Seth Whitworth, subdirector interino de Operaciones Espaciales para Cibernética y Datos y director interino de seguridad de la información, dijo que cree que las herramientas de inteligencia artificial están cambiando la forma en que los defensores revisan el riesgo cibernético, tanto para sistemas individuales como de manera más integral en toda una empresa.

En particular, los modelos de lenguaje grande se pueden utilizar para implementar sistemáticamente soluciones para las debilidades más pequeñas pero críticas que han permitido a los piratas informáticos y ciberdelincuentes patrocinados por el estado ingresar a las redes de las víctimas y vivir de la tierra.

“Nuestros adversarios no buscan vulnerabilidades masivas de ciberseguridad; en realidad, somos bastante buenos en [defending] eso», dijo Whitworth el martes en AI Talks, presentado por Scoop News Group. «Están buscando una configuración incorrecta, una actualización fallida, una pequeña cosa que les permita un punto de entrada a una red muy conectada».

Muchos de estos problemas básicos de higiene cibernética tienden a incluirse en programas de cumplimiento existentes, pero puede hacer falta algo más que mandatos legales para solucionarlos. Muchas redes de TI empresariales (especialmente las más antiguas) acumulan deuda técnica con el tiempo, lo que lleva a sistemas olvidados, enrutadores ocultos y otras formas de TI en la sombra que se vuelven más inseguras con el tiempo.

Los expertos en ciberseguridad dicen que los agentes y los grandes modelos de lenguaje que los impulsan, que operan a perpetuidad las 24 horas del día, los 7 días de la semana, son particularmente adecuados para encontrar estas fallas más pequeñas y explotarlas rápidamente.

Pero Whitworth argumentó que la misma tecnología se puede utilizar para remodelar la forma en que las organizaciones miden y rastrean el cumplimiento cibernético, desde un lento ejercicio de verificación de casillas hasta algo más ágil y sustancial. Afirmó que el proceso interno de la Fuerza Espacial para obtener Autoridades para Operar y otras certificaciones formales de seguridad solía tardar entre 3 y 18 meses. Ahora, “ahora se puede hacer en semanas y días”.

Eso, a su vez, puede empoderar a los gerentes de programas para «extraer toda esa enorme cantidad de datos, permitir que la IA (que no se cansa, que no pasa por alto patrones, que no pasa por alto estos componentes) agite esos elementos y estos entreguen algo» que pueda informar cambios en tiempo real en la ciberseguridad, dijo.

Whitworth también reconoció el «miedo» que muchas organizaciones todavía tienen en torno al uso de la IA, así como las preocupaciones persistentes sobre algunas de las limitaciones duraderas de la tecnología, como las alucinaciones y el envenenamiento de datos. Dijo que todavía da a los resultados generados por IA “un escrutinio adicional, porque todavía no he visto la validación confiable”.

Pero también dijo que obtiene información más valiosa sobre el riesgo cibernético holístico de la Fuerza Espacial al utilizar modelos de lenguaje grandes que a partir de otras evaluaciones de control de seguridad, que tienden a centrarse estrechamente en el riesgo de sistemas o activos individuales de forma aislada.

«Estamos operando en un mundo altamente conectado y altamente orquestado, por lo que el riesgo moderado que se acepta en un programa inmediatamente se convierte en riesgo moderado que se acepta en otro programa», dijo Whitworth. “La IA puede tomar esa imagen completa y comprender que cuando este cambio de sistema impacta este sistema, también impacta este [other] sistema.»

Microsoft abordó 165 vulnerabilidades que afectan a sus diversos productos y sistemas subyacentes, incluida una vulnerabilidad explotada activamente en Microsoft Office SharePoint, en el informe de este mes. Actualización del martes de parches.

«Según mis cálculos, este es el segundo lanzamiento mensual más grande en la historia de Microsoft», escribió Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Microsoft no explicó por qué su lote mensual de parches creció tanto este mes, pero Childs señaló que muchos programas de vulnerabilidad están experimentando un aumento significativo en los envíos encontrados por herramientas de inteligencia artificial. «Para nosotros, nuestra tasa de llegada esencialmente se ha triplicado, lo que hace que la clasificación sea un desafío, por decir lo menos», añadió.

La vulnerabilidad de día cero CVE-2026-32201 – tiene una calificación CVSS de 6,5 y permite a los atacantes ver información confidencial y realizar cambios en la información divulgada. Microsoft dijo que el defecto de validación de entrada incorrecta en Microsoft Office SharePoint permite a atacantes no autenticados realizar suplantación de identidad en una red.

La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió el día cero a su catálogo de vulnerabilidades explotadas conocidas poco después de la divulgación de Microsoft.

Microsoft también abordó una vulnerabilidad de alta gravedad: CVE-2026-33825 – eso se conoció públicamente en el momento de la publicación. El proveedor dijo que es más probable que el defecto en Microsoft Defender sea explotado y podría permitir a atacantes no autorizados elevar los privilegios localmente.

«Lo que comienza como un punto de apoyo puede convertirse rápidamente en un dominio total del sistema», dijo Jack Bicer, director de investigación de vulnerabilidades en Action1, en una publicación de blog sobre la vulnerabilidad.

«Una vez explotado, permite un control total sobre los puntos finales, lo que permite la filtración de datos, la desactivación de herramientas de seguridad y el movimiento lateral a través de las redes», dijo Bicer.

El código de prueba de concepto para explotar el defecto está disponible públicamente, lo que aumenta la probabilidad de explotación en la naturaleza, añadió.

Microsoft reveló dos vulnerabilidades críticas este mes: CVE-2026-33824 afectando la extensión IKE de Windows y CVE-2026-26149 que afecta a Microsoft Power Apps, pero designó ambos defectos como menos propensos a ser explotados.

Según Microsoft, más de las tres cuartas partes de las vulnerabilidades reveladas este mes tienen menos probabilidades de ser explotadas. Mientras tanto, la empresa designó 19 vulnerabilidades como con mayor probabilidad de ser explotadas.

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.

Se han detectado dos vulnerabilidades de seguridad de alta gravedad. revelado en Composer, un administrador de paquetes para PHP, que, si se explota con éxito, podría resultar en la ejecución de comandos arbitrarios.

Las vulnerabilidades se han descrito como fallas de inyección de comandos que afectan al controlador Perforce VCS (software de control de versiones). Los detalles de los dos defectos se encuentran a continuación:

• CVE-2026-40176 (Puntuación CVSS: 7,8): una vulnerabilidad de validación de entrada inadecuada que podría permitir a un atacante controlar una configuración de repositorio en un compositor.json malicioso que declara un repositorio Perforce VCS para inyectar comandos arbitrarios, lo que resulta en la ejecución de comandos en el contexto del usuario que ejecuta Composer.
• CVE-2026-40261 (Puntuación CVSS: 8,8) – Una vulnerabilidad de validación de entrada inadecuada derivada de una escapando eso podría permitir a un atacante inyectar comandos arbitrarios a través de una referencia fuente diseñada que contenga metacaracteres de shell.

En ambos casos, Composer ejecutaría estos comandos inyectados incluso si Perforce VCS no está instalado, señalaron los mantenedores en un aviso.

Las vulnerabilidades afectan a las siguientes versiones:

• >= 2.3, < 2.9.6 (Corregido en la versión 2.9.6)
• >= 2.0, < 2.2.27 (Corregido en la versión 2.2.27)

Si el parche inmediato no es una opción, se recomienda inspeccionar los archivos compositor.json antes de ejecutar Composer y verificar que los campos relacionados con Perforce contengan valores válidos. También se recomienda utilizar únicamente repositorios confiables de Composer, ejecutar comandos de Composer en proyectos de fuentes confiables y evitar instalar dependencias usando la opción de configuración «–prefer-dist» o «preferred-install: dist».

Composer dijo que escaneó Packagist.org y no encontró ninguna evidencia de que los actores de amenazas explotaran las vulnerabilidades antes mencionadas mediante la publicación de paquetes con información maliciosa de Perforce. Se espera que se envíe una nueva versión para los clientes de Private Packagist Self-Hosted.

«Como precaución, la publicación de los metadatos fuente de Perforce ha sido deshabilitada en Packagist.org desde el viernes 10 de abril de 2026», decía. «Las instalaciones de Composer deben actualizarse inmediatamente de todos modos».

Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento de motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el sitio web de Google. Descubre el feed y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.

La campaña, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en código pushpaganda por el equipo de investigación e inteligencia sobre amenazas Satori de HUMAN.

«Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes», investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell dicho en un informe compartido con The Hacker News.

En su punto máximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. La amenaza, aunque se observó que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canadá, Sudáfrica y el Reino Unido.

Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la información de HUMAN. Desde entonces, Google ha implementado una solución para solucionar el problema del spam.

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a través de Google Discover para engañarlos y hacerles visitar noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones automáticas que generan estafas y amenazas legales falsas.

Específicamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tráfico orgánico a los anuncios integrados en esos sitios y les permite generar ingresos ilícitos.

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones automáticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arrojó luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistemático de notificaciones automáticas para publicar anuncios y facilitar campañas de ingeniería social al estilo ClickFix.

«Las amenazas basadas en malware que involucran notificaciones automáticas, tanto para plataformas web como móviles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensación de urgencia», dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. «En muchos casos, los usuarios hacen clic rápidamente, ya sea para hacer que desaparezcan o para obtener más información, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware».

La divulgación también se produce poco más de un mes después de que HUMAN identificara una colección de más de 3.000 dominios y 63 aplicaciones de Android que, según dijo, constituía uno de los mercados de lavado de fraude publicitario más grandes jamás descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados ​​en HTML5, se ha descubierto que la operación monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.

«La operación alcanzó un máximo de aproximadamente 2 mil millones de solicitudes de ofertas por día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo», dijo la compañía. dicho. «Las aplicaciones asociadas con Low5 incluyen un código que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran allí».

Los sitios de retiro de efectivo, también llamados sitios fantasma, se utilizan para realizar fraudes basados ​​en contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión se eliminaron de Google Play Store.

«Una capa de monetización compartida que abarca más de 3000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribución y permite una replicación rápida», añadió HUMAN.

«Una conclusión clave de esta investigación es que la infraestructura de monetización puede sobrevivir incluso después de que se cierre una campaña de fraude específica. Si se elimina una aplicación o red de dispositivo malicioso, otros actores aún pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detección para buscar dominios de retiro y marcarlos antes de la oferta».

Según ReliaQuest, un pequeño grupo de antiguos afiliados de Black Basta ha atacado a más de 100 empleados en docenas de organizaciones para invadir los sistemas de red y potencial robo de datos, implementación de ransomware y extorsión.

La campaña de ingeniería social, que implica bombardeos masivos de correos electrónicos y suplantación de la mesa de ayuda de Microsoft Teams, aumentó el mes pasado y se remonta al menos a mayo de 2025, dijo ReliaQuest en un informe el martes.

Los atacantes se han dirigido principalmente a los altos directivos para obtener un acceso altamente privilegiado. «Aproximadamente tres cuartas partes de los usuarios objetivo eran ejecutivos, directores, gerentes o roles similares de alto valor», dijeron a CyberScoop por correo electrónico los investigadores que trabajaron en el informe.

Los ciberdelincuentes involucrados en Black Basta, una rama de Conti, se dispersaron después de que los registros de chat internos del grupo de amenazas se filtraran en línea en febrero de 2025, proporcionando a los investigadores de amenazas y a las autoridades detalles clave sobre las operaciones del grupo.

La policía alemana identificó públicamente en enero a Oleg Evgenievich Nefedov, un ciudadano ruso, como el presunto líder de Black Basta. Nefedov, un hombre de 35 años que posteriormente fue incluido en las listas de los más buscados Europol y Interpolsupuestamente formó y dirigió Black Basta desde 2022, dijeron las autoridades.

Se le acusa de extorsionar a más de 100 empresas en Alemania y alrededor de 600 países más en todo el mundo.

ReliaQuest dijo que la campaña observada recientemente comparte muchas similitudes con la actividad anterior de Black Basta y sigue el mismo manual (herramientas, orientación y estilo de ejecución) asociado con el otrora prolífico grupo de ransomware.

«Eso incluye el uso repetido de herramientas de acceso remoto, una fuerte concentración en sectores históricamente favorecidos por Black Basta y un nivel de velocidad y coordinación que sugiere que los operadores experimentados están basándose en un manual que ya saben que funciona», dijeron los investigadores.

«Tenemos cuidado de no tratar ningún artefacto en particular como prueba definitiva, pero en conjunto, las similitudes son lo suficientemente fuertes como para evaluar que es muy probable que estén involucrados antiguos afiliados u operadores estrechamente alineados», agregaron los investigadores de ReliaQuest.

El sitio de filtración de datos de Black Basta se cerró poco después de que se filtraran sus chats internos el año pasado, pero los ciberdelincuentes no capturados generalmente se dispersan y se unen a nuevos grupos después de un desmantelamiento o disolución. Los cazadores de amenazas advirtieron que los ex miembros todavía estaban apuntando activamente a víctimas adicionales a principios de este año.

ReliaQuest publicó su informe, que incluye indicadores de compromiso, después de observar un aumento particularmente pronunciado en la actividad en marzo, señalando que el objetivo del grupo se centraba más en los empleados de alto nivel.

«Los operadores se están moviendo muy rápidamente, con partes del flujo de trabajo volviéndose más automatizadas o altamente optimizadas, lo que hace que la campaña sea más fácil de escalar y más difícil para los defensores interrumpirla antes de que se establezca el acceso remoto», dijeron los investigadores.

Los cinco principales sectores objetivo de los recientes ataques al estilo Black Basta incluyen la manufactura, los servicios profesionales, las finanzas y seguros, la construcción y la tecnología, según ReliaQuest.

Los atacantes suelen bombardear a los empleados objetivo con cientos de correos electrónicos en cuestión de minutos y luego contactan a los usuarios objetivo, haciéndose pasar por el soporte de TI a través de mensajes directos en Microsoft Teams o una llamada telefónica. ReliaQuest dijo que ha observado que algunos atacantes logran acceso remoto minutos después de la primera señal de una bomba de correo electrónico.

Los investigadores no dijeron cuántas organizaciones han sido invadidas con éxito como resultado de esta campaña hasta el momento.

Si bien la extorsión parece ser el objetivo más probable, ReliaQuest advirtió que no se debe asumir que cada ataque resulta en cifrado de ransomware.

«Según lo que hemos observado, la cadena de intrusión está diseñada para obtener acceso rápidamente, comprender el entorno y crear opciones para la monetización posterior», dijeron los investigadores. «Eso podría conducir al robo de datos, la extorsión sin cifrado o la implementación de ransomware, dependiendo de la víctima y la oportunidad».

Google ha anunciado la integración de un analizador de sistema de nombres de dominio (DNS) basado en Rust en el firmware del módem como parte de sus esfuerzos continuos para reforzar la seguridad de los dispositivos Pixel e impulsar el código seguro para la memoria a un nivel más básico.

«El nuevo analizador de DNS basado en Rust reduce significativamente nuestro riesgo de seguridad al mitigar toda una clase de vulnerabilidades en un área de riesgo, al mismo tiempo que sienta las bases para una adopción más amplia de código seguro para la memoria en otras áreas», dijo Jiacheng Lu, ingeniero de software que forma parte del equipo Google Pixel. dicho.

El aumento de seguridad a través de la integración de Rust está disponible para dispositivos Pixel 10, lo que lo convierte en el primer dispositivo Pixel en integrar un lenguaje seguro para la memoria en su módem.

La medida se basa en una serie de iniciativas que el gigante tecnológico ha tomado para proteger el módem de banda base celular contra la explotación. A finales de 2023, destacó el papel que desempeñan los desinfectantes de Clang como Overflow Sanitizer (IntSan) y BoundsSanitizer (BoundSan) para detectar comportamientos indefinidos durante la ejecución del programa.

Un año después, también detalló las diversas medidas de seguridad integradas en el firmware del módem para combatir los exploits 2G y los ataques de banda base que aprovechan las vulnerabilidades de seguridad de la memoria, como los desbordamientos del búfer, para lograr la ejecución remota de código.

Estos avances en seguridad se han complementado con la adopción constante de Rust por parte de Google en Android y firmware de bajo nivel. En noviembre de 2025, la compañía reveló que la cantidad de vulnerabilidades de seguridad de la memoria cayó por debajo del 20% del total de vulnerabilidades descubiertas en el sistema operativo móvil el año pasado.

Google dijo que optó por el protocolo DNS para su implementación de Rust debido al hecho de que sustenta las comunicaciones celulares modernas y que las vulnerabilidades en el sistema pueden exponer a los usuarios a ataques maliciosos cuando se diseña en un lenguaje que no es seguro para la memoria, lo que resulta en accesos a la memoria fuera de límites, como en el caso de CVE-2024-27227.

«Con la evolución de la tecnología celular, las comunicaciones celulares modernas han migrado a redes de datos digitales; en consecuencia, incluso las operaciones básicas como el desvío de llamadas dependen de los servicios DNS», añadió. «La implementación del analizador DNS en Rust ofrece valor al disminuir las superficies de ataque asociadas con la inseguridad de la memoria».

Para ello, Google ha elegido la opción «nogal-proto«caja, un Cliente, servidor y solucionador DNS basado en Rustpara implementar el protocolo y modificarlo para que sea compatible con entornos integrados y sin sistema operativo. Otro componente importante de este cambio es el uso de una herramienta personalizada llamada «roer carga«para resolver y mantener fácilmente más de 30 dependencias introducidas por la caja.

La compañía de Internet también señaló que la caja DNS Rust no está optimizada para su uso en sistemas con memoria limitada, y que una posible optimización del tamaño del código podría lograrse agregando indicadores de características adicionales para garantizar la modularidad y compilar selectivamente solo la funcionalidad requerida.

«Para el analizador de DNS, declaramos la API de análisis de respuesta de DNS en C y luego implementamos la misma API en Rust», dijo Google. «La función Rust devuelve un número entero que representa el código de error. Las respuestas DNS recibidas en la respuesta DNS deben actualizarse a estructuras de datos en memoria que están acopladas con la implementación C original; por lo tanto, utilizamos funciones C existentes para hacerlo. Las funciones C existentes se envían desde la implementación Rust».

Un incipiente troyano de acceso remoto para Android llamado mirax Se ha observado que se dirige activamente a países de habla hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.

«Mirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real», dijo la empresa italiana de prevención de fraude en línea Cleafy. dicho.

«Más allá del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP real de la víctima».

Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado «Mirax Bot» había estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. También está disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.

Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. También puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.

La incorporación de un proxy SOCKS, por otro lado, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evadir los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.

«A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo exclusivo y altamente controlado, limitado a un pequeño número de afiliados», dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. «El acceso parece tener prioridad para los actores de habla rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campaña».

Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios. publicidad activa un servicio de streaming con acceso gratuito a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.

Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:

• StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
• Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax

Un aspecto notable de la campaña es el uso de GitHub para alojar los archivos APK del dropper malicioso. Además, el panel de creación ofrece la posibilidad de elegir entre dos criptográficos, Virbox y Golden Crypt (también conocido como Golden Encryption), para una protección APK mejorada.

Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de extracción de la carga útil final es una «operación sofisticada de varias etapas» que está diseñada para eludir el análisis de seguridad y las herramientas automatizadas de sandboxing.

El malware, después de instalarse en el dispositivo, se hace pasar por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error falso que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.

También establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.

• WebSocket en el puerto 8443, para gestionar el acceso remoto y ejecutar comandos remotos.
• WebSocket en el puerto 8444, para gestionar la transmisión remota y la exfiltración de datos.
• WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.

«Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas», dijo Cleafy. «Si bien el abuso de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva fase al incorporar esta funcionalidad dentro de un troyano bancario con todas las funciones».

«Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que también amplía el alcance operativo de los atacantes, que ahora pueden aprovechar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias».

La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.

«La plataforma proporciona capacidades completas de compromiso del dispositivo: interceptación de SMS, acceso a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde los dispositivos de las víctimas», dijo la compañía. dicho. «Un panel multiusuario con control de acceso basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores».

Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.

OX Seguridad recientemente analizó 216 millones de hallazgos de seguridad en 250 organizaciones durante un período de 90 días. La conclusión principal: si bien el volumen de alertas brutas creció un 52 % año tras año, el riesgo crítico priorizado creció casi un 400 %.

El aumento del desarrollo asistido por IA está creando una «brecha de velocidad» en la que la densidad de vulnerabilidades de alto impacto aumenta más rápido que los flujos de trabajo de remediación. La proporción de hallazgos críticos y alertas sin procesar casi se triplicó, pasando del 0,035% al ​​0,092%.

Hallazgos clave del análisis de 2026:

• CVSS versus contexto empresarial: Las puntuaciones de gravedad técnica ya no son el principal factor de riesgo. Los factores de elevación más comunes fueron Alta prioridad empresarial (27,76%) y Procesamiento de IIP (22,08%). En ambientes modernos, dónde una persona vulnerable vive ahora es más importante que qué la vulnerabilidad es.
• La huella digital de la IA: Observamos una correlación directa entre la adopción de herramientas de codificación de IA y la cuadruplicación de hallazgos críticos (con un promedio de 795 por organización, frente a 202). El aumento de la velocidad del código está generando fallas más complejas y dependientes del contexto que evitan el linting básico y los escáneres heredados.
• Variación del sector: Los perfiles de riesgo no son uniformes. Seguro Las empresas mostraron la mayor densidad de hallazgos críticos (1,76%), mientras que las Automotor El sector generó el mayor volumen bruto de alertas, probablemente debido a la escala masiva de expansión de la base de código en vehículos definidos por software.

Este es el segundo año que OX realiza este análisis para comparar el estado de la seguridad de las aplicaciones.

Informe completo, que incluye metodología y puntos de referencia específicos de la industria. está disponible aquí.

El 23 de marzo, el Senado confirmó al senador Markwayne Mullin como el próximo secretario de seguridad nacional, lo que marca un paso importante en el fortalecimiento del liderazgo durante un momento crítico para la seguridad de nuestra nación.

Pero sólo la mitad del trabajo está hecho.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la principal agencia civil de ciberdefensa del gobierno federal, aún carece de un director confirmado por el Senado. A medida que aumentan las amenazas cibernéticas globales, esta prolongada brecha de liderazgo plantea un riesgo creciente para la seguridad nacional.

Como Director Ejecutivo de la Coalición Nacional de Seguridad Tecnológica (NTSC), represento a los Directores de Seguridad de la Información que son responsables de proteger los sistemas que sustentan la economía y la infraestructura crítica de Estados Unidos. En todos los sectores, energía, atención médica, servicios financieros, manufactura y transporte, existe una preocupación común: el panorama de amenazas se está volviendo más agresivo y nuestras defensas deben mantenerse a la vanguardia.

Nuestros enemigos no están esperando.

Desde el inicio del conflicto con Irán, los expertos en ciberseguridad han informado de un aumento de la actividad cibernética maliciosa dirigida a los sistemas estadounidenses y aliados. Los actores vinculados a Irán han demostrado su capacidad para perturbar operaciones y explotar vulnerabilidades. Mientras tanto, China continúa su esfuerzo a largo plazo para infiltrarse en las redes estadounidenses y posicionarse para una posible interrupción de la infraestructura crítica. Rusia y sus grupos afiliados siguen siendo persistentes, investigando las debilidades de los sistemas occidentales y ejerciendo una presión constante.

Ésta es la realidad del conflicto moderno. Las operaciones cibernéticas se han convertido en un ámbito principal de competencia. En algunos casos, pueden rivalizar con los efectos de la acción militar tradicional, perturbando las economías, las comunicaciones y la seguridad pública únicamente a través del código.

El liderazgo es importante en este entorno.

CISA desempeña un papel clave en la coordinación de la ciberdefensa federal, compartiendo inteligencia sobre amenazas con el sector privado y apoyando a los gobiernos estatales y locales. Sirve como vínculo entre el gobierno y la industria para proteger la infraestructura digital del país. Sin un director confirmado por el Senado, la capacidad de la agencia para establecer prioridades, coordinar esfuerzos y responder rápidamente es limitada.

Ese desafío es cada vez más urgente. El plan presupuestario del presidente para el año fiscal 2027 propone recortes significativos a la financiación de CISA. En un momento en que la agencia enfrenta una presión operativa cada vez mayor, la escasez de recursos hace que un liderazgo fuerte y constante sea aún más crucial.

Éste es el momento en que el liderazgo del secretario Mullin es fundamental.

Como ex miembro del Senado, el secretario Mullin comprende la institución, su dinámica y cómo generar consenso. Está en una posición única para conectarse con colegas anteriores y ayudar a avanzar en el nombramiento de Sean Plankey como Director de CISA.

Plankey está altamente calificado y es ampliamente respetado en la comunidad de la ciberseguridad. Su experiencia en la Guardia Costera de EE. UU., en el Departamento de Energía que protege la infraestructura energética del país y en el sector privado le proporciona una comprensión clara tanto del panorama de amenazas como de la importancia de la colaboración público-privada. En un momento en que la coordinación entre el gobierno y la industria es vital, estas cualidades son esenciales.

El Senado ya ha dado señales de que se toma en serio las ciberamenazas. Recientemente confirmó Teniente general Joshua Rudd para liderar el Comando Cibernético de EE. UU. y servir como director de la Agencia de Seguridad Nacional, asegurando un liderazgo sólido del equipo de defensa cibernética militar de Estados Unidos.

Ahora necesita hacer lo mismo en el lado civil.

Confirmar a Plankey es importante porque la principal agencia civil de ciberdefensa del país necesita un liderazgo establecido para combatir a los adversarios que ya están dentro de nuestras redes, investigando nuestros sistemas y preparándose para la siguiente fase del conflicto.

La brecha de liderazgo en CISA ya ha durado bastante.

El secretario Mullin debe comprometerse. El Senado necesita actuar. Y Sean Plankey debería ser confirmado sin más demora.

Las ciberdefensas de Estados Unidos dependen de ello.

Chris Sullivan es el director ejecutivo de la Coalición Nacional de Seguridad Tecnológica, una organización no partidista y sin fines de lucro que actúa como voz de defensa de los directores de seguridad de la información en todo el país.

Investigadores de ciberseguridad han descubierto una nueva campaña en la que se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyección de anuncios y código JavaScript arbitrario en cada página web visitada.

Según Socket, las extensiones se publican bajo cinco identidades de editor distintas (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) y en conjunto han acumulado alrededor de 20.000 instalaciones en Chrome Web Store.

«Los 108 enrutan credenciales robadas, identidades de usuario y datos de navegación a servidores controlados por el mismo operador», investigador de seguridad Kush Pandya. dicho en un análisis.

De estos, 54 complementos roban la identidad de la cuenta de Google a través de OAuth2, 45 extensiones contienen una puerta trasera universal que abre URL arbitrarias tan pronto como se inicia el navegador, y las restantes participan en una variedad de comportamientos maliciosos.

• Exfiltrar sesiones web de Telegram cada 15 segundos
• Elimina los encabezados de seguridad de YouTube y TikTok (es decir, Política de seguridad de contenido, X-Frame-Options y CORS) e inyecta superposiciones y anuncios de juegos de azar.
• Inyecte scripts de contenido en cada página que visita el usuario.
• Proxy todas las solicitudes de traducción a través del servidor del actor de amenazas

En un intento de dar una apariencia de legitimidad, las extensiones identificadas se hacen pasar por clientes de la barra lateral de Telegram, máquinas tragamonedas y juegos de Keno, potenciadores de YouTube y TikTok, herramientas de traducción de texto y utilidades de páginas. La funcionalidad anunciada es diversa y tiene como objetivo lanzar una red amplia, mientras comparte el mismo backend.

Sin embargo, sin que los usuarios lo sepan, el código malicioso que se ejecuta en segundo plano captura información de la sesión, inyecta scripts arbitrarios y abre URL elegidas por el atacante.

Algunas de las extensiones identificadas se enumeran a continuación:

• Cuenta múltiple de Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrae el token de autenticación de usuario utilizado por Telegram Web y filtra los datos a un servidor remoto. También puede sobrescribir localStorage con datos de sesión proporcionados por el actor de amenazas y forzar la carga de la aplicación de mensajería, reemplazando efectivamente la sesión activa de Telegram de la víctima con la sesión elegida por el actor de amenazas.
• Cliente web para Telegram: Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que elimina los encabezados de seguridad de Telegram e inyecta scripts para robar sesiones de Telegram.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que roba la identidad de la cuenta de Google del usuario la primera vez que la víctima hace clic en el botón de inicio de sesión. Esto incluye detalles como correo electrónico, nombre completo, URL de la imagen de perfil e identificador de cuenta de Google.

«Cinco extensiones utilizan la API declarativeNetRequest de Chrome para eliminar los encabezados de seguridad de los sitios de destino antes de que se cargue la página», dijo Socket. «Las 108 extensiones maliciosas comparten el mismo backend, alojado en 144.126.135[.]238.»

Actualmente no se sabe quién está detrás de las extensiones que violan la política. Sin embargo, un análisis del código fuente ha descubierto comentarios en ruso en varios complementos.

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones que las eliminen con efecto inmediato y cierren sesión en todas las sesiones web de Telegram desde la aplicación móvil de Telegram.