Los atacantes están explotando activamente una vulnerabilidad de Linux en la naturaleza, y los investigadores advierten que las consecuencias podrían ser amplias: cualquier persona con acceso local autenticado puede aprovecharla para obtener el control total de un sistema.

Pero la historia detrás de CVE-2026-31431 es casi tan interesante como el error en sí. Theori, la empresa que descubrió el error, se apoyó en gran medida en la IA para encontrarlo y revelarlo inicialmente. El resultado es un estudio de caso que subraya los desafíos que ocurren cuando la búsqueda incesante de defectos choca con los impulsos de marketing y el lenguaje inflado generado por la IA que durante mucho tiempo fue fanfarronería pero careció de detalles técnicos.

Theori denominó la vulnerabilidad de alta gravedad «Copy Fail» con un dominio de vanidad que contiene contenido generado por IA, y advirtió que todos los kernels de Linux convencionales creados desde 2017 están en el alcance de una posible explotación que resulta en acceso de root.

La plataforma de pruebas de penetración impulsada por IA de Theori, Xintdescubrió la falla de escalada de privilegios local en un módulo del kernel de Linux y lo informó al equipo de seguridad del kernel de Linux el 23 de marzo. Las principales distribuciones de Linux afectadas por la vulnerabilidad habían emitido parches antes de la divulgación de Theori, que publicó junto con una prueba de concepto de exploit.

La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó CVE-2026-31431 a su catálogo de vulnerabilidades explotadas conocidas el viernes.

Los investigadores aún tienen que determinar cuántas organizaciones se han visto afectadas por la falla, pero señalaron que los requisitos críticos para la explotación, específicamente el acceso local logrado a través de un exploit separado o una vía de acceso no autorizado, deberían limitar la exposición potencial.

«El atacante ya tendría que haber establecido un punto de apoyo en el sistema objetivo, ya sea a través de algún medio de acceso legítimo u otro exploit», dijo a CyberScoop Spencer McIntyre, investigador seguro de Rapid7. «Ese es un gran factor limitante ya que esta vulnerabilidad, por lo tanto, tendría que combinarse con otra».

La divulgación de Theori llamó la atención entre otros investigadores de vulnerabilidades que notaron el amplio impacto potencial del defecto, pero también por la falta de detalles sobre la prueba de concepto del exploit.

“El exploit es real, hay algo de qué preocuparse, pero es comprensible que los equipos ahora tengan que realizar una validación adicional para saber cómo analizar el FUD (miedo, incertidumbre y duda) extremo de la IA de [Theori’s] publicación de blog”, dijo a CyberScoop Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

«No ayuda que el blog sea una basura de IA, porque resta valor a la realidad técnica», añadió.

Theori reconoce que utilizó IA para descubrir y describir la vulnerabilidad, y explica que se está centrando en encontrar y solucionar una gran cantidad de defectos.

«Usamos IA para ayudar a crear el sitio de divulgación y la publicación del blog para ayudar a acelerar las cosas, pero nuestros equipos internos revisaron minuciosamente todo el material para verificar su precisión», dijo Tim Becker, investigador senior de seguridad de Theori.

Theori está ocultando intencionalmente detalles adicionales hasta que el parche se aplique ampliamente, añadió.

«Mantenemos nuestra descripción técnica de la vulnerabilidad. Ayudar a los usuarios intermedios a comprender el impacto de un error de seguridad siempre ha sido un desafío para los investigadores de seguridad», dijo Becker. «Copy Fail permite una escalada de privilegios trivial en la mayoría de las distribuciones de Linux de escritorio y servidor. También tiene implicaciones para la contenedorización, incluido Kubernetes».

Otros investigadores han llegado a conclusiones similares, señalando que la explotación puede automatizarse y no requiere especialización.

Mientras tanto, han surgido cientos de exploits de prueba de concepto adicionales desde que se reveló la vulnerabilidad hace cinco días. «Como era de esperar, la mayoría de estos parecen ser copias de PoC de IA que no hacen más que agregar pancartas o diferentes colores a la interfaz de línea de comandos. Muchos PoC nuevos son simplemente puertos del PoC de IA original a un lenguaje de programación diferente», dijo Condon.

«Las organizaciones deben tener cuidado al ejecutar artefactos de investigación no probados, incluido el código de explotación generado por IA que no se explica completamente», añadió.

Becker dijo que Theori es consciente de la carga que enfrentan los defensores e insiste en que los informes de la compañía contienen suficiente información para que las organizaciones clasifiquen y validen rápidamente sus hallazgos.

Se ha observado una campaña activa de phishing dirigida a múltiples vectores desde al menos abril de 2025, con software legítimo de administración y monitoreo remoto (RMM) como una forma de establecer un acceso remoto persistente a los hosts comprometidos.

La actividad, cuyo nombre en clave VENENOSO#AYUDANTEha impactado a más de 80 organizaciones, la mayoría de las cuales están en EE. UU., según Securonix. Comparte superposiciones con grupos previamente rastreados por canario rojo y Sophos, el último de los cuales le ha dado el nombre de STAC6405. Si bien no está claro quién está detrás de la campaña, la compañía de ciberseguridad dijo que se alinea con un corredor de acceso inicial (IAB) con motivación financiera o una operación precursora de ransomware.

«En este caso, se utilizan RMM SimpleHelp y ScreenConnect personalizados para evitar las defensas, ya que la víctima desprevenida las instala legítimamente», afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee. dicho en un informe compartido con The Hacker News.

Dejando de lado el hecho de que el uso de herramientas RMM legítimas puede evadir la detección, la implementación de SimpleHelp y ScreenConnect indica un intento de crear una «arquitectura de acceso redundante de doble canal» que permita operaciones continuas incluso cuando cualquiera de ellos sea detectado y bloqueado.

Todo comienza con un correo electrónico de phishing que se hace pasar por la Administración de la Seguridad Social (SSA) de EE. UU., donde se le indica al destinatario que verifique su dirección de correo electrónico y descargue una supuesta declaración de la SSA haciendo clic en un enlace incrustado en el mensaje. El enlace apunta a un sitio web empresarial mexicano legítimo pero comprometido («gruta.com[.]mx»), lo que indica una estrategia deliberada para evadir los filtros de spam de correo electrónico.

Luego, la «declaración SSA» se descarga desde un segundo dominio controlado por el atacante («servidor.cubatiendaalimentos.com[.]mx»), un ejecutable que es responsable de entregar la herramienta SimpleHelp RMM. Se cree que el atacante obtuvo acceso a una única cuenta de usuario de cPanel en el servidor de alojamiento legítimo para preparar el binario.

Tan pronto como la víctima abre el ejecutable de Windows empaquetado con JWrapper, pensando que es un documento, el malware se instala como un servicio de Windows con persistencia en modo seguro, se asegura de que se esté ejecutando mediante un «vigilante autorreparable» que lo reinicia automáticamente cuando se elimina, y enumera periódicamente los productos de seguridad registrados usando el espacio de nombres WMI root\SecurityCenter2 cada 67 segundos, y sondea la presencia del usuario cada 23 segundos.

Para facilitar el acceso al escritorio totalmente interactivo, el cliente de acceso remoto SimpleHelp adquiere SeDebugPrivilege a través de Ajustar privilegios de tokenmientras que «elev_win.exe», un archivo ejecutable legítimo asociado con el software, se utiliza para obtener privilegios a nivel de SISTEMA. Esto, a su vez, permite al operador leer la pantalla, inyectar pulsaciones de teclas y acceder a recursos del contexto del usuario.

Luego se abusa de este acceso remoto elevado para descargar e instalar ConnectWise ScreenConnect, que ofrece un mecanismo de comunicación alternativo si se elimina el canal SimpleHelp.

«La versión implementada de SimpleHelp (5.0.1) proporciona un conjunto integral de capacidades de administración remota», dijeron los investigadores. «La organización víctima queda en un estado en el que el atacante puede regresar en cualquier momento, ejecutar comandos silenciosamente en la sesión de escritorio del usuario, transferir archivos bidireccionalmente y pasar a sistemas adyacentes, mientras que los antivirus estándar y los controles basados ​​en firmas no ven nada más que software legítimamente firmado por un proveedor acreditado del Reino Unido».

Progress Software ha lanzado actualizaciones para abordar dos fallas de seguridad en MOVEit Automation, incluido un error crítico que podría resultar en una omisión de autenticación.

MOVEit Automation (anteriormente Central) es una solución segura de transferencia de archivos administrada (MFT) basada en servidor que se utiliza para programar y automatizar flujos de trabajo de movimiento de archivos en entornos empresariales sin necesidad de scripts personalizados.

Las vulnerabilidades en cuestión son CVE-2026-4670 (Puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación, y CVE-2026-5174 (Puntuación CVSS: 7,7), una vulnerabilidad de validación de entrada inadecuada que podría permitir una escalada de privilegios.

«Las vulnerabilidades críticas y altas en MOVEit Automation pueden permitir la omisión de autenticación y la escalada de privilegios a través de las interfaces del puerto de comando del backend del servicio», Progress Software dicho en un aviso. «La explotación puede dar lugar a acceso no autorizado, control administrativo y exposición de datos».

Las deficiencias afectan a las siguientes versiones:

• MOVEit Automation <= 2025.1.4 (corregido en MOVEit Automation 2025.1.5)
• MOVEit Automation <= 2025.0.8 (corregido en MOVEit Automation 2025.0.9)
• MOVEit Automation <= 2024.1.7 (corregido en MOVEit Automation 2024.1.8)

Los investigadores de Airbus SecLab Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau han sido acreditado con descubrir e informar las dos vulnerabilidades. No existen soluciones alternativas que resuelvan los problemas.

Si bien Progress no menciona las fallas que se están explotando en la naturaleza, es esencial que los usuarios apliquen las correcciones lo antes posible para una protección óptima, particularmente teniendo en cuenta que las fallas anteriores en MOVEit Transfer han sido explotadas por bandas de ransomware como Cl0p.

Una mujer de 19 años está demandando a los creadores de una aplicación de citas, alegando que tomaron un video que ella publicó en línea, lo reutilizaron sin su consentimiento para convertirlo en un anuncio para la aplicación y luego utilizaron geocercas para orientar ese anuncio a las personas de su área.

Según el pleito Presentada el 28 de abril en Tennessee y en una entrevista con su abogado, la compañía supuestamente utilizó la orientación geográfica para mostrar anuncios en plataformas como Snapchat a usuarios cercanos a ella, incluidos hombres en su propio dormitorio.

Las acusaciones, si se prueban, ofrecen otro ejemplo de cómo la tecnología moderna ha hecho que hoy en día sea más fácil que nunca para los malos actores imitar, cosificar, lucrar y acosar a personas, a menudo mujeres. Leyes recientes como la Ley Take It Down se han centrado particularmente en el uso de IA para crear imágenes sexualizadas de sus víctimas. En este caso, la demanda alega que Meete no utilizó inteligencia artificial, sino una simple edición de video, una voz en off y geocercas para crear el mismo tipo de engaño.

El día de su graduación de la escuela secundaria, Kaelyn Lunglhofer publicó un breve video en TikTok, vistiendo un traje naranja y diciendo algunas palabras a sus seguidores con música de fondo. Luego asistió a la Universidad de Tennessee en el otoño, donde comenzó a conseguir seguidores como influencer de TikTok.

La demanda alega que los creadores detrás de la aplicación de citas Meete tomaron ese video sin el consentimiento de Lunglhofer, lo superpusieron con gráficos publicitarios de la aplicación y agregaron una voz en off para que pareciera que ella estaba diciendo: «¿Estás buscando una amiga con beneficios? Esta aplicación te muestra mujeres a tu alrededor que buscan diversión. Puedes chatear por video con ellas».

Abe Pafford, abogado de Lunglhofer, dijo a CyberScoop que su cliente no tenía idea de que Meete estaba usando su imagen hasta que un estudiante en su dormitorio le dijo que la había visto repetidamente en anuncios de la aplicación en su Snapchat poco después de que los dos se conocieran.

Pafford calificó de “inverosímil” que se tratara de una coincidencia, señalando la premisa de Meete de conectar a los usuarios con mujeres cercanas y la precisión de la tecnología de geofencing. Antes de presentar el caso, el bufete de abogados de Pafford contrató a una firma de investigación para reunir pruebas adicionales.

“Creo que la idea es que quieren[ed] «Los espectadores de estos anuncios -y, sinceramente, esto está claramente dirigido a espectadores masculinos- sean captados por alguien que conocen o reconocen o creen haber visto por ahí, y eso es parte de lo que lo hace tan inquietante», dijo.

Pafford dijo que cree que Lunglhofer está lejos de ser la única persona cuya imagen Meete se ha apropiado indebidamente, y que la mayoría de las víctimas probablemente no tienen idea de lo que está sucediendo. La propia Lunglhofer solo tenía pruebas porque el estudiante que se la contó había guardado grabaciones y capturas de pantalla de los anuncios que mostraban su vídeo.

«La conclusión es que creemos que es probable que haya otros que hayan sido víctimas de manera similar, pero descubrir quiénes son y encontrar pruebas tangibles de ello puede ser un desafío», dijo.

Snap no respondió a una solicitud de comentarios sobre esta historia.

La demanda cita una supuesta violación de múltiples leyes federales y estatales, incluida la Ley Lanham, la principal ley estadounidense que rige los derechos de marcas. La demanda también alega violaciones de la ley estatal de Tennessee en virtud de la Ley ELVIS, que impide el uso no autorizado de imágenes o semejanzas de artistas y músicos, y de las leyes comunes de Tennessee sobre difamación y derecho de publicidad.

Lunglhofer busca 750.000 dólares en daños punitivos, así como cualquier ingreso relacionado con los anuncios que muestran su imagen. Pafford dijo que los anuncios dañaron su marca y reputación en línea y al mismo tiempo la pusieron en riesgo de acoso o insinuaron falsamente que estaba respaldando un servicio de citas local y que estaba abierta a encuentros casuales.

«Es realmente algo grotesco y también algo peligroso», dijo. «Alguien puede no ser consciente de lo que está sucediendo y ser atacado de esta manera, pero puedes poner a las personas en riesgo de maneras que son realmente preocupantes si te detienes a pensar en ello».

La demanda nombra como acusados ​​a Quantum Communications Development Unlimited, con sede en las Islas Vírgenes, así como a las empresas chinas Starpool Data Limited y Guangzhou Yuedong Interconnection Technology. Un juez ordenó que representantes de los tres comparezcan para declarar en Estados Unidos.

Quantum Communications Development Unlimited tiene una escasa huella en Internet: su sitio web Consta de una sola página con un mensaje escrito en un inglés entrecortado y una dirección de correo electrónico que ya no parece funcionar. Los esfuerzos de CyberScoop por comunicarse con la empresa y otros acusados ​​para hacer comentarios no tuvieron éxito. La compañía figura como editor de Meete en la App Store de Apple, donde describe la aplicación como «un espacio donde puedes ser tú mismo y conocer gente» y promete «la seguridad y el respeto primero», y agrega que «Meete proporciona un entorno seguro donde tu privacidad y seguridad son nuestras principales preocupaciones».

La descripción también afirma que la aplicación cumple con los estándares de seguridad de Apple, citando una «Política de tolerancia cero con respecto al contenido objetable y el comportamiento abusivo». Las salvaguardas enumeradas incluyen revisiones manuales «24 horas al día, 7 días a la semana» por parte de equipos de moderación, informes instantáneos y bloqueo de otros usuarios y filtrado de IA «para detectar y prevenir el acoso antes de que suceda».

En la página Google Play Store de Meete, las reseñas de los usuarios acusan a la aplicación de no relacionarlos con usuarios cercanos y de estar poblada en gran medida por robots que se hacen pasar por mujeres para vender moneda dentro de la aplicación.

Pafford reconoció que el hecho de que los acusados ​​tengan su sede en el extranjero complica los esfuerzos para responsabilizarlos según la ley estadounidense, pero argumentó que Meete está claramente diseñado para operar en Estados Unidos. Las empresas detrás de la aplicación han presentado patentes y marcas registradas en EE. UU. para sus negocios y distribuyen su aplicación a través de las tiendas Apple y Google Play mientras hacen publicidad en las principales plataformas de redes sociales de EE. UU., como Snapchat. “

Apple y Google no respondieron a una solicitud de comentarios.

Puede leer la demanda completa a continuación.

This week, the shadows moved faster than the patches.

While most teams were still triaging last month’s alerts, attackers had already turned control panels into kill switches, kernels into open doors, and open-source pipelines into silent delivery systems.

The game has shifted from breach to occupation. They’re living inside SaaS sessions, pushing code with trusted commits, and scaling operations like legitimate businesses — except their product is chaos. And the underground is getting uncomfortably professional.

Here’s the full weekly cybersecurity recap:

⚡ Threat of the Week

cPanel Flaw Comes Under Attack—A critical flaw in cPanel and WebHost Manager (WHM) has come under active exploitation in the wild. The vulnerability, tracked as CVE-2026-41940, could result in an authentication bypass and allow remote attackers to gain elevated control of the control panel. In some cases, the attacks have led to a complete wipe of entire websites and backups. Other attacks have deployed Mirai botnet variants and a ransomware strain called Sorry.

🔔 Top News

• Cybercrime Groups Use Vishing for Data Theft and Extortion—Two cybercrime groups tracked as Cordial Spider and Snarky Spider are carrying out «rapid, high-impact attacks» operating almost within the confines of SaaS environments, while leaving minimal traces of their actions. The groups employ voice calls, text messages, and emails, directing targeted employees to phishing pages masquerading as their employer’s legitimate single sign-on (SSO) page to capture credentials and provide attackers an entry point into systems, which they exploit for deeper access to victims’ SaaS environments. The attacks also use the initial access hooks to remove and set up multi-factor authentication devices under their control and delete emails that would otherwise alert organizations of potential malicious activity. According to CrowdStrike, «These actors use vishing to bypass MFA and move laterally across entire SaaS ecosystems with a single authenticated session, masking their tracks through residential proxy networks to blend in as legitimate home user traffic. This is part of a larger trend of English-speaking ransomware crews that share similar playbooks but are branching off into their own distinct groups.»
• Copy Fail Linux Flaw Exploited—The U.S. Cybersecurity and Infrastructure Security Agency (CISA) added CVE-2026-31431, a vulnerability impacting various Linux distributions, to its Known Exploited Vulnerabilities (KEV) catalog, citing evidence of active exploitation in the wild. It’s described as a logic bug in the Linux kernel’s authentication cryptographic template that allows an attacker to reliably trigger privilege escalation trivially by means of a 732-byte Python-based exploit. According to Theori and Xint, CVE-2026-31431 was the result of a series of unremarkable updates to the Linux kernel over the years, particularly one update from 2017 that was meant to speed up data encryption. As a result, all major Linux distributions from 2017 are impacted. What complicates matters is that Copy Fail works 100% of the time, unlike most local privilege escalation (LPE) bugs that tend to be probabilistic in nature. More worryingly, it leaves no traces on disk as exploitation occurs in memory and enables container escape from any pod in a Kubernetes cluster.
• TeamPCP’s Supply Chain Attack Spree Continues—TeamPCP’s extensive supply chain campaign continued last week, as the cybercriminal group compromised several packages across the npm, PyPI, and Packagist ecosystems in a «Mini Shai Hulud» attack. TeamPCP has in recent months compromised the packages of several open source software projects, including Trivy, a security scanner maintained by Aqua Security, and KICS, a Checkmarx-developed tool for static code analysis. Amit Genkin, threat researcher at Upwind, said the latest string of attacks represents a shift, where they are not only more frequent but harder to detect because they weaponize legitimate CI/CD pipelines to push out poisoned versions under real identities, allowing the activity to blend in with normal development workflows. «Campaigns like Shai-Hulud take that further by using each compromised pipeline to spread to the next, turning credential theft into a scaling problem across environments,» Genkin said. «For teams, the immediate priority is to check for the affected version and rotate any credentials tied to pipelines that may have run it, especially GitHub and cloud tokens. Longer term, this is a signal to reduce how broadly pipeline credentials are scoped and to add visibility into what’s actually happening during installs and builds – because if you’re relying on traditional scanning or known indicators, this type of activity is easy to miss.»
• New Python Backdoor Enables Comprehensive Data Theft—A newly identified stealthy Python-based backdoor framework dubbed DEEP#DOOR provides attackers with persistent remote command execution and surveillance capabilities on Windows computers. Once active, the backdoor enables shell command execution, file manipulation, system and network reconnaissance, and surveillance operations such as keylogging, clipboard monitoring, screenshot capture, microphone and webcam access, and credentials and SSH key harvesting. Additionally, the malware can shift from data gathering to disruption and system manipulation, as it can overwrite the Master Boot Record, force system crashes, exhaust system resources by spawning numerous processes, and disable Microsoft Defender services.
• GitHub Flaw Leads to Remote Code Execution—Cybersecurity researchers from Wiz disclosed details of a critical security vulnerability impacting GitHub.com and GitHub Enterprise Server (CVE-2026-3854, CVSS score: 8.7) that could allow an authenticated user to obtain remote code execution with a single «git push» command. The vulnerability was severe enough that Microsoft rolled out a patch within six days of responsible disclosure. On GitHub.com, it allowed remote code execution on shared storage nodes, and on GitHub Enterprise Server, it granted full server compromise, enabling unauthorized access to all hosted repositories and internal secrets. «Exploitation could expose the codebases of nearly all of the world’s biggest enterprises, making this one of the most severe SaaS vulnerabilities ever found,» a Wiz spokesperson told The Hacker News.
• VECT 2.0 Ransomware’s Flawed Encryption Makes Data Recovery Impossible—VECT 2.0 ransomware has been found to wipe large files instead of merely encrypting them, making recovery impossible, even for the attackers. VECT 2.0 is a ransomware-as-a-service (RaaS) program that first appeared in December 2025. The group quickly grabbed headlines after it announced on BreachForums that it was partnering with TeamPCP, the threat group behind several supply chain attacks, such as Trivy, Checkmarx KICS, LiteLLM, and Telnyx, in March and April 2026. VECT also announced a partnership with BreachForums itself, promising that every registered forum user will become an affiliate and be granted use of the ransomware, negotiation platform, and leak site for operations. Beazley Security, in an analysis of the ransomware, said the VECT 2.0 RaaS panel covers the «full operational lifecycle an affiliate needs from payload generation through to payout.»

🔥 Trending CVEs

Bugs drop weekly, and the gap between a patch and an exploit is shrinking fast. These are the heavy hitters for the week: high-severity, widely used, or already being poked at in the wild.

Check the list, patch what you have, and hit the ones marked urgent first — CVE-2026-41940 (cPanel and WebHost Manager), CVE-2026-31431 aka Copy Fail (Linux Kernel), CVE-2026-42208 (LiteLLM), CVE-2026-3854 (GitHub.com and GitHub Enterprise Server), CVE-2026-32202 (Microsoft Windows Shell), CVE-2026-26268 (Cursor), CVE-2026-35414 (OpenSSH), CVE-2026-6770 (Mozilla Firefox and Tor Browser), CVE-2026-42167 (ProFTPD), CVE-2026-24908, CVE-2026-23627, CVE-2026-24487 (OpenEMR), CVE-2026-6807 (GRASSMARLIN), CVE-2026-7363, CVE-2026-7361, CVE-2026-7344, CVE-2026-7343 (Google Chrome), CVE-2026-7322, CVE-2026-7323, CVE-2026-7324 (Mozilla Firefox), CVE-2026-6100 (CPython), CVE-2026-0204 (SonicWall), CVE-2026-35414 (OpenSSH), CVE-2026-42511 (FreeBSD), CVE-2026-40684, CVE-2026-40685, CVE-2026-40686, CVE-2026-40687 (Exim), CVE-2026-5402, CVE-2026-5403, CVE-2026-5405, CVE-2026-5656 (Wireshark), CVE-2026-42520, CVE-2026-42523, CVE-2026-42524 (Jenkins), CVE-2026-3008 (Notepad++), and CVE-2025-41658, CVE-2025-41659, CVE-2025-41660 (CODESYS).

🎥 Cybersecurity Webinars

• Learn to Spot Attack Paths Your AppSec Tools Completely Miss → Modern attackers chain tiny flaws across code, pipelines, and cloud into major breaches — while your AppSec tools stay blind. Join this free webinar with Wiz and The Hacker News to uncover the top real-world attack paths and learn exactly how to spot, map, and stop them fast. Practical insights to prioritize real risks and strengthen your entire software lifecycle.
• How to Match AI Attack Speed with Autonomous Exposure Validation → Struggling with AI attacks moving faster than your team can respond? Join this free webinar from Picus Security & The Hacker News to discover Autonomous Exposure Validation – how to automatically find real risks, test attack paths, and fix them in minutes, not weeks. Practical, no-fluff insights to stay ahead without burnout. Grab your spot now.
• Learn Latest AI Threats + Practical Ways to Kill Initial Access → Modern attackers are slipping past traditional defenses with AI-powered phishing, encrypted malware, and stealthy “Patient Zero” tactics. Want to stay ahead? Join this free webinar with Zscaler and The Hacker News to uncover the latest threat trends and practical Zero Trust strategies that actually stop initial compromise — before it becomes a full-blown breach. No fluff, just real insights to protect your organization.

📰 Around the Cyber World

• OpenAI Debuts Advanced Account Security —OpenAI launched Advanced Account Security, a set of opt-in protections for ChatGPT users «designed for people at increased risk of digital attacks, as well as for those who want the strongest account protections available.» As part of the new program, the new controls strengthen sign-in protections, tighten account recovery, reduce exposure from compromised sessions, and give users more visibility into account activity. OpenAI has also partnered with Yubico to link two physical security keys, YubiKey C Nano and YubiKey C NFC, to ChatGPT accounts. That said, users can use any other FIDO-compliant security key, or use software-based passkeys for phishing-resistant authentication.
• Over 8.8K Ransomware Attacks in 2025 —Fortinet said it recorded 7,831 confirmed ransomware victims globally in 2025, skyrocketing from approximately 1,600 identified victims in 2024. «Availability of crime service kits like WormGPT, FraudGPT, and BruteForceAI contributed to this 389% increase year-over-year (YoY),» Fortinet said. «The top three targeted sectors include manufacturing (1,284), business services (824), and retail (682). Geographic concentration includes the U.S. (3,381), Canada (374), and Germany (291).»
• KidsProtect Android Surveillance Tool Marketed on the Web —A new Android surveillance tool called KidsProtect is being openly advertised on the clear web that gives an operator near-total secret control of a victim’s phone. «It can’t be removed without the attacker’s permission,» Certo said. «From a web-based dashboard, an operator can secretly record calls, stream live audio from the device’s microphone, track GPS location in real time, read SMS messages and notifications from apps including WhatsApp and Viber, log keystrokes, access contacts and photos, and remotely trigger the front and rear cameras.» Assessed to be the work of a Greek-speaking developer, it’s available on a subscription basis starting from $60, allowing anyone to buy it, rebrand it, and start selling it as their own.
• New KYCShadow Android Malware Detected —An Android malware masquerading as a bank KYC verification application is being distributed via WhatsApp and primarily targeting users in India. «The application operates as a multi-stage dropper that installs a secondary payload and establishes persistent command-and-control (C2) communication,» CYFIRMA said. «It combines native code obfuscation, Firebase-based remote execution, VPN-based traffic manipulation, and WebView-based phishing to systematically harvest sensitive user data.»
• Phishing Campaign Targets Pakistan Orgs —A highly targeted spear-phishing campaign targeting the Punjab Safe Cities Authority and PPIC3 in Pakistan has been found to use legitimate-sounding government infrastructure projects as lures to deliver malware. «The email carried two malicious attachments: a Word document with a VBA macro dropper and a PDF with a fake Adobe Reader lure, both delivering payloads from a BunnyCDN-hosted malicious infrastructure,» Joe Security said. «The attack chain establishes persistent remote access by abusing Microsoft’s legitimate VS Code tunnel service, with exfiltration notifications sent via a Discord webhook — a sophisticated technique designed to evade network-level detection.»
• Calendly-Themed Phishing Attacks on the Rise —Multiple threat clusters are leveraging Calendly-themed phishing to fingerprint site visitors and steal credentials and other data. «Behind the shared Calendly branding sits a diverse set of phishing kits, including API-driven frameworks, real-time Socket.IO applications, fake CAPTCHA chains, and Telegram-based exfiltration,» urlscan said.
• Fraud Campaigns GovTrapand FEMITBOT Exposed —Threat actors have been observed deploying sophisticated tactics, including fake government portals, SMS phishing, and lookalike domains, to drive financial fraud and credential harvesting as part of an effort called GovTrap. The government impersonation scam mimics official portals with high accuracy, with links to the fake sites distributed via SMS or email. The end goal is to trick users into entering their personal and financial information, or make non-existent payments that are transferred through money mule accounts. The collected payment card details are abused to facilitate fraudulent transactions. Another threat cluster has leveraged FEMITBOT, a malicious infrastructure that abuses Telegram Mini Apps to scale global fraud campaigns and Android malware delivery. «By leveraging Telegram’s native features, threat actors create highly convincing fake platforms across crypto, financial services, AI, and streaming sectors,» CTM360 said. «Built on a modular, template-driven architecture, FEMITBOT enables rapid deployment, brand impersonation, and campaign optimization using real-time tracking and analytics.»
• New PowerShell Desktop Stealer Spotted —A Pastebin-hosted PowerShell script disguised as «Windows Telemetry Update» comes with capabilities to steal Telegram Desktop session data via Telegram bot API exfiltration. «The script collects host metadata, including username, hostname, and public IP via api.ipify[.]org, then checks for Telegram Desktop and Telegram Desktop Beta tdata directories,» Flare said. «If found, it terminates the Telegram process to release file locks, archives session material into ‘TEMP\diag.zip,’ and uploads the archive to the attacker-controlled operator chat via the Telegram Bot API sendDocument endpoint.»
• Surge in Teams Phishing in 2026 —eSentire said it has observed an increase in Microsoft Teams-based phishing since early 2026, in which threat actors impersonate IT support and help desk personnel to trick users into granting remote access to their devices. «These phishing attacks have often been linked to email bombing, followed by threat actors reaching out to users under the guise of providing assistance to resolve an issue,» eSentire said. «The objective of the attack is to trick the user into granting remote access to their device, and once obtained, threat actors will attempt to exfiltrate data and execute additional payloads to establish persistence or deploy ransomware.»
• New KarstoRAT Malware Enables Data Theft —First spotted in early 2026, KarstoRAT is capable of system reconnaissance, audio and webcam monitoring, screenshot capture, key logging, and token theft. It also enables threat actors to download and run additional payloads, which could point to it being used for post-compromise control on infected machines. «KarstoRAT uses a command-and-control (C2) server that has a diverse set of open ports and services, indicating that it has a multi-purpose infrastructure created for C2 communication and payload distribution,» LevelBlue said. «Threat actors use a fake Blox Fruits (a popular Roblox game) virtual marketplace as a lure to trick players into downloading malware that will install KarstoRAT into their machines.»
• ClickUp Discloses Email Address Exposure —ClickUp said its client-side feature flag configuration exposed personally identifiable information. This included 893 customer email addresses that were embedded in feature flag targeting rules, along with one flag that improperly referenced a customer’s API token. «The exposure was limited to 893 customer email addresses used in feature flag targeting rules to control which users see specific features during rollouts,» it said. «If your email address was among those included in a feature flag configuration, you have been directly contacted.» The incident did not expose any other data.
• Finnish Authorities Arrest Alleged Scattered Spider Member —Finnish authorities arrested 19-year-old Peter Stokes (aka Bouquet), a dual U.S.-Estonian citizen, as he tried to board a flight to Japan. U.S. prosecutors have charged him as a key member of the notorious Scattered Spider hacking group, and he faces multiple counts of wire fraud, conspiracy, and computer intrusion.
• New Attacks Linked to Versatile Werewolf —The threat actor known as Versatile Werewolf (aka HeartlessSoul) has been linked to campaigns targeting Russian state structures and aviation companies via phishing emails with malicious archive attachments and malvertising campaigns to deliver a JavaScript trojan. The end goal is to obtain confidential data, particularly geospatial information. Alternatively, the threat actor is known to distribute malicious code using the legitimate SourceForge platform through a project called GearUP. Versatile Werewolf is believed to be active since at least September 2025. Some of the attachments have exploded ZDI-CAN-25373 to trigger the infection chain. The malvertising campaign uses fake domains («battleflight[.]pro») to deliver bogus installers for aviation-related software to launch the same trojan. «The initial infection involves executing PowerShell commands or scripts designed to download a JavaScript loader from C2 servers,» Kaspersky said. «This loader, in turn, loads and executes the main JS-RAT and its modules in memory, among which we found tools for data collection and exfiltration, keyloggers, screen capture tools, UAC bypass tools, and other payloads.» The company noted that the domain «battleflight[.]pro» resolves to an IP address that also hosts fake domains linked to the GOFFEE APT. «Both groups actively use PowerShell payloads to deliver and execute malicious modules,» it added. «GOFFEE also targets the public sector, which suggests the possibility of joint or coordinated campaigns.»
• Cisco Unveils Model Provenance Kit —Cisco unveiled a new open-source tool, named Model Provenance Kit, to help organizations address potential issues associated with the use of third-party AI models. «Much like a DNA test reveals biological origins, the Model Provenance Kit examines both metadata and the actual learned parameters of a model (like a unique genome that comprises a model), to assess whether models share a common origin and identify signs of modification,» Cisco said. «This, combined with a constitution that defines provenance linkages, is an important step toward providing evidence-based assurance that the AI you deploy is what it says it is.»
• Abuse of Hugging Face and ClawHub for Malware Delivery —Threat actors are abusing legitimate AI platforms like Hugging Face and ClawHub for malware delivery, once again demonstrating how trust in AI ecosystems are being exploited. Acronis said it identified more than 575 malicious skills across 13 developer accounts that target both Windows and macOS systems with trojans, cryptocurrency miners, and AMOS stealer, a macOS-focused infostealer. «On Hugging Face, attackers leverage repositories to host payloads and act as staging infrastructure within multistep infection chains, distributing malware disguised as legitimate applications,» Acronis said.
• European Authorities Bust Cryptocurrency Fraud Ring —Albanian and Austrian authorities dismantled a cryptocurrency investment fraud ring that caused estimated losses of more than €50 million ($58.5 million) to victims worldwide. The operation, which took place over two years, resulted in the arrest of ten individuals, the search of multiple premises, and the seizure of 891,735 in cash, 443 computers, 238 mobile phones, six laptops, and multiple storage devices. «The criminal network, allegedly operating several call centres in Tirana, Albania, is believed to have caused significant financial damage, totalling at least €50 million,» Europol said. «The call centres were professionally set up and organized, resembling legitimate business structures featuring a clear division of roles and hierarchical management.» The criminal network is estimated to have involved up to 450 employees across various departments. The scheme involved luring victims to seemingly legitimate online investment platforms through deceptive advertisements on social media or web searches, and coaxing them into making investments under the promise of huge returns. Victims were then assigned retention agents, who masqueraded as investment advisors and used remote access software to gain full control of their devices. «The fraudsters feigned professional expertise and employed psychological pressure to persuade victims to make additional investments, falsely claiming they would be profitable,» Europol said. «In truth, the funds were never invested but were instead channelled into an intricate international money-laundering scheme, ultimately disappearing into the hands of the criminal organisation.» In some cases, the fraudsters reached out to the victims again and offered help with recovering their stolen funds, only to demand a €500 entry fee and defraud them a second time.
• Flaws in EnOcean’s SmartServer —Two security flaws have been disclosed in EnOcean’s SmartServer IoT platform that affect version 4.60.009 and prior. According to Claroty: «CVE-2026-20761 allows remote attackers to send malicious, crafted LON IP-852 messages that result in arbitrary command execution on devices. CVE-2026-22885 allows remote attackers to send malicious, crafted IP-852 messages that bypass ASLR memory protections and leak memory.» Successful exploitation of the flaws results in attackers obtaining control over building management and building automation systems running affected versions of this platform and legacy i.LON devices. Patches have been released for both vulnerabilities.
• Google Announces Android Credential Manager Update —Google has announced a new update to Android’s Credential Manager that allows apps to automatically verify a user’s personal Gmail address without requiring one-time passwords (OTPs) or email verification links. «Google now issues a cryptographically verified email credential directly to Android devices,» the company said. «For users, this completely removes the need to manually verify their email through external channels. For developers, the API securely delivers these verified user claims for any scenario, whether you are building an account creation flow, a recovery process, or a high-risk step-up authentication.»
• Nearly 8.8K Secrets Leaked Online —According to Truffle Security, 8,792 verified, unique secrets have been leaked online through web-based development environments. The tokens were found across 22 million public projects hosted on Cloud Development Environments (CDEs) such as CodePen, CodeSandbox, JSFiddle, and StackBlitz.
• Is There More to the Xygeni Compromise? —Multiple connections have been found between the compromise of the Xygeni vulnerability scanner on GitHub and a proxy botnet of hacked ASUS and TP-Link routers. Some of the TP-Link consumer routers have been compromised with Microsocks to unroll them to a residential proxy network. «These routers were also running a custom command-and-control beacon that was named ShadowLink,» Ctrl-Alt-Intel said. «When we analysed the ShadowLink protocol, we found it was identical, down to a shared authentication secret, to the backdoor planted in the Xygeni GitHub Action used for that supply chain attack.»
• Brazilian Anti-DDoS Firm Behind DDoS Attacks on ISPs —Huge Networks, a Brazilian tech company that specializes in protecting networks from distributed denial-of-service (DDoS) attacks, has been enabling a botnet responsible for massive DDoS attacks against other internet service providers (ISPs) in the country, according to KrebsOnSecurity. The company has since said the malicious activity resulted from an intrusion first detected in January 2026 and claimed it was likely the work of a competitor.
• Canonical Target of Sustained DDoS Attack —Canonical disclosed its web infrastructure came under a «sustained, cross-border attack,» knocking Ubuntu servers offline for several hours. A pro-Iranian hacktivist group known as the Islamic Cyber Resistance in Iraq, aka 313 Team, claimed responsibility for the attack on Telegram. The websites have since become operational. Last month, the group also disrupted access to the decentralized social media platform Bluesky.
• New Phishing Kit Bluekit Detailed —A new phishing kit named Bluekit is offering more than 40 templates targeting popular services and includes basic artificial intelligence (AI)-powered features for generating campaign drafts. Available templates can be used to target email accounts (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), cloud and enterprise services (iCloud and Zoho), developer platforms (GitHub), and cryptocurrency services (Ledger). What makes the kit stand out is the presence of an AI Assistant panel that supports multiple models, including Llama, GPT-4.1, Claude, Gemini, and DeepSeek, to help criminals draft phishing emails. It also has support for two-factor authentication, geolocation emulation, antibot cloaking, notifications, spoofing capabilities, voice cloning, and a mail sender. The development once again reinforces the broader trend of crimeware services integrating AI to streamline and scale their operations. Bluekit is the second kit to integrate AI features in as many months. In April 2026, Abnormal Security shed light on a cybercrime platform called ATHR that uses AI vishing agents, credential harvesting panels, and built-in phishing mailers to execute and scale telephone-oriented attack delivery (TOAD) attacks.
• North Korea Calls U.S. Cyber Threat Claims a Fabrication — North Korea’s foreign ministry rejected U.S. accusations that the country poses a cyber threat, stating the U.S. was spreading false information about a non-existent cyber threat from North Korea for political purposes, per Reuters. The ministry said it «would actively take all necessary measures for defending the interests of the state and protecting the rights and interests of its citizens in cyberspace.»

🔧 Cybersecurity Tools

• Model Provenance Kit → It is a free open-source Python tool from Cisco AI Defense that helps identify if a machine learning model is based on a known base model (like Llama, Mistral, GPT, etc.). It analyzes architecture, tokenizer, and weights to quickly compare two models or check against a database of ~150 popular base models.
• AutoFyn → It is an open-source tool from SignalPilot Labs that runs Claude AI in self-improving loops to optimize measurable goals. Give it a GitHub repo, a clear task (like security hardening, bug fixing, or performance optimization), and a time budget — it works in sandboxed rounds, tracks progress with real evaluations, learns from failures, and delivers improved code via PRs.

Disclaimer: This is strictly for research and learning. It hasn’t been through a formal security audit, so don’t just blindly drop it into production. Read the code, break it in a sandbox first, and make sure whatever you’re doing stays on the right side of the law.

Conclusion

Stay sharp out there.

The pace of attacks is accelerating, and the margin for delay is shrinking. Patch what you can today, verify your supply chains, tighten SaaS access, and treat every “routine” login or pipeline run as potentially hostile. Small habits now will save major headaches later.

Until next Monday. Keep your defenses tight and your eyes open. The threats won’t wait — neither should we. See you in the next recap.

El grupo de cibercrimen con sede en China conocido como Zorro plateado se ha vinculado a una nueva campaña dirigida a organizaciones en Rusia e India con un nuevo malware llamado ABCPuerta.

La actividad implicaba utilizar correos electrónicos de phishing que imita la correspondencia del Departamento de Impuestos sobre la Renta de la India en diciembre de 2025, seguida de una campaña similar dirigida a entidades rusas.

«Ambas oleadas siguieron una estructura casi idéntica: los correos electrónicos de phishing tenían el estilo de avisos oficiales sobre auditorías fiscales o pedían a los usuarios que descargaran un archivo que contenía una ‘lista de infracciones fiscales’», Kaspersky dicho. «Dentro del archivo había un cargador modificado basado en Rust extraído de un repositorio público. Este cargador descargaría y ejecutaría la conocida puerta trasera ValleyRAT».

Se estima que la campaña ha impactado a organizaciones de los sectores industrial, de consultoría, minorista y de transporte. Se detectaron más de 1.600 correos electrónicos de phishing entre principios de enero y principios de febrero.

Lo que es notable acerca de estas oleadas de phishing es la entrega de un nuevo complemento ValleyRAT que funciona como un cargador para una puerta trasera basada en Python previamente indocumentada cuyo nombre en código es ABCDoor. La puerta trasera, según la empresa rusa de ciberseguridad, ha sido parte del arsenal del actor de amenazas desde al menos el 19 de diciembre de 2024 y se utilizó en ciberataques a partir de febrero o marzo de 2025.

El punto de partida de la cadena de ataque es un correo electrónico de phishing que contiene un archivo PDF, que incluye dos enlaces en los que se puede hacer clic y que conducen a la descarga de un archivo ZIP o RAR alojado en «abc.haijing88[.]com.» En la campaña detectada en diciembre de 2025, se dice que el código malicioso se incrustó directamente en los archivos adjuntos al correo electrónico.

Dentro del archivo hay un ejecutable que imita un archivo PDF. El binario es una versión modificada de un cargador de código shell de código abierto y un marco de derivación de antivirus llamado óxidoSL. El primer uso registrado de RustSL por parte de Silver Fox se remonta a finales de diciembre de 2025.

El objetivo final de la variante Silver Fox RustSL es descomprimir la carga útil maliciosa cifrada, al tiempo que se implementan comprobaciones ambientales y de geofencing basadas en países para detectar máquinas virtuales y entornos sandbox. Si bien la variante de GitHub solo incluye a China en su lista de países, la versión personalizada incluye a India, Indonesia, Sudáfrica, Rusia y Camboya.

Se ha descubierto que una variante del cargador emplea una novela llamada Persistencia fantasma para establecer persistencia en el host comprometido. Se documentó por primera vez en junio de 2025.

«Este método abusa de la funcionalidad diseñada para permitir que las aplicaciones que requieren un reinicio para obtener actualizaciones completen el proceso de instalación correctamente», explicó Kaspersky. «Los atacantes interceptan la señal de apagado del sistema, detienen la secuencia de apagado normal y activan un reinicio bajo la apariencia de una actualización del malware. En consecuencia, el cargador obliga al sistema a ejecutarlo al iniciar el sistema operativo».

La carga útil cifrada cargada por RustSL da como resultado la descarga del malware cifrado ValleyRAT (también conocido como Winos 4.0), con el componente principal («login-module.dll_bin») responsable de las comunicaciones de comando y control (C2), la ejecución de comandos y la recuperación y ejecución de módulos adicionales.

Uno de los módulos personalizados implementados como parte del ataque luego de una segunda verificación de geofencing es ABCDoor, que contacta a un servidor externo a través de HTTPS y procesa los mensajes entrantes para facilitar la persistencia, manejar actualizaciones y eliminación de puertas traseras, recopilar datos como capturas de pantalla, habilitar el control remoto del mouse y el teclado, realizar operaciones del sistema de archivos, administrar procesos del sistema y filtrar el contenido del portapapeles.

Tan recientemente como noviembre de 2025, se observó que Silver Fox usaba un cargador de JavaScript para entregar ABCDoor, con el cargador distribuido a través de archivos autoextraíbles (SFX) que estaban empaquetados dentro de archivos ZIP probablemente enviados a través de correos electrónicos de phishing. Desde entonces, las versiones más nuevas de RustSL han ampliado el enfoque geográfico para incluir a Japón.

El mayor número de ataques se ha detectado en India, Rusia e Indonesia, seguidos de Sudáfrica y Japón. La mayoría de las muestras de cargadores descubiertas han empleado señuelos con temas de impuestos para imitar la secuencia de infección.

«Desde 2024, [Silver Fox] ha evolucionado hacia un modelo operativo de doble vía que lleva a cabo simultáneamente actividades oportunistas extensas y rentables y actividades de espionaje», S2W dicho. «En las primeras etapas, el grupo tenía como objetivo atacar a China, pero luego amplió su alcance operativo a Taiwán y Japón».

«El grupo Silver Fox utiliza principalmente técnicas de phishing altamente personalizadas para la infiltración inicial, desplegando escenarios de ataque sofisticados y diversificados adaptados a los problemas estacionales del país objetivo y las características laborales del objetivo».

El 4 de diciembre de 2025, un joven de 17 años fue arrestado en osaka bajo la Ley de Prohibición de Acceso No Autorizado de Japón. El joven había ejecutado un código malicioso para extraer los datos personales de más de 7 millones de usuarios de Club Kaikatsula cadena de cibercafés más grande de Japón. Cuando se le preguntó, el joven compartió su motivación para realizar el truco: quería comprar tarjetas Pokémon.

En cierto sentido, ésta es una historia bastante convencional. Desde la década de 1990, hemos leído sobre niños prodigio de la informática como Kevin Mitnick, cuya capacidad técnica excedió su juicio y que se vieron arrastrados a delitos cibernéticos de alto perfil en busca de estatus, ganancias o emoción. Pero algo es diferente en esta historia: el joven en cuestión no era técnico.

El aumento de los ataques asistidos por IA

En 2025, los sistemas de agentes y chat respaldados por LLM cruzaron un umbral, pasando de asistentes de codificación útiles pero propensos a errores a potencias de codificación de un extremo a otro. A lo largo del año, varias medidas de frecuencia y gravedad de los delitos cibernéticos aproximadamente se duplicaron. Instancias de Los paquetes maliciosos descubiertos en repositorios públicos aumentaron en un 75%., Las intrusiones en la nube aumentaron un 35%y El phishing generado por IA comenzó a superar a los equipos rojos humanos enteramente. Sin embargo, una diferencia más cualitativa ha estado en los perfiles de quienes llevan a cabo los ataques.

En febrero de 2025, tres adolescentes (14, 15 y 16 años) sin experiencia en codificación ChatGPT para construir una herramienta que impacte Rakuten móvilEl sistema ~220.000 veces, gastando sus ganancias en consolas de juegos y juegos de azar en línea. En julio de 2025, un solo actor que utiliza Claude Code, una plataforma de codificación agente más sofisticada, llevó a cabo una campaña de extorsión dirigida a 17 organizaciones en el transcurso de un mes, utilizando IA agente para desarrollar código malicioso, organizar archivos robados, analizar registros financieros para calibrar demandas y redactar correos electrónicos de extorsión. En diciembre de 2025, otro individuo usó Claude Code y ChatGPT para violar al gobierno mexicanoapuntando a más de 10 agencias y robando más de 195 millones de registros de contribuyentes.

Si bien estos ataques eran posibles antes de 2025, ahora estamos viendo ataques de un solo actor que habrían sido característicos de equipos organizados y ataques de menor escala por parte de personas sin conocimientos técnicos que habrían sido más característicos de ataques llevados a cabo por un hacker o ingeniero talentoso en la era anterior a la IA. En 2025, la barrera de entrada para realizar un ataque técnicamente sofisticado se habrá reducido significativamente.

Los malos números aumentan

A lo largo de 2025, las medidas de actividad de bots, malware, ataques dirigidos y phishing mostraron aumentos espectaculares. Al mismo tiempo, las medidas de capacidad LLM en puntos de referencia técnicos dieron un salto adelante.

En 2022, había 55.000 paquetes maliciosos en repositorios públicos, según sonatipo. Para 2025, ese número había aumentado a 454.600. Se produjeron saltos notables en 2023 (el año en que se lanzó GPT-4) y 2025 (un año emblemático para la codificación agente).

Otra medida práctica de la capacidad de un atacante en el mundo real, el tiempo para explotar, es casi irreconocible desde la era anterior a la IA. El tiempo para explotar mide el tiempo desde que se publicita una vulnerabilidad hasta que se descubre un exploit para esa vulnerabilidad en la naturaleza.

Este número ha bajado de más de 700 días en 2020 a solo 44 días en 2025. Esto significa que los atacantes están desarrollando exploits para vulnerabilidades conocidas en menos de dos meses, en lugar de casi dos años. De hecho, Mandiant Informe M-Trends 2026 descubrió que el tiempo de explotación se ha vuelto efectivamente negativo: las vulnerabilidades ahora llegan de manera rutinaria antes que los parches, con 28,3% de los CVE explotados en 24 horas de divulgación.

A lo largo de 2024, 2025 y principios de 2026, el desempeño de modelos de vanguardia como ChatGPT, Claude y Gemini en puntos de referencia como SWE-bench, una prueba de capacidad de desarrollo de software, se disparó por las nubes. En agosto de 2024, los modelos top podrían resolver 33% de los problemas reales de GitHub en el banquillo. En diciembre de 2025, esa cifra había aumentado a poco menos del 81%.

A finales de 2024 y especialmente en 2025, la codificación asistida por IA llegó a un punto de inflexión. Sin embargo, la codificación potenciada también ha potenciado las capacidades ofensivas, y el entorno en 2026 refleja estos cambios, con ataques que ocurren con mayor frecuencia, mayor gravedad y mayor impacto.

No puedo eliminar el dolor

La IA está acelerando tanto a los defensores como a los atacantes. Lamentablemente, según datos de 2025 y 2026, la carrera armamentista está favoreciendo a los atacantes. El tiempo promedio para remediar un CVE conocido de gravedad alta o crítica es ahora de 74 días, según el Informe de estadísticas de vulnerabilidad de Edgescan 2025. Además, el 45% de las vulnerabilidades en los sistemas mantenidos por grandes empresas (más de 1.000 empleados) nunca se solucionan.

Las organizaciones también han sentido presión por el aumento del malware encontrado en los repositorios de paquetes públicos. En septiembre de 2025, el Ataque Shai-Hulud Apuntar al ecosistema npm comprometió más de 500 paquetes. Encima 487 organizaciones tenían secretos comprometidosy Robaron 8,5 millones de dólares de Trust Wallet después de que los atacantes utilizaran credenciales expuestas para envenenar su extensión de Chrome. Muchas organizaciones congelaron el código después del ataque.

El problema de detección agrava esto. En 2025, los paquetes npm maliciosos que se hacían pasar por bibliotecas populares como chalk y debug incluían documentación, pruebas unitarias y código estructurado para aparecer como módulos de telemetría legítimos. Los análisis estáticos y los escáneres de firmas no los detectaron por completo, porque el código, probablemente generado por IA, parecía software real. Como el director ejecutivo de Chainguard, Dan Lorenc ha observado«La complejidad y la escala de la gestión de vulnerabilidades han superado las capacidades de la mayoría de las organizaciones para gestionarlas por sí mismas».

Eliminar categorías de ataque

La lección de 2025 es que no se puede escapar de estos ataques. La ventana de explotación se está reduciendo más rápido de lo que los ciclos de parches pueden comprimir, y el malware generado por IA está escapando de las herramientas de detección en las que las organizaciones han confiado durante décadas. El diagrama de Venn de “dispuesto a realizar ataques” y “tiene capacidad técnica para realizar ataques” solía ser muy pequeño, pero crece cada mes. Al mismo tiempo, estamos creando más software y más rápido. Y si los ataques a la cadena de suministro se producirán rápidamente en 2026, ¿cómo será 2027 con las capacidades del modelo aumentadas a 10?

Pensar en términos de velocidad y superar los ataques sólo permitirá que los equipos lleguen hasta cierto punto en el entorno actual. Más bien, la decisión inteligente es eliminar categorías enteras de vulnerabilidad, liberando a los equipos para centrarse en las áreas restantes. Este es el enfoque detrás Bibliotecas Chainguardque reconstruye cada biblioteca de código abierto a partir de código fuente atribuible y verificado. La idea detrás de las Bibliotecas es hacer que categorías completas de ataques sean estructuralmente imposibles, protegiendo a los usuarios de la adquisición de CI/CD, confusión de dependencias, robo de tokens de larga duración o ataques de distribución de paquetes. Cuando probado contra 8.783 paquetes npm maliciososLas bibliotecas Chainguard bloquearon el 99,7%. De aproximadamente 3000 paquetes maliciosos de Python, bloqueó aproximadamente el 98%.

454.600 paquetes maliciosos el año pasado. 394.877 en un solo trimestre. Un aficionado en Argelia ransomware creado que afectó a 85 objetivos en su primer mes. Un joven de 17 años exfiltró 7 millones de registros para comprar tarjetas Pokémon. Las herramientas que permitieron estos ataques son cada vez más baratas, rápidas y accesibles. En lugar de luchar cuando llegue el próximo Axios o Shai Hulud llega la próxima semana o el próximo mes, puede leerlo mientras toma una taza de café mientras su organización completa los sistemas de producción, los administradores de artefactos y las estaciones de trabajo de los desarrolladores desde las Bibliotecas Chainguard.

Nota: Este artículo fue escrito y contribuido de manera experta por Patrick Smyth, ingeniero principal de relaciones con desarrolladores, Guardacadenas.

Se ha observado que un actor de amenazas previamente desconocido ataca a entidades gubernamentales y militares en el sudeste asiático, junto con un grupo más pequeño de proveedores de servicios administrados (MSP) y proveedores de alojamiento en Filipinas, Laos, Canadá, Sudáfrica y EE. UU., al explotar la vulnerabilidad recientemente revelada en cPanel.

la actividad, detectado por Ctrl-Alt-Intel el 2 de mayo de 2026, implica el abuso de CVE-2026-41940, una vulnerabilidad crítica en cPanel y WebHost Manager (WHM) que podría resultar en una omisión de autenticación y permitir a atacantes remotos obtener un control elevado del panel de control.

Los esfuerzos de ataque se originaron desde la dirección IP «95.111.250[.]175», destacando principalmente los dominios gubernamentales y militares asociados con Filipinas (*.mil.ph y (*.ph)) y Laos (*.gov.la), así como MSP y proveedores de alojamiento, que utilizan disponible públicamente prueba de conceptos (PoC).

Además, Ctrl-Alt-Intel reveló que el actor de amenazas utilizó una cadena de exploits personalizada separada para un portal de capacitación del sector de defensa de Indonesia antes de los ataques de cPanel, empleando una combinación de inyección SQL autenticada y ejecución remota de código. En este caso, se dice que el atacante ya estaba en posesión de credenciales válidas para el portal en cuestión.

«El script utiliza credenciales codificadas y anula el CAPTCHA del portal leyendo el valor CAPTCHA esperado de la cookie de sesión emitida por el servidor en lugar de resolver el desafío normalmente», dijo Ctrl-Alt-Intel.

«Una vez autenticado y pasado el CAPTCHA, el actor pasa a una función de administración de documentos. El parámetro vulnerable es el campo utilizado para guardar el nombre de un documento, y el script inyecta SQL en ese campo cuando se publica en el punto final para guardar el documento».

Un análisis más detallado ha determinado que el actor de la amenaza está utilizando el marco de comando y control (C2) AdaptixC2 para controlar de forma remota el punto final comprometido. También se utilizan herramientas como OpenVPN y Ligolo para facilitar el acceso persistente a las redes internas de las víctimas.

«El actor construyó una capa de acceso duradera usando OpenVPN, Ligolo, systemd persistence, y luego usó ese acceso para pivotar hacia una red interna y exfiltrar un corpus sustancial de documentos del sector ferroviario chino», agregó Ctrl-Alt-Intel.

Actualmente no se sabe quién está detrás de la campaña, pero el desarrollo se produce como lo dijo Censys. descubierto evidencia que sugiere que varios terceros están utilizando la vulnerabilidad de cPanel como arma dentro de las 24 horas posteriores a la divulgación pública, incluida la implementación de variantes de botnet Mirai y una cepa de ransomware llamada Sorry.

Según datos de la Shadowserver Foundation, se dice que al menos 44.000 direcciones IP probablemente comprometidas a través de CVE-2026-41940 tienen comprometido en escaneo y ataques de fuerza bruta contra sus honeypots el 30 de abril de 2026. A partir del 3 de mayo, la cifra ha abandonó a 3.540.

Ataques con misiles y drones que sacó los centros de datos en la nube en Medio Oriente subrayó una vulnerabilidad crítica en la economía moderna: la dependencia de la infraestructura digital que sostiene la ventaja competitiva y la continuidad operativa para corporaciones, naciones y ejércitos.

Los cortes y las interrupciones posteriores fueron un anticipo de una nueva forma de riesgo estratégico y operativo. Los centros de datos han sido durante mucho tiempo la columna vertebral de la economía digital. Lo que está cambiando es la escala de dependencia a medida que las cargas de trabajo de IA aumentan drásticamente la potencia informática necesaria para gestionar empresas, cadenas de suministro y sistemas de seguridad nacionales.

La inteligencia artificial ha ido más allá de las aplicaciones empresariales y se ha convertido en el núcleo de la guerra y la seguridad nacional. Mes pasado, Los New York Times informó que la IA está “totalmente integrada” en la recopilación de inteligencia y su uso en la toma de decisiones estratégicas y operaciones militares. Incluso si los modelos de IA no disparan armas directamente, el análisis habilitado por la IA juega ahora un papel central en la forma en que los ejércitos modernos ganan visibilidad, encuentran conocimientos e impulsan la acción.

Eso es importante porque cambia lo que debería considerarse infraestructura crítica. Si la IA es una ventaja competitiva para las empresas y una ventaja en el campo de batalla para los combatientes, entonces la infraestructura que entrena, aloja y ejecuta la IA se convierte en un objetivo de alto valor. Los ataques a la infraestructura digital de la que dependen las organizaciones pueden hacer más que causar daños financieros. Pueden retardar la toma de decisiones, degradar la logística y reducir la eficacia militar sin siquiera enfrentarse a una fuerza convencional.

Históricamente, las campañas de los Estados-nación dirigidas a centros de datos y proveedores de servicios se centraban en las intrusiones cibernéticas con fines de espionaje o posicionamiento previo. Lo que es diferente ahora es la aparición de ataques físicos a la infraestructura digital durante un conflicto activo. La inteligencia militar rusa se ha vinculado a campañas dirigidas a la infraestructura digital y los servicios gestionados, a menudo como parte de un ataque a la cadena de suministro para comprometer organizaciones a gran escala. Los grupos alineados con Irán han demostrado repetidamente su voluntad de atacar a entidades del sector privado para promover objetivos geopolíticos. En muchos casos, el objetivo era el acceso: robar datos, implantar persistencia, mapear redes y mantener un punto de apoyo que pudiera usarse más tarde para espionaje o interrupción.

Lo que está más claro ahora que nunca es que los centros de datos y las cargas de trabajo de IA que soportan se han vuelto tan vitales para la sociedad moderna que nuestros adversarios buscarán degradar o destruir su eficacia como táctica de guerra cinética y cibernética.

Ya hemos visto con qué rapidez un incidente digital puede convertirse en una perturbación del mundo real. El 11 de marzo, surgieron informes de miles de servidores y terminales borrados dentro de Stryker, un fabricante de dispositivos médicos con sede en EE. UU. Un grupo hacktivista simpatizante de Irán, conocido como Handala, se atribuyó la responsabilidad. Según se informa, el incidente detuvo la producción global de Stryker después de que los atacantes accedieran a su entorno Microsoft y emitieran un comando de borrado a través de Intune. Incluso sin un solo misil, el resultado parecía una interrupción estratégica: las operaciones se detuvieron y los clientes intermedios lo sintieron.

Para los líderes empresariales, el imperativo es claro: tratar la resiliencia operativa como una prioridad a nivel de junta directiva en la era de la IA.

En el mundo de la TI corporativa, la ciberseguridad prioriza la confidencialidad: evitar el robo de información sensible. La resiliencia es una disciplina diferente. Es la capacidad de mantener las operaciones cuando los sistemas se degradan, se interrumpen o están bajo ataque activo. Para los centros de datos y las empresas que dependen de ellos, la resiliencia se reduce a prevenir fallas en cascada y reducir las consecuencias cuando algo inevitablemente sale mal.

Estos acontecimientos tienen implicaciones importantes para el sector privado. La infraestructura digital es cada vez más un objetivo estratégico, lo que hace que la resiliencia sea una prioridad empresarial central en lugar de un problema limitado de TI. Para los líderes empresariales, el impacto de la interrupción del centro de datos se extiende a múltiples áreas de riesgo de ciberseguridad que a menudo se pasan por alto.

Por ejemplo, el crecimiento de la IA está chocando con un muro de energía en muchas regiones donde la capacidad de la red no puede escalar lo suficientemente rápido. Esto está impulsando a las instalaciones hacia nuevas dependencias energéticas, incluida la generación in situ a través de energía distribuida y energías renovables, lo que genera entornos de gestión de energía más complejos. Esta infraestructura energética se convierte en un punto de presión, ya que las interrupciones en el suministro de energía o en los sistemas de gestión pueden obligar rápidamente a un centro de datos a desconectarse. Rusia ha demostrado en varias ocasiones la capacidad de atacar e interrumpir la generación y distribución de energía en Ucrania, tanto en 2015 como en 2016.

Los sistemas de automatización y gestión de edificios, incluidos HVAC y controles de acceso físico, son otro. Estos sistemas son esenciales para crear entornos operativos seguros y de apoyo, pero normalmente tienen ciclos largos de depreciación del capital y salvaguardias de seguridad inconsistentes. Expuestos con frecuencia a Internet, y comúnmente mal configurados y no protegidos adecuadamente, pueden convertirse en una vía de interrupción para un atacante.

Con una densidad cada vez mayor de infraestructura informática, la gestión térmica se ha convertido en un control ambiental central en los centros de datos. A medida que la industria adopta la refrigeración líquida para cargas densas de IA, la interferencia con la refrigeración ya no es un problema técnico específico. Es un vector de riesgo que puede causar tiempo de inactividad y posibles daños al equipo si los atacantes lo violan.

El acceso remoto crea otra exposición importante. Los centros de datos dependen de proveedores, contratistas e integradores de sistemas para su mantenimiento, monitoreo y soporte, y cada conexión remota puede convertirse en un punto de entrada si no está estrictamente controlada, administrada de manera centralizada y bien protegida. Los adversarios suelen atacar estas rutas de acceso confiables porque pueden ser más fáciles de comprometer que un perímetro bien defendido, lo que permite a los atacantes eludir los controles y salvaguardas estándar.

Todo esto tiene implicaciones económicas más amplias porque la disrupción de los centros de datos no se queda dentro del sector tecnológico. Cae en cascada hacia las industrias que mantienen la sociedad en funcionamiento y las cadenas de suministro en movimiento: hospitales, empresas de servicios eléctricos, producción química, alimentos y bebidas, petróleo y gas, y transporte. Una interrupción prolongada se traduce en envíos perdidos, producción detenida, atención retrasada, problemas de seguridad y pérdida de confianza.

¿Qué deberían hacer los líderes ahora?

Comience por definir objetivos de resiliencia que coincidan con la realidad empresarial: qué debe seguir funcionando, qué puede degradarse, qué no puede fallar. Luego invierta en controles que limiten el impacto de un incidente. La segmentación entre activos de TI y OT no debería ser negociable. El acceso remoto debe tratarse como una vía de riesgo crítica con privilegios mínimos, autenticación sólida y monitoreo continuo.

Administre los sistemas de las instalaciones, como los sistemas de gestión de edificios y los controles de energía y refrigeración, como tecnología operativa crítica, con inventarios de activos, gestión de vulnerabilidades, registros y planes de respuesta a incidentes que anticipen las interrupciones.

Finalmente, entrenar para operar en condiciones degradadas. Los ejercicios prácticos deben incluir escenarios como la pérdida de una región de la nube, una falla parcial de una instalación o el compromiso de un plano de gestión. Utilice estos ejercicios para validar que la organización puede mantener operaciones esenciales y recuperarse rápidamente cuando ocurren interrupciones.

La política también avanza en esta dirección. Los gobiernos tratan cada vez más a los centros de datos como infraestructura crítica. Políticas y marcos como la Estrategia Nacional de Ciberseguridad, los principios de Seguridad por Diseño de CISA y estándares internacionales como IEC 62443 reflejan un reconocimiento cada vez mayor de que la infraestructura digital es una cuestión de seguridad nacional. Las empresas que se adelanten a este cambio no sólo reducirán el riesgo, sino que crearán una ventaja competitiva en un mundo donde el tiempo de inactividad puede convertirse en un arma estratégica.

En la era de la IA, los centros de datos son una infraestructura esencial para las economías modernas y la seguridad nacional. Su creciente importancia también los convierte en objetivos atractivos en conflictos cibernéticos y físicos. Protegerlos ya no se trata solo de salvaguardar las operaciones de la empresa, sino de proteger los sistemas de los que depende la sociedad todos los días.

Grant Geyer es el director de estrategia de Claroty.

Una operación internacional coordinada en la que participaron autoridades estadounidenses y chinas arrestó al menos a 276 sospechosos y cerró nueve centros de estafa utilizados para esquemas de fraude de inversiones en criptomonedas dirigidos a estadounidenses, lo que resultó en pérdidas de millones de dólares.

La represión fue dirigida por la Policía de Dubai, dependiente del Ministerio del Interior de los Emiratos Árabes Unidos (EAU), en asociación con la Oficina Federal de Investigaciones (FBI) de Estados Unidos y el Ministerio de Seguridad Pública de China. Entre los arrestados se encuentran personas de Birmania e Indonesia, que fueron detenidas por autoridades de Dubai y Tailandia.

Thet Min Nyi, de 27 años, Wiliang Awang, de 23, Andreas Chandra, de 29, Lisa Mariam, de 29, y dos cómplices fugitivos han sido acusados ​​de fraude federal y lavado de dinero en Estados Unidos.

«Los estafadores que atacan a estadounidenses desde el extranjero no pueden operar con impunidad, sin importar en qué parte del mundo residan», afirmó el Fiscal General Adjunto A. Tysen Duva de la División Penal del Departamento de Justicia (DoJ). dicho. «Los organizadores de centros de estafa y los estafadores que defraudan a los estadounidenses y a otros se enfrentarán a la justicia en los tribunales estadounidenses y en los tribunales de todo el mundo. En la sociedad contemporánea, el fraude no tiene fronteras, y las actividades policiales para combatirlo y eliminarlo también lo son».

Según la acusación, se alega que los acusados ​​administraron, trabajaron y reclutaron a otras personas para trabajar en tres empresas diferentes llamadas Ko Thet Company, Sanduo Group y Giant Company que supuestamente operaban varios centros de estafa. Se cree que Thet Min Nyi es el gerente y reclutador de Ko Thet Company.

Las estafas implicaban engañar a los usuarios para que se deshicieran de su dinero mediante inversiones falsas en criptomonedas después de generar confianza con el tiempo, a menudo entablando relaciones amistosas o románticas, un esquema de larga duración conocido como matanza de cerdos o cebo romántico. La operación ilícita está estrechamente relacionada con la trata de personas, donde se obliga a ciudadanos extranjeros a realizar estafas en condiciones similares a las de la esclavitud después de haber sido reclutados con ofertas falsas de trabajos bien remunerados.

«Después de eso, los estafadores promovieron inversiones en criptomonedas y ayudaron a las víctimas a crear cuentas y transferir criptomonedas a plataformas de inversión que, sin que las víctimas lo supieran, eran falsas», dijo el Departamento de Justicia. «Los presuntos estafadores promocionaron sus propios éxitos y retornos en las inversiones en criptomonedas y alentaron a sus víctimas a invertir más. También alentaron a sus víctimas a pedir dinero prestado a amigos y familiares y solicitar préstamos para poder ‘invertir’ más».

Pero tan pronto como los fondos se transfirieron a las plataformas, los activos se lavaron a otras cuentas de criptomonedas, incluidas algunas pertenecientes a los estafadores.

El Departamento de Justicia dijo que el FBI ha notificado a casi 9.000 víctimas y les ha ahorrado un estimado de 562 millones de dólares hasta abril de 2026 tras el lanzamiento de una iniciativa llamada Subir nivel de operaciónque comenzó en enero de 2024 como una forma de identificar y alertar proactivamente a las víctimas de esquemas de fraude de inversiones en criptomonedas.

Dos ciudadanos chinos acusados ​​de estafas criptográficas

La noticia de la acusación llega días después de que el Departamento de Justicia cargado dos ciudadanos chinos, Jiang Wen Jie (también conocido como Jiang Nan) y Huang Xingshan (también conocido como Ah Zhe y Huang Xing Saan), por su papel en una importante operación de fraude de inversión en criptomonedas y por supuestamente dirigir el complejo de estafas Shunda en Min Let Pan, Myanmar. Los acusados ​​también han sido acusados ​​de planear abrir un segundo centro de estafas en Camboya después de que las autoridades birmanas se apoderaran del primero en noviembre de 2025.

Se considera que Huang trabajó en Shunda como gerente de alto nivel y participó personalmente en el castigo físico de los trabajadores del complejo objeto de trata, mientras que Jiang sirvió como líder de equipo que supervisaba a los trabajadores que apuntaban específicamente a las víctimas estadounidenses en estos esquemas. Fueron arrestados por las autoridades tailandesas a principios de 2026 mientras se dirigían a Birmania desde Camboya.

«El complejo utilizó sitios web fraudulentos y aplicaciones móviles disfrazadas de plataformas de inversión legítimas para defraudar a las víctimas, incluidos los estadounidenses», dijo el Departamento de Justicia. «Los trabajadores dentro del complejo eran personas traficadas que fueron retenidas contra su voluntad y obligadas a defraudar a las víctimas bajo amenaza de violencia y tortura».

Además, la represión ha llevado a la incautación de un canal de Telegram (@pogojobhiring2023) con más de 6.500 seguidores utilizado para reclutar víctimas de trata de personas para un complejo de estafas en Camboya con el fin de llevar a cabo una estafa de suplantación de identidad de las fuerzas del orden y un grupo de 503 sitios web de inversiones falsos utilizados para defraudar a las víctimas estadounidenses. Las acciones, encabezadas por una fuerza de ataque del Centro de Estafas del gobierno de EE. UU., también han restringido más de 701 millones de dólares en criptomonedas supuestamente vinculadas al lavado de dinero procedente de estafas de criptomonedas.

El Tesoro sanciona a senador camboyano

Coincidiendo con estos esfuerzos, el Departamento del Tesoro de Estados Unidos ha sancionado un senador camboyano detrás de una red de compuestos de estafa cibernética, y el Departamento de Estado anunciado recompensas de hasta 10 millones de dólares por información que conduzca a la incautación o recuperación de ganancias relacionadas con el centro de estafas Tai Chang en Birmania.

Las sanciones apuntan al senador camboyano Kok Anel empresario camboyano Rithy Raksmei, sus asociados y sus respectivas operaciones comerciales, incluidas sociedades de cartera como K99 Group para operaciones de centros de estafa. Kok An es ficticio haber huido de Tailandia, con las autoridades emisor una orden de arresto contra él y sus hijos en julio pasado.

«La red de centros de estafa de Kok An y sus afiliados, que opera desde casinos y parques de oficinas adaptados para actividades fraudulentas, lava los fondos de las víctimas y proporciona una base para atacar a ciudadanos estadounidenses y cometer abusos contra los derechos humanos con impunidad», dijo la Oficina de Control de Activos Extranjeros (OFAC).

Kok An es el segundo senador camboyano sancionado por el Tesoro de Estados Unidos tras Ly Yong Phatquien fue implicado en septiembre de 2024 por su presunto papel en la trata de personas para realizar trabajos forzados en centros de estafa en línea.

El Proliferación del fraude a escala industrial. las operaciones tienen incitado El parlamento de Camboya aprobará la primera ley dedicada a atacar los centros de estafa que operan en el país. La ley, que busca evitar que los centros de estafa resurjan después de los derribos, sentenciará a los condenados por estafas a entre cinco y 10 años de prisión y una multa de hasta 250.000 dólares.

Compuesto de estafa camboyano vinculado a Android MaaS

Es más, se ha descubierto un troyano bancario para Android, que probablemente opera desde múltiples ubicaciones, incluido el complejo K99 Triumph City, propiedad del grupo K99 de Camboya, que es capaz de facilitar la vigilancia en tiempo real, el robo de credenciales, la exfiltración de datos y el fraude financiero. Se dice que el troyano bancario se utiliza desde al menos 2023.

La sofisticada plataforma de malware como servicio (MaaS) comparte infraestructura y comportamiento superpuestos con actividad previamente atribuida a actores de amenazas rastreados como Vigorish Viper y Vault Viper, según un informe conjunto de Infoblox y la organización vietnamita sin fines de lucro Chong Lua Dao.

«La operación permanece activa, registrando alrededor de 35 nuevos dominios por mes, tanto dominios de algoritmo de generación de dominios registrados (RDGA) como dominios similares, que se hacen pasar por organizaciones legítimas y servicios gubernamentales para distribuir el malware», dijeron los investigadores. dicho.

«Los dominios están diseñados para falsificar a bancos, fondos de pensiones, organizaciones de seguridad social, proveedores de servicios públicos y diversas agencias de ingresos, inmigración, telecomunicaciones y aplicación de la ley. Más recientemente, el alcance de la estafa se ha ampliado, tanto geográfica como contextualmente, para incluir señuelos dirigidos a aerolíneas y plataformas de comercio electrónico, así como a países de África y América Latina».

En total, se dice que en 2025 se registraron 400 dominios señuelo dirigidos y se utilizaron para engañar e infectar a las víctimas como parte de lo que se considera una operación coordinada. La cadena de ataque es la siguiente:

• Las URL maliciosas se distribuyen a los usuarios a través de mensajes SMS o correos electrónicos que parecen provenir de funcionarios gubernamentales.
• Las víctimas visitan una página de listado de aplicaciones falsa de Google Play Store o un sitio web de servicios gubernamentales.
• Una vez instalado y ejecutado el APK, aumenta los permisos para facilitar la persistencia.
• El malware se conecta a un servidor externo y permite al operador controlar de forma remota el dispositivo de la víctima y recopilar datos.
• Los atacantes inyectan pantallas superpuestas falsas encima de las aplicaciones de banca en línea para capturar credenciales y luego usar el acceso para transferir fondos a cuentas bajo su control.

«La actividad asociada con esta infraestructura continúa adaptándose y expandiéndose, manteniendo campañas a gran escala dirigidas a países como Tailandia, Indonesia, Filipinas y Vietnam, mientras se diversifica cada vez más hacia África y América Latina», señalaron Infoblox y Chong Lua Dao.

«Con acceso a grandes grupos de mano de obra multilingüe, capacidad técnica creciente y ganancias altísimas, no sólo están adoptando, sino adaptando y comercializando malware, infraestructura y técnicas de ingeniería social en modelos de ataque versátiles y escalables. Lo que emerge es un ecosistema ágil, experimental y comercialmente impulsado, uno donde las herramientas se reutilizan, refinan y reimplementan continuamente para maximizar el alcance y las ganancias».

Operación Atlántico incauta 12 millones de dólares

Los acontecimientos se desarrollan en el contexto de Operación Atlánticoque ha congelado con éxito aproximadamente $12 millones de una operación de delito cibernético dirigida a estafadores de inversiones y criptomonedas utilizando una técnica llamada «phishing de aprobación» para obtener acceso a criptomonedas y vaciar sus fondos.

El phishing de aprobación se refiere a una forma de fraude de criptomonedas en el que se engaña a las víctimas para que firmen una transacción blockchain que otorga al estafador un control total sobre su billetera, lo que les permite vaciar todos sus activos. De acuerdo a Laboratorios TRMestos ataques de phishing «a menudo están envueltos en estafas de inversión o fraudes románticos».

«Esta táctica se utiliza a menudo en el fraude de inversiones en línea, a menudo denominado matanza de cerdos, para incitar a las víctimas a entregar cantidades cada vez mayores a los estafadores», dijo el Servicio Secreto de Estados Unidos en un comunicado.

Se han identificado más de 20.000 víctimas en 30 países, incluidos Canadá, el Reino Unido y los EE. UU. Las autoridades también confiscaron más de 120 dominios utilizados por los actores de amenazas detrás del plan de phishing e identificaron 33 millones de dólares adicionales en fondos que se cree que están vinculados a esquemas de fraude de inversiones a nivel mundial.

A principios de abril, la Oficina de Ciberseguridad y Protección de Infraestructura Crítica (OCCIP) del Departamento del Tesoro anunció una nueva iniciativa de intercambio de información para fortalecer la ciberseguridad en toda la industria de activos digitales. Como parte del esfuerzo, las empresas de activos digitales y las organizaciones industriales de EE. UU. que cumplan con los criterios del Tesoro serán elegibles para recibir información procesable sobre ciberseguridad sin costo adicional.

«La iniciativa proporcionará información de ciberseguridad oportuna y procesable a empresas de activos digitales y organizaciones industriales elegibles de EE. UU., ayudándolas a identificar, prevenir y responder mejor a las amenazas cibernéticas dirigidas a sus clientes y redes», dijo el Departamento del Tesoro. dicho.