Los investigadores de ciberseguridad han detectado una nueva variante de malware llamada Caoseso es capaz de atacar implementaciones en la nube mal configuradas, lo que marca una expansión de la infraestructura de destino de la botnet.
«El malware del caos se dirige cada vez más a implementaciones en la nube mal configuradas, expandiéndose más allá de su enfoque tradicional en enrutadores y dispositivos de borde», Darktrace dicho en un nuevo informe.
El caos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, y lo describió como un malware multiplataforma capaz de apuntar a entornos Windows y Linux para ejecutar comandos de shell remotos, colocar módulos adicionales, propagarse a otros hosts mediante claves SSH de fuerza bruta, extraer criptomonedas y lanzar ataques distribuidos de denegación de servicio (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.
Se considera que el malware es una evolución de otro malware DDoS conocido como Kaiji que ha detectado instancias Docker mal configuradas. Actualmente no se sabe quién está detrás de la operación, pero la presencia de caracteres en idioma chino y el uso de infraestructura con sede en China sugieren que el actor de la amenaza podría ser de origen chino.
Darktrace dijo que identificó la nueva variante dirigida a su red honeypot el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite la ejecución remota de código en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusión comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación.
La aplicación, por su parte, incorporó una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por un atacante («pan.tenire[.]com»), establecer permisos para permitir a todos los usuarios leerlo, modificarlo o ejecutarlo («chmod 777») y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense.
Un aspecto interesante del ataque es que el dominio se utilizó anteriormente en relación con una campaña de phishing por correo electrónico llevada a cabo por el grupo chino de cibercrimen Silver Fox para entregar documentos señuelo y malware ValleyRAT. La campaña recibió el nombre en clave. Operation Silk Lure de Seqrite Labs en octubre de 2025.
El binario ELF de 64 bits es una versión reestructurada y actualizada de Chaos que reelabora varias de sus funciones, manteniendo intacta la mayoría de sus funciones principales. Sin embargo, uno de los cambios más significativos se refiere a la eliminación de funciones que permitían propagarse a través de SSH y explotar las vulnerabilidades del enrutador.
En su lugar se encuentra una nueva característica de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.
«Además, también se han cambiado varias funciones que anteriormente se creía que eran heredadas de Kaiji, lo que sugiere que los actores de la amenaza reescribieron el malware o lo refactorizaron ampliamente», añadió Darktrace.
La adición de la función de proxy es probablemente una señal de que los actores de amenazas detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el alquiler de DDoS, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una gama diversa de servicios ilícitos.
«Si bien Chaos no es un malware nuevo, su continua evolución pone de relieve la dedicación de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposición», concluyó Darktrace. «El reciente cambio en botnets como AISURU y Chaos para incluir servicios proxy como características principales demuestra que la denegación de servicio ya no es el único riesgo que estos botnets representan para las organizaciones y sus equipos de seguridad».
Investigadores de ciberseguridad han levantado el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).
Llamado masjesula botnet se ha anunciado a través de Telegram como un servicio de alquiler de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.
«Construido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo», dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F. dicho en un informe del martes.
Vale la pena señalar que la oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un operador llamado «synmaestro».
«Como familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT», dijo NSFOCUS en noviembre de 2024. «En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo ‘clientes’ objetivo a través de actividades promocionales activas iniciales, sentando una base sólida para la posterior expansión y desarrollo de la botnet».
Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.
Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación falla, la cadena de ataque se elimina inmediatamente.
De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de interés.
Masjesu también se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una adición notable a la lista de objetivos de explotación son los enrutadores Realtek, que se lleva a cabo escaneando en busca de 52869, un puerto asociado con SDK de Realtekminiigd demonio. Múltiples botnets DDoS, como JenX y Satorihan abrazado el mismo enfoque en el pasado.
«La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes», dijo Trellix. «En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían generar una atención legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo».
Una aparente campaña de piratería informática por parte de un grupo con presuntas conexiones con el gobierno indio se dirigió a periodistas y activistas de Medio Oriente y África del Norte utilizando software espía, dijeron tres organizaciones colaboradoras en informes publicados el miércoles.
Los ataques compartieron infraestructura que apuntaba al grupo de amenaza avanzada persistente conocido como Bitter, que con mayor frecuencia apunta a sectores gubernamentales, militares, diplomáticos y de infraestructura crítica en todo el sur de Asia, según las conclusiones de investigadores de Access Now, Lookout y SMEX.
Cada grupo asumió una pieza diferente del rompecabezas:
Accede ahora recibió llamadas a su línea de ayuda que lo llevaron a examinar una campaña de phishing en 2023 y 2024. Se comunicó con Lookout para obtener soporte técnico sobre el malware que encontró.
Estar atento atribuyó el malware a Bitter y concluyó que probablemente se trataba de una campaña de hackeo a sueldo, utilizando el software espía Android ProSpy.
PYME El año pasado se sumergió en una campaña de phishing dirigida a un destacado periodista libanés y colaboró con Access Now para descubrir una infraestructura compartida entre las campañas.
Una de las víctimas, el periodista independiente egipcio Mostafa Al-A'sar, dijo que se puso en contacto con Access Now después de recibir un enlace sospechoso de alguien con quien había estado hablando sobre un puesto de trabajo. Se mostró escéptico porque su teléfono había sido atacado antes, cuando fue arrestado en Egipto en 2018.
La lección para los periodistas y los grupos de la sociedad civil es que la ciberseguridad “no es un lujo”, afirmó.
«Me siento amenazado», dijo Al-A'sar, y aunque vivía en el exilio, siente que «todavía me siguen. También me sentí preocupado por mi familia, mis amigos, mis fuentes».
La investigación combinada encontró una campaña más amplia que solo las víctimas originales.
“Nuestros hallazgos conjuntos exponen una campaña de espionaje que ha estado operativa desde al menos 2022 hasta el día de hoy, dirigida principalmente a miembros de la sociedad civil y potencialmente a funcionarios gubernamentales en el Medio Oriente”, escribió Lookout. «La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo».
«Espiar a periodistas es a menudo el primer paso en un patrón más amplio de intimidación, amenazas y ataques», dijo la directora regional del grupo, Sara Qudah. «Estas acciones ponen en peligro no sólo la seguridad personal de los periodistas, sino también sus fuentes y su capacidad para hacer su trabajo. Las autoridades de la región deben dejar de utilizar tecnología y recursos financieros como armas para vigilar a los periodistas».
Access Now dijo que no tenía suficiente información para atribuir quién estaba detrás de los ataques que identificó.
ESET publicó por primera vez una investigación sobre el malware ProSpy el año pasado, después de descubrir que estaba dirigido a residentes de los Emiratos Árabes Unidos.
El actor de amenazas ruso conocido como APT28 (también conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campaña de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en código. PRISMEX.
«PRISMEX combina esteganografía avanzada, secuestro del modelo de objetos componentes (COM) y abuso legítimo de servicios en la nube para comando y control», afirman los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. dicho en un informe técnico. Se cree que la campaña está activa desde al menos septiembre de 2025.
La actividad se ha centrado en varios sectores de Ucrania, incluidos los órganos ejecutivos centrales, la hidrometeorología, la defensa y los servicios de emergencia, así como la logística ferroviaria (Polonia), marítima y de transporte (Rumania, Eslovenia, Turquía), y socios de apoyo logístico involucrados en iniciativas de municiones (Eslovaquia, República Checa), y socios militares y de la OTAN.
La campaña se destaca por la rápida utilización como arma de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de interés, y la preparación de la infraestructura se observó el 12 de enero de 2026, exactamente dos semanas antes de que la primera se revelara públicamente.
A finales de febrero de 2025, Akamai también reveló que APT28 pudo haber convertido a CVE-2026-21513 en un arma como un día cero basado en un exploit de acceso directo de Microsoft (LNK) que se cargó en VirusTotal el 30 de enero de 2026, mucho antes de que el fabricante de Windows lanzara una solución como parte de su actualización del martes de parches el 10 de febrero de 2026.
Este patrón de explotación de día cero indica que el actor de la amenaza tenía conocimiento avanzado de las vulnerabilidades antes de que Microsoft las revelara.
Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio «wellnesscaremed[.]com.» Este punto en común, combinado con el momento de los dos exploits, ha planteado la posibilidad de que los actores de la amenaza estén encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada cadena de ataque de dos etapas.
«La primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas útiles sin advertencias para el usuario», teorizó Trend Micro.
PrismexHojaun dropper malicioso de Excel con macros VBA que extrae cargas útiles incrustadas en el archivo mediante esteganografía, establece persistencia a través de secuestro de COMy muestra un documento señuelo relacionado con las listas de inventario de drones y los precios de los drones después de habilitar las macros.
PrismexDropun cuentagotas nativo que prepara el entorno para una explotación posterior y utiliza tareas programadas y secuestro de DLL COM para lograr persistencia.
Cargador Prismex (también conocido como PixyNetLoader), una DLL proxy que extrae la carga útil .NET de la siguiente etapa dispersa en la estructura de archivos de una imagen PNG («SplashScreen.png») utilizando un algoritmo personalizado «Bit Plane Round Robin» y lo ejecuta completamente en la memoria.
PrismexStagerun implante COVENANT Grunt que abusa del almacenamiento en la nube Filen.io para C2.
Vale la pena mencionar aquí que algunos aspectos de la campaña fueron documentados previamente por Zscaler ThreatLabz bajo el nombre de Operación Neusploit.
El uso de COVENANT por parte de APT28, un marco de comando y control (C2) de código abierto, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025. Se considera que PrismexStager es una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), una puerta trasera de Microsoft Outlook implementada por el grupo de hackers a finales de 2025.
En al menos un incidente ocurrido en octubre de 2025, se descubrió que la carga útil COVENANT Grunt no solo facilitaba la recopilación de información, sino que también ejecutaba un comando de limpieza destructivo que borra todos los archivos del directorio «%USERPROFILE%». Esta doble capacidad da peso a la hipótesis de que estas campañas podrían diseñarse tanto para el espionaje como para el sabotaje.
«Esta operación demuestra que Pawn Storm sigue siendo uno de los grupos de intrusión más agresivos alineados con Rusia», afirmó Trend Micro. «El patrón de objetivos revela una intención estratégica de comprometer la cadena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la OTAN».
«El enfoque estratégico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio hacia una interrupción operativa que puede presagiar actividades más destructivas».
El estado fragmentado de la identidad empresarial moderna
La IAM empresarial se está acercando a un punto de ruptura. A medida que las organizaciones escalan, la identidad se fragmenta cada vez más en miles de aplicaciones, equipos descentralizados, identidades de máquinas y sistemas autónomos.
El resultado es Identity Dark Matter: actividad de identidad que se encuentra fuera de la visibilidad del IAM centralizado y fuera del alcance de los equipos de seguridad.
De acuerdo a Seguridad de orquídeas‘s análisisel 46 % de la actividad de identidad empresarial se produce fuera de la visibilidad centralizada de IAM. En otras palabras, casi la mitad de la superficie de identidad empresarial puede estar funcionando sin ser vista. Esta capa oculta incluye aplicaciones no administradas, cuentas locales, flujos de autenticación opacos e identidades no humanas con permisos excesivos. Se ve amplificado aún más por herramientas desconectadas, propiedad aislada y el rápido aumento de la IA agente.
La consecuencia es una brecha cada vez mayor entre lo que las organizaciones de seguridad creen que tienen y el acceso que realmente existe. Esa brecha es donde ahora reside el riesgo de identidad moderno.
Definición de la categoría IVIP: la capa de visibilidad y observabilidad
Para cerrar estas brechas, Gartner ha introducido la Plataforma de Inteligencia y Visibilidad de Identidad (IVIP) como un «Sistema de Sistemas» fundamental. Dentro del marco de Identity Fabric, los IVIP ocupan la Capa 5: Visibilidad y Observabilidad, proporcionando una capa independiente de supervisión por encima de la gestión y la gobernanza del acceso.
Por definición formal, una solución IVIP incorpora y unifica rápidamente datos de IAM, aprovechando análisis impulsados por IA para proporcionar una ventana única a los eventos de identidad, las relaciones entre el usuario y los recursos y la postura.
Característica
IAM/IGA tradicional
IVIP / Observabilidad
Alcance de visibilidad
Solo aplicaciones integradas y gobernadas
Integral: sistemas administrados, no administrados y desconectados
Fuente de datos
Declaraciones de propietario y documentación manual.
Información continua en tiempo de ejecución y telemetría a nivel de aplicación
Método de análisis
Revisiones de configuración estática e «Inferencia»
Descubrimiento continuo y prueba basada en evidencia
Inteligencia
Lógica básica basada en reglas
Descubrimiento de intenciones y análisis de comportamiento impulsado por LLM
Lo que realmente debe hacer un IVIP
Un IVIP creíble no puede ser simplemente otro depósito de identidad. Tiene que servir como motor de inteligencia activo para el ecosistema de identidad empresarial.
En primer lugar, debe proporcionar continuodescubrimiento de identidades humanas y no humanas en todos los sistemas relevantes, incluidos aquellos que se encuentran fuera de la incorporación formal de IAM. En segundo lugar, debe actuar como plataforma de datos de identidadunificando información fragmentada de directorios, aplicaciones e infraestructura en una fuente de verdad más coherente. En tercer lugar, debe cumplir inteligenciautilizando análisis e inteligencia artificial para convertir señales de identidad dispersas en información de seguridad significativa.
Desde un punto de vista técnico, eso significa respaldar capacidades como automatizadoremediaciónpor lo que las brechas de postura se pueden corregir directamente en la pila de IAM; intercambio de señales en tiempo realutilizando estándares como CAEP para desencadenar acciones de seguridad inmediatas; y inteligencia basada en intencionesdonde los LLM ayudan a interpretar el propósito detrás de la actividad de identidad y separar el comportamiento operativo normal de los patrones verdaderamente riesgosos.
Este es el cambio de la visibilidad de la identidad a la comprensión de la identidad y, en última instancia, al control de la identidad.
Orchid Security: entrega del avión de control IVIP
Orchid Security pone en funcionamiento el modelo de Plataforma de Inteligencia y Visibilidad de Identidad (IVIP) transformando señales de identidad fragmentadas en inteligencia continua a nivel de aplicación. En lugar de depender únicamente de integraciones de IAM centralizadas, Orchid genera visibilidad directamente desde la propia aplicación, lo que permite a las organizaciones descubrir, unificar y analizar la actividad de identidad en todos los sistemas que las herramientas tradicionales no pueden ver.
1. Visibilidad y alcance de los datos: ver la aplicación completa y el estado de identidad
Un requisito central del IVIP es descubrimiento continuo de identidades y los sistemas en los que operan. Orchid logra esto a través del análisis binario y la instrumentación dinámica, lo que le permite inspeccionar Lógica nativa de autenticación y autorización directamente dentro de las aplicaciones y la infraestructura. sin requerir API, cambios de código fuente o integraciones prolongadas.
Este enfoque proporciona una ventaja fundamental en el descubrimiento de propiedades de aplicaciones. Muchas empresas no pueden controlar identidades entre aplicaciones que los equipos de seguridad centrales ni siquiera saben que existen. Orchid saca a la luz estos sistemas primero, porque no puedes evaluar, gobernar o asegurar lo que no puedes ver. Al identificar el estado real de las aplicaciones, incluidas aplicaciones personalizadas, COTS, sistemas heredados y TI en la sombra, Orchid revela la materia oscura de identidad incorporada en ellas, como cuentas locales, rutas de autenticación no documentadas e identidades de máquinas no administradas.
2. Unificación de datos: construcción de la capa de evidencia de identidad
Las plataformas IVIP deben unificar datos de identidad fragmentados en una imagen operativa consistente. Orchid logra esto capturando telemetría de auditoría patentada desde aplicaciones internas y combinándolo con registros y señales de sistemas IAM centralizados.
El resultado es un capa de datos de identidad basada en evidencia que muestra cómo se comportan realmente las identidades en el entorno. En lugar de depender de suposiciones de configuración o integraciones incompletas, las organizaciones obtienen una visión unificada de:
Identidades entre aplicaciones e infraestructura
Flujos de autenticación y autorización
Relaciones de privilegios y rutas de acceso externo
Esta evidencia unificada permite a los equipos de seguridad conciliar la brecha entre la política documentada y el acceso operativo real.
3. Inteligencia: convertir la telemetría en información procesable
Un IVIP debe transformar la telemetría de identidad en inteligencia procesable. Las auditorías de identidad entre estados de Orchid demuestran cuán poderosa se vuelve esta capa cuando la actividad de identidad se analiza directamente a nivel de aplicación.
El 85% de las aplicaciones contienen cuentas de dominios heredados o externos.con 20% utiliza dominios de correo electrónico para consumidorescreando un importante riesgo de filtración de datos.
El 70% de las aplicaciones contienen privilegios excesivoscon 60% otorga amplio acceso administrativo o API a terceros.
El 40% de todas las cuentas están huérfanas.subiendo a 60% en algunos entornos heredados.
Estas ideas no se infieren de las políticas; se observan directamente desde el comportamiento de identidad dentro de las aplicaciones. Esto hace que las organizaciones pasen de una postura de inferencia basada en la configuración a una inteligencia de identidad basada en evidencia.
Extendiendo IVIP a la próxima frontera de identidad: agentes de IA
Los agentes autónomos de IA representan la próxima ola de materia oscura de identidad, y a menudo operan con identidades y permisos independientes que quedan fuera de los modelos de gobernanza tradicionales. Orchid extiende el marco IVIP a estas identidades emergentes a través de su Agente guardián arquitectura, lo que permite a las organizaciones aplicar la gobernanza Zero Trust a la actividad impulsada por la IA.
La adopción segura de agentes de IA se guía por cinco principios:
Atribución de humano a agente: Cada acción de un agente está vinculada a un propietario humano responsable.
Auditoría de actividad: Se registra una cadena de custodia completa (Agente → Herramienta/API → Acción → Destino).
Barandillas sensibles al contexto: Las decisiones de acceso se evalúan dinámicamente en función de la sensibilidad del recurso y los derechos del propietario humano.
Mínimo privilegio: El acceso Just-in-Time reemplaza las credenciales privilegiadas persistentes.
Remediación automatizada: El comportamiento riesgoso puede desencadenar respuestas automatizadas, como la rotación de credenciales o la finalización de la sesión.
Combinando descubrimiento de propiedades de aplicaciones, telemetría de identidad e inteligencia impulsada por IAOrchid cumple la misión central de IVIP: convertir la actividad de identidad invisible en una superficie de seguridad gobernada, observable y controlable.
Medición del éxito: métricas basadas en resultados (ODM) y remediación
Las decisiones de identidad son tan buenas como los datos que las sustentan. Los CISO deben pasar de los «controles implementados» a las métricas basadas en resultados (ODM).
Ejemplo de ODM: En lugar de contar las licencias IGA, mida la reducción de los derechos no utilizados (inactivos) del 70% al 10% dentro de un trimestre fiscal.
Acuerdos de nivel de protección (PLA): Negociar los resultados objetivos con la empresa. Un EPL podría exigir la revocación del acceso crítico en un plazo de 24 horas para quien lo abandone, reduciendo significativamente la ventana de oportunidad del atacante.
Retorno de la inversión empresarial: Al pasar a la observabilidad continua, las organizaciones pueden reducir la preparación de las auditorías de meses a minutos mediante la generación automatizada de evidencia de cumplimiento.
Hoja de ruta de implementación estratégica para líderes de IAM
Para reducir la superficie de ataque, recomendamos las siguientes acciones prioritarias:
Forme un grupo de trabajo interdisciplinario: Alinee las operaciones de TI, los propietarios de aplicaciones, los propietarios de IAM y GRC para acabar con los silos técnicos.
Realice un análisis de brechas cuantificado por riesgo: Comience con las identidades de las máquinas, ya que a menudo representan el mayor riesgo y la menor visibilidad.
Implementar corrección sin código: Cerrar la desviación de postura (por ejemplo, suspender cuentas huérfanas, complejidad de contraseñas débiles) automáticamente a medida que se descubre.
Aproveche la visibilidad unificada para eventos de alto riesgo: Utilice la telemetría IVIP durante fusiones y adquisiciones o eventos de crecimiento para auditar la postura de identidad de los activos adquiridos antes de que se integren en la red principal.
Auditoría de Riesgo Empresarial: Utilice visibilidad continua para detectar infracciones a nivel de aplicación que las herramientas tradicionales pasan por alto.
Declaración final La visibilidad unificada ya no es una característica secundaria; es el plano de control esencial. Las organizaciones deben ir más allá de la «puerta de entrada cerrada» e implementar la observabilidad de la identidad para gobernar la materia oscura donde se esconden los atacantes modernos.
¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
La empresa de inteligencia artificial (IA) Anthropic anunció una nueva iniciativa de ciberseguridad llamada Proyecto Ala de Vidrio que utilizará una versión preliminar de su nuevo modelo fronterizo, Claude Mitospara encontrar y abordar vulnerabilidades de seguridad.
El modelo será usado por un pequeño conjunto de organizaciones, incluidas Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, junto con Anthropic, para proteger el software crítico.
La compañía dijo que está formando esta iniciativa en respuesta a las capacidades observadas en su modelo de frontera de propósito general que demuestran un «nivel de capacidad de codificación donde pueden superar a todos, excepto a los humanos más capacitados, para encontrar y explotar vulnerabilidades de software». Debido a sus capacidades de ciberseguridad y a la preocupación de que se pueda abusar de ellas, Anthropic ha optado por no hacer que el modelo esté disponible de forma generalizada.
Mythos Preview, afirmó Anthropic, ya ha descubierto miles de vulnerabilidades de día cero de alta gravedad en todos los principales sistemas operativos y navegadores web. Algunos de estos incluyen un error de 27 años de antigüedad en OpenBSD, ahora parcheado, una falla de 16 años de antigüedad en FFmpeg y una vulnerabilidad que corrompe la memoria en un monitor de máquina virtual con memoria segura.
En un caso destacado por la compañía, se dice que Mython Preview viene de forma autónoma con un exploit de navegador web que encadena cuatro vulnerabilidades para escapar de los entornos limitados de renderizado y del sistema operativo. antrópico también anotado En la tarjeta de sistema de la vista previa se muestra que el modelo resolvió una simulación de ataque a la red corporativa que a un experto humano le habría llevado más de 10 horas.
Quizás en lo que es uno de los hallazgos más sorprendentes, Mythos Preview logró seguir las instrucciones de un investigador que realizaba una evaluación para escapar de una computadora segura «sandbox» que se le proporcionó, lo que indica una «capacidad potencialmente peligrosa» para eludir sus propias salvaguardas.
La modelo no se quedó ahí. Además, realizó una serie de acciones adicionales, incluido el diseño de un exploit de varios pasos para obtener un amplio acceso a Internet desde el sistema sandbox y enviar un mensaje de correo electrónico al investigador, que estaba comiendo un sándwich en un parque.
«Además, en un esfuerzo preocupante y no solicitado para demostrar su éxito, publicó detalles sobre su exploit en múltiples sitios web difíciles de encontrar, pero técnicamente públicos», dijo Anthropic.
La empresa señaló que Proyecto Ala de Vidrio Es un «intento urgente» de emplear capacidades del modelo de frontera con fines defensivos antes de que actores hostiles adopten esas mismas capacidades. También está comprometiendo hasta 100 millones de dólares en créditos de uso para Mythos Preview, así como 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto.
«No entrenamos explícitamente a Mythos Preview para que tenga estas capacidades», dijo Anthropic. «Más bien, surgieron como una consecuencia posterior de mejoras generales en el código, el razonamiento y la autonomía. Las mismas mejoras que hacen que el modelo sea sustancialmente más efectivo para parchear vulnerabilidades también lo hacen sustancialmente más efectivo para explotarlas».
Las noticias sobre Mythos se filtraron el mes pasado después de que los detalles sobre el modelo se almacenaran inadvertidamente en un caché de datos de acceso público debido a un error humano. El borrador lo describió como el modelo de IA más potente y capaz construido hasta la fecha. Días después, Anthropic sufrió una segunda falla de seguridad que expuso accidentalmente cerca de 2000 archivos de código fuente y más de medio millón de líneas de código asociadas con Claude Code durante aproximadamente tres horas.
La filtración también llevó al descubrimiento de un problema de seguridad que elude ciertas salvaguardas cuando al agente codificador de IA se le presenta un comando compuesto por más de 50 subcomandos. Desde entonces, Anthropic ha abordado formalmente el problema en Claude Code. versión 2.1.90lanzado la semana pasada.
«Claude Code, el agente de codificación de IA insignia de Anthropic que ejecuta comandos de shell en las máquinas de los desarrolladores, ignora silenciosamente las reglas de denegación de seguridad configuradas por el usuario cuando un comando contiene más de 50 subcomandos», dijo la empresa de seguridad de IA Adversa. dicho. «Un desarrollador que configura ‘nunca ejecutar rm’ verá rm bloqueado cuando se ejecute solo, pero el mismo ‘rm’ se ejecuta sin restricciones si está precedido por 50 declaraciones inofensivas. La política de seguridad desaparece silenciosamente».
«El análisis de seguridad cuesta tokens. Los ingenieros de Anthropic tuvieron un problema de rendimiento: verificar cada subcomando congeló la interfaz de usuario y quemó el cómputo. Su solución: dejar de verificar después de 50. Cambiaron seguridad por velocidad. Cambiaron seguridad por costo».
La persistente campaña vinculada a Corea del Norte conocida como Entrevista contagiosa ha extendido sus tentáculos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP.
«Los paquetes del actor de amenazas fueron diseñados para hacerse pasar por herramientas de desarrollador legítimas. […]mientras funcionan silenciosamente como cargadores de malware, extendiendo el manual establecido de Contagious Interview a una operación coordinada de cadena de suministro entre ecosistemas», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un informe del martes.
La lista completa de paquetes identificados es la siguiente:
Estos cargadores están diseñados para recuperar cargas útiles de segunda etapa específicas de la plataforma, que resultan ser una pieza de malware con capacidades de robo de información y troyano de acceso remoto (RAT). Se centra principalmente en recopilar datos de navegadores web, administradores de contraseñas y billeteras de criptomonedas.
Sin embargo, una versión de Windows del malware entregada a través de «license-utils-kit» incorpora lo que Socket describe como un «implante completo posterior al compromiso» que está equipado para ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, cargar archivos, cerrar navegadores web, implementar AnyDesk para acceso remoto, crear un archivo cifrado y descargar módulos adicionales.
«Eso hace que este grupo sea notable no sólo por su alcance en todos los ecosistemas, sino también por la profundidad de la funcionalidad posterior al compromiso incorporada en al menos parte de la campaña», añadió Boychenko.
Lo que hace que el último conjunto de bibliotecas sea digno de mención es que el código malicioso no se activa durante la instalación, sino que está integrado en funciones aparentemente legítimas que se alinean con el propósito anunciado del paquete. Por ejemplo, en el caso de «logtrace», el código está oculto dentro de «Logger::trace(i32)», un método que probablemente no despertará sospechas en un desarrollador.
La expansión de Contagious Interview en cinco ecosistemas de código abierto es una señal más de que la campaña es una amenaza persistente a la cadena de suministro con buenos recursos y diseñada para infiltrarse sistemáticamente en estas plataformas como vías de acceso inicial para violar los entornos de los desarrolladores con fines de espionaje y ganancias financieras.
En total, Socket dijo que ha identificado más de 1.700 paquetes maliciosos vinculado a la actividad desde principios de enero de 2025.
El descubrimiento es parte de una campaña más amplia de compromiso de la cadena de suministro de software emprendida por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm de Axios para distribuir un implante llamado WAVESHAPER.V2 después de tomar el control de la cuenta npm del mantenedor del paquete a través de una campaña de ingeniería social personalizada.
El ataque se ha atribuido a un actor de amenazas con motivación financiera conocido como UNC1069, que se superpone con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un informe publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que se hacían pasar por servicios como Microsoft Teams y Zoom entre el 6 de febrero y el 7 de abril de 2026.
«UNC1069 opera campañas de ingeniería social de baja presión durante varias semanas en Telegram, LinkedIn y Slack, ya sea haciéndose pasar por contactos conocidos o marcas creíbles o aprovechando el acceso a cuentas individuales y de empresas previamente comprometidas, antes de entregar un enlace fraudulento a una reunión de Zoom o Microsoft Teams», SEAL dicho.
Estos enlaces de reuniones falsos se utilizan para servir señuelos similares a ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por un atacante para robar datos y realizar actividades posteriores a la explotación dirigidas en Windows, macOS y Linux.
«Los operadores deliberadamente no actúan inmediatamente después del acceso inicial. El implante queda inactivo o pasivo durante un período después del compromiso», añadió SEAL. «El objetivo normalmente reprograma la llamada fallida y continúa con las operaciones normales, sin darse cuenta de que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extraído antes de que se active cualquier respuesta al incidente».
En una declaración compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con fines financieros están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras con sede en EE. UU. y aplicaciones de videoconferencia para ingeniería social.
«Lo que estamos viendo constantemente es una evolución continua en la forma en que operan los actores motivados financieramente y vinculados a la RPDC, cambios en las herramientas, la infraestructura y los objetivos, pero con una clara continuidad en el comportamiento y la intención», dijo Sherrod DeGrippo, gerente general de inteligencia de amenazas de Microsoft.
Los actores cibernéticos afiliados a Irán están apuntando a dispositivos de tecnología operativa (OT) conectados a Internet en infraestructuras críticas en los EE. UU., incluidos controladores lógicos programables (PLC), agencias de inteligencia y ciberseguridad. prevenido Martes.
«Estos ataques han provocado una disminución de la funcionalidad del PLC, manipulación de los datos de visualización y, en algunos casos, interrupciones operativas y pérdidas financieras», dijo la Oficina Federal de Investigaciones de EE. UU. (FBI) dicho en una publicación en X.
Las agencias dijeron que la campaña es parte de una reciente escalada de ataques cibernéticos orquestados por grupos de hackers iraníes contra organizaciones estadounidenses en respuesta al conflicto en curso entre Irán, Estados Unidos e Israel.
Específicamente, la actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de lo que las agencias autoras describieron como interacciones maliciosas con el archivo del proyecto y manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA).
Estos ataques han señalado a Rockwell Automation y Allen-Bradley PLC desplegados en servicios e instalaciones gubernamentales, sistemas de agua y aguas residuales (WWS) y sectores de energía.
«Los actores utilizaron infraestructura alojada por terceros alquilada con software de configuración, como el software Studio 5000 Logix Designer de Rockwell Automation, para crear una conexión aceptada con el PLC de la víctima», decía el aviso. «Los dispositivos objetivo incluyen dispositivos PLC CompactLogix y Micro850».
Al obtener el acceso inicial, los actores de amenazas establecieron comando y control mediante la implementación de Dropbear, un software Secure Shell (SSH), en los puntos finales de las víctimas para permitir el acceso remoto a través del puerto 22 y facilitar la extracción del archivo de proyecto del dispositivo y la manipulación de datos en pantallas HMI y SCADA.
Para combatir la amenaza, se recomienda a las organizaciones que eviten exponer el PLC a Internet, tomen medidas para evitar la modificación remota, ya sea a través de un interruptor físico o de software, implementen autenticación multifactor (MFA) y erijan un firewall o proxy de red frente al PLC para controlar el acceso a la red, mantener actualizados los dispositivos PLC, deshabilitar cualquier función de autenticación no utilizada y monitorear el tráfico inusual.
«Este aviso confirma lo que hemos observado durante meses: la escalada cibernética de Irán sigue un manual conocido. Los actores de amenazas iraníes ahora se están moviendo más rápido y más ampliamente y apuntando tanto a la infraestructura de TI como de OT», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Research, en un comunicado compartido con The Hacker News.
«En marzo documentamos patrones de ataques idénticos contra PLC israelíes. No es la primera vez que actores iraníes atacan tecnología operativa en Estados Unidos con fines de perturbación, por lo que las organizaciones no deberían tratar esto como una nueva amenaza, sino como una amenaza en aceleración».
El desarrollo se produce en medio de un nuevo aumento en los ataques distribuidos de denegación de servicio (DDoS) y las afirmaciones de operaciones de piratería y filtración llevadas a cabo por grupos de proxy cibernéticos y hacktivistas dirigidos a entidades occidentales e israelíes, según Flashpoint.
En un informe publicado esta semana, DomainTools Investigations (DTI) describió la actividad atribuida a Homeland Justice, Karma/KarmaBelow80 y Handala Hack como un «ecosistema de influencia cibernética único y coordinado» alineado con el Ministerio de Inteligencia y Seguridad (MOIS) de Irán en lugar de un conjunto de grupos hacktivistas distintos.
«Estas personas funcionan como chapas operativas intercambiables aplicadas a una capacidad subyacente consistente», DTI dicho. «Su propósito no es reflejar la separación organizacional, sino permitir la segmentación de los mensajes, la focalización y la atribución, preservando al mismo tiempo la continuidad de la infraestructura y el oficio».
Los dominios públicos y los canales de Telegram sirven como el principal centro de difusión y amplificación, y la plataforma de mensajería también desempeña un papel importante en las operaciones de comando y control (C2) al permitir que el malware se comunique con bots controlados por actores de amenazas, reduzca la sobrecarga de la infraestructura y se combine con las operaciones normales.
«Este ecosistema representa un instrumento de influencia cibernética dirigido por el Estado, en el que las operaciones técnicas están estrechamente integradas con la manipulación narrativa y la dinámica de amplificación de los medios para lograr efectos coercitivos y estratégicos», añadió el DTI.
MuddyWater como afiliado de CastleRAT
El desarrollo se produce cuando JUMPSEC detalló los vínculos de MuddyWater con el ecosistema criminal, afirmando que el actor de amenazas patrocinado por el estado iraní opera al menos dos construcciones CastleRAT contra objetivos israelíes. Vale la pena señalar que CastleRAT es un troyano de acceso remoto que forma parte del marco CastleLoader atribuido por Recorded Future a un grupo al que rastrea bajo el nombre de GrayBravo (también conocido como TAG-150).
Un elemento central de las operaciones es un implementador de PowerShell («reset.ps1») que implementa un malware basado en JavaScript previamente no documentado llamado ChainShell, que luego contacta un contrato inteligente en la cadena de bloques Ethereum para recuperar una dirección C2 y usarla para recuperar el código JavaScript de la siguiente etapa para su ejecución en hosts comprometidos.
Algunos aspectos de estas conexiones entre MOIS y el ecosistema del cibercrimen también fueron señalados por Ctrl-Alt-Intel, Broadcom y Check Point, destacando el creciente compromiso como evidencia de una creciente dependencia de herramientas disponibles para apoyar los objetivos estatales y complicar los esfuerzos de atribución.
También se ha descubierto que el mismo cargador de PowerShell genera una botnet maliciosa denominada Tsundere (también conocida como Dindoor). Según JUMPSEC, tanto ChainShell como Tsundere son componentes separados de la plataforma TAG-150 que se implementan junto con CastleRAT.
«La adopción de un MaaS criminal ruso por parte de un actor estatal iraní tiene implicaciones directas para los defensores», dijo JUMPSEC en un informe compartido con The Hacker News. «Las organizaciones objetivo de MuddyWater, especialmente en los sectores de defensa, aeroespacial, energético y gubernamental, ahora enfrentan amenazas que combinan ataques a nivel estatal con herramientas ofensivas desarrolladas comercialmente».
