripts that reach out to a peer-to-peer network based on Kademlia for decentralized control. Infected devices are being used to fuel a proxy service named Doppelganger that, for a fee, tunnels customers’ internet traffic through residential IP addresses, offering a way for attackers to blend in and make it harder to differentiate malicious traffic from legitimate activity.
• APT28 Strikes with Sophisticated Toolkit — The Russian threat actor known as APT28 has been observed using a bespoke toolkit in recent cyber espionage campaigns targeting Ukrainian cyber assets. The primary components of the toolkit are two implants, one of which employs techniques from a malware framework the threat actor used in 2010s, while the other is a heavily modified version of the COVENANT framework for long-term spying. COVENANT is used in concert with BEARDSHELL to facilitate data exfiltration, lateral movement, and execution of PowerShell commands. Also alongside these tools is a malware named SLIMAGENT that shares overlaps with XAgent.

‎️‍🔥 Trending CVEs

New vulnerabilities show up every week, and the window between disclosure and exploitation keeps getting shorter. The flaws below are this week’s most critical — high-severity, widely used software, or already drawing attention from the security community.

Check these first, patch what applies, and don’t wait on the ones marked urgent — CVE-2026-3909, CVE-2026-3910, CVE-2026-3913 (Google Chrome), CVE-2026-21666, CVE-2026-21667, CVE-2026-21668, CVE-2026-21672, CVE-2026-21708, CVE-2026-21669, CVE-2026-21671 (Veeam Backup & Replication), CVE-2026-27577, CVE-2026-27493, CVE-2026-27495, CVE-2026-27497 (n8n), CVE-2026-26127, CVE-2026-21262 (Microsoft Windows), CVE-2019-17571, CVE-2026-27685 (SAP), CVE-2026-3102 (ExifTool for macOS), CVE-2026-27944 (Nginx UI), CVE-2025-67826 (K7 Ultimate Security), CVE-2026-26224, CVE-2026-26225 (Intego X9), CVE-2026-29000 (pac4j-jwt), CVE-2026-23813 (HPE Aruba Networking AOS-CX), CVE-2025-12818 (PostgreSQL), CVE-2026-2413 (Ally WordPress plugin), CVE-2026-0953 (Tutor LMS Pro WordPress plugin), CVE-2026-25921 (Gogs), CVE-2026-2833, CVE-2026-2835, CVE-2026-2836 (Cloudflare Pingora), CVE-2026-24308 (Apache ZooKeeper), CVE-2026-3059, CVE-2026-3060, CVE-2026-3989 (SGLang), CVE-2026-0231 (Palo Alto Networks Cortex XDR Broker VM), CVE-2026-20040, CVE-2026-20046 (Cisco IOS XR Software), CVE-2025-65587 (graphql-upload-minimal), CVE-2026-3497 (OpenSSH), CVE-2026-26123 (Microsoft Authenticator for Android and iOS), and CVE-2025-61915 (CUPS).

🎥 Cybersecurity Webinars

• Stop Guessing: Automate Your Defense Against Real-World Attacks → Learn how to move beyond basic security checklists by using automation to test your defenses against real-world attacks. Experts will show you why traditional testing often fails and how to use continuous, data-driven tools to find and fix gaps in your protection. You will learn how to prove your security actually works without increasing your manual workload.
• Fix Your Identity Security: Closing the Gaps Before Hackers Find Them → This webinar covers a new study about why many companies are struggling to keep their user accounts and digital identities safe. Experts share findings from the Ponemon Institute on the biggest security gaps, such as disconnected apps and the new risks created by AI. You will learn simple, practical steps to fix these problems and get better control over who has access to your company’s data.
• The Ghost in the Machine: Securing the Secret Identities of Your AI Agents → As artificial intelligence (AI) begins to act on its own, businesses face a new challenge: how to give these «AI agents» the right digital IDs. This webinar explains why current security for humans doesn’t work for autonomous bots and how to build a better system to track what they do. You will learn simple, real-world steps to give AI agents secure identities and clear rules, ensuring they don’t accidentally expose your private company data.

📰 Around the Cyber World

• Fake Google Security Check Drops Browser RAT — A web page mimicking a Google Account security page has been spotted delivering a fully featured browser-based surveillance toolkit that takes the form of a Progressive Web App (PWA). «Disguised as a routine security checkup, it walks victims through a four-step flow that grants the attacker push notification access, the device’s contact list, real-time GPS location, and clipboard contents—all without installing a traditional app,» Malwarebytes said. «For victims who follow every prompt, the site also delivers an Android companion package introducing a native implant that includes a custom keyboard (enabling keystroke capture), accessibility-based screen reading capabilities, and permissions consistent with call log access and microphone recording.»
• Forbidden Hyena Delivers BlackReaperRAT — A hacktivist group known as Forbidden Hyena (aka 4B1D) has distributed RAR archives in December 2025 and January 2026 in attacks targeting Russia that led to the deployment of a previously undocumented remote access trojan called BlackReaperRAT and an updated version of the Blackout Locker ransomware, referred to as Milkyway by the threat actors. BlackReaperRAT is capable of running commands via «cmd.exe,» uploading/downloading files, spawning an HTTP shell to receive commands, and spreading the malware to connected removable media. «It carries out destructive attacks against organizations across various sectors located within the Russian Federation,» BI.ZONE said. «The group publishes information regarding successful attacks on its Telegram channel. It collaborates with the groups Cobalt Werewolf and Hoody Hyena.»
• Chinese Hackers Target the Persian Gulf region with PlugX — A China-nexus threat actor, likely suspected to be Mustang Panda, has targeted countries in the Persian Gulf region. The activity took place within the first 24 hours of the ongoing conflict in the Middle East late last month. The campaign used a multi-stage attack chain that ultimately deployed a PlugX backdoor variant. «The shellcode and PlugX backdoor used obfuscation techniques such as control flow flattening (CFF) and mixed boolean arithmetic (MBA) to hinder reverse engineering,» Zscaler said. «The PlugX variant in this campaign supports HTTPS for command-and-control (C2) communication and DNS-over-HTTPS (DOH) for domain resolution.»
• Phishing Campaign Uses SEO Poisoning to Steal Data — A phishing campaign has employed SEO poisoning to direct search engine results to fake traffic ticket portals that impersonate the Government of Canada and specific provincial agencies. «The campaign lures victims to a fake ‘Traffic Ticket Search Portal’ under the pretense of paying outstanding traffic violations,» Palo Alto Networks Unit 42 said. «Submitted data includes license plates, address, date of birth, phone/email, and credit card numbers.» The phishing pages utilize a «waiting room» tactic where the victim’s browser polls the server every two seconds and triggers redirects based on specific status codes.
• Roundcube Exploitation Toolkit Discovered — Hunt.io said it discovered a Roundcube exploitation toolkit on an internet-exposed directory on 203.161.50[.]145. It’s worth noting that Russian threat actors like APT28, Winter Vivern, and TAG-70 have repeatedly targeted Roundcube vulnerabilities to breach Ukrainian organizations. «The directory included development and production XSS payloads, a Flask-based command-and-control server, CSS-injection tooling, operator bash history, and a Go-based implant deployed on a compromised Ukrainian web application,» the company said, attributing it with medium to high confidence to APT28, citing overlaps with Operation RoundPress. The toolkit, dubbed Roundish, supports credential harvesting, persistent mail forwarding, bulk email exfiltration, address book theft, and two-factor authentication (2FA) secret extraction, mirroring a feature present in MDAEMON. One of the primary targets of the attack is mail.dmsu.gov[.]ua, a Roundcube webmail instance associated with Ukraine’s State Migration Service (DMSU). Besides the possibility of a shared development lineage, Roundish introduces four new components not previously documented in APT28 webmail activity, including a CSS-based side-channel module, browser credential stealer, and a Go-based backdoor that provides persistence via cron, systemd, and SELinux. The CSS injection component is designed to progressively extract characters from Roundcube’s document object model (DOM) without injecting any JavaScript into the victim’s page. The technique is likely used for targeting Cross-Site Request Forgery (CSRF) tokens or email UIDs. Central to the Roundish toolkit is an XSS payload that’s engineered to steal the victim’s email address, harvest account credentials, redirect all incoming emails to a Proton Mail address, export mailbox data from the victim’s Inbox and Sent folders, and gather the victim’s complete address book. «The combination of hidden autofill credential harvesting, server-side mail forwarding persistence, bulk mailbox exfiltration, and browser credential theft reflects a modular approach designed for sustained access,» Hunt.io said. «From a defensive perspective, password resets alone are not sufficient in cases like this. Mail forwarding rules, Sieve filters, and multi-factor authentication secrets must be audited and reset.»
• Phishing Campaign Targeting AWS Console Credentials — An active adversary-in-the-middle (AiTM) phishing campaign is using fake security alert emails to steal AWS Console credentials, per Datadog. «The phishing kit proxies authentication to the legitimate AWS sign-in endpoint in real time, validating credentials before redirecting victims and likely capturing one-time password (OTP) codes,» the company said. «This campaign does not exploit AWS vulnerabilities or abuse AWS infrastructure.» Post-compromise console access has been observed within 20 minutes of credential submission. These efforts originated from Mullvad VPN infrastructure.
• Malicious npm Packages Deliver Cipher stealer — Two new malicious npm packages, bluelite-bot-manager and test-logsmodule-v-zisko, were found to deliver via Dropbox a Windows executable designed to siphon sensitive data, including Discord totems, credentials from Chrome, Edge, Opera, Brave, and Yandex browsers, and seed files from cryptocurrency wallet apps like Exodus. from compromised hosts using a stealer named Cipher stealer. «The stealer also uses an embedded Python script and a secondary payload downloaded from GitHub,» JFrog said.
• GIBCRYPTO Ransomware Detailed — A new ransomware called GIBCRYPTO comes with the ability to capture keystrokes and corrupt the Master Boot Record (MBR) so that any attempt to restart the system will cause the system to run into an error. The ransomware uses the Salsa20 algorithm for encryption. It’s suspected to be part of Snake Keylogger, indicating the malware authors’ attempts to diversify beyond information theft. The development comes as Sygnia highlighted SafePay’s OneDrive-based data exfiltration technique during a ransomware attack after breaching a victim by leveraging a FortiGate firewall flaw and a misconfigured administrative account. «SafePay gained initial access by exploiting a firewall misconfiguration, which enabled them to obtain local administrative credentials,» the company said. «They rapidly escalated discovery and enumeration activities to identify high-value targets for lateral movement, demonstrating a structured and methodical approach to mapping the environment. Within a matter of hours, SafePay escalated to domain administrator access.» The attack culminated in the deployment of ransomware, encrypting more than 60 servers.
• Fraudulent Account Registration Activity Originating from Vietnam — A sprawling cybercrime ecosystem based in Vietnam has been linked to a cluster of fraudulent account registration activity on platforms like LinkedIn, Instagram, Facebook, and TikTok. In these attacks, attributed to O-UNC-036, the threat actors rely on disposable email addresses in order to execute SMS pumping attacks, also called International Revenue Sharing Fraud (IRSF). «In this scheme, malicious actors automate the creation of puppet accounts in a targeted service provider,» Okta said. «Fraudsters use these account registrations to trigger SMS messages to premium rate phone numbers and profit from charges incurred. This activity can prove costly for service providers who use SMS to verify registration information in customer accounts or to send multi-factor authentication (MFA) security codes.» O-UNC-036 has also been linked to a cybercrime-as–a-service (CaaS) ecosystem that provides paid infrastructure and services to facilitate online fraud. The web-based storefronts are hosted in Vietnam and specialize in the sales of web-based accounts.
• Hijacked AppsFlyer SDK Distributes Crypto Clipper — The AppsFlyer Web SDK was briefly hijacked to serve malicious code to steal cryptocurrency in a supply chain attack. The clipper malware payload came with capabilities to intercept cryptocurrency wallet addresses entered on websites and replace them with attacker-controlled addresses to divert funds to the threat actor. «The AppsFlyer Web SDK was observed serving obfuscated malicious JavaScript instead of the legitimate SDK from websdk.appsflyer[.]com,» Profero said. «The malicious payload appears to have been designed for stealth and compatibility, preserving legitimate SDK functionality while adding hidden browser hooks and wallet-hijacking logic.» The incident has since been resolved by AppsFlyer.
• Operation CamelClone Targets Government and Defense Entities — A new cyber espionage campaign dubbed Operation CamelClone has targeted governments and defense entities in Algeria, Mongolia, Ukraine, and Kuwait using malicious ZIP archives that contain a Windows shortcut (LNK) file, which, when executed, delivers a JavaScript loader named HOPPINGANT. The loader then delivers additional payloads for establishing C2 and exfiltrating data to the MEGA cloud storage service. «One interesting aspect of this campaign is that the threat actor does not rely on traditional command-and-control infrastructure,» Seqrite Labs said. «Instead, the payloads are hosted on a public file-sharing service, filebulldogs[.]com, while stolen data is uploaded to MEGA storage using the legitimate tool Rclone.» The activity has not been attributed to any known threat group.
• How Threat Actors Exfiltrate Credentials Using Telegram Bots — Threat actors are abusing the Telegram Bot API to exfiltrate data via text messages or arbitrary file uploads, highlighting how legitimate services can be weaponized to evade detection. Agent Tesla Keylogger is by far the most prominent example of a malware family that uses Telegram for C2. «In general, Telegram C2s appear to be most popular among information stealers, possibly due to Telegram’s technically legitimate nature and because information stealers typically only need to exfiltrate data passively rather than provide complex communications beyond simple message or file transfers,» Cofense said.
• Microsoft Launches Copilot Health — Microsoft has become the latest company after OpenAI and Anthropic to launch a dedicated «secure space» called Copilot Health that integrates medical records, biometric data from wearables, and lab test results to give personalized advice in the U.S. «Copilot Health brings together your health records, wearable data, and health history into one place, then applies intelligence to turn them into a coherent story,» the company said. Like OpenAI and Anthropic, Microsoft emphasized that Copilot Health isn’t meant to replace professional medical care.
• Rogue AI Agents Can Work Together to Engage in Offensive Behaviors — According to a new report from artificial intelligence (AI) security company Irregular, agents can work together to hack into systems, escalate privileges, disable endpoint protection, and steal sensitive data while evading pattern-matching defenses. What’s notable is that the experiment did not rely on adversarial prompting or deliberately unsafe system design. «In one case, an agent convinced another agent to carry out an offensive action, a form of inter-agent collusion that emerged with no external manipulation,» Irregular said. «This scenario demonstrates two compounding risks: inter-agent persuasion can erode safety boundaries, and agents can independently develop techniques to circumvent security controls. When an agent is given access to tools or data, particularly but not exclusively shell or code access, the threat model should assume that the agent will use them, and that it will do so in unexpected and possibly malicious ways.»

🔧 Cybersecurity Tools

• Dev Machine Guard → It is a free, open-source tool that scans your computer to show you exactly what developer tools and scripts are running. It creates a simple list of your AI coding assistants, code editor extensions, and software packages to help you find anything suspicious or outdated. It is a single script that works in seconds to give you better visibility into the security of your local coding environment.
• Trajan → It is an automated security tool designed to find hidden vulnerabilities in «service meshes,» which are the systems that manage how different parts of a large software application talk to each other. Because these systems are complex, it is easy for engineers to make small mistakes in the settings that allow hackers to bypass security or steal data. Trajan works by scanning these configurations to spot those specific errors and helping developers fix them before they can be exploited.

Disclaimer: For research and educational use only. Not security-audited. Review all code before use, test in isolated environments, and ensure compliance with applicable laws.

Conclusion

There’s a lot packed in here, and not in a neat way. Some of it is the usual recycled chaos, some of it feels a little more deliberate, and some of it has that nasty “this is going to show up everywhere by next week” energy.

Anyway — enough throat-clearing. Here’s the stuff worth your attention.

Se ha descubierto que tres campañas diferentes de ClickFix actúan como vector de entrega para la implementación de un ladrón de información de macOS llamado MacSync.

«A diferencia de los ataques tradicionales basados ​​en exploits, este método se basa completamente en la interacción del usuario, generalmente en forma de copia y ejecución de comandos, lo que lo hace particularmente efectivo contra usuarios que pueden no apreciar las implicaciones de ejecutar comandos de terminal desconocidos y ofuscados», afirman los investigadores de Sophos Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko y Matt Wixey. dicho.

Actualmente no se sabe si las campañas son obra del mismo actor de amenazas. Jamf Threat Labs también señaló el uso de señuelos ClickFix para distribuir el malware en diciembre de 2025. Los detalles de las tres campañas son los siguientes:

• Noviembre de 2025: una campaña que utilizó el navegador OpenAI Atlas como cebo, entregada a través de resultados de búsqueda patrocinados en Google, para dirigir a los usuarios a una URL falsa de Google Sites con un botón de descarga que, al hacer clic, mostraba instrucciones para abrir la aplicación Terminal y pegarle un comando. Esta acción descargó un script de shell, que solicita al usuario que ingrese la contraseña del sistema y ejecuta MacSync con permisos de nivel de usuario.
• Diciembre de 2025: A campaña de publicidad maliciosa que aprovechó enlaces patrocinados vinculados a búsquedas de consultas como «cómo limpiar tu Mac» en Google para llevar a los usuarios a conversaciones compartidas en el sitio legítimo OpenAI ChatGPT para dar la impresión de que los enlaces eran seguros. Las conversaciones de ChatGPT redireccionaban a las víctimas a páginas de inicio maliciosas con temas de GitHub que engañaban a los usuarios para que ejecutaran comandos maliciosos en la aplicación Terminal.
• Febrero de 2026: una campaña dirigida a Bélgica, India y partes de América del Norte y del Sur que distribuyó una nueva variante de MacSync entregada a través de señuelos ClickFix. La última versión admite cargas útiles dinámicas de AppleScript y ejecución en memoria para evadir el análisis estático, evitar detecciones de comportamiento y complicar la respuesta a incidentes.

El script de shell que se inicia después de ejecutar el comando Terminal está diseñado para contactar a un servidor codificado y recuperar la carga útil del ladrón de información AppleScript, al mismo tiempo que toma medidas para eliminar evidencia de robo de datos. El ladrón está equipado para recopilar una amplia gama de datos de hosts comprometidos, incluida la exfiltración de credenciales, archivos, bases de datos de llaveros y frases iniciales de billeteras de criptomonedas.

Los últimos hallazgos sugieren que los actores de amenazas están adaptando la fórmula para estar un paso por delante de las herramientas de seguridad, mientras utilizan como arma la confianza asociada con las conversaciones ChatGPT para convencer a los usuarios de que ejecuten comandos maliciosos.

La nueva variante observada en la campaña más reciente «probablemente representa que el desarrollador de malware se ajusta al sistema operativo y a las medidas de seguridad del software para mantener la efectividad», dijo Sophos. «Por lo tanto, las mejoras en las tácticas típicas de ingeniería social de ClickFix son una forma en que este tipo de campañas pueden seguir evolucionando en el futuro».

En los últimos meses, las campañas de ClickFix han utilizado plataformas legítimas como Cloudflare Pages (pages.dev), Squarespace y Tencent EdgeOne para albergar instrucciones falsas para instalar herramientas de desarrollo como Claude Code de Anthropic. Las URL se distribuyen a través de anuncios maliciosos en motores de búsqueda.

Las instrucciones, como antes, engañan a las víctimas haciéndoles instalar malware de robo de información como Amatera Stealer en su lugar. El ataque de ingeniería social tiene un nombre en clave InstalarReparar o GoogleReparar. Según Nati Tal, directora de Guardio Labs, cadenas de infección similares conducen a la implementación de Alien infostealer en Windows y Atomic Stealer en macOS.

El comando de PowerShell ejecutado después de pegar y ejecutar el supuesto comando de instalación de Claude Code recupera un paquete de extensión de Chrome legítimo dentro de un archivo de aplicación HTML (HTA) malicioso, que luego inicia un cargador .NET ofuscado para Alien en la memoria, según Tal.

«Mientras que los ataques tradicionales de ClickFix necesitan crear una razón para que el usuario ejecute un comando: un CAPTCHA falso, un mensaje de error inventado, un aviso del sistema falso, InstallFix no necesita nada de eso», dijo Push Security. «El pretexto es simplemente que el usuario quiere instalar software legítimo».

Según Pillar Security, ha habido al menos 20 campañas de malware distintas dirigidas a inteligencia artificial (IA) y herramientas de codificación de vibraciones entre febrero y marzo de 2026. Estas incluyen editores de código, agentes de IA, plataformas de modelos de lenguaje grandes (LLM), extensiones de navegador con tecnología de IA, generadores de video de IA y herramientas comerciales de IA. De estos, se ha descubierto que nueve se dirigen tanto a Windows como a macOS, y otros siete afectan exclusivamente a los usuarios de macOS.

«La razón es clara: los usuarios de herramientas de codificación AI/vibe se inclinan en gran medida hacia macOS, y los usuarios de macOS tienden a tener credenciales de mayor valor (claves SSH, tokens de nube, billeteras de criptomonedas)», Eilon Cohen, investigador de Pillar Security dicho.

«La técnica ClickFix/InstallFix (engañar a los usuarios para que peguen comandos en la Terminal) es excepcionalmente efectiva contra los desarrolladores porque curl | sh es un patrón de instalación legítimo. Homebrew, Rust, nvm y muchas otras herramientas de desarrollo usan este patrón exacto. Los comandos maliciosos se esconden a plena vista».

No hace falta decir que la ventaja que plantea ClickFix (y sus variantes) ha llevado a que múltiples actores y grupos de amenazas adopten la táctica. Esto incluye un sistema de distribución de tráfico malicioso (TDS) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124), que utiliza sitios web de WordPress comprometidos y señuelos CAPTCHA falsos para entregar un troyano basado en Python llamado ModeloRAT.

Los atacantes inyectan JavaScript malicioso en sitios web legítimos de WordPress que solicitan a los usuarios que ejecuten un comando de PowerShell responsable de iniciar un proceso de infección de varias etapas para implementar el troyano.

«El grupo continúa utilizando este método junto con la nueva técnica CrashFix, que engaña a los usuarios para que instalen una extensión de navegador maliciosa para iniciar la infección», dijo Trend Micro. «El malware comprueba específicamente si un sistema es parte de un dominio corporativo e identifica las herramientas de seguridad instaladas antes de continuar, lo que sugiere centrarse en entornos empresariales en lugar de infecciones oportunistas».

Eso no es todo. También se han realizado campañas de KongTuke. manchado utilizando registros DNS TXT en su script ClickFix. Estos registros TXT de DNS presentan un comando para recuperar y ejecutar un script de PowerShell.

Otros ataques de secuestro de pasta estilo ClickFix que se han detectado en la naturaleza se enumeran a continuación:

• Usando sitios web comprometidos para mostrar señuelos para páginas ClickFix que imiten el mensaje «¡Aw Snap!» de Google. errores o actualizaciones del navegador para distribuir droppers, descargadores y extensiones de navegador maliciosas.
• Usando Señuelos ClickFix servido a través de enlaces de publicidad maliciosa/phishing para dirigir a los usuarios a páginas maliciosas que conducen a la implementación de Remcos RAT.
• Usando un señuelo de verificación CAPTCHA falso en un sitio web falso que promociona una estafa de lanzamiento aéreo de $TEMU para desencadenar la ejecución de un comando de PowerShell que ejecuta código Python arbitrario recuperado de un servidor.
• Usando un Publicidad falsa en sitios web CleanMyMac para engañar a los usuarios para que ejecuten un comando de Terminal malicioso para implementar un ladrón de macOS llamado SHub Stealer y billeteras de criptomonedas de puerta trasera como Exodus, Atomic Wallet, Ledger Wallet y Ledger Live para robar las frases iniciales.
• Usando un señuelo de verificación CAPTCHA falso en sitios web comprometidos para ejecutar un script de PowerShell que entrega un cuentagotas MSI, que luego instala el tiempo de ejecución de JavaScript de Deno para ejecutar código ofuscado que finalmente instala CastleRAT en la memoria mediante un cargador de Python llamado CastleLoader.

En un informe publicado la semana pasada, Rapid7 reveló que los sitios web de WordPress de alta confianza están siendo comprometidos como parte de una campaña generalizada y en curso diseñada para inyectar un implante ClickFix que se hace pasar por un desafío de verificación humana de Cloudflare. La actividad está activa desde diciembre de 2025.

Se han identificado más de 250 sitios web infectados en al menos 12 países, incluidos Australia, Brasil, Canadá, Chequia, Alemania, India, Israel, Singapur, Eslovaquia, Suiza, el Reino Unido y Estados Unidos. Los sitios web han sido identificados como medios de comunicación regionales y empresas locales.

El objetivo final de estos señuelos es comprometer los sistemas Windows con diferentes familias de malware ladrón: Ladrón StealCuna versión mejorada de Vidar Stealer, un ladrón de .NET denominado Impure Stealer y un ladrón de C++ denominado VodkaStealer. Los datos robados pueden actuar como plataforma de lanzamiento para robos financieros o ataques posteriores.

Actualmente se desconoce el método exacto mediante el cual se piratean los sitios de WordPress. Sin embargo, se sospecha que implica la explotación de fallas de seguridad reveladas recientemente en complementos y temas de WordPress, credenciales de administrador previamente robadas o interfaces de administración de wp de acceso público.

Para contrarrestar la amenaza, se recomienda a los administradores de sitios que mantengan sus sitios actualizados, utilicen contraseñas seguras para el acceso administrativo, configuren la autenticación de dos factores (2FA) y busquen cuentas de administrador sospechosas.

«La mejor defensa para las personas que navegan por la web es ser cautelosos, mantener una mentalidad de confianza cero, utilizar software de seguridad confiable y mantenerse actualizados con las últimas tácticas de phishing y ClickFix utilizadas por actores maliciosos», dijo Rapid7. «Una conclusión importante de este informe debería ser que incluso los sitios web confiables pueden verse comprometidos y utilizados como armas contra visitantes desprevenidos».