Los jueces de la Corte Suprema lanzaron duras preguntas a ambas partes sobre la constitucionalidad de las órdenes de geovalla durante los argumentos orales del lunes en un caso que podría tener implicaciones más amplias para la recopilación de datos de los estadounidenses por parte de las fuerzas del orden.

Chatrie contra Estados Unidos surge de la condena de Okello Chatrie en 2019 por un robo a un banco, donde las autoridades obtuvieron datos de ubicación de Google sobre personas dentro de un área específica en un momento específico.

Al interrogar a un abogado del peticionario, Adam Unikowsky, varios jueces conservadores, incluido el presidente del Tribunal Supremo, John Roberts, preguntaron por qué no se debería permitir al gobierno acceder a datos de ubicación tomados de un tercero, dado que Chatrie había “optado por” compartir esos datos.

«Simplemente no estoy de acuerdo en que uno deba desactivar su historial de ubicación y otros servicios en la nube para evitar la vigilancia gubernamental», respondió Unikowsky, preguntando si el gobierno tenía derecho a recibir correos electrónicos o datos de calendario que también se almacenan en la nube. (Desde entonces, Google ha movido los datos de ubicación a los dispositivos individuales de los usuarios).

Algunos jueces liberales también plantearon preguntas escépticas a Unikowsky. “Esto identifica un lugar, un delito, un período de tiempo limitado, pero un período de tiempo”, dijo Sonia Sotomayor, refiriéndose a las protecciones contra registros indefinidos bajo la Cuarta Enmienda. «Así que no es una orden general en este sentido histórico». Pero también dijo que debido a que los datos de ubicación siguen a los usuarios a todas partes: «Cuando la policía busca o solicita un resultado de búsqueda, no hay forma de predecir si van a invadir su privacidad».

La línea de preguntas sobre hasta dónde puede llegar una solicitud gubernamental de datos masivos continuó tanto por parte de los jueces conservadores como de los liberales cuando fue el turno del gobierno de argumentar su posición. Los jueces investigaron con escepticismo qué hacía que los correos electrónicos o los datos del calendario fueran diferentes, y si el gobierno podía realizar una búsqueda física de todos los casilleros en una instalación de almacenamiento para encontrar un arma que creían que podría estar allí.

fue un sesión inusualmente larga para la Corte Suprema, dos horas. Podría llegar un fallo junio o julio. Predecir cómo decidirá un tribunal basándose en las preguntas de los magistrados es muy complicado. Sólo un juez, Samuel Alito, insinuó claramente cómo probablemente decidiría.

«Me cuesta entender por qué estamos aquí en este caso, aparte del hecho de que al menos cuatro de nosotros votamos a favor», dijo. Dijo que no creía que nada nuevo de importancia pudiera surgir del tribunal basándose en los fallos de los tribunales inferiores durante el interrogatorio de Unikowsky. «Todos somos libres de escribir artículos de revisión de leyes sobre este fascinante tema, pero parece que eso es lo que estás pidiendo».

Orin Kerr, profesor de derecho de la Universidad de Stanford que presentó un escrito como amigo del tribunal a favor del gobierno, dijo que creía, basándose en los argumentos orales, que el tribunal dirá que las órdenes de geocerca se pueden redactar legalmente.

«Parece probable que los jueces rechacen el argumento más amplio que presentó Chatrie sobre la legalidad de la orden». escribió en las redes sociales. «Probablemente dirán que las órdenes de geocerca deben ser limitadas en tiempo y espacio».

A Casey Waughn, abogado especializado en privacidad y asociado senior de Armstrong Teasdale, le sorprendió la ausencia de un enfoque importante en la “doctrina de terceros”, según la cual no hay expectativas razonables de privacidad cuando los ciudadanos dan su información a una parte externa como un banco.

También se centró en los argumentos presentados por Unikowsky.

«Su argumento realmente dio dos líneas para los jueces, y una fue que usted tiene un interés de propiedad sobre sus datos en la nube, y la otra fue que tiene una expectativa razonable de privacidad para sus datos en la nube», dijo a CyberScoop. «E históricamente, ambas vías han sido motivos por los cuales la Corte ha determinado que… la cuestión está protegida por la Cuarta Enmienda y, por lo tanto, que las acciones constituyeron una búsqueda. Así que pensé que era interesante que él fuera y argumentara ambos carriles».

Alan Butler, director ejecutivo del Centro de Información sobre Privacidad Electrónica que presentó un escrito amigo del tribunal del lado del peticionario, dijo que hay mucho en juego en el caso.

«Los argumentos de hoy subrayaron que la Corte Suprema está sopesando una de las cuestiones de privacidad más importantes de la era digital: si el gobierno puede utilizar búsquedas exhaustivas de datos de ubicación para identificar a un sospechoso», dijo en una declaración después de los argumentos. «La Corte debería sostener que la Constitución protege nuestros datos digitales incluso cuando son almacenados por una aplicación o un proveedor de nube. La Corte debería garantizar que los registros altamente confidenciales generados por nuestros teléfonos no puedan obtenerse sin sospechas particularizadas y una estrecha supervisión judicial».

Everything is dumb again. This week feels broken in a very familiar way. Old tricks are back. New tools are doing shady crap. Supply chains got hit. Fake help desks worked. Weird research showed how easy some attacks still are.

Most of it feels like stuff we should have fixed years ago. Bad extensions. Stolen creds. Remote tools are getting abused. Malware hides in places people trust. Same mess, cleaner packaging.

Coffee is cold. The vuln list is ugly. Let’s get into it.

⚡ Threat of the Week

New fast16 Malware Was Developed Years Before Stuxnet—A new Lua-based malware called fast16, created years before the notorious Stuxnet worm, is designed to primarily target high-precision calculation software to tamper with results. The framework dates back to 2005. Analysis suggests that fast16 was active at least five years before the emergence of Stuxnet. Widely regarded as a joint U.S.-Israeli project, Stuxnet marked a turning point in cyber warfare as the first disruptive digital weapon and eventually served as the blueprint for the Duqu information-stealing rootkit. Fast16, however, establishes a much earlier timeline for such sophisticated operations. The development places its origin well before Stuxnet came into being. Although it’s currently not known if it was ever deployed in the wild, the investigation found three potential types of physical simulation software that the malware might have been designed to tamper with. «It focuses on making slight alterations to these calculations so that they lead to failures – very subtle ones, perhaps not immediately apparent,» security researcher Vitaly Kamluk told WIRED. «Systems might wear out faster, collapse, or crash, and scientific research could yield incorrect conclusions, potentially causing serious harm.»

🔔 Top News

• UNC6692 Resorts to Teams Help Desk Impersonation—A new threat group tracked as UNC6692 uses social engineering to deploy a new, custom malware suite named Snow, which consists of a browser extension, a tunneler, and a backdoor. The end goal is to steal sensitive data after network compromise through credential theft and domain takeover. «This component is where active reconnaissance and mission completion occur,» Google Mandiant noted. «Attacker commands (such as whoami or net user) are sent through the SnowGlaze tunnel, intercepted by the SnowBelt extension, and then proxied to the SnowBasin local server via HTTP POST requests. SnowBasin executes these commands and relays the results back through the same pipeline to the attacker.»
• U.S. Federal Agency Targeted by FIRESTARTER Backdoor—The U.S. Cybersecurity and Infrastructure Security Agency (CISA) revealed that an unnamed federal civilian agency’s Cisco Firepower device running Adaptive Security Appliance (ASA) software was compromised in September 2025 with a new malware called FIRESTARTER. FIRESTARTER is assessed to be a backdoor designed for remote access and control. It’s believed to be deployed as part of a «widespread» campaign orchestrated by an advanced persistent threat (APT) actor to obtain access to Cisco Adaptive Security Appliance (ASA) firmware by exploiting now-patched security flaws such as CVE-2025-20333 and CVE-2025-20362. Given the backdoor’s ability to survive patches and system reboots, Cisco is recommending users reimage and update to the latest fixed versions.
• Lotus Wiper Malware Targets Venezuelan Energy Systems—A previously undocumented data wiper codenamed Lotus Wiper has been used in attacks targeting the energy and utilities sector in Venezuela at the end of last year and the start of 2026. «Two batch scripts are responsible for initiating the destructive phase of the attack and preparing the environment for executing the final wiper payload,» Kaspersky said. «These scripts coordinate the start of the operation across the network, weaken system defenses, and disrupt normal operations before retrieving, deobfuscating, and executing a previously unknown wiper.» Once deployed, the wiper erases recovery mechanisms, overwrites the content of physical drives, and systematically deletes files across affected volumes, effectively leaving the system in an inoperable state.
• The Gentlemen Deploys SystemBC Malware—Threat actors associated with The Gentlemen ransomware‑as‑a‑service (RaaS) operation have been observed attempting to deploy a known proxy malware called SystemBC. The ransomware group has quickly made a name for itself in a matter of months, claiming more than 320 victims on its data leak site since its emergence in July 2025. According to Comparitech, the group claimed 202 attacks last quarter, second only to Qilin’s 353 claims. NCC Group found The Gentlemen was responsible for 34 attacks in January and 67 in February 2026, making it a prominent player alongside other established groups like Qilin, Akira, and Cl0p. «The emergence of The Gentlemen group among the top three most active threat actors is notable as it demonstrates how a relatively new group can scale operations rapidly,» NCC Group said. The development comes as another nascent ransomware group called Kyber has attracted attention for becoming the first RaaS crew to adopt the Kyber1024 (aka ML-KEM) post-quantum encryption algorithm for its Windows variant of the locker. In related news, the threat actors linked to the Trigona ransomware, dubbed Rhantus, have been observed using a custom data exfiltration tool that’s designed to provide attackers with more control over what files to choose (or ignore) and facilitate rapid data transfer by opening five parallel connections per file. The attacks were detected in March 2026. It’s not known why the threat actors shifted from readily available tools like Rclone. The use of custom tooling in the ransomware landscape is something of a rarity, even as it’s a double-edged sword for attackers. «While it requires development resources and time, these tools can provide a level of stealth that generic tools cannot match, at least until they’re discovered,» the Symantec and Carbon Black Threat Hunter Team said. 
• Bitwarden CLI Compromised in Supply Chain Campaign—Bitwarden CLI, the command-line interface for the password manager Bitwarden, was compromised as part of a new supply chain attack that targeted Checkmarx’s Docker images, Visual Studio Code extensions, and GitHub Actions workflow. The affected package, @bitwarden/cli@2026.4.0, contained malicious code to steal sensitive data from developer systems. The malware also features self-propagation capabilities, using stolen npm credentials to identify packages the victim can modify and inject them with malicious code to expand its reach. Bitwarden has since addressed the issue. The attack appears to be the work of a threat actor known as TeamPCP, although references to the string «Shai-Hulud: The Third Coming» have complicated attribution.

🔥 Trending CVEs

Bugs drop weekly, and the gap between a patch and an exploit is shrinking fast. These are the heavy hitters for the week: high-severity, widely used, or already being poked at in the wild.

Check the list, patch what you have, and hit the ones marked urgent first — CVE-2026-40372 (Microsoft ASP.NET Core), CVE-2026-33626 (LMDeploy), CVE-2026-5760 (SGLang), CVE-2026-5752 (Cohere AI Terrarium), CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048 (Progress LoadMaster, ECS Connection Manager, Object Scale Connection Manager, and MOVEit WAF), CVE-2026-21876 (Progress MOVEit WAF), CVE-2026-32173 (Microsoft Azure SRE Agent), CVE-2026-25262 (Qualcomm), CVE-2025-24371 (CometBFT), CVE-2026-5754 (Radware Alteon), CVE-2026-40872 (Mailcow), CVE-2026-27654 (Nginx), CVE-2026-5756 (DRC INSIGHT), CVE-2026-5757 (Ollama), CVE-2026-41651 aka Pack2TheRoot (Linux PackageKit), CVE-2026-33824 (Microsoft Windows IKEv2), CVE-2026-21571, CVE-2026-33871 (Atlassian Bamboo Data Center), CVE-2026-40050 (CrowdStrike LogScale), CVE-2026-32604, CVE-2026-32613 (Spinnaker), CVE-2026-33694 (Tenable Nessus Agent on Windows), TRA-2026-30 (Windows-driver-samples), TRA-2026-35 (Yuma AI), and a remote code execution flaw in Slippi (no CVE).

🎥 Cybersecurity Webinars

• Stop Testing, Start Validating: Outsmart Hackers with Agentic AI → Stop guessing which security gaps matter most while hackers use AI to find them for you. Most tools just follow a static checklist, but «Agentic Exposure Validation» actually thinks like an attacker, uncovering hidden paths into your network that traditional scans miss. Join this webinar to see how autonomous AI agents can test your defenses 24/7 and help you fix the risks that truly matter before they are exploited.
• Stop the Spread: How to Kill «Patient Zero» Before Your Network Goes Down → It only takes one «Patient Zero» to bring down your entire company. While traditional tools look for old threats, modern hackers are using AI-powered tricks to slip past your defenses undetected. Join this webinar to see how these new attacks work and learn simple «Zero Trust» steps to stop a breach before it spreads. Don’t wait for a crisis—learn how to lock down your network today.
• Connect the Dots: Stop Attackers Before They Reach Your Data → Hackers aren’t just looking for one big bug; they are chaining small, hidden gaps in your code and cloud to create a direct path to your data. Most security tools only see these issues in isolation, leaving you blind to the «big picture» thatan attacker sees. Join this webinar to learn how to map these complex attack paths and fix the real risks before they are exploited.

📰 Around the Cyber World

• Turning the Web Into a Trap for LLMs —Google has revealed that indirect prompt injections (IPI) are a top security priority, calling it a «primary attack vector for adversaries to target and compromise AI agents.» Unlike regular prompt injection that seeks to manipulate a chatbot into executing malicious instructions, IPI occurs when an AI system processes content, like a website, email, or document, that contains nefarious commands. As this content is processed by the AI, it may end up following the attacker’s commands instead of the user’s original intent. This is complicated by the fact that attackers use a gaggle of tricks to hide malicious instructions from human eyes while keeping them fully visible to AI. This often involves making the text invisible through CSS, encoding it in various formats, or stashing it in unexpected locations. In at least one malicious scenario, Google flagged a number of websites that attempt to vandalize the machines of anyone using AI assistants. If executed, the commands in this example would try to delete all files on the user’s machine. Some websites include prompt injections for the purpose of SEO, trying to manipulate AI assistants into promoting their business over others. «Additionally, even though sophistication was low, we observed an uptick in detections over time: We saw a relative increase of 32% in the malicious category between November 2025 and February 2026, repeating the scan on multiple versions of the [CommonCrawl] archive,» Google said. «This upward trend indicates growing interest in IPI attacks.»
• Meta Debuts Improved Meta Account —Meta has introduced an improved Meta Account as a centralized way to sign in and manage Meta apps and devices like Facebook, Instagram, and AI glasses. Besides adding support for passkeys, Meta also allows users to «optionally set up a single password to log into your apps and devices so you no longer have to remember multiple passwords.»
• X Launches XChat —X launched XChat as a standalone app for iOS, allowing users on the platform to connect with others for messaging, file sharing, audio and video calls, as well as group chats. The company claims all messages are end-to-end encrypted and PIN-protected — though security experts have previously disputed the company’s encryption claims when an early version was teased last year. XChat’s app listing page shows that it can collect location, contacts, search history, usage data, identifiers, and device diagnostics, and link that information to a user’s identity directly.
• Meta Plans to Track Employee Mouse Movements, Keystrokes for AI Model Training —Meta is installing tracking software on the systems of U.S. employees to capture mouse movements, clicks, and keystrokes, per a report from Reuters. Meta said the data will be used to train its artificial intelligence (AI) models and will not be used for employee reviews. In a similar development, GitHub notified users that the GitHub CLI now collects anonymous usage telemetry by default and that they should disable the feature if they do not want to share such information.
• Surge in Attacks Involving Compromised Bomgar Instances —Huntress has recorded an uptick in incidents involving compromised Bomgar remote monitoring and management (RMM) instances. «The surge follows intermittent waves of exploitation we have seen over the past two months, after BeyondTrust first disclosed a critical-severity flaw (CVE-2026-1731) in Bomgar in February,» the company said. «On February 6, 2026, BeyondTrust issued fixes for the flaw in Bomgar (rebranded as BeyondTrust Remote Support), which could be exploited by an unauthenticated attacker to remotely execute code.» The specific root cause behind these attacks is not clear, but the incidents likely stem from the exploitation of CVE-2026-1731. Fortra has also spotted phishing campaigns trying to lure victims into installing Datto’s CentraStage remote monitoring and management tool, which attackers are then using to connect back into the victim’s internal network. The findings demonstrate threat actors’ continued shift toward exploiting RMMs rather than using traditional malware.
• Over 1.2K C2 Servers Linked to Russian Infrastructure Providers —A large-scale study of the Russian web hosting space has found more than 1,250 malicious command-and-control servers hosted inside Russia this year. Most of the servers are linked to malware families and IoT botnets, such as Keitaro, Hajime, Cobalt Strike, Sliver, Mozi, and Mirai, according to Hunt.io.
• Tether Freezes $344M —Tether announced that it supported the U.S. Government in freezing $344 million USD₮ across two addresses. «The freeze was executed after the addresses were identified, preventing further movement of funds,» the company said. «The freeze follows information shared with Tether by several U.S. authorities about activity tied to unlawful conduct. When wallets are identified as connected to sanctions evasion, criminal networks, or other illicit activity, Tether can move to restrict those assets.»
• Malicious Chrome Extension Masquerades as Google Authenticator —A malicious Chrome extension posing as the official Google Authenticator app was identified in the official extension marketplace as part of an ongoing malicious campaign codenamed AIFrame, active since at least early 2026. «The extension appears to use Chrome’s localization system and skeleton code to bypass security reviews,» DomainTools said. «Despite its functional appearance, it requests broad, unnecessary permissions and contains ‘dormant infrastructure.’ This extension is linked to at least six others through a shared developer front, two of which already carry fully operational malicious payloads. These extensions utilize hidden iframes to inject attacker-controlled content into every webpage, deploy fraudulent paywalls for free services, and maintain bidirectional communication with C2 servers.»
• Compromised WordPress Sites Push ClickFix Schemes —Multiple websites have been compromised by a ClickFix clipboard hijacker that aims to trick users into pasting malicious commands into the Windows Run dialog or the macOS Terminal app to deliver malware. The kill chain is assessed to share overlaps with a known traffic distribution system (TDS) named KongTuke.
• New Phishing Toolkits Discovered —A number of new phishing-as-a-service toolkits have been spotted in the wild: OLUOMO, ATHR, VENOM, p1bot, TMoscow Bot, REFUNDEE, and UPMI.

🔧 Cybersecurity Tools

• Malfixer → Stop wasting hours manually repairing broken malware just to see how it works. Malfixer does the heavy lifting by automatically rebuilding corrupted or «packed» files so they are ready for analysis in seconds. It is a simple, effective way to bypass the tricks hackers use to hide their code, letting you get straight to your investigation.
• SmokedMeat → Most developers have no idea how many «shadow» tools and scripts are hidden inside their software build pipelines. Smokedmeat shines a light on these forgotten GitHub Actions and third-party tools by quickly scanning your environment to show you exactly what is running. It is a simple way to find hidden back doors and security risks before attackers do.

Disclaimer: This is strictly for research and learning. It hasn’t been through a formal security audit, so don’t just blindly drop it into production. Read the code, break it in a sandbox first, and make sure whatever you’re doing stays on the right side of the law.

Conclusion

Same pattern, new mess. Patch the obvious stuff first. Check the weird logins. Look hard at browser extensions, remote tools, and anything that touches your build chain. The boring checks are boring until they save prod.

That’s it for this week. Keep backups clean, MFA tight, and your trust budget low.

Un par de senadores bipartidistas quiere que una empresa que opere una línea de información para informar de forma anónima inquietudes sobre seguridad escolar responda preguntas sobre piratas informáticos que comprometen información confidencial de los estudiantes.

Los senadores Maggie Hassan, DN.H., y Jim Banks, republicano por Indiana, anunciaron el lunes que habían enviado una carta a la empresa Navigate360, sobre El incidente del mes pasado..

«Escribimos para expresar una gran preocupación por los riesgos para los estudiantes, el personal y las escuelas debido a un reciente ciberataque a la línea de información P3 Global Intel de su empresa», dijeron en el carta del 24 de abril. «Estamos particularmente preocupados por los informes de que el ciberataque aprovechó las vulnerabilidades de la plataforma para robar información de identificación personal altamente confidencial de los estudiantes. Le instamos a que brinde claridad al público sobre qué datos fueron robados, cómo está respondiendo Navigate360 y qué salvaguardas implementará Navigate360 para evitar que esto vuelva a suceder».

Según la empresa, más de 30.000 escuelas y 5.000 agencias de seguridad pública utilizan los productos de Navigate360. Los piratas informáticos afirmaron haber robado 93 gigabytes de datos de la empresa.

«Su empresa comercializa su producto como una línea de denuncia anónima», dijeron Hassan y Banks. «Sin embargo, la información de identificación personal publicada recientemente por los piratas informáticos sugiere lo contrario. Esto pone en riesgo la seguridad de los estudiantes y socava la confianza del público en el uso de dichas plataformas para informar actividades sospechosas. Los expertos en educación y seguridad escolar han expresado su preocupación de que, sin un anonimato garantizado, los estudiantes optarán por no informar sobre problemas de seguridad».

En el momento de la presunta infracción, el director ejecutivo de Navigate360, JP Guilbault dijo la empresa Estaba trabajando para determinar si hubo algún incidente y, en caso de haberlo, su alcance. No confirmó que se haya divulgado información confidencial. La compañía no respondió de inmediato a una solicitud de comentarios sobre la carta de los senadores el lunes.

Un enorme 82% de las escuelas K-12 dijeron que experimentaron un incidente cibernético entre julio de 2023 y diciembre de 2024, según un informe del Centro para la Seguridad de Internet. El escala de los ciberataques a las escuelas ampliado durante el COVID-19. Los piratas informáticos que buscan información de los estudiantes suelen tener un motivo financiero, como retener la información para pedir un rescate.

Los piratas informáticos del caso Navigate360 aparentemente estaban motivados por el hacktivismo.

“Recuerden amigos, no hagan el trabajo sucio a los cerdos”, escribieron. «La investigación del crimen es su trabajo, no el tuyo. No les importas, quieren condenas y prisioneros para alimentar las prisiones con fines de lucro».

Las preguntas específicas de Hassan y Banks para Navigate360 incluyeron consultas sobre sus prácticas de ciberseguridad, qué datos se vieron comprometidos, si la línea de información es completamente anónima y qué tipo de ayuda ha brindado la compañía a los distritos escolares.

Checkmarx ha revelado que su investigación en curso relacionada con el incidente de seguridad de la cadena de suministro ha revelado que un grupo cibercriminal publicó datos relacionados con la empresa en la web oscura.

«Basándonos en la evidencia actual, creemos que estos datos se originaron en el repositorio GitHub de Checkmarx, y que el acceso a ese repositorio se facilitó mediante el ataque inicial a la cadena de suministro del 23 de marzo de 2026», dijo la empresa de seguridad israelí. dicho.

También enfatizó que el repositorio de GitHub se mantiene separado del entorno de producción del cliente, y agregó que no se almacenan datos del cliente en el repositorio. Checkmarx dijo que su investigación forense sobre el incidente está en curso y que está trabajando activamente para verificar la naturaleza y el alcance de los datos publicados.

Además, la compañía dijo que bloqueó el acceso al repositorio de GitHub afectado como parte de sus esfuerzos de respuesta a incidentes.

«Si determinamos que la información del cliente estuvo involucrada en este incidente, notificaremos a los clientes y a todas las partes relevantes de inmediato», dijo.

El desarrollo se produce después del Dark Web Informer. compartido en una publicación X que el grupo de cibercrimen LAPSUS$ se cobró tres víctimas en su sitio de filtración de datos, una de las cuales incluye a Checkmarx. Los datos, según el listado, contienen código fuente, base de datos de empleados, claves API y credenciales de MongoDB/MySQL.

Checkmarx sufrió una infracción a finales del mes pasado tras el ataque a la cadena de suministro de Trivy, como resultado del cual dos de sus flujos de trabajo de GitHub Actions y dos complementos distribuidos a través del mercado Open VSX fueron manipulados para impulsar a un ladrón de credenciales capaz de recolectar una amplia gama de secretos de desarrolladores. El actor de amenazas conocido como TeamPCP se atribuyó la responsabilidad del ataque.

La semana pasada, se sospecha que el grupo con motivación financiera comprometió la imagen KICS Docker de Checkmarx, junto con las dos extensiones de VS Code y un flujo de trabajo de GitHub Actions con un malware de robo de credenciales similar. Esto, a su vez, tuvo un impacto en cascada, lo que llevó a un breve compromiso del paquete npm de la CLI de Bitwarden.

Los investigadores de ciberseguridad han detectado docenas de extensiones de Microsoft Visual Studio Code (VS Code) en el repositorio Open VSX que están vinculadas a una campaña persistente de robo de información denominada gusano de cristal.

El grupo de 73 extensiones ha sido identificado como versiones clonadas de sus contrapartes legítimas. De estos, se ha confirmado que seis son maliciosos, y el resto actúa como paquetes durmientes aparentemente inofensivos para que los usuarios los descarguen y generen confianza, antes de que su verdadera intención se manifieste a través de una actualización posterior.

Todas las extensiones fueron publicado a principios de mes, según la empresa de seguridad de aplicaciones Socket, que está rastreando la última versión bajo el nombre Gusano de vidrio v2. En total, se han identificado más de 320 artefactos desde el 21 de diciembre de 2025. La lista de extensiones identificadas como maliciosas se detalla a continuación:

• outsidestormcommand.monocromador-tema
• keyacrosslaud.auto-loop-para-antigravedad
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-amigos
• cubedivervolt.html-código-validar
• ganadordominio17.versión-lens-herramienta

Los durmientes clonados, además de escribir errores en los nombres de los paquetes originales (CEINTL.vscode-language-pack-tr vs. Emotionkyoseparate.turkish-language-pack), usan el mismo icono y descripción que sus correspondientes versiones legítimas en un intento de engañar a los desarrolladores desprevenidos y engañarlos para que instalen las extensiones.

Esta «confianza visual» actúa como una táctica eficaz de ingeniería social para aumentar el número de instalaciones de forma orgánica antes de que se envenene para distribuir malware a los usuarios posteriores.

La revelación se produce cuando los actores de amenazas detrás de la campaña están evolucionando activamente su modus operandi, recurriendo a paquetes durmientes y dependencias transitivas para evadir la detección, mientras usan simultáneamente droppers basados ​​en Zig para implementar una extensión VSIX secundaria alojada en GitHub que puede infectar todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

Las extensiones identificadas por Socket actúan como un cargador inocuo para la carga útil real, que es una extensión VSIX que se recupera de GitHub y se instala en cada IDE identificado en el sistema, incluidos VS Code, Cursor, Windsurf y VSCodium, utilizando el comando «–install-extension».

Independientemente del método utilizado, el objetivo final es el mismo: ejecutar malware que evite los sistemas rusos, robar datos confidenciales, instalar un troyano de acceso remoto (RAT) e implementar sigilosamente una extensión maliciosa basada en Chromium para desviar credenciales, marcadores y otra información.

«Este enfoque logra el mismo resultado que la variante basada en binario, pero mantiene la lógica de entrega en JavaScript ofuscado», dijo la compañía. «La extensión actúa como un cargador, mientras que la carga útil se recupera y ejecuta después de la activación».

Los investigadores advierten que BlackFile, un grupo de extorsión probablemente asociado con The Com, continúa haciéndose pasar por el soporte de TI en ataques de phishing de voz e ingeniería social que han impactado a organizaciones en múltiples industrias, incluidas la atención médica, la tecnología, el transporte, la logística, el comercio mayorista y minorista.

Los atacantes han estado activamente Dirigido a organizaciones del sector minorista y hotelero. industria desde febrero, según la última inteligencia de la Unidad 42 sobre la campaña, que el Centro de análisis e intercambio de información de comercio minorista y hotelería (RH-ISAC) publicó junto con indicadores de compromiso el jueves.

El grupo de amenazas, que también se rastrea como CL-CRI-1116, UNC6671 y Cordial Spider, parece estar apuntando a las víctimas de manera oportunista en una campaña que permanece activa y en curso, dijo a CyberScoop Matt Brady, investigador principal senior de la Unidad 42 de Palo Alto Networks.

«El objetivo principal de estos actores de amenazas es presionar a las organizaciones objetivo para que paguen grandes demandas de rescate, generalmente en el rango de siete cifras», dijo Brady.

La Unidad 42 se negó a decir cuántas organizaciones se han visto afectadas hasta el momento y RH-ISAC no respondió a una solicitud de comentarios.

Los ataques de BlackFile contra empresas del sector minorista y hotelero son parte de una ola más amplia de ataques de phishing de voz iniciados por múltiples grupos de ciberdelincuencia, que Grupo de inteligencia sobre amenazas de Google y Okta advirtió en enero.

La Unidad 42 también señaló que las actividades de BlackFile se superponen con una campaña de extorsión y robo de datos en curso que CrowdStrike ha estado siguiendo como Araña cordial desde al menos octubre de 2025.

Sin embargo, las tácticas del grupo amenazador han estado lejos de ser cordiales. RH-ISAC dijo que algunos atacantes han aplastado al personal de la empresa, incluidos los ejecutivos, para aumentar su influencia y presionar a las víctimas para que paguen sus demandas de rescate.

El grupo de amenazas atrae a las víctimas mediante ataques de phishing de voz y páginas de phishing que imitan servicios corporativos de inicio de sesión único para robar credenciales antes de pasar a cuentas privilegiadas.

«Buscan directorios internos de empleados para obtener listas de contactos de ejecutivos», escribió RH-ISAC en una publicación de blog. «Al comprometer estas cuentas senior a través de ingeniería social adicional, obtienen acceso persistente y de amplio espectro al entorno que refleja la actividad legítima de las sesiones ejecutivas».

El acceso no autorizado y el robo de datos del grupo para actividades de extorsión abarcan entornos SaaS, permisos de la API de Microsoft Graph, acceso a la API de Salesforce, repositorios internos, sitios de SharePoint y conjuntos de datos que contienen números de teléfono y registros comerciales de los empleados.

BlackFile también creó un sitio de filtración de datos para extorsionar a las víctimas que, según afirma, ignoraron o no aceptaron sus demandas, según los investigadores.

Brady dijo que la Unidad 42 ha observado una actividad relativamente constante del grupo de amenaza desde febrero.

RH-ISAC aconseja a las organizaciones gestionar la verificación de identidad de múltiples factores para las personas que llaman y limitar las acciones de soporte de TI que se pueden completar en una sola llamada sin escalar a la administración.

Un grupo hacktivista proucraniano llamado núcleo fantasma se ha atribuido a ataques dirigidos activamente a servidores que ejecutan el software de videoconferencia TrueConf en Rusia desde septiembre de 2025.

Esto es según un informe publicado por Positive Technologies, que encontró que los actores de amenazas estaban aprovechando una cadena de exploits que comprende tres vulnerabilidades para ejecutar comandos de forma remota en servidores susceptibles.

«A pesar de que no existen exploits para esta cadena de vulnerabilidades de acceso público, los atacantes de PhantomCore lograron realizar sus investigaciones y reproducir las vulnerabilidades, lo que llevó a un gran número de casos de su funcionamiento en organizaciones rusas», afirman los investigadores Daniil Grigoryan y Georgy Khandozhko dicho.

núcleo fantasmatambién llamado Fairy Trickster, Head Mare, Rainbow Hyena y UNG0901, es el nombre asignado a un equipo de hackers con motivaciones políticas y financieras que ha estado activo desde 2022 tras la guerra ruso-ucraniana. Se sabe que los ataques organizados por el grupo roban datos confidenciales e interrumpen las redes de destino, y en algunos casos incluso implementan ransomware basado en el código fuente filtrado de Babuk y LockBit.

«El grupo lleva a cabo operaciones a gran escala manteniendo un fuerte sigilo, permaneciendo invisible en las redes de las víctimas durante períodos prolongados, gracias a las actualizaciones continuas y la evolución de las herramientas ofensivas internas», señaló la compañía en septiembre de 2025.

El Vulnerabilidades del servidor TrueConf explotados en los ataques se enumeran a continuación:

• BDU:2025-10114 (Puntuación CVSS: 7,5): una vulnerabilidad de control de acceso insuficiente que podría permitir a un atacante realizar solicitudes a ciertos puntos finales administrativos (/admin/*) sin autenticación.
• BDU:2025-10115 (Puntuación CVSS: 7,5): una vulnerabilidad que podría permitir a un atacante leer archivos arbitrarios en el sistema.
• BDU-2025-10116 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos que podría permitir a un atacante ejecutar comandos arbitrarios del sistema operativo.

La explotación exitosa de las tres vulnerabilidades podría permitir a un atacante eludir la autenticación y obtener acceso a la red de la organización. Aunque se implementaron parches de seguridad para abordar los problemas publicado por TrueConf El 27 de agosto de 2025, se detectaron los primeros ataques dirigidos a servidores TrueConf a mediados de septiembre de 2025, según Positive Technologies.

En los ataques observados por el proveedor de seguridad ruso, el compromiso del servidor TrueConf permitió a los actores de amenazas usarlo como trampolín para moverse lateralmente a través de la red interna y lanzar cargas útiles maliciosas para facilitar el reconocimiento, la evasión de defensa y la recolección de credenciales, así como configurar canales de comunicación utilizando utilidades de túnel.

Se dice que al menos uno de esos compromisos exitosos condujo a la implementación de un shell web basado en PHP que es capaz de cargar archivos en el host infectado y ejecutar comandos remotos, junto con un archivo PHP que funciona como un servidor proxy para disfrazar solicitudes maliciosas como provenientes de un servidor legítimo.

Algunas de las otras herramientas entregadas como parte del ataque son las siguientes:

• fantasmaPxPalomaun cliente de videoconferencia TrueConf malicioso que implementa un shell inverso para conectarse a un servidor remoto y recibir tareas para su posterior ejecución, lo que le permite ejecutar comandos, iniciar ejecutables y permitir que el tráfico se envíe a través del shell web antes mencionado.
• PhantomSscp (DLL), MacTunnelRat (PowerShell), PhantomProxyLite (PowerShell), para establecer un punto de apoyo en un entorno violado a través de un túnel SSH inverso
• ADRecon, para reconocimiento
• Veeam-Get-Credsuna versión modificada del script de PowerShell para recuperar contraseñas relacionadas con el software Veeam Backup & Replication
• DumpIt y MemProcFS, para recolección de credenciales
• Administración remota de Windows (WinRM) y Protocolo de escritorio remoto (RDP), para movimiento lateral dentro del perímetro de la red
• velociraptorpara acceso remoto
• microcalcetines, rsocxy calcetinespara controlar hosts comprometidos desde una infraestructura controlada por atacantes utilizando un proxy SOCKS

Algunas intrusiones han utilizado una DLL para crear un usuario fraudulento llamado «TrueConf2» con privilegios administrativos en un servidor de videoconferencia comprometido.

También se ha descubierto que las cadenas de ataque de PhantomCore utilizan señuelos de phishing para el acceso inicial a organizaciones rusas en enero y febrero de 2026, utilizando archivos ZIP o RAR diseñados para distribuir una puerta trasera que puede ejecutar comandos remotos en el host y servir cargas útiles arbitrarias.

«El grupo PhantomCore es uno de los grupos más activos en el panorama de amenazas ruso», concluyeron los investigadores. «Su arsenal incluye herramientas disponibles públicamente (Velociraptor, Memprocfs, Dokan, DumpIt) y herramientas patentadas (MacTunnelRAT, PhantomSscp, PhantomProxyLite). El grupo se dirige a organizaciones gubernamentales y privadas en una amplia gama de industrias».

«PhantomCore busca activamente vulnerabilidades en el software nacional, desarrolla exploits y, por tanto, consigue la capacidad de infiltrarse en un gran número de empresas rusas».

En los últimos meses, los sectores industrial y de aviación en Rusia han sido blanco de campañas de phishing orquestadas por un grupo con motivación financiera llamado tapaFIX implementar una puerta trasera denominada CapDoor que puede ejecutar comandos de PowerShell, archivos DLL y ejecutables recuperados de un servidor remoto, instalar archivos MSI y tomar capturas de pantalla. El apodo CapFIX es una referencia al hecho de que CapDoor se descubrió por primera vez en 2025 y se distribuyó mediante la táctica de ingeniería social ClickFix.

Un análisis más profundo de las campañas del actor de amenazas en octubre y noviembre de 2025 ha descubierto el uso de ClickFix por parte del actor de amenazas para implementar familias de malware disponibles en el mercado como AsyncRAT y SectopRAT.

«Si bien el grupo anteriormente dependía de correos electrónicos de phishing con temas financieros (criptomonedas y cualquier cosa relacionada con el dinero), ahora están enmascarando cada vez más sus correos electrónicos como comunicaciones oficiales de agencias gubernamentales», dijo Positive Technologies. dicho.

PhantomCore y CapFIX se encuentran entre una lista cada vez mayor de grupos de actividades de amenazas que han organizado ataques contra entidades rusas. Algunos de los otros grupos destacados incluyen:

• Geo Likhoque se ha dirigido principalmente a los sectores de la aviación y el transporte marítimo en Rusia y Bielorrusia desde julio de 2024, mediante ataques de phishing que generan malware para robar información. También se han detectado infecciones aisladas en Alemania, Serbia y Hong Kong, y se sospecha que son accidentales.
• Likho míticoque utiliza señuelos de phishing por correo electrónico para entregar cargadores como HuLoader, Esmerejón (a Agente mítico), o ReflectPulse que están diseñados para desempaquetar la carga útil final, una puerta trasera llamada Loki esa es una versión compatible con Mythic de un agente diseñado para el marco posterior a la explotación de Havoc. La evidencia ha indicado que el grupo comparte vínculos con otro grupo conocido como ExCobalt, debido al uso del rootkit propietario de este último, Megatsune.
• Hombre lobo de papel (también conocido como GOFFEE), que ha utilizado un canal dedicado de Telegram para distribuir un troyano llamado EchoGather bajo la apariencia de una herramienta para agregar dispositivos Starlink a una lista de excepciones, además de compartir enlaces a páginas de phishing diseñadas para recopilar las credenciales de las cuentas de Telegram de las víctimas. También se ha observado que el grupo utiliza un sitio web falso que anuncia un simulador de piloto de drones para lanzar EchoGather.
• Hombre lobo versátil (también conocido como Alma sin corazón), que ha utilizado sitios web falsos («stardebug[.]app») para distribuir instaladores MSI falsos para Star Debug, una herramienta alternativa para administrar dispositivos Starlink, para implementar el marco de post-explotación Sliver. Otro sitio web vinculado al actor de amenazas («alphafly-drones[.]com») ha utilizado aplicaciones fraudulentas de simulación de drones para probablemente eliminar SoullessRAT, un troyano de Windows que puede ejecutar comandos, cargar archivos, capturar capturas de pantalla y ejecutar archivos binarios.
• hombre lobo águilaun grupo de amenazas previamente indocumentado que ha comprometido canales de Telegram centrados en drones para distribuir AquilaRAT a través de un cuentagotas Rust que se hace pasar por una lista de verificación para la activación de dispositivos Starlink. Un troyano basado en Rust, AquilaRAT, puede realizar operaciones con archivos y ejecutar comandos.

«A pesar de compartir un objetivo común y emplear técnicas similares, los clústeres operaron de forma autónoma, sin mostrar evidencia de coordinación directa», dijo la empresa rusa de ciberseguridad BI.ZONE. dicho.

«Además de la distribución de malware, Paper Werewolf secuestra cuentas de Telegram. El clúster probablemente las utiliza como canales confiables para respaldar futuros ataques. Versatile Werewolf aprovecha la IA generativa para desarrollar herramientas utilizadas en sus ataques, acelerando el proceso de desarrollo».

Claude Mythos Preview de Anthropic ha dominado las discusiones sobre seguridad desde su anuncio el 7 de abril. Los primeros informes describen un poderoso sistema de inteligencia artificial centrado en la ciberseguridad capaz de identificar vulnerabilidades a escala y plantear serias dudas sobre la rapidez con la que las organizaciones pueden validar, priorizar y remediar lo que encuentran.

El debate que siguió se centró principalmente en las preguntas correctas: ¿Se trata de un cambio radical o de un avance gradual? ¿Restringir el acceso a Microsoft, Apple, AWS y JPMorgan realmente reduce el riesgo, o simplemente concentra la ventaja defensiva entre los que ya están bien defendidos? ¿Qué sucede cuando los adversarios (actores estatales, empresas criminales) crean capacidades equivalentes?

Estos son importantes. Pero hay un problema operativo más silencioso que está recibiendo menos atención y es el que realmente determinará si la mayoría de las organizaciones sobrevivirán a este cambio.

La brecha entre el descubrimiento y la remediación

El anuncio de Mythos y la conversación más amplia sobre seguridad de la IA que inició tiene que ver en gran medida con descubrimiento vulnerabilidades más rápido. Eso es valioso. Pero encontrar una vulnerabilidad y fijación Son dos flujos de trabajo completamente diferentes, y la brecha entre ellos es donde la mayoría de los programas de seguridad desaparecen silenciosamente. Esa es exactamente la brecha PlexTrac Fue construido para cerrar.

Considere lo que normalmente sucede después de que una prueba de penetración o un análisis de vulnerabilidad revela un hallazgo crítico: entra en una hoja de cálculo, un ticket o un informe en PDF que llega a la bandeja de entrada de alguien. El equipo de seguridad lo sabe. El equipo de ingeniería puede que lo sepa o no. La propiedad de la remediación es ambigua. No existe una forma clara de rastrear si el parche realmente se envió, si se le quitó prioridad o si alguna vez se programó una nueva prueba. Mientras tanto, los hallazgos lo son.

Los modelos de IA como Mythos acelerarán la aporte lado de este oleoducto dramáticamente. Pueden descubrir vulnerabilidades a un ritmo y profundidad que los equipos rojos humanos simplemente no pueden igualar. Pero si la infraestructura organizacional para clasificar, priorizar, comunicar y verificar las soluciones no ha seguido el ritmo, un descubrimiento más rápido sólo significa una acumulación de problemas críticos sin resolver que crece más rápidamente.

Éste es el problema que un modelo como Mythos en realidad agudiza. Si su proceso de pentest actual tarda tres semanas en revelar diez hallazgos de alta gravedad, y la remediación ya está luchando por mantenerse al día, ¿qué sucede cuando esa misma área de superficie se escanea continuamente y genera hallazgos a un ritmo diez veces mayor?

El problema del falso positivo de Schneier es real

Bruce Schneier planteó un punto importante en su artículo: no conocemos la tasa de falsos positivos de Mythos en la producción sin filtrar. Anthropic informa un 89% de acuerdo de gravedad con los contratistas humanos en los hallazgos que exhibido—Pero esa es una muestra seleccionada, no una distribución completa. Los sistemas de inteligencia artificial que detectan casi todos los errores reales también tienden a generar vulnerabilidades que parecen plausibles en el código parcheado o corregido.

Esto es importante desde el punto de vista operativo. Una herramienta que genera falsos positivos a escala que suenan muy confiables no reduce la carga del equipo de seguridad, sino que la aumenta. Cada hallazgo crítico espurio que debe ser evaluado y descartado es tiempo que un ingeniero de seguridad no dedica a uno real. El valor del descubrimiento de vulnerabilidades asistido por IA solo se materializa si los hallazgos que surgen de él pueden evaluarse de manera eficiente, contextualizarse frente al riesgo comercial real y enviarse a las personas adecuadas.

Cómo luce realmente el problema de la infraestructura

Los equipos mejor posicionados para absorber la velocidad de descubrimiento de la era de los Mitos son los que ya tienen tres cosas en su lugar:

Gestión centralizada de hallazgos. Ni un sistema de tickets, ni un tablero JIRA adjunto a una hoja de cálculo. Un lugar especialmente diseñado donde los hallazgos de vulnerabilidades de múltiples fuentes (resultados del escáner, informes de pentest, interacciones del equipo rojo) se encuentran en un formato normalizado y consultable. Sin esto, la integración de los hallazgos generados por la IA sólo añade otro silo de datos.

Priorización contextualizada del riesgo. Las puntuaciones CVSS sin procesar son un punto de partida, no una decisión. Un hallazgo crítico en un sistema interno y aislado no es el mismo riesgo que el mismo hallazgo en una API orientada al cliente. Las organizaciones que solo pueden ordenar por puntuación de gravedad se verán abrumadas cuando el descubrimiento de IA comience a producir hallazgos en volumen; Las organizaciones que pueden calificar según la criticidad de los activos, el impacto comercial y el contexto de exposición pueden realizar una clasificación inteligente.

Remediación dinámica basada en riesgos mediante puntuación configurable

Seguimiento de remediación de circuito cerrado. Aquí es donde la mayoría de los programas realmente fallan. Un hallazgo que no se verifica como solucionado es solo un pasivo que tiene un nombre. Las pruebas continuas, los flujos de trabajo de corrección estructurados y las transferencias claras de propiedad no son características interesantes: son la diferencia entre un programa de seguridad que mejora con el tiempo y uno que simplemente acumula riesgos documentados.

PlexTrac es una plataforma de gestión de exposición e informes pentest que se ha estado construyendo exactamente en esta dirección: datos de hallazgos centralizados, priorización de riesgos contextuales y flujos de trabajo de remediación estructurados.

Mythos (y herramientas similares) serán muy buenos para indicarle que su casa tiene problemas estructurales. PlexTrac es la capa operativa que garantiza que esos problemas realmente se solucionen, se asigne al contratista adecuado y alguien verifique el trabajo antes de cerrarlo. Ambos son necesarios. La mayoría de las organizaciones han invertido en el equivalente de mejores inspecciones de viviendas y al mismo tiempo han permitido que el sistema de seguimiento de reparaciones permanezca en un documento de Google compartido.

El problema de acceso que Schneier identificó también es un problema de flujo de trabajo

Una crítica al Proyecto Glasswing es que concentrar el acceso a Mythos entre 50 grandes proveedores significa que las organizaciones mejor equipadas para actuar sobre los hallazgos los obtienen primero. Las empresas Fortune 500, como señaló el artículo de Fortune del ex director cibernético nacional, están mejor posicionadas para absorber y remediar; son las PYME, los operadores de infraestructura regional y los sistemas industriales especializados los que están más expuestos y cuentan con menos recursos.

Se trata de un problema estructural de acceso que las políticas tendrán que abordar. Pero también implica un problema de flujo de trabajo: incluso si se democratizara el acceso, muchas organizaciones más pequeñas no tienen la infraestructura operativa para convertir los hallazgos de seguridad generados por IA en soluciones ejecutadas. Las herramientas que reducen los gastos generales de ese proceso (informes más rápidos, comunicación de hallazgos más clara, transferencias de remediación con menor fricción) son posiblemente más importantes para esas organizaciones que para las empresas que ya pueden dedicar personal al problema.

La conclusión práctica

El momento Mythos es una función forzada útil. No porque signifique que sus sistemas definitivamente estarán comprometidos mañana, sino porque hace visible una brecha que ha estado creciendo silenciosamente durante años: los equipos de seguridad están mejorando en la búsqueda de problemas, mientras que la maquinaria organizacional para solucionarlos ha evolucionado mucho más lentamente.

La respuesta correcta no es el pánico y no es esperar a ver si el acceso a Glasswing eventualmente se expande para incluirlo a usted. Está tomando el anuncio de Mythos como un aviso para auditar su propio proceso de remediación: ¿Cuánto tiempo lleva un hallazgo crítico pasar del descubrimiento a la solución verificada? ¿Cuántos hallazgos abiertos de alta gravedad se encuentran actualmente en algún estado ambiguo de «estar trabajando»? ¿Puede realmente volver a realizar la prueba después de la corrección o simplemente confía en que el ticket de ingeniería se cerró?

Esas preguntas no requieren acceso a Mythos para responder. Y para la mayoría de los equipos, las respuestas serán más incómodas que cualquier cosa del documento técnico de 245 páginas de Anthropic.

Investigadores de ciberseguridad han revelado detalles de una campaña de fraude en telecomunicaciones que utiliza trucos de verificación CAPTCHA falsos para engañar a usuarios desprevenidos y enviarles mensajes de texto internacionales que generan cargos en sus facturas de telefonía móvil, generando ingresos ilícitos para los actores de amenazas que alquilan los números de teléfono.

Según un nuevo informe publicado por Infoblox, se cree que la operación ha estado activa desde al menos junio de 2020, utilizando métodos como ingeniería social y secuestro del botón de retroceso en los navegadores web. Se han observado hasta 35 números de teléfono que abarcan 17 países como parte del fraude internacional de reparto de ingresos (IRSF) campaña.

«El CAPTCHA falso tiene múltiples pasos, y cada mensaje elaborado por el sitio está preconfigurado con más de una docena de números de teléfono, lo que significa que a la víctima no se le cobra por un solo mensaje, sino que se le cobra por enviar SMS a más de 50 destinos internacionales», investigadores David Brunsdon y Darby Wise dicho en un análisis.

«Este tipo de estafa también se beneficia del retraso en la facturación, ya que los cargos por ‘SMS internacionales’ suelen aparecer en la factura de la víctima semanas después y la experiencia con el CAPTCHA falso ha quedado olvidada hace mucho tiempo».

Lo que hace que la amenaza sea notable es la combinación de fraude en el reparto de ingresos y sistemas de distribución de tráfico malicioso (TDS), y la actividad utiliza la infraestructura (tradicionalmente responsable de enrutar el tráfico a malware o páginas de phishing a través de una cadena de redireccionamiento para evadir la detección) para realizar estafas por SMS a escala.

Los esquemas del IRSF implican que los estafadores adquieran ilegalmente números de tarifa premium internacional (IPRN) o rangos de números e inflen artificialmente el volumen de llamadas o mensajes internacionales a esos números para recibir una parte de los ingresos generados por estas llamadas a partir de los cargos de terminación obtenidos por el titular del rango de números para el tráfico entrante a los rangos de números.

En este contexto, una tarifa de terminación se refiere a los cargos entre operadores pagados por un operador de telecomunicaciones de origen a un operador de destino para completar una llamada en su red. Es la explotación de estos acuerdos de «reparto de ingresos» lo que impulsa al IRSF, ya que el operador de origen termina pagando tarifas de terminación a la red de destino por las llamadas entrantes a destinos de alto costo, una parte de las cuales se divide con los estafadores.

Infoblox dijo que la campaña observada registra específicamente números de teléfono en países con altas tarifas de terminación o regulaciones laxas, como Azerbaiyán, Kazajstán o ciertos rangos de números de tarifa premium en Europa, y se confabula con proveedores de telecomunicaciones locales para llevar a cabo la estafa.

Toda la campaña se desarrolla así: un usuario es redirigido a una página web falsa utilizando un TDS comercial, que sirve un CAPTCHA que le indica que envíe un SMS para «confirmar que es humano». Esto, a su vez, desencadena una cadena de «verificación» de varias etapas, en la que cada paso activa un mensaje SMS independiente a los números designados por el servidor al iniciar mediante programación las aplicaciones de SMS en dispositivos Android e iOS con los números de teléfono y el contenido del mensaje precargados.

En el proceso, se envían hasta 60 mensajes SMS a 15 números únicos después de cuatro pasos de CAPTCHA, lo que podría terminar costándole al usuario $30. Si bien puede ser una cantidad relativamente pequeña, la firma de inteligencia de amenazas DNS advirtió que podrían sumarse rápidamente para el actor de amenazas cuando se llevan a cabo a escala. La lista de números de teléfono abarca 17 países, como Azerbaiyán, Países Bajos, Bélgica, Polonia, España y Turquía.

La campaña depende en gran medida de las cookies para rastrear la progresión a través del flujo de verificación falso, utilizando valores almacenados en ciertas cookies (por ejemplo, «tasa de éxito») para determinar el siguiente curso de acción. Si se considera que un usuario no es apto para la campaña, la página está diseñada para redirigirlo a una página CAPTCHA completamente diferente que probablemente forme parte de una campaña separada o esté controlada por un actor diferente.

Otra estrategia novedosa adoptada por los operadores de estafas es el uso del secuestro del botón Atrás, que se basa en JavaScript para alterar el historial de navegación de modo que cualquier intento realizado por el visitante del sitio de navegar fuera de la página CAPTCHA presionando el botón Atrás del navegador redirige al usuario a la página falsa, atrapándolo efectivamente en un bucle de navegación a menos que opte por salir completamente del navegador.

Cadena de redireccionamiento que conduce a una página CAPTCHA falsa

«Esta operación defrauda tanto a individuos como a operadores de telecomunicaciones simultáneamente. Las víctimas individuales enfrentan cargos inesperados por SMS en sus facturas y tendrían dificultades para identificar y denunciar el fraude cuando se origina en una fuente tan inesperada», concluyó Infoblox. «Los operadores de telecomunicaciones pagan una parte de los ingresos a los perpetradores y probablemente absorben las pérdidas de las disputas de los clientes o las devoluciones de cargo».

Cómo los actores de amenazas abusan de Keitaro TDS

La divulgación se produce cuando la empresa, en colaboración con Confiantepublicó un análisis de tres partes que detalla cómo una amplia gama de actores de amenazas están abusando del Keitaro TDS (también conocido como Keitaro Tracker), en algunos casos mediante la adquisición de licencias robadas o descifradas (como en el caso de TA2726). actividades maliciosasincluida la entrega de malware, el robo de criptomonedas y las estafas de inversión que afirman emplear inteligencia artificial (IA) para automatizar el comercio y prometer enormes ganancias.

La estafa hace uso de Anuncios de Facebook para atraer a las víctimas a las plataformas fraudulentas impulsadas por IA, y en algunos casos incluso recurren a fabricar respaldos de celebridades a través de artículos de noticias falsos y videos falsos para promover el plan de inversión. El uso de vídeos sintéticos se ha atribuido a un actor de amenazas denominado FaiKast.

«Keitaro es, ante todo, un rastreador de rendimiento publicitario autohospedado diseñado para enrutar condicionalmente a los visitantes mediante flujos», afirman las empresas. dicho. «Los actores de amenazas reutilizan este mecanismo, transformando un servidor Keitaro en una herramienta todo en uno que actúa como un sistema de distribución de tráfico, rastreador y capa de encubrimiento».

Distribución de campañas de spam observadas utilizando Keitaro

En total, más de 120 campañas distintas han abusado del TDS de Keitaro para la entrega de enlaces durante un período de cuatro meses entre octubre de 2025 y enero de 2026. Infoblox señaló que sus clientes registraron alrededor de 226.000 consultas de DNS que abarcaban 13.500 dominios asociados con la actividad relacionada con Keitaro durante el período. Tras una revelación responsable, Keitaro intervino para cancelar más de una docena de cuentas vinculadas a estas actividades.

«Al combinar un tema de fraude de inversiones más antiguo pero aún muy eficaz con tecnologías modernas de inteligencia artificial, los actores han podido lanzar campañas cibernéticas a gran escala y muy convincentes», dijeron Infoblox y Confiant. «Aproximadamente el 96% del tráfico de spam vinculado a Keitaro promovió esquemas de drenaje de billeteras de criptomonedas, principalmente a través de señuelos falsos de lanzamiento aéreo/obsequios centrados en AURA, SOL (token Solana), Phantom (billetera) y Júpiter (DEX/agregador)».