Una operación con motivación financiera cuyo nombre en código REF1695 Se ha observado que desde noviembre de 2023 se aprovechan instaladores falsos para implementar troyanos de acceso remoto (RAT) y mineros de criptomonedas.

«Más allá de la criptominería, el actor de amenazas monetiza las infecciones a través del fraude CPA (costo por acción), dirigiendo a las víctimas a páginas de contenido bajo la apariencia de registro de software», afirman los investigadores de Elastic Security Labs, Jia Yu Chan, Cyril François y Remco Sprooten. dicho en un análisis publicado esta semana.

También se ha descubierto que iteraciones recientes de la campaña entregan un implante .NET previamente no documentado con nombre en código CNB Bot. Estos ataques aprovechan un archivo ISO como vector de infección para entregar un cargador protegido por .NET Reactor y un archivo de texto con instrucciones explícitas para que el usuario evite las protecciones de Microsoft Defender SmartScreen contra la ejecución de aplicaciones no reconocidas haciendo clic en «Más información» y «Ejecutar de todos modos».

El cargador está diseñado para invocar PowerShell, que es responsable de configurar amplias exclusiones de Microsoft Defender Antivirus para pasar desapercibido e iniciar CNB Bot en segundo plano. Al mismo tiempo, al usuario se le muestra un mensaje de error: «No se puede iniciar la aplicación. Es posible que su sistema no cumpla con las especificaciones requeridas. Comuníquese con el soporte».

CNB Bot funciona como un cargador con capacidades para descargar y ejecutar cargas útiles adicionales, actualizarse, desinstalar y realizar acciones de limpieza para cubrir las pistas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.

Otras campañas montadas por el actor de amenazas han aprovechado señuelos ISO similares para implementar PureRAT, PureMiner y un cargador XMRig personalizado basado en .NET, el último de los cuales llega a una URL codificada para extraer la configuración de minería y lanzar la carga útil del minero.

Como se observó recientemente en la campaña FAUX#ELEVATE, se abusa de «WinRing0x64.sys», un controlador de kernel de Windows legítimo, firmado y vulnerable, para obtener acceso al hardware a nivel de kernel y modificar la configuración de la CPU para aumentar las tasas de hash, permitiendo así mejorar el rendimiento. El uso del conductor ha sido observado en muchos campañas de criptojacking a lo largo de los años. La funcionalidad era agregado a los mineros XMRig en diciembre de 2019.

Elastic dijo que también identificó otra campaña que conduce al despliegue de SilentCryptoMiner. El minero, además de utilizar llamadas directas al sistema para evadir la detección, toma medidas para desactivar los modos de suspensión e hibernación de Windows, configura la persistencia mediante una tarea programada y utiliza el controlador «Winring0.sys» para ajustar la CPU para las operaciones de minería.

Otro componente notable del ataque es un proceso de vigilancia que garantiza que los artefactos maliciosos y los mecanismos de persistencia se restablezcan en caso de que se eliminen. Se estima que la campaña acumuló 27,88 XMR (9.392 dólares) en cuatro carteras rastreadas, lo que indica que la operación está generando beneficios financieros constantes para el atacante.

«Más allá de la infraestructura C2, el actor de amenazas abusa de GitHub como una CDN de entrega de carga útil, alojando binarios preparados en dos cuentas identificadas», dijo Elastic. «Esta técnica desplaza el paso de descarga y ejecución de la infraestructura controlada por el operador a una plataforma confiable, lo que reduce la fricción en la detección».

La plataforma de mensajería WhatsApp, propiedad de Meta, dijo que alertó a unos 200 usuarios que fueron engañados para que instalaran una versión falsa de su aplicación iOS que estaba infectada con software espía.

Según informes del periódico italiano. La República y agencia de noticias ANSAla gran mayoría de los objetivos se encuentran en Italia. Se evalúa que los actores de amenazas detrás de la actividad utilizaron tácticas de ingeniería social para lograr que los usuarios instalaran software malicioso que imitaba a WhatsApp.

Se cerró la sesión de todos los usuarios afectados y se les recomendó desinstalar las aplicaciones con malware y descargar la aplicación oficial de WhatsApp. WhatsApp no ​​reveló quién fue el objetivo de estos ataques.

El gigante tecnológico dijo que también está tomando medidas contra Asigint, una filial italiana de la empresa de software espía SIO, por supuestamente crear una versión falsificada de WhatsApp.

En su sitio web, la empresa anuncia soluciones para organismos encargados de hacer cumplir la ley, organizaciones gubernamentales y agencias policiales y de inteligencia para monitorear actividades sospechosas, recopilar inteligencia o realizar operaciones encubiertas.

En diciembre de 2025, TechCrunch informó que SIO estaba detrás de un conjunto de aplicaciones maliciosas de Android que se hacían pasar por WhatsApp y otras aplicaciones populares, pero robaban datos privados del dispositivo de un objetivo utilizando una familia de software espía llamada Spyrtacus. Se cree que las aplicaciones fueron utilizadas por un cliente del gobierno para atacar a víctimas desconocidas en Italia.

SIO es una de las muchas empresas italianas que venden herramientas de vigilancia, incluidas Cy4Gate, eSurv, GR Sistemi, Negg, Raxir y RCS Lab, convirtiendo al país en un «centro de software espía«.

A principios del año pasado, WhatsApp alertó a unos 90 usuarios de que habían sido atacados por el software espía de Paragon Solutions conocido como Graphite. Luego, en agosto de 2025, notificó a menos de 200 usuarios que podrían haber sido atacados como parte de una sofisticada campaña que encadenaba vulnerabilidades de día cero en iOS y la aplicación de mensajería.

La noticia se produce poco más de un mes después de que un tribunal griego sentenciado Tal Dilian, fundador del Consorcio Intellexa, y tres asociados, Sara Hamou, Felix Bitzios y Yiannis Lavranos, a prisión por su papel en el uso ilegal del software espía Predator del proveedor para atacar a políticos, líderes empresariales y periodistas del país.

El escándalo de vigilancia de 2022, denominado Predatorgate o Watergate griego, llevó al Parlamento Europeo a iniciar una investigación formal en el uso de tales herramientas. Sin embargo, una nueva ley aprobada ese año legalizó el uso gubernamental bajo condiciones estrictas. En julio de 2024, el Tribunal Supremo griego despejado al servicio de inteligencia estatal y a funcionarios gubernamentales de irregularidades.

«Aún quedan dudas sobre el papel del gobierno griego, que ha negado sistemáticamente haber comprado o utilizado Predator», Amnistía Internacional dicho. «La transparencia es una parte crucial de la rendición de cuentas, al igual que la reparación para las numerosas víctimas de las violaciones de derechos humanos provocadas por el uso ilegal de esta tecnología».

En una declaración compartida con Reuters a finales del mes pasado, Dilian dicho Tiene intención de apelar la decisión y añade: «Creo que una condena sin pruebas no es justicia, podría ser parte de un encubrimiento e incluso un delito».

Italia y Grecia están lejos de ser los únicos países europeos atrapados en el punto de mira de la tecnología de software espía. En enero de 2026, el Tribunal Superior de Justicia de España cerró su investigación sobre el uso de Pegasus del Grupo NSO para espiar a políticos españoles, citando una falta de cooperación de las autoridades israelíes.

El caso se remonta a mayo de 2022, cuando el Gobierno español reveló que el software espía de la empresa israelí se había utilizado para espiar los dispositivos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

Empresas como Intellexa y NSO Group han sostenido constantemente que su tecnología de vigilancia sólo ha sido autorizada a los gobiernos para luchar contra delitos graves y reforzar la seguridad nacional. David Friedman, presidente ejecutivo del grupo NSO dicho «El mundo es un lugar mucho más seguro» cuando las herramientas de la empresa «están en las manos adecuadas y en los países adecuados».

manzana el miercoles expandido la disponibilidad de iOS 18.7.7 y iPadOS 18.7.7 en una gama más amplia de dispositivos para proteger a los usuarios del riesgo que representa un kit de explotación recientemente revelado conocido como DarkSword.

«Habilitamos la disponibilidad de iOS 18.7.7 para más dispositivos el 1 de abril de 2026, por lo que los usuarios con las Actualizaciones automáticas activadas pueden recibir automáticamente importantes protecciones de seguridad contra ataques web llamados DarkSword», dijo la compañía. «Las correcciones asociadas con el exploit DarkSword se enviaron por primera vez en 2025».

La actualización está disponible para los siguientes dispositivos:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (segunda generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (tercera generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos) y iPhone 16e.
• iPad mini (quinta generación – A17 Pro), iPad (séptima generación – A16), iPad Air (tercera – quinta generación), iPad Air de 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (primera generación – M4), iPad Pro de 12,9 pulgadas (tercera – sexta generación) y iPad Pro de 13 pulgadas (M4)

La última actualización tiene como objetivo cubrir dispositivos que tienen la capacidad de actualizarse a iOS 26 pero que aún tienen versiones anteriores. Apple lanzó por primera vez iOS 18.7.7 y iPadOS 18.7.7 el 24 de marzo de 2026, pero solo para iPhone XS, iPhone XS Max, iPhone XR y iPad de séptima generación.

El mes pasado, la compañía también instó a los usuarios a actualizar los dispositivos más antiguos a iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y iPadOS 16.7.15 para solucionar algunos de los exploits que se utilizaron en DarkSword y otro kit de exploits llamado Coruna.

Si bien se sabe que Apple admite correcciones para dispositivos más antiguos dependiendo de la importancia de las vulnerabilidades, la medida para permitir a los usuarios de iOS 18 parchear sus dispositivos sin tener que actualizar a la última versión del sistema operativo marca un cambio inusual para el gigante tecnológico.

en una declaración compartido Con WIRED, un portavoz de Apple dijo que estaba ampliando la actualización a más dispositivos para ayudarlos a mantenerse protegidos. Los usuarios que no tengan habilitada la actualización automática tendrán la opción de actualizar a la última versión parcheada de iOS 18 o iOS 26.

Este raro paso se produce semanas después de que Google Threat Intelligence Group (GTIG), iVerify y Lookout compartieran detalles de un kit de explotación de iOS llamado DarkSword que se ha utilizado en ataques cibernéticos dirigidos a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania desde julio de 2025. El kit es capaz de apuntar a dispositivos iOS y iPadOS que ejecutan versiones entre iOS 18.4 y 18.7.

El ataque se desencadena cuando un usuario que ejecuta un dispositivo vulnerable visita un sitio web legítimo pero comprometido que aloja el código malicioso como parte de lo que se llama un ataque de abrevadero. Una vez lanzados, se ha descubierto que los ataques implementan puertas traseras y un minero de datos para el acceso persistente y el robo de información.

Actualmente no se sabe cómo la herramienta de piratería avanzada llegó a ser compartida por múltiples actores de amenazas. Desde entonces, se filtró una versión más nueva del kit en el sitio de código compartido GitHub, lo que generó preocupaciones de que más actores de amenazas pudieran subirse al tren de la explotación.

El descubrimiento también destaca que el software espía potente para iPhone puede no ser tan raro como se pensaba anteriormente y que podría convertirse en herramientas atractivas para una explotación masiva.

A partir de la semana pasada, Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar las últimas actualizaciones.

Proofpoint y Malfors también revelaron que otro actor de amenazas vinculado a Rusia conocido como COLDRIVER (también conocido como TA446) ha explotado el kit DarkSword para entregar el malware de robo de datos GHOSTBLADE en ataques dirigidos a entidades gubernamentales, grupos de expertos, educación superior, financieras y legales.

«DarkSword roba silenciosamente grandes cantidades de datos de usuario simplemente porque el usuario ahora visitó un sitio web real (pero comprometido)», dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un comunicado compartido con The Hacker News. «Apple al menos ha estado de acuerdo con la evaluación de la comunidad de seguridad de que esto presenta una amenaza clara y presente para los dispositivos que permanecen sin parches en versiones anteriores de iOS, que aproximadamente el 20% de las personas todavía utilizan».

«Dejar expuestos a esos usuarios sería una decisión difícil de defender, especialmente para una empresa que centra su marca en la seguridad y la privacidad. Actualizar parches a versiones anteriores de iOS parece ser lo mínimo que pueden hacer en lugar de proporcionar un marco de seguridad para desarrolladores externos. El hecho es que los parches son demasiado pequeños y demasiado tarde cuando se trata de días 0, y el mercado de exploits está en auge».

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se suplantó la propia agencia de ciberseguridad para distribuir una herramienta de administración remota conocida como AGEWHEEZE.

Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el «software especializado».

Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electrónicos fueron enviados desde la dirección de correo electrónico «incidents@cert-ua[.]tecnología.»

El archivo ZIP («CERT_UA_protection_tool.zip») está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de acceso remoto con nombre en código AGEWHEEZE.

AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo («54.36.237[.]92») sobre WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. También crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.

Se considera que el ataque no tuvo éxito en gran medida. «No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad», dijo la agencia. «Los especialistas del equipo brindaron la asistencia metodológica y práctica necesaria».

Un análisis del sitio web falso «cert-ua»[.]tech» ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), y el código fuente HTML también incluye un comentario: «С Любовью, КИБЕР СЕРП», que significa «Con amor, CYBER SERP».

En publicaciones en Telegram, Cyber ​​Serp afirma que son «operadores cibernéticos de Ucrania». El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.

El actor de amenazas también dijo que los correos electrónicos de phishing se enviaron a 1 millón de ucras.[.]buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos han sido comprometidos. «No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones», afirmó. dicho en una publicación.

El mes pasado, Cyber ​​Serp asumió la responsabilidad por una presunta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el código fuente de su línea de productos CIPS, entre otros.

En un comunicado en su sitio web, Cipher admitido que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología pero dijeron que su infraestructura estaba funcionando normalmente. El usuario infectado tuvo acceso a un único proyecto, que no contenía datos confidenciales, añadió.

Google el jueves liberado actualizaciones de seguridad para su navegador web Chrome para abordar 21 vulnerabilidades, incluida una falla de día cero que, según dijo, ha sido explotada en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-5281 (Puntuación CVSS: N/A), se refiere a un error de uso después de la liberación en Amaneceruna implementación de código abierto y multiplataforma del estándar WebGPU.

«El uso después de la liberación en Dawn en Google Chrome antes de 146.0.7680.178 permitió a un atacante remoto que había comprometido el proceso de renderizado ejecutar código arbitrario a través de una página HTML diseñada», según una descripción de la falla en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Como es habitual en estas alertas, Google no proporcionó más detalles sobre cómo se está explotando la deficiencia y quién puede estar detrás del esfuerzo. Por lo general, esto se hace para garantizar que la mayoría de los usuarios estén actualizados con una solución y evitar que otros actores se unan al tren de la explotación.

«Google es consciente de que existe un exploit para CVE-2026-5281», reconoció la empresa.

El desarrollo llega apenas después de que Google enviara correcciones para dos fallas de alta gravedad (CVE-2026-3909 y CVE-2026-3910) que fueron explotadas como de día cero. En febrero, el gigante tecnológico también abordó un error de uso después de la liberación activamente explotado en el componente CSS de Chrome (CVE-2026-2441). En total, Google ha parcheado un total de cuatro días cero de Chrome activamente armados desde principios de año.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.177/178 para Windows y Apple macOS, y 146.0.7680.177 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Una campaña de phishing de múltiples frentes está dirigida a usuarios de habla hispana en organizaciones de América Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (también conocido como Metamorfo) a través de otro malware llamado Horabot.

La actividad se ha atribuido a un actor brasileño de amenazas de delitos cibernéticos rastreado como Augmented Marauder y Water Saci. Trend Micro documentó por primera vez al grupo de delitos electrónicos en octubre de 2025.

«Este grupo de amenazas emplea un modelo de ataque de mayor alcance centrado en un mecanismo de entrega y propagación personalizado que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico», dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green. dicho en un desglose técnico publicado el martes.

«Ahora es evidente que, si bien estos operadores con sede en Brasil aprovechan en gran medida la automatización de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en América Latina, al mismo tiempo mantienen e implementan un motor avanzado de secuestro de correo electrónico para penetrar los perímetros empresariales allí y también en Europa».

El punto de partida de la campaña es un correo electrónico de phishing que emplea mensajes con temas de citaciones judiciales para engañar a los destinatarios para que abran un archivo PDF adjunto protegido con contraseña. Al hacer clic en un enlace incrustado en el documento, la víctima dirige a un enlace malicioso e inicia una descarga automática de un archivo ZIP, lo que, a su vez, conduce a la ejecución de la aplicación HTML provisional (HTA) y cargas útiles VBS.

El script VBS está diseñado para llevar a cabo comprobaciones ambientales y antianálisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas útiles de la siguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados ​​en AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga útil cifrados con extensiones «.ia» o «.at» para eventualmente lanzar dos familias de malware: Casbaneiro («staticdata.dll») y Horabot («at.dll»).

Si bien Casbaneiro es la carga útil principal, Horabot se utiliza como mecanismo de propagación del malware. El módulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a través de correos electrónicos de phishing a contactos recopilados de Microsoft Outlook.

«En lugar de distribuir un archivo estático o un enlace codificado como se ve en campañas anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps://tt.grupobedfs[.]com/…/gera_pdf.php), pasando un PIN de cuatro dígitos generado aleatoriamente», dijo BlueVoyant.

«El servidor falsifica dinámicamente un PDF personalizado, protegido con contraseña, que se hace pasar por una citación judicial española, que se devuelve al host infectado. Luego, el script recorre la lista de correo electrónico filtrada, utilizando la propia cuenta de correo electrónico del usuario comprometido para enviar un correo electrónico de phishing personalizado con el PDF recién generado adjunto».

También se utiliza en conjunto una DLL secundaria relacionada con Horabot («at.dll») que funciona como una herramienta de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para enviar correos electrónicos de phishing a través de Outlook. Horabot es Se estima que se utilizará en ataques dirigidos a América Latina desde al menos noviembre de 2020.

Water Saci tiene un historial de uso de WhatsApp Web como vector de distribución para difundir troyanos bancarios como Maverick y Casbaneiro en forma de gusano. Sin embargo, las campañas recientes destacadas por Kaspersky han apalancado la táctica de ingeniería social de ClickFix para engañar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.

«En conjunto, la integración de la ingeniería social de ClickFix, junto con la generación dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos», concluyeron los investigadores.

«Este adversario mantiene una infraestructura de ataque bifurcada y de múltiples frentes, implementando dinámicamente la cadena Maverick centrada en WhatsApp y utilizando simultáneamente rutas de ataque ClickFix y Horabot basadas en correo electrónico».

Microsoft llama la atención sobre una nueva campaña que ha aprovechado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).

La actividad, que comenzó a finales de febrero de 2026, aprovecha estos scripts para iniciar una cadena de infección de varias etapas para establecer persistencia y permitir el acceso remoto. Actualmente no se sabe qué señuelos utilizan los actores de amenazas para engañar a los usuarios para que ejecuten los scripts.

«La campaña se basa en una combinación de ingeniería social y técnicas de vida de la tierra», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «Utiliza utilidades de Windows renombradas para integrarse en la actividad normal del sistema, recupera cargas útiles de servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema».

El uso de herramientas legítimas y plataformas confiables es una combinación mortal, ya que permite a los actores de amenazas integrarse en la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.

La actividad comienza cuando los atacantes distribuyen archivos VBS maliciosos a través de mensajes de WhatsApp que, cuando se ejecutan, crean carpetas ocultas en «C:\ProgramData» y eliminan versiones renombradas de utilidades legítimas de Windows como «curl.exe» (rebautizada como «netapi.dll») y «bitsadmin.exe» (rebautizada como «sc.exe»).

Al lograr un punto de apoyo inicial, los atacantes pretenden establecer persistencia y escalar privilegios, y en última instancia instalan paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 utilizando los archivos binarios renombrados.

«Una vez que las cargas útiles secundarias están en su lugar, el malware comienza a alterar la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema», dijo Redmond. «Intenta continuamente iniciar cmd.exe con privilegios elevados, reintentando hasta que la elevación de UAC se logra o el proceso finaliza por la fuerza, modificando las entradas del registro en HKLM\Software\Microsoft\Win e incorporando mecanismos de persistencia para garantizar que la infección sobreviva a los reinicios del sistema».

Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin la interacción del usuario mediante una combinación de manipulación del Registro con técnicas de omisión de UAC y, en última instancia, implementar instaladores MSI no firmados. Esto incluye herramientas legítimas como AnyDesk que brindan a los atacantes acceso remoto persistente, lo que les permite extraer datos o implementar más malware.

«Esta campaña demuestra una cadena de infección sofisticada que combina ingeniería social (entrega de WhatsApp), técnicas sigilosas (herramientas legítimas renombradas, atributos ocultos) y alojamiento de carga útil basado en la nube», dijo Microsoft.

Un grupo de ciberespionaje chino ha vuelto a centrar su mirada en Europa después de años de centrarse en otras partes del mundo, según una investigación de Proofpoint publicada el miércoles.

El aumento comenzó a mediados de 2025, con una serie de problemas surgiendo entre China y Europa, la empresa dijo. Proofpoint etiqueta al grupo vinculado al gobierno TA416, pero otras empresas lo siguen como Twill Typhoon, Mustang Panda u otros nombres.

«Este enfoque renovado se centró principalmente en personas o buzones de correo asociados con misiones diplomáticas y delegaciones ante la OTAN y la UE», escribieron Mark Kelly y Georgi Mladenov de Proofpoint. «El regreso de TA416 a los objetivos del gobierno europeo se produjo durante el aumento de las tensiones entre la UE y China sobre el comercio, la guerra entre Rusia y Ucrania y las exportaciones de tierras raras, y comenzó inmediatamente después de la 25ª cumbre UE-China».

Por otra parte, el mismo grupo comenzó a atacar Oriente Medio en marzo después del inicio del conflicto en Irán, algo que nunca antes se había visto haciendo, descubrió Proofpoint.

«Esto se alinea con una tendencia observada por Proofpoint de que algunos actores de amenazas alineados con el Estado cambian sus objetivos hacia el gobierno de Medio Oriente y entidades diplomáticas después de la guerra», dijo la firma. «Esto probablemente refleja un esfuerzo por reunir inteligencia regional sobre el estado, la trayectoria y las implicaciones geopolíticas más amplias del conflicto».

TA416 estuvo activo en Europa en 2022 y 2023, coincidiendo con el inicio de la guerra entre Ucrania y Rusia, pero luego se alejó del continente, según los investigadores. Su atención se centró en el sudeste asiático, Taiwán y Mongolia durante un par de años.

El enfoque del grupo en Europa hasta principios de 2026 utilizó una variedad de métodos de entrega de malware y errores web, incluido el establecimiento de reconocimiento mediante señuelos colgantes sobre el envío de tropas de Europa a Groenlandia. También incluía correos electrónicos de phishing sobre preocupaciones humanitarias, solicitudes de entrevistas y propuestas de colaboración, dijo Proofpoint.

«Durante este período, TA416 alteró repetidamente sus cadenas de infección iniciales mientras mantenía el objetivo constante de cargar la puerta trasera PlugX personalizada del grupo a través de tríadas de carga lateral de DLL», escribieron los investigadores.

El de Proofpoint no es el único informe reciente sobre grupos de ciberespionaje chinos que apuntan a Europa, con otro enfocado en solicitudes de LinkedIn para la OTAN y las instituciones europeas.

Durante años, la ciberseguridad ha seguido un modelo familiar: bloquear el malware, detener el ataque. Ahora, los atacantes pasan a lo que sigue.

Los actores de amenazas ahora usan malware con menos frecuencia en favor de lo que ya está dentro de su entorno, incluido el abuso de herramientas confiables, archivos binarios nativos y utilidades de administración legítimas para moverse lateralmente, escalar privilegios y persistir sin generar alarmas. La mayoría de las organizaciones no ven este riesgo hasta que el daño ya está hecho.

Para ayudar a visualizar este desafío, considere un complemento Evaluación de la superficie de ataque interno — una forma guiada y sencilla de ver dónde las herramientas confiables pueden estar funcionando en su contra.

Ahora, veamos cómo opera este riesgo dentro de su entorno y tres razones por las que los atacantes prefieren usar sus propias herramientas en su contra.

1. La mayoría de los ataques ya no parecen ataques

Los actores de amenazas prefieren ataques que no parezcan ataques.

Un análisis reciente de más de 700.000 incidentes de alta gravedad muestra una cambio claro: El 84% de los ataques ahora abusan de herramientas legítimas para evadir la detección. Ésta es la esencia de Vivir de la Tierra (LOTL).

En lugar de soltar cargas útiles que activan alertas, los atacantes utilizan herramientas integradas como PowerShell, WMIC y Certutil, las mismas herramientas en las que su equipo de TI confía todos los días. Estas acciones se mezclan con las operaciones normales, lo que hace extremadamente difícil distinguir entre uso legítimo e intención maliciosa.

El resultado es un peligroso punto ciego. Los equipos de seguridad ya no solo buscan «archivos malos». Están tratando de interpretar el comportamiento, a menudo en tiempo real, bajo presión y sin un contexto completo.

Y cuando algo parece claramente mal, el atacante ya está muy dentro del entorno.

2. Su superficie de ataque es mayor de lo que cree y, en su mayor parte, no está administrada

Los atacantes buscan herramientas no administradas que usted ya tenga.

Considere un sistema Windows 11 limpio.

Fuera de la caja, incluye cientos de binarios nativos – muchos de los cuales pueden ser objeto de abuso para ataques LOTL. Estas herramientas son confiables de forma predeterminada, están integradas en el sistema operativo y, a menudo, son necesarias para tareas legítimas o funcionalidad de aplicaciones.

Eso crea algunos desafíos fundamentales.

• No puedes simplemente bloquearlos sin interrumpir los flujos de trabajo.
• No es posible monitorearlos fácilmente sin generar ruido.
• En la mayoría de los casos, no sabes hasta qué punto son accesibles en toda tu organización.

Los análisis muestran que hasta el 95% del acceso a herramientas riesgosas es innecesario. Un factor es el acceso incontrolado a estas herramientas; otra es permitirles realizar todas las funciones de las que son capaces, incluidas funciones que rara vez utiliza la TI pero que los atacantes utilizan con frecuencia.

Cada permiso innecesario se convierte en una ruta de ataque potencial. Y cuando los atacantes no necesitan introducir nada nuevo, tus defensas ya están en desventaja.

3. La detección por sí sola no puede seguir el ritmo

La detección es tan fuerte que los atacantes buscan alternativas.

EDR y XDR son fundamentales y muy eficaces para detectar malware y amenazas que se destacan de la actividad normal. Sin embargo, la detección se está convirtiendo cada vez más en un ejercicio de interpretación a medida que los actores de amenazas abusan de herramientas legítimas para mezclarse. ¿Es legítimo ese comando de PowerShell? ¿Se espera la ejecución de ese proceso?

Ahora agregue velocidad.

Los ataques modernos, cada vez más asistidos por IA, se mueven más rápido de lo que los equipos pueden investigar. Cuando se confirma el comportamiento sospechoso, es posible que ya se haya establecido el movimiento lateral y la persistencia. Por eso ya no basta con confiar únicamente en la detección.

Lo que le falta a la mayoría de los equipos: visibilidad de la superficie de ataque interna

Si comprender el alcance de su superficie de ataque interna parece algo que debe investigar, tiene razón. Pero la mayoría de los equipos carecen del tiempo o los recursos para mapear los detalles.

• ¿A qué herramientas se puede acceder en toda la organización?
• ¿Dónde el acceso es excesivo o innecesario?
• ¿Cómo se traducen esos patrones de acceso en rutas de ataque reales?

Incluso cuando el riesgo se entiende conceptualmente, demostrarlo y priorizarlo es difícil. Por eso este problema persiste.

De reactivo a proactivo: comience con conocimiento

Cerrar esta brecha no comienza con agregar otra herramienta. Comienza con comprender su verdadero riesgo.

El Bitdefender Evaluación gratuita de la superficie de ataque interno le proporcionará una vista clara, basada en datos, de cuán expuesto está debido a sus herramientas confiables, para que pueda ver claramente el alcance de su superficie de ataque interna. Esta evaluación guiada se centra en identificar el acceso innecesario, descubrir riesgos reales y proporcionar recomendaciones priorizadas, sin interrumpir a sus usuarios ni agregarle gastos operativos.

Vea su entorno como lo hacen los atacantes

Los ataques LOTL se están convirtiendo en la opción predeterminada. Esto significa que el riesgo más importante es el que ya existe en su entorno, y cuanto antes comprenda cómo los atacantes pueden moverse a través de sus sistemas utilizando herramientas confiables, antes podrá reducir esas vías y evitar un ataque exitoso.