junio 18, 2026

Las autoridades interrumpen la botnet SocGholish de Evil Corp

El jueves, las autoridades desmantelaron una botnet, un marco de malware y confiscaron la infraestructura que Evil Corp y otros grupos de delitos cibernéticos utilizaban para robar datos e ingresar a varias redes.

El esfuerzo coordinado a nivel mundial se centró en SocGholish, un malware de varias etapas que ha comprometido sitios web, ha redirigido a los usuarios a sistemas de distribución de tráfico (TDS) y ha introducido malware en sus redes desde 2017.

«El malware establece un punto de apoyo inicial en las computadoras de las víctimas, conocido colectivamente como botnet, y luego es utilizado por actores de amenazas para atacar más con campañas de ransomware y espionaje», dijo la división cibernética del FBI en un comunicado.

Empresas de ciberseguridad, investigadores y funcionarios de Estados Unidos, Canadá, Alemania, Países Bajos y Europol desactivaron 106 servidores y remediaron casi 15.000 sitios que estaban infectados con el malware. Los funcionarios también desactivaron la botnet y notificaron a las víctimas.

Los sitios infectados con SocGholish, que están alojados principalmente en WordPress, estaban muy extendidos y brindaban servicios cotidianos, incluidos restaurantes y talleres de reparación de automóviles, según el policía nacional holandesa.

La botnet, también conocida como “FakeUpdates”, está vinculada al grupo ruso de cibercrimen Evil Corp. También proporcionó acceso inicial a otras variantes de ransomware, incluidos DoppelPaymer, WastedLoocker, Hades Ransomware, LockBit, RansomHub y otros, según Infobloxque participó en el derribo.

Proofpoint, que también participó en la interrupción, describió a Evil Corp como uno de los Los grupos de cibercrimen más destacados en funcionamiento y el «abuelo» de un tipo de amenaza que compromete sitios web y utiliza TDS para redirigir a los usuarios al malware.

Tras el derribo, el FBI emitió un anuncio de servicio publico advirtiendo sobre los ciberdelincuentes que utilizan TDS para ingresar a las redes de las víctimas en busca de ransomware u otras estafas financieras.

Los ciberdelincuentes redirigen el tráfico de los sitios para eludir los cortafuegos, ocultar su actividad, identificar víctimas potenciales y enviarlas a páginas de phishing para robar credenciales, iniciar estafas financieras, acceder a redes, distribuir otro malware y vender acceso a otros ciberdelincuentes, dijeron los funcionarios.

La acción policial fue parte de Operación finalun esfuerzo multinacional contra el ciberdelito desde 2024, y más específicamente para el FBI como parte de la Operación Riptide, una campaña en curso dirigida a los ciberdelincuentes y la infraestructura y las redes financieras que utilizan para cometer fraude.

admin Latest Congreso deepfakes dirigida FAKES generados ley los por prepara

El Congreso prepara la Ley No FAKES, dirigida a los deepfakes generados por IA

El Comité Judicial del Senado aprobó esta semana un nuevo proyecto de ley que busca prevenir falsificaciones profundas no autorizadas de artistas, intérpretes y figuras públicas estadounidenses. Si bien el proyecto de ley pasó por una votación oral en el comité, tanto los senadores como los grupos externos dicen que les preocupa que pueda convertirse en una herramienta para que los poderosos anulen la libertad de expresión.

El Ley NO FALSIFICACIONESpresentado por los senadores Chris Coons, demócrata por Delaware, y Marsha Blackburn, republicana por Tennessee, otorgaría a los estadounidenses derechos casi exclusivos sobre sus propias réplicas digitales de IA, y esos derechos perduran y pasan a herederos, albaceas y herederos durante al menos 70 años después de la muerte de un individuo.

Mientras estén vivos, los creadores podrían esencialmente otorgar licencias sobre su imagen y semejanza a otros, mediante contratos de 10 años para adultos y de 5 años para menores.

También permitiría a las personas demandar a cualquiera que utilice su imagen generada por IA sin permiso y pagar hasta 750.000 dólares por infracciones. Blackburn presentó cartas de apoyo al proyecto de ley de más de 40 grupos, incluido el Screen Actors Guild, la Federación Estadounidense de Artistas de Radio y Televisión, la Asociación Médica Estadounidense, la Agencia de Artistas Creativos, las Asociaciones de Locutores y la Campaña de Arte Humano.

«Es imperativo que implementemos este estándar nacional para la protección de la voz y la imagen visual de los creadores, para protegerlos de la proliferación de deepfakes dañinos generados por IA que se crean sin su consentimiento», dijo Blackburn en un comentario del proyecto de ley el jueves.

La introducción de herramientas de inteligencia artificial para consumidores ha hecho que sea trivial crear deepfakes convincentes de individuos y figuras públicas reales. Los daños están bien documentados: los malos actores los han utilizado para crear pornografía no consensuada o medios sexualizados de personas que conocen, crear material de agresión sexual infantil (CSAM) y chantajear o humillar a personas.

Los artistas se han enfrentado a desafíos reales en la era de la IA cuando se trata de controlar su imagen digital. El año pasado, el Better Business Bureau prevenido que su Scam Tracker se había visto inundado de quejas sobre estafas de patrocinio de celebridades de IA. Estos incluyeron deepfakes de Oprah Winfrey promocionando productos para bajar de peso, Kim Kardashian pidiendo donaciones para combatir los incendios forestales de California y la estrella del pop Taylor Swift y el famoso chef Gordon Ramsay respaldando utensilios de cocina.

En el ámbito político, los candidatos ahora crean deepfakes de sus oponentes políticosponiéndoles palabras en la boca o colocándolos en situaciones embarazosas o humillantes. En línea, los actores de la desinformación han difundido repetidamente videos e imágenes generados por inteligencia artificial de políticos como Donald Trump, Kamala Harris e incluso políticos regionales o locales diciendo o haciendo cosas escandalosas.

El proyecto de ley representa uno de los intentos más agresivos de los formuladores de políticas estadounidenses para proteger los derechos comerciales digitales de artistas y figuras públicas. Nueva York, por ejemplo, aprobó una ley este mes que exige que los anunciantes de cine y televisión den publicidad cuando utilicen deepfakes en sus anuncios, pero no crea un régimen de derechos de autor similar para las imágenes de los artistas. Una ley de Tennessee, la Ley ELVIS, que prohíbe el uso no autorizado de la voz y la imagen de un individuo y crea una responsabilidad secundaria para las grandes plataformas que publican o distribuyen el contenido.

La Ley NO FAKES enfrenta la oposición de una alianza de empresas tecnológicas y grupos de derechos digitales. Argumentan que el proyecto de ley no logra equilibrar los derechos comerciales de los artistas a controlar su propia imagen con los derechos constitucionales de la Primera Enmienda a la libertad de expresión y la parodia, que datan de larga data.

Amy Bos, vicepresidenta de asuntos gubernamentales de NetChoice, una asociación comercial para negocios en línea, dijo que si bien su grupo apoya la legislación que previene los deepfakes no autorizados generados por IA, “las buenas intenciones no hacen una buena ley”.

“Tal como está escrito, este proyecto de ley crea un incentivo financiero peligroso para que las plataformas eliminen excesivamente contenido legal de manera agresiva, sobrecarga a los creadores con un sistema de contranotificación inviable y no cumple con el estándar nacional uniforme que prometieron sus patrocinadores”, dijo Bos en un comunicado.

Muchos grupos civiles digitales están de acuerdo con esa opinión. Una amplia coalición de grupos políticos –entre ellos la Unión Estadounidense por las Libertades Civiles, la Fundación R-Street, el Centro para la Democracia y la Tecnología, la Fundación Frontera Electrónica y otros– escribió al Comité Judicial del Senado esta semana para instar a los miembros a oponerse al proyecto de ley en su forma actual.

Argumentaron que el proyecto de ley actual crea un “veto de Heckler” sobre la mayoría del contenido en línea, permitiendo a artistas, figuras públicas y grupos de defensa inundar el sistema de notificación con solicitudes de eliminación de contenido que no les gusta. Al igual que una ley que ya está en vigor, la Digital Millenium Copyright Act, prácticamente todos los incentivos del proyecto de ley empujan a las plataformas a ser demasiado agresivas a la hora de eliminar contenido, independientemente de si viola la ley o no.

Este enfoque podría terminar anulando no sólo los anuncios no autorizados sino también muchos otros usos probablemente protegidos por la Primera Enmienda, como la educación, el humor, la sátira y la parodia.

En 2023, una imagen humorística generada por IA de El Papa Francisco con una chaqueta hinchada de Balenciaga se volvió viral. Según la Ley NO FAKES, la coalición dice que sería ilegal publicar hasta casi las 21:00.

En el ámbito político, tanto republicanos como Trump como demócratas como el gobernador de California, Gavin Newsom, han utilizado falsificaciones de IA para criticar a su oposición política.

“Una ley que socava la libertad de expresión tendrá dificultades para sobrevivir a la revisión constitucional”, escribieron los grupos. «Mientras tanto, puede causar un daño duradero, tanto a la expresión legal como a la autonomía de las personas que dice proteger. Instamos al Comité a no promover la Ley NO FAKES en su forma actual, a examinar cómo las leyes estatales y federales existentes ya abordan los daños legítimos que el proyecto de ley busca abordar, y a buscar soluciones adaptadas específicamente sólo cuando persista una brecha genuina. Agradeceríamos la oportunidad de ayudar».

Si bien el proyecto de ley fue aprobado mediante votación oral y con amplio apoyo, varios miembros republicanos y demócratas del comité dijeron que tenían preocupaciones similares y expresaron su deseo de seguir modificando el proyecto de ley antes de que se convierta en ley.

En la reunión del Senado, Coons pareció desestimar esos cargos, argumentando que los cambios realizados en el proyecto de ley antes del marcado abordan adecuadamente cualquier preocupación de la Primera Enmienda.

«Quiero ser claro: NO FAKES incluye funciones que protegen la libertad de expresión», afirmó Coons. «Parodias, documentales satíricos, películas biográficas, noticieros, todos están protegidos y hemos incorporado procesos de contranotificación adecuados y bibliotecas y archivos de investigación exentos».

admin Noticias, Trending abierto código críticas CYBERDEFENSA.MX dos ejecución fallas Nginx parchea permiten remota

F5 parchea dos fallas críticas de código abierto de NGINX que permiten la ejecución remota de código – CYBERDEFENSA.MX

F5 ha publicado actualizaciones de seguridad para abordar dos fallas de seguridad críticas en NGINX Open Source que podrían explotarse para lograr la ejecución de código en los sistemas afectados.

Las vulnerabilidades se enumeran a continuación:

CVE-2026-42530 (Puntuación CVSS v4: 9.2): una vulnerabilidad de uso después de la liberación en el módulo ngx_http_v3_module que podría ser activada por un atacante remoto no autenticado cuando NGINX Open Source está configurado para usar el módulo HTTP/3 QUIC para reabrir una secuencia de codificador QPACK mediante una sesión HTTP/3 especialmente diseñada y ejecutar código en sistemas con la aleatorización del diseño del espacio de direcciones (ASLR) deshabilitada o cuando el atacante puede omitir ASLR.
CVE-2026-42055 (Puntuación CVSS v4: 9.2): una vulnerabilidad de desbordamiento de búfer basada en montón en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module que podría ser activada por un atacante remoto no autenticado cuando las directivas proxy_http_version to 2 o grpc_pass se usan para representar el tráfico HTTP/2, la directiva ignore_invalid_headers está desactivada y la El tamaño de la directiva large_client_header_buffers es superior a 2 MB y ejecuta código en sistemas con la aleatorización del diseño del espacio de direcciones (ASLR) deshabilitada o cuando el atacante puede eludir ASLR.

Ambas deficiencias se han solucionado en las siguientes versiones:

CVE-2026-42530

–
- Código abierto NGINX 1.31.0 – 1.31.1 (corregido en 1.31.2)
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (corregido en 2.6.4)
- Estructura de puerta de enlace NGINX 1.3.0 – 1.6.2
- Administrador de instancias NGINX 2.17.0 – 2.22.0
- Controlador de ingreso NGINX 5.0.0 – 5.5.0
- Controlador de ingreso NGINX 4.0.0 – 4.0.1
- Controlador de ingreso NGINX 3.5.0 – 3.7.2
CVE-2026-42055

–
- NGINX Plus 37.0.0 – 37.0.1 (Fijo en 37.0.2.1)
- NGINX Plus R33 – R36 (Fijo en R36 P6)
- Código abierto NGINX 1.31.1 (corregido en 1.31.2)
- Código abierto NGINX 1.30.0 – 1.30.2 (corregido en 1.30.3)
- Administrador de instancias NGINX 2.17.0 – 2.22.0
- F5 WAF para NGINX 5.9.0 – 5.13.1
- Aplicación NGINX Protege WAF 5.2.0 – 5.8.0
- Aplicación NGINX Protege WAF 4.10.0 – 4.16.0
- F5 DoS para NGINX 4.9.0
- Aplicación NGINX Protege DoS 4.3.0 – 4.7.0
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (corregido en 2.6.4)
- Estructura de puerta de enlace NGINX 1.3.0 – 1.6.2
- Controlador de ingreso NGINX 5.0.0 – 5.5.0
- Controlador de ingreso NGINX 4.0.0 – 4.0.1
- Controlador de ingreso NGINX 3.5.0 – 3.7.2

Como mitigaciones, F5 ha descrito las siguientes acciones:

CVE-2026-42530: deshabilitar HTTP/3
CVE-2026-42055: elimine la directiva ignore_invalid_headers off de la configuración o reduzca el tamaño de la directiva large_client_header_buffers por debajo de 2 MB

Aunque F5 no menciona las vulnerabilidades que se están explotando en la naturaleza, los malos actores han explotado repetidamente las fallas de seguridad en los productos de F5.

Tan recientemente como el mes pasado, otro defecto de seguridad crítico en NGINX Plus y NGINX Open Source (CVE-2026-42945, puntuación CVSS: 9.2), también llamado NGINX Rift, fue explotado activamente pocos días después de la divulgación pública.

admin Noticias, Trending Abuse chat Claude CYBERDEFENSA.MX DeviceCode NastyC2 npm Packages Phishing Stories

Claude Chat Abuse, NastyC2 npm Packages, Device-Code Phishing + 25 More Stories – CYBERDEFENSA.MX

The internet did not break this week. It got used exactly as designed, which is worse.

Searches were siphoned through shady browser add-ons. AI chat links turned into malware delivery paths. macOS attacks ran in memory and left almost nothing behind. Cloud agents looked like helpers until attackers treated them like open shells.

Add exposed edge gear, poisoned packages, cash courier scams, stealers, loaders, and phishing that barely bothers pretending anymore. Here’s the full mess.

DoH lands in Windows Server 2025

Microsoft has announced that DNS-over-HTTPS (DoH) for Windows DNS Server is generally available on Windows Server 2025 for client-to-server DNS traffic. «With general availability, organizations can now deploy encrypted and authenticated client-to-resolver DNS traffic directly within their existing on-premises DNS infrastructure,» the company said. «The goal is to help improve privacy, reduce spoofing risk, and advance Zero Trust DNS without requiring a new resolver architecture. Enabling DoH on Windows DNS Server introduces encrypted communication for supported clients over HTTPS while preserving compatibility with most existing DNS deployments. Organizations can expect DoH traffic between DoH clients and Windows DNS Server to be encrypted via TLS, DNS queries to be transported as HTTPS requests, existing DNS functionality to continue operating as expected, and mixed environments, encrypted and traditional DNS, to be supported.»
Search hijacks hide monetization layer

A cluster of 23 deceptive Chrome browser extensions has been found stealthily overriding users’ default search engines and routing queries through monetization middleware before delivering results. «Each extension presents a different advertised purpose – satellite imagery, productivity tools, news readers, maps – while the actual business is search affiliate revenue,» security researcher Jean-Marie R. said. «The campaign spans at least 8 distinct monetization brokers and ~758,000 affected users. While this might look like simple adware, it is a real security risk. First, it is a massive privacy violation: every search a user makes is sent to anonymous third-party brokers. Second, because the operators control the web traffic, they can easily switch from showing regular search results to injecting phishing links or malicious downloads at any time – all without ever updating the extension code itself.»
Fileless macOS ClickFix attack chain

A Russian-speaking attacker has been observed targeting victims mainly in Asia, North America, and Oceania across technology, media, and business services sectors using ClickFix lures to deliver an AppleScript-based infostealer to macOS users. The ClickFix pages masquerade as downloads for a malware scanning utility. «To evade detection, the entire infection chain, starting from the initial clipboard paste to payload execution, is completely fileless, leaving no static artifacts on disk until persistence is established,» Netskope Threat Labs said. «Victims are socially engineered into executing a curl command that fetches a gzip-compressed stager, which pipes the second-stage AppleScript directly into osascript memory.» The second-stage, codenamed «Meow (DEBUG),» uses a fake system dialog to harvest credentials, browser data, session cookies, and keychain contents. It’s also equipped with capabilities to trojanize legitimate desktop cryptocurrency wallet applications and maintain persistent command-and-control (C2) access, allowing the operator to run arbitrary payloads.
Claude chat abuse fuels malware delivery

In another ClickFix campaign, threat actors have been spotted weaponizing Anthropic Claude’s shared chat feature, abusing the trust associated with a legitimate domain to deliver the MacSync credential-stealing malware. «Cybercriminals hijacked Google Ads searches for popular AI developer tools to funnel over 2,000 victims toward malicious download pages before quietly moving their operation onto claude.ai’s own platform, turning the trusted domain into a delivery mechanism for credential-stealing malware,» Trend Micro said. «The Asia-Pacific region bore the brunt of the campaign, accounting for 67.2% of all confirmed victims, with Taiwan alone representing 30.5% of total traffic, a concentration that points to deliberate geographic ad targeting rather than opportunistic spread.» As many as 106 unique malicious hostnames have been identified over a span of seven weeks across six distinct attack waves.Anthropic has since banned the accounts responsible, disabled the malicious shared conversations, and is implementing additional abuse mitigations for its shared chat feature.
WhatsApp booking fraud spreads globally

Bitdefender haș warned of an ongoing phishing campaign impersonating hotels, resorts, and accommodation providers across more than 10 countries. «Unlike traditional travel scams that rely on generic phishing emails, this operation uses real booking information, localized messaging, and convincing hotel branding to trick travelers into handing over payment card details,» the Romanian cybersecurity company said. «Victims receive personalized messages containing names, stay dates, reservation details, and cancellation warnings. The campaign relies exclusively on WhatsApp, with no matching email or SMS infrastructure observed.» Observed languages include English, German, French, Spanish, Romanian, and Polish. Similar campaigns have been reported by Sekoia and Netcraft in the past.
AI agent targets vulnerability chaos

Amazon Web Services (AWS) has announced a new artificial intelligence (AI)-powered security agent called AWS Continuum for code vulnerabilities, as models like Claude Mythos by attackers and defenders accelerate the ability to find and exploit vulnerabilities. AWS Continuum «addresses the full lifecycle of managing code vulnerabilities at machine speed. It continuously discovers vulnerabilities, validates which are genuinely exploitable, prioritizes them by business context, and helps you remediate them across the full stack within guardrails you define,» AWS said. The tech giant said the agent is model agnostic, and that it uses multiple frontier models where they perform best.
SD-WAN zero-day scope expands

Cisco has updated its February 2026 advisory for CVE-2026-20127, a critical privilege escalation flaw in Catalyst SD-WAN Controller and Catalyst SD-WAN Manager, to note that the vulnerability also affects Catalyst SD-WAN Validator. The security flaw has been exploited as a zero-day since 2023 by a sophisticated threat actor known as UAT-8616. It allows an unauthenticated remote attacker to bypass authentication and obtain administrative privileges on an affected system by sending a crafted request.
AI coding agent trust bypass exposed

Manifold Security has flagged two high-severity local code-execution paths on a developer’s machine via a malicious repository in Cline, an AI coding agent VS Code extension with more than 4.3 million installs. The repository’s content, in turn, tricks the agent into executing attacker-supplied shell commands under the developer’s account, enabling access to credentials, source code, and other sensitive data. «Cline ships an Approve/Deny dialog and a «Safe Commands» auto-approve filter that are supposed to stop exactly this. Both fail,» Ax Sharma, head of research at Manifold Security, said. «Clicking the URL preview tile to verify where the agent is fetching from runs an OS-level command instead. The Approve/Deny dialog never gates the click. ‘Safe Commands’ doesn’t inspect commands. It asks the AI agent whether its own command is safe, and trusts the answer, even after the same agent has been manipulated by attacker content.» While the findings have been classified as «out of scope,» Cline plans to release fixes in an upcoming release.
HTTP/2 abuse shifts to live reconnaissance

Earlier this month, Calif used OpenAI’s Codex to discover an exploit called the HTTP/2 Bomb. Formally tracked as CVE-2026-49975, the vulnerability ironically chains together two features that were expressly designed to save internet bandwidth to help attackers amplify junk traffic by orders of magnitude. Imperva has since reported that attackers in the wild were «running specialized tools designed to map out» vulnerable servers. A working proof-of-concept (PoC) is publicly available. «Exposure in this set is led by communication services at 24.9% of observed assets, with information technology contributing 18.0% and healthcare close behind at 17.0%,» CyCognito said.
Exposed email server becomes phishing hub

Cybersecurity researchers have discovered an «interesting attack» where an unknown actor leveraged a victim’s internet-facing terminal server as a phishing stager. Huntress said it recovered the full staging directory, including a legitimate bulk email software application (Gammadyne Mailer), a project file named dracii.mmp , and six target lists holding 8,894,920 email addresses. «The campaign impersonated the U.K. pharmacy chain Boots, using a ‘free gift’ survey as a lure,» the company said. «The payload it pointed victims at was hosted on a compromised Bolivian government website, ipelc.gob[.]bo.» The payload is a Boots phishing web page hosted within the /boots_store/ subdirectory that urges users to complete a survey and redeem a free gift by entering their personal and financial information.
Bank phishing delivers in-memory stealer

An active phishing campaign is targeting banks to deliver Phantom Stealer, an infostealer that’s sold under a subscription model for between $70 to $240 by a threat actor operating under the alias Oldphantomoftheopera. «The attack begins with phishing emails containing malicious attachments disguised as business documents,» Fortra said. «Once executed, the malware runs entirely in memory, helping it evade traditional defenses. «The combination of targeted phishing delivery, advanced evasion techniques, broad credential harvesting capabilities, and a resilient multi-channel exfiltration infrastructure places this threat in the high-severity category.» Phantom Stealer targets major web browsers as well as Discord, Telegram, and Steam. It is also used to steal financial information, cryptocurrency assets, and collect keystrokes, screenshots, and clipboard data.
Imposter scams hit $3.5B losses

The U.S. Federal Trade Commission (FTC) revealed that Americans lost a staggering $3.5 billion to imposter scams in 2025, with reported losses nearly tripling since 2020. «These scams lured consumers through text, phone, email, social media, search engine results, and other means. Some of the costliest impersonation scams start with a fake security alert, often from a bank,» the FTC said. «People are convinced to move money to ‘protect’ it, with their losses often limited only by their available funds.» In all, about $16 billion has been reported lost in 2025 to all types of fraud.
Conti operator admits ransomware role

Oleksii Oleksiyovych Lytvynenko, 44, has pleaded guilty to wire fraud conspiracy in connection with Conti, a ransomware variant that infected more than 1,000 computers and networks across the world. «Lytvynenko, of Cork, Ireland, conspired with others to deploy Conti ransomware to extort victims and steal their data,» the U.S. Department of Justice said. «Lytvynenko admitted to joining the Conti conspiracy no later than approximately September 2021. He admitted to possessing data from eight U.S. and four overseas victims, which had been stolen by Conti conspirators. Lytvynenko further admitted to joining a team run by a Conti conspirator during which time Lytvynenko was directed to work on coding a ‘loader,’ which is typically a type of malware, or malicious software, that is used to load programs necessary to execute other malicious attacks.» As of January 2022, Conti ransomware attacks resulted in at least $150 million in ransom payments. The Ukrainian national was extradited to the U.S. in October 2025. He is scheduled to be sentenced on September 10, 2026, and faces a maximum penalty of 20 years in prison.
Steam wallpapers turn into account theft vector

Threat actors are abusing Steam Workshop to spread malware hidden in dozens of wallpaper packages, putting gamers’ accounts at risk. The activity has been active since late 2025. «The attackers are primarily targeting gamers in China and Russia, aiming to hijack their accounts,» Kaspersky said. «To pull this off, they are exploiting Wallpaper Engine – a popular live wallpaper app available on Steam – specifically leveraging its Workshop sharing feature. The malware is hidden inside the wallpaper packages users share with one another. Running one of these compromised wallpapers can lead to a stolen Steam account or leave the victim’s system infected with backdoors or crypto miners.»
Rust C2 framework hits npm supply chain

Three npm packages, node-ci-utils@2.1.4, win-env-setup@3.0.6, macos-ci-utils@1.0.0, have been found to act as droppers for Linux, Windows, and macOS systems to deliver a previously undocumented post-exploitation framework codenamed NastyC2. «Written entirely in Rust, it implements over 80 commands spanning credential harvesting, Active Directory attacks, container escape, cloud metadata theft, and fileless execution,» Panther said. «The framework is comparable in scope to Cobalt Strike or Sliver, overlapping with both on BOF/COFF execution, reflective DLL loading, multi-technique process injection, AD-native Kerberoasting and DCSync, AMSI/ETW patching, SOCKS5 pivoting, and encrypted sleep.»
npm package delivers worm + miner + LPE

A malicious npm package named crypto-javascript@4.2.5 has been observed installing three different payloads, including a supply chain worm that spreads across six build ecosystems (Rust, Cargo, Python, CMake, and npm), a Monero cryptocurrency miner, and an exploit for Dirty Frag, a local privilege escalation (LPE) vulnerability impacting the Linux kernel. «All three run from memory, leaving no named file on disk,» Panther said. «The embedded kernel exploit carries a GCC build timestamp of 2026-04-30 1, seven days before public disclosure of the Dirty Frag vulnerability.» Although ELF timestamps can be forged, the development has raised the possibility that the threat actor may have had access to a working exploit code while details of the flaw were still under wraps.
Multi-stage loader evades analysis chain

An active campaign is leveraging a multi-stage loader called OnionDrop to deliver malware families like LegionLoader (aka CurlyGate), CGrabber, and Vidar Stealer. OnionDrop is an advanced piece of malware with extensive defense evasion and anti-analysis features. «The chain starts with a ZIP archive and a legitimate Adobe-signed executable used for DLL side-loading,» Cyderes said. «From there, the malicious DLL walks through four transformation stages: custom byte-pair decoding, Xpress Huffman decompression via RtlDecompressBufferEx, AES-256-CBC decryption with rotating key material, and final shellcode execution through TpPostWork callback abuse inside the Windows Thread Pool. This is a professionally engineered evasion framework that anyone with access can point at any target.»
Courier pickups extend crypto fraud lifecycle

The U.S. Federal Bureau of Investigation (FBI) has warned that scammers are instructing victims, usually senior citizens, to participate in cash pickups after engaging with them online by posing as individuals seeking business or romantic relationships. After establishing a relationship with the victim, the fraudster suggests investing in cryptocurrency and instructs the victim to download certain cryptocurrency trading applications and create investment accounts. «The scammers arrange for couriers to meet the victims in person to retrieve cash for fraudulent investments,» the FBI said. «Legitimate financial institutions may deny suspicious funds transfers by victims, so scammers inform victims in-person cash pickups are required to continue investing with the fraudulent investment firm or to pay purported fines to withdraw their investments. Alternatively, the fraudulent cryptocurrency exchange may inform victims their account has been ‘flagged,’ allowing the scammer to suggest the use of cash couriers as an alternative.» The dispatched couriers identify themselves using an agreed-upon code or a specific dollar bill serial number. When victims attempt to withdraw their perceived profits, the threat actors force them to pay non-existent taxes and penalties, again using couriers for cash pickups to continue the fraud.
Belarus-linked Gmail phishing surge

CERT Polska has revealed that the Belarus-aligned Ghostwriter group has been running phishing campaigns targeting Gmail users through bogus messages designed to imitate official Gmail communications and trick recipients into clicking on malicious URLs that harvest their credentials. «These campaigns are carried out with high intensity, mainly on weekdays,» the agency said. «Notably, they enable the theft of two-factor authentication (2FA) credentials. In recent weeks, our team has observed the use of new domains serving phishing pages almost daily.» The campaign has targeted researchers, journalists, employees of public administration and law enforcement, and individuals connected to these groups through family or social relationships.
OAuth device flow abused for account takeover

ReversingLabs has detailed a Microsoft 365 device code phishing campaign that makes use of Microsoft’s legitimate OAuth 2.0 Device Authorization Grant flow to obtain access to victim accounts. «The initial email sent to victims uses a lure that appears to be an approval for an estimate sent from a vendor to one of their customers,» security researcher Robert Simmons said. «Rather than stealing passwords through a counterfeit login page, the phishing kit persuades victims to complete a legitimate Microsoft authentication process that authorizes an attacker-controlled device.»
Stealer-as-a-service adds refund guarantee

A new information stealer called OnyxC2 is being marketed on underground forums, giving customers access to a web panel and a payload builder. Most importantly, paying users are eligible for refunds if a build gets caught. «For $250 a month, operators get a kit that harvests browser credentials, password managers, two-factor authentication (2FA), and crypto wallets across roughly 210 applications and extensions, then ships it all back over an encrypted channel,» BlackFog said. «The stealer reaches 37 Chromium-based and 8 Gecko-based browsers, then 95 Chromium and 14 Gecko extensions, including 6 dedicated two-factor authentication extensions. It also covers 5 password managers, 17 cryptocurrency wallets, 11 FTP clients, and 5 email clients, with a further set of VPN, remote access, messaging, note-taking, and gaming targets.» A premium subscription is available for $500 per month. OnyxC2 also goes beyond a traditional steal by incorporating HVNC over a web browser, LSASS dumping, RunPE in memory and on disk, a reverse SOCKS5 proxy, screenshot capture, a keylogger, a file manager, and a reverse shell over HTTP, and a built-in TOR tunnel.
AI-themed phishing drops AsyncRAT

A new campaign has been observed delivering malicious files disguised as AI-related documents in phishing emails to install AsynRAT. The attachments are distributed in the form of ZIP archives containing a Windows Shortcut (LNK) file that acts as a starting point for a stealthy, multi-stage attack chain. «These lures are designed to target users actively seeking AI-related learning resources,» Fortinet FortiGuard Labs said. «The attack chain behind these files is remarkably complex, using multiple staged scripts to hide activity before ultimately deploying AutoHotkey-based loaders that reflectively inject a .NET remote access trojan [named clay_Client] and AsynRAT into memory for command-and-control communication and follow-on execution.»
GCP telemetry gap exposes detection blind spots

Permiso Security said it discovered an «interesting and practically significant inconsistency» associated with serviceData, a field that has been deprecated in favor of metadata for obtaining service-specific information. «If serviceData were cleanly deprecated and services had migrated away from it, one would expect a predictable pattern: events after the deprecation date would stop populating the serviceData field and would start populating the relevant data in metadata instead,» security researcher Art Ukshini said. However, further testing has uncovered that some events still populate serviceData correctly, while others produce empty serviceData objects. The security company said this unreliable behavior of serviceData translates into a concrete set of security risks that can affect detection coverage, incident response, and compliance, requiring organizations to validate log telemetry end-to-end.
Worm weaponizes AI refusal behavior

A variant of the Shai-Hulud worm has been found to include an adversarial prompt for «synthesizing weaponized biological agents suitable for aerosol dispersal» with an aim to target AI-powered malware scanners with an aim to trick the model into refusing a response for violating a safety guardrail, as opposed to classifying it as benign. «A refusal is supposed to be the safe outcome,» JFrog said. «It’s the model declining to do something harmful. Here, the refusal is the attack. If the scanner balks at the top of the file, it never reads the bottom, and the malware ships un-analyzed. Not because the model was fooled into trusting it, but because it was goaded into closing the book.»
Risk-based patching gets enforcement layer

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued a new Binding Operational Directive, BOD 26-04, that prioritizes security updates for Federal Civilian Executive Branch (FCEB) agencies, requiring them to remediate high-risk vulnerabilities within accelerated timeframes based on internet exposure, presence of a vulnerability in the Known Exploited Vulnerabilities (KEV) catalog, whether exploitation can be automated for large-scale attacks, and if the exploitation can translate to partial or total control of a system. Based on these risk factors, agencies may have to address these flaws within three days. The development is a sign that AI is not only lowering the barrier to exploit development and accelerating vulnerability research, but also allowing attackers to quickly incorporate newly disclosed flaws into their arsenal. «Cyber threat actors exploit unpatched vulnerabilities, and their use of AI may further narrow the time defenders have to react between patch release and possible exploitation,» CISA said. «These factors provide federal agencies with a comprehensive risk picture to make informed decisions that significantly reduce risk without burdening IT managers with extra processes that do not change outcomes.»

The lesson this week is not subtle. Trust is the attack surface now. The browser extension, the AI chat link, the OAuth flow, the coding agent, the package install, and the “known good” cloud helper. Attackers are not always breaking down the door anymore. They are finding the doors we already propped open for convenience.

That means defense has to get less romantic about defaults. Watch the tools users trust, not just the files they download. Audit agents like accounts. Treat packages like code execution. Treat links from trusted platforms like links, not proof of safety. The internet did not collapse this week. It reminded us that “legitimate” is not the same as safe.

admin Latest Accenture ciberseguridad desembolsa dólares empresas gran impulso industrial millones Tres

Accenture desembolsa 4.180 millones de dólares en tres empresas en un gran impulso de ciberseguridad industrial

Accenture anunció el jueves que adquiriría una participación mayoritaria en la empresa de ciberseguridad industrial Dragos por 3.250 millones de dólares y compraría dos empresas de seguridad más pequeñas, esencialmente haciendo una apuesta de 4.180 millones de dólares a que la defensa de las redes de TI de redes eléctricas, oleoductos, fábricas y sectores de infraestructura crítica se convertirá en uno de los desafíos definitorios de la era de la IA.

Los acuerdos, que también incluyen a dos empresas con sede en Austin, Texas, runZero y NetRise, representan un importante giro estratégico para Accenture hacia la seguridad de la tecnología operativa (OT), un segmento del mercado de la ciberseguridad que durante mucho tiempo no ha recibido fondos suficientes en comparación con las defensas de TI tradicionales. El anuncio se produce cuando el gigante de la consultoría enfrenta presión sobre su negocio principal por parte de las mismas herramientas de inteligencia artificial que están remodelando el entorno de amenazas que ahora está tratando de abordar.

Dragos, fundada en 2016 por ex especialistas en inteligencia y con sede en Hanover, Maryland, ha construido lo que la industria considera un líder en la detección de amenazas en entornos OT. Su conjunto de datos patentado de inteligencia sobre amenazas industriales lo ha convertido en un socio confiable para los operadores de infraestructura crítica a nivel mundial.

RunZero se especializa en descubrimiento de activos e inteligencia de superficie de ataque; esencialmente mapea lo que está conectado a una red e identifica dónde está expuesto. NetRise se centra en la visibilidad a nivel de firmware y la seguridad de la cadena de suministro de software, áreas que han atraído un mayor escrutinio desde que incidentes de alto perfil revelaron cuán profundamente arraigadas pueden propagarse las vulnerabilidades a través de los ecosistemas de dispositivos industriales.

El cofundador y director ejecutivo de Dragos, Robert M. Lee, continuará liderando la entidad combinada, que operará como una empresa independiente bajo propiedad de Accenture. Los directores ejecutivos de runZero y NetRise, HD Moore y Tom Pace, respectivamente, junto con el director de tecnología de NetRise, Michael Scott, se unirán a Dragos como altos ejecutivos.

Las adquisiciones no son el primer movimiento de Accenture en seguridad OT. La empresa adquirió Cimación en 2015 y Seguridad revolucionaria en 2020, junto con varias otras empresas centradas en OT.

El acuerdo del jueves, sin embargo, es de diferente escala y ambición. Mientras que adquisiciones anteriores desarrollaron las capacidades de servicios de Accenture, la incorporación de Dragos, runZero y NetRise lleva a la empresa firmemente al software de ciberseguridad OT, un mercado en el que no había entrado anteriormente a escala.

Accenture y Dragos describen este entorno en expansión (que también abarca dispositivos de Internet de las cosas, sensores conectados a la nube e infraestructura de TI relacionada) como «xOT». La preocupación es que a medida que la IA se integra en la toma de decisiones industriales, la superficie de ataque crece. Al mismo tiempo, los adversarios están utilizando la IA para acortar el período entre comprometer una red de TI y pasar a sistemas OT subyacentes.

A pesar de esa convergencia, la mayoría de los presupuestos de ciberseguridad siguen concentrados en la TI tradicional, dejando la infraestructura crítica comparativamente expuesta. Se estima que el mercado de servicios de ciberseguridad de OT ascenderá a aproximadamente 7 mil millones de dólares en 2026. mercado de ciberseguridad OT más amplioque incluye software, se estima en 27 mil millones de dólares este año y se prevé que alcance casi 59 mil millones de dólares para 2031, con un crecimiento de aproximadamente el 16 % anual.

«Nuestros sistemas de energía y agua, plantas de fabricación, centros de datos y otros entornos operativos necesitan ciberseguridad construida desde cero para xOT y diseñada para seguir el ritmo a medida que evolucionan las amenazas. Las consecuencias de equivocarse se convierten en amenazas sociales», dijo Lee en un comunicado. «Las organizaciones necesitan soluciones, no un mosaico de software y servicios. La incorporación de runZero y NetRise permitirá que la plataforma Dragos sea una plataforma única de extremo a extremo para la defensa global, y Accenture aportará sus décadas de relaciones confiables y su profunda experiencia para ayudarnos a escalar y asegurar infraestructuras y operaciones físicas más críticas a nivel mundial».

Se espera que las transacciones se cierren en agosto o septiembre, a la espera de las aprobaciones regulatorias habituales.

admin Noticias, Trending amenaza como con CYBERDEFENSA.MX desde emerge importante más RaaS ransomware una víctimas

INC Ransomware emerge como una importante amenaza RaaS en 2026 con más de 830 víctimas desde 2023 – CYBERDEFENSA.MX

Los investigadores de ciberseguridad han trazado la evolución de INC desde una incipiente operación de ransomware como servicio (RaaS) hasta uno de los grupos de ciberdelincuencia más prolíficos en 2026, afirmando nada menos que 830 víctimas desde agosto de 2023.

«La interrupción de LockBit y el cierre de BlackCat crearon oportunidades para que INC se expandiera a medida que los afiliados migraban a operaciones alternativas de ransomware», dijo el investigador de Acronis, Darrel Virtusio. dicho. «Las organizaciones estadounidenses representan más del 65% de las víctimas incluidas en la lista, y los servicios legales, la manufactura, la construcción, la tecnología y la atención médica se encuentran entre los sectores más atacados».

Los cifradores de Windows y Linux/ESXi de INC también se han reescrito en Rust para facilitar el desarrollo multiplataforma y resistir mejor los esfuerzos de ingeniería inversa. Los ataques que implementan el ransomware se caracterizan por el uso de un volcador de credenciales actualizado capaz de apuntar a implementaciones de respaldo de Veeam más nuevas que utilizan el cifrado de credenciales DPAPI salado.

Es más, la venta de las variantes de Windows y Linux de INC en el mundo del cibercrimen en mayo de 2024 ha llevado a la aparición de familias de ransomware relacionadas, como Lynx y Sinobi, con una «superposición de código significativa», incluso cuando la marca ha seguido evolucionando.

«Los afiliados de ransomware INC utilizan una amplia gama de herramientas y técnicas para atacar a las víctimas», dijo Acronis. «En sus últimas campañas, continúan apuntando a dispositivos perimetrales sin parches para el acceso inicial, descargan credenciales de los servidores de respaldo de Veeam y utilizan una combinación de LOLBins y herramientas RMM comerciales para moverse a través de las redes de las víctimas».

La cadena de ataque general adoptada por el equipo de doble extorsión es la siguiente:

Obtenga acceso inicial a través de una amplia gama de métodos, incluido el phishing, las credenciales de cuenta compradas a IAB y la explotación de vulnerabilidades en aplicaciones públicas como Citrix Netscaler (CVE-2023-3519 y CVE-2025-5777), Fortinet EMS (CVE-2023-48788) y Ayuda simple (CVE-2024-57727).
Extraiga credenciales confidenciales del entorno comprometido.
Utilice binarios que viven fuera de la tierra (LOLBins), como el protocolo de escritorio remoto (RDP) y PsExec, para el movimiento lateral.
Emplee la técnica de traer su propia unidad vulnerable (BYOVD) utilizando filwfp.sys, filnk.sys, fildds.sys para dañar las defensas del sistema.
Elimine Cobalt Strike, AnyDesk, ScreenConnect y TeamViewer para comando y control.
Extraiga datos de interés utilizando Rclone después de almacenarlos como archivos protegidos con contraseña.
Ejecute el cifrador y acelere el proceso utilizando técnicas como subprocesos múltiples y cifrado parcial. La carga útil presenta una interfaz de línea de comandos que le brinda al operador más control durante las implementaciones prácticas. Cuando se ejecuta con el argumento «–esxi», intenta apagar las máquinas virtuales.

Los hallazgos muestran que los grupos de ransomware pueden tener éxito y crecer siguiendo técnicas ampliamente conocidas sin tener que depender de técnicas avanzadas o herramientas personalizadas, lo que produce efectivamente un flujo constante de víctimas que abarca diversas geografías y sectores. Datos recopilados por ZeroFox muestra que INC ransomware surgió como el cuarto grupo de ransomware más destacado en el primer trimestre de 2026 después de Qilin (338), Akira (197) y The Gentlemen (192), representando más de 120 incidentes durante el período.

«INC continúa fortaleciendo su operación de ransomware a través de reescrituras de carga útil basadas en Rust y mejora continua del kit de herramientas, mientras se dirige cuidadosamente a industrias como la atención médica, los servicios legales, los servicios profesionales, la fabricación y la construcción donde el tiempo de inactividad operativa crea una fuerte presión financiera para pagar», dijo Acronis.

«Esta amenaza se amplifica aún más porque estos sectores dependen en gran medida de operaciones y cadenas de suministro ininterrumpidas, lo que aumenta el riesgo de exposición colateral en las redes de proveedores y socios intermedios cuando se producen violaciones».

admin Latest caos como cruzada del desarrollo obsesión permitió por software TeamPCP velocidad

Cómo la obsesión por la velocidad del desarrollo de software permitió la cruzada del caos del TeamPCP

TeamPCP está arrasando con el software de código abierto.

En menos de cuatro meses, el actor de amenazas comprometió e inyectó código malicioso en más de 1.000 paquetes de software. Esta extraordinaria oleada ha transformado la forma en que los desarrolladores y mantenedores de software distribuyen y administran su código, ya que sus dependencias y repositorios se han convertido en uno de los vectores de ataque más efectivos y frecuentes este año.

Si bien ha habido una serie de exploits técnicos, el mayor ataque de TeamPCP ha sido el desarraigo de la confianza, demostrando repetidamente que la mayoría de las organizaciones no verifican que el código que ingieren en sus sistemas sea legítimo, abusando de una fe casi ciega en la que depende gran parte de la industria de desarrollo de software para impulsar la economía moderna de hoy.

Comenzando con Trivy en febrero, los ataques de TeamPCP han sacudido esa confianza muchas veces.

La escala de los ataques de TeamPCP radica en parte en los sistemas automatizados que las empresas utilizan para implementar código, como los canales de CI/CD. También está aprovechando las nuevas brechas de seguridad creadas por la creciente dependencia de los desarrolladores de la IA. Sin embargo, con un esfuerzo relativamente bajo y tácticas poco originales, TeamPCP está destruyendo marcos de código abierto y sistemas subyacentes a niveles que la comunidad tecnológica rara vez ha tenido en cuenta.

«Los desarrolladores no hacían un gran trabajo analizando la seguridad de sus dependencias de código abierto antes, pero ahora con la IA, en algunos casos prácticamente no hay ningún ser humano en el circuito ni ningún tipo de control de cordura sobre lo que están haciendo estas herramientas», dijo a CyberScoop Feross Aboukhadijeh, fundador y director ejecutivo de Socket.

«Hay agentes que instalan paquetes que no han sido examinados», dijo. «Cuando un atacante ingresa, el impacto es aún mayor porque hay menos controles y contrapesos para evitar que afecte a todos».

TeamPCP no ha identificado un nuevo problema ni ha demostrado nada novedoso. El quid de estos ataques gira en torno a un tema central: las vulnerabilidades defensivas que toda la industria del software conoce desde hace años. Los investigadores y desarrolladores saben que el modelo de confianza del código abierto no funciona y es susceptible de sabotaje. Sin embargo, la industria del software no ha solucionado este problema.

«La velocidad y la escala de estos ataques es lo que los hace más notables, no necesariamente la metodología detrás de ellos, porque en esencia se trata de explotar la confianza de terceros que tenemos», dijo Kimberly Goody, gerente senior de Google Threat Intelligence Group.

Los paquetes de software suelen estar sujetos a una supervisión de seguridad intensiva para comprobar si hay vulnerabilidades y actualizaciones envenenadas antes de lanzarlos a entornos activos.

Sin embargo, la verdadera vulnerabilidad destacada por TeamPCP se encuentra más arriba en la cadena de mando con las organizaciones o individuos que publican estos paquetes en el mercado en general, según Nathaniel Quist, gerente de inteligencia de amenazas en la nube de Palo Alto Networks.

«Es su responsabilidad asegurar sus credenciales y no proporcionar un punto de partida para desencadenar un evento en la cadena de suministro», dijo. «Todo lo que interactúa con esa zona o la cruza debe ser altamente monitoreado y controlado para garantizar que un compromiso pueda contenerse rápida y fácilmente».

La motivación del TeamPCP

TeamPCP, como cualquier cibercriminal prolífico, ha captado una gran atención por parte de los cazadores de amenazas desde que surgió a finales de 2025. Google atribuye la actividad a un operador principal.

La compañía dijo que rastreó las conexiones de direcciones IP residenciales y móviles de TeamPCP hasta Sudáfrica, lo que indica que el operador principal estuvo ubicado allí durante al menos algunos de sus ataques.

«No creemos que exista un grupo central establecido, al menos no todavía, y que gran parte de esto ha sido realizado por un individuo», dijo Goody. Google se negó a nombrar al operador principal ni a confirmar que conoce la verdadera identidad de la persona.

Palo Alto Networks dijo que el administrador central de TeamPCP utiliza el identificador «ResoluteXBF» en múltiples plataformas. La firma de ciberseguridad también está rastreando a dos miembros principales adicionales: «diencracked» y «Shinigami».

Si TeamPCP está dirigido principalmente por una sola persona, las fuerzas del orden tienen una rara oportunidad de lograr un impacto duradero con un solo arresto.

TeamPCP ha colaborado con otros ciberdelincuentes, pero la mayoría de esas asociaciones duraron poco y terminaron en una disputa pública o no lograron despegar de manera significativa, dijo Goody.

Los investigadores han vinculado a TeamPCP con equipos de extorsión, foros de la web oscura y afiliados, incluidos Lapsus$, ShinyHunters, Vect, DragonForce, BreachForums y «HasanBroker». TeamPCP enumeró alrededor de 4.000 repositorios de códigos privados en un foro de la web oscura con un precio inicial de 95.000 dólares.

Las acciones hasta la fecha, incluido el comportamiento impredecible, indican motivaciones más allá del beneficio financiero y un “claro deseo de notoriedad”, dijo Goody. «Parece que les gusta crear el caos».

Quist llega a la misma conclusión de su investigación de meses, señalando que alienta a otros ciberdelincuentes a participar en la acción, ofreciendo en un momento recompensas financieras por el mayor ataque a la cadena de suministro de software.

TeamPCP no está involucrado en pagos de extorsión, dijo. «Estos actores están más interesados en la credibilidad callejera clandestina que están ganando» y en «causar tanto daño y caos como sea posible».

Las víctimas abundan, pero la exposición es limitada

TeamPCP ha sido notablemente ruidoso, inyectando de manera oportunista malware en software de código abierto con el fin de robar credenciales para entornos Kubernetes, Amazon Web Services, Microsoft Azure, Google Cloud y muchos otros servicios conectados.

La lista de víctimas reclamadas por el grupo es asombrosa: Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat y Nx Console.

La colección completa de paquetes comprometidos o envenenados por TeamPCP hasta la fecha representa aproximadamente 500 millones de descargas semanales combinadas, según Quist.

Si bien la amplitud del posible compromiso posterior que surge de esas descargas es sustancial, muchos puntos finales infectados con esos paquetes plagados de malware no están expuestos a Internet y son menos susceptibles a los ataques, agregó.

«No creo que vaya a haber un número muy grande de víctimas», dijo Quist. «Habrá muchas personas que podrían verse comprometidas y tener paquetes potencialmente vulnerables en su entorno, pero eso no significa necesariamente que estén en una posición explotable».

Si bien estos incidentes han acaparado los titulares, TeamPCP no ha acumulado pagos tan grandes como otros ciberdelincuentes. Sin embargo, el impacto reputacional más amplio que ha provocado es enorme.

TeamPCP ha reclamado públicamente más de 10.000 víctimas y alrededor de 90.000 dólares en extorsiones, según Quist.

«Puede que no estén ganando mucho dinero, pero están causando un gran impacto», dijo Goody. «Sus campañas han sido muy disruptivas».

Cómo el modelo operativo de TeamPCP apunta al desarrollo

La lista de víctimas de TeamPCP ha crecido a medida que sus repositorios de código abierto secuestrados en npm, PyPI, GitHub y otras herramientas de desarrollo subcontratadas que se incorporan al código ascendente que se ejecuta en entornos de producción.

Las computadoras portátiles de los desarrolladores y otros puntos finales asignados para instalar, construir y publicar software contienen ampliamente claves y acceso al código fuente que crean objetivos de cadena de suministro increíblemente valiosos para los atacantes, explicó Amitai Cohen, jefe del equipo de inteligencia de vectores de ataque en Wiz, durante una presentación en junio sobre TeamPCP en SleuthCon en Arlington, Virginia.

El grupo se dirige a los corredores de CI, que son sistemas automatizados que crean, prueban y publican código. TeamPCP inyecta malware en los repositorios de código que mantienen estos corredores. Cuando otros desarrolladores introducen ese código en sus propios sistemas, sin saberlo, descargan el malware junto con él.

Algunos de estos artefactos, incluidas las bibliotecas de Python, los registros npm y las acciones de GitHub, son descargados casi de inmediato por miles o millones de desarrolladores que han configurado sus ejecutores para que obtengan consistentemente la última versión, según Cohen. «Nosotros, como industria de la seguridad, les hemos enseñado que eso es lo correcto. Quiere utilizar la última versión porque quiere estar protegido contra vulnerabilidades y, obviamente, quiere beneficiarse de todas las funciones más recientes».

Ese instinto es exactamente lo que explota TeamPCP. Al comprometer el flujo de trabajo de CI/CD de una empresa, el grupo obtiene acceso a todos los usuarios intermedios que extraen automáticamente ese código infectado. “Esto es lo que permite [TeamPCP] «Para aprovechar el acceso inicial a algún paciente cero, alguna empresa que tenía una vulnerabilidad en su flujo de trabajo de CI/CD, para obtener acceso a sus usuarios intermedios», dijo Cohen. «Así es como funciona la cadena de suministro de software. Todo tiene dependencias sobre dependencias sobre dependencias”.

Algunos de los paquetes comprometidos por TeamPCP estuvieron activos durante casi 13 horas, pero los profesionales de la seguridad han respondido identificando ataques de inyección de código mucho más rápido ahora, retirando algunos repositorios comprometidos en 15 minutos, dijo Ben Read, director de inteligencia estratégica de Wiz.

Las operaciones del grupo de amenaza siguen siendo de alto ritmo. TeamPCP infecta nuevos paquetes de software casi a diario, valida los compromisos y captura datos confidenciales en 24 horas, según los investigadores de Wiz.

El grupo de amenazas ha evolucionado constantemente sus tácticas, desarrollando cargas útiles en JavaScript y Python mientras se propaga desde archivos locales a interfaces de programación de aplicaciones de Kubernetes y kits de desarrollo de software incluidos. Más recientemente, ha estado robando credenciales mediante protocolos personalizados.

Las ambiciones del grupo se han expandido más allá de sus propios ataques. TeamPCP también es responsable de una pieza de malware autorreplicante conocida como Mini Shai-Hulud, que infectó cientos de paquetes de software en registros de código abierto en ataques consecutivos el mes pasado. Un afiliado de TeamPCP publicó el código fuente completo del malware en GitHub el mes pasado y alentó a otros ciberdelincuentes a utilizarlo para sus propias campañas.

«TeamPCP busca volumen. No discriminan, no necesariamente intentan ser sigilosos o maximizar el retorno de la inversión. Buscan una estrategia que incluya todo lo anterior», dijo Read durante la presentación de Sleuthcon.

Las brechas defensivas crean aperturas para el ataque

La ola de ataques de TeamPCP también ha puesto de relieve lo difícil que es para las organizaciones revocar secretos comprometidos. Múltiples víctimas han experimentado infecciones recurrentes, a veces siendo víctimas de TeamPCP tres veces en un mes, porque no rotaron los secretos correctamente, dijo Cohen.

En esencia, estos ataques resaltan una compensación directa que las organizaciones aceptan cuando actualizan el software rápidamente para corregir vulnerabilidades, pero aprenden que hacerlo demasiado rápido podría exponerlas a registros ilegítimos que contienen malware.

TeamPCP se ha centrado en lo que Aboukhadijeh describe como un “bien público”, registros de código abierto que nunca fueron perfectos pero que eran ampliamente confiables y rara vez se convertían en un punto de entrada para ataques a la cadena de suministro.

La instalación rápida de software de código abierto es una de las cosas más peligrosas que una organización puede hacer en este momento, dijo, y agregó que hay aproximadamente una posibilidad entre 10 de que cualquier paquete instalado por una organización pueda desencadenar un ataque activo.

TeamPCP ha comprometido escáneres de seguridad, administradores de contraseñas, herramientas de automatización, software de visualización de datos e infraestructura CI/CD en varios entornos.

Y ha obtenido un tesoro de credenciales y otros datos confidenciales de las víctimas.

Investigadores como Cohen en Wiz, que han estado siguiendo esta ola de ataques desde el principio, se están acercando a un punto de ruptura.

«Esto también es demasiado duro para nosotros. Estamos muy cansados. Estoy seguro de que mucha gente que trabaja en este espacio problemático está muy cansada y se ha vuelto insostenible», dijo Cohen.

«No se puede seguir existiendo en un mundo en el que te despiertas cada mañana y algún paquete súper prevalente está comprometido y todo el mundo va a utilizarlo como si nada», añadió. «Necesitamos empezar a tomar esto un poco más en serio».

admin Noticias, Trending basado campaña Clipper CYBERDEFENSA.MX detalla gusano LNK malware Microsoft Tor USB utilizando Windows

Microsoft detalla la campaña de malware Windows Clipper utilizando el gusano USB LNK y C2 basado en Tor – CYBERDEFENSA.MX

Microsoft ha revelado detalles de una campaña de eliminación de criptomonedas basada en Windows que se ha dirigido a los usuarios desde febrero de 2026.

«El clipper de esta campaña se basa en Windows Script Host y en la lógica impulsada por ActiveX para lanzar un proxy Tor incluido y sondear un servicio oculto C2. [command-and-control] servidor», el equipo de investigación de seguridad de Microsoft Defender dicho en un análisis publicado el martes. «Lleva a cabo robo de portapapeles de alta frecuencia, exfiltración de capturas de pantalla y sustitución de direcciones de billetera».

«La ejecución de este clipper es notable porque no depende de un instalador tradicional o de una infraestructura C2 basada en IP expuesta. En cambio, implementa un cliente Tor portátil, enruta el tráfico a través de un proxy SOCKS5 local y combina el robo de datos con la ejecución remota de código, convirtiendo a un ladrón con motivación financiera en una puerta trasera liviana».

El malware Clipper se refiere a un tipo de software malicioso que monitorea silenciosamente el portapapeles de un usuario e intercepta datos confidenciales pegados en el búfer de corto plazo. Se dirige principalmente a las transacciones de criptomonedas sustituyendo cadenas de direcciones de billetera que coinciden con patrones de direcciones de blockchain conocidos para redirigirlas a direcciones bajo su control.

Los ataques implican la distribución de un archivo malicioso de acceso directo de Windows (LNK) a través de dispositivos de almacenamiento USB, cuya apertura activa un componente de gusano que verifica si la máquina ya está infectada y solo procede a buscar la carga útil de un servidor remoto si no está presente. Un segundo módulo implementado es el clipper que recolecta y extrae información de la billetera de criptomonedas.

La carga útil LNK escanea el dispositivo USB en busca de tipos de documentos comunes como DOC, XLSX y PDF y, si los encuentra, los oculta y crea nuevos archivos LNK con los mismos nombres de archivo y que contienen argumentos que se alinean con el componente del gusano. Por lo tanto, cuando un usuario desprevenido inicia el acceso directo pensando que está abriendo un documento inofensivo, se desencadena la ejecución del malware.

El componente del gusano, además de garantizar la propagación a otras unidades USB no comprometidas, implementa tareas programadas como una forma de persistencia tanto para el componente del gusano como para el componente ladrón. El cortapelos, por su parte, utiliza WScript y ActiveXObject para interactuar con el sistema operativo y sale si el Administrador de tareas se encuentra entre la lista de procesos en ejecución activa para evadir la detección.

En la etapa final, el malware lanza un binario Tor renombrado en una ventana oculta, genera un identificador de víctima único y lo registra en el servidor externo. Una vez que se completa este paso, el malware entra en un bucle continuo, sondeando periódicamente el servidor C2 en busca de instrucciones y al mismo tiempo monitorea el portapapeles cada 500 milisegundos para extraer frases iniciales y claves privadas.

«También secuestra direcciones de criptomonedas reemplazando valores de billetera copiados con alternativas controladas por atacantes y carga capturas de pantalla a través de Tor», dijo Microsoft. «Si el C2 devuelve una respuesta EVAL, el malware ejecuta el código proporcionado por el atacante en tiempo de ejecución».

El gigante tecnológico ha recomendado que los defensores den prioridad a las detecciones de comportamiento sobre las firmas estáticas, buscando específicamente la captura de pantalla basada en PowerShell y el uso de WScript, CScript o motores de script relacionados para iniciar curl, cmd.exe, PowerShell o ejecutables inesperados.

Otras mitigaciones incluyen deshabilitar la ejecución automática/reproducción automática para todos los medios extraíbles, bloquear la ejecución de LNK desde unidades extraíbles a través de objetos de política de grupo (GPO), restringir el uso innecesario de wscript.exe o cscript.exe y revisar los comportamientos relacionados con el portapapeles y las capturas de pantalla en dispositivos que manejan flujos de trabajo financieros confidenciales.

admin Noticias, Trending abusan DragonForce Gire informáticos los Microsoft ocultar para piratas puerta relés Teams tráfico trasera

Los piratas informáticos de DragonForce abusan de los relés de Microsoft Teams para ocultar la puerta trasera. Gire el tráfico C2

Se ha observado que los actores de amenazas asociados con el ransomware DragonForce utilizan un troyano de acceso remoto (RAT) personalizado basado en Go llamado Puerta trasera.Girar para ocultar el tráfico de comando y control (C2) dentro de la infraestructura de retransmisión de Microsoft Teams.

Según las conclusiones de Symantec, propiedad de Broadcom, y Carbon Black, la puerta trasera se utilizó contra una importante empresa de servicios estadounidense. El nombre de la empresa no fue revelado.

«Backdoor.Turn obtiene un token de visitante anónimo de Teams de los servicios de identidad respaldados por Skype de Microsoft, utiliza un relé TURN legítimo de Microsoft para configurar la conexión y luego ejecuta una sesión QUIC en el servidor de comando y control (C2) real del atacante», explicó Threat Hunter Team. dicho en un informe compartido con The Hacker News.

«Para los defensores de la red, el único tráfico que podían ver eran las conexiones salientes a servidores legítimos de Microsoft Teams. Los atacantes estuvieron en la red de la víctima entre uno y dos meses».

El desarrollo marca el primer caso documentado públicamente de actores de amenazas que abusan del Traversal Usando Relays alrededor de NAT (DOBLAR) infraestructura de retransmisión.

Se sospecha que el actor de amenazas obtuvo acceso inicial explotando una vulnerabilidad en un servidor SQL o MS-SQL, aunque se desconoce la naturaleza exacta de la falla. También es posible que el acceso se haya adquirido a través de un intermediario de acceso inicial (IAB).

La actividad maliciosa inicial en la red de la víctima comenzó en diciembre de 2025, cuando los atacantes ejecutaron un comando de PowerShell para colocar un archivo ZIP con el pretexto de una revisión de soporte técnico. El archivo ZIP responsable de lanzar un ataque de carga lateral de DLL, que luego ejecuta una DLL no autorizada para realizar reconocimiento, configurar la persistencia y silenciar el software de seguridad mediante un controlador de Huawei («HWAuidoOs2Ec.sys»).

Esto se logra mediante una técnica de ataque llamada técnica de traer su propio controlador vulnerable (BYOVD). El controlador se ha utilizado en una campaña de publicidad maliciosa a gran escala dirigida a personas residentes en EE. UU. que buscan documentos relacionados con impuestos, aunque se dice que esto tuvo lugar después del incidente del ransomware.

Algunos de los otros controladores utilizados para este propósito se enumeran a continuación:

Lo notable del ataque es la ejecución de Backdoor.Turn inyectándolo en el proceso legítimo «DbgView64.exe» después de que se haya implementado el ransomware DragonForce. Esto sugiere un intento de mantener el acceso continuo al host comprometido para ataques posteriores o revenderlo con fines de lucro.

El mecanismo subyacente basado en TURN de Backdoor.Turn se basa en una técnica de comunicación C2 sigilosa llamada Ghost Calls que fue documentada por Praetorian en agosto de 2024. La puerta trasera admite una amplia gama de capacidades, incluida la ejecución de comandos, la creación de procesos, el escaneo de redes, la búsqueda de LDAP y Active Directory, el movimiento lateral basado en credenciales y el robo de credenciales del navegador.

«La puerta trasera solicita un token de visitante del backend de Microsoft Teams/Skype, usa ese token para interactuar con la infraestructura asociada a Teams (retransmisión TURN) y luego establece la conectividad saliente», explicaron Symantec y Carbon Black.

«Obtiene un token de autenticación de visitante (anónimo) de Teams respaldado por los servicios de identidad de Skype. Luego utiliza un servidor legítimo de Microsoft como servidor de retransmisión TURN durante la configuración de la conexión. Después de la configuración asistida por retransmisión, el malware establece una sesión QUIC directa al servidor C&C, lo cual es malicioso».

Los hallazgos pintan una imagen de un grupo de hackers que se apoya en sofisticados métodos cibernéticos para llevar a cabo ataques dirigidos de alto impacto, mientras deja a las víctimas en la ignorancia sobre la filtración encubierta de datos. Esto es particularmente significativo ya que Hackledorb, el actor de amenazas detrás de DragonForce, ha pasado de un modelo convencional de ransomware como servicio (RaaS) a una estructura de cartel formalizada y altamente organizada.

«El cronograma operativo revela un patrón de desarrollo continuo de capacidades, con la adopción de técnicas altamente avanzadas convirtiéndose en un sello distintivo de su actividad posterior a 2025», dijo la compañía. «La implementación de Backdoor.Turn, combinada con su evasión BYOVD multivectorial, los marca como uno de los grupos de ransomware más capaces y persistentes que operan en la actualidad».

admin Noticias, Trending acceso como CYBERDEFENSA.MX dentro encontrar ocultos red riesgos

Cómo encontrar riesgos de acceso ocultos dentro de su red – CYBERDEFENSA.MX

Si un agente autónomo de IA interactúa hoy con la propiedad intelectual principal de su empresa, ¿puede su equipo de seguridad nombrar instantáneamente a la persona que lo autorizó?

Para la mayoría de las empresas, la respuesta es sencilla. No.

La prisa por adoptar herramientas internas de IA ha dejado un enorme rastro de deuda administrativa: agentes huérfanos (Las herramientas de IA dejan de funcionar después de que su creador deja la empresa) y privilegios permanentes (IA que conserva un acceso permanente y sin restricciones que ya no necesita).

Cuando un empleado se marcha, las herramientas automatizadas que creó permanecen activas y, a menudo, mantienen el acceso no supervisado a bases de datos confidenciales y al código fuente mucho después de que se revocan las credenciales del ser humano.

Para ayudar a los equipos de seguridad a superar esta línea de responsabilidad, Las noticias de los piratas informáticos organiza una sesión informativa técnica. Asegure su lugar hoy para el seminario web en vivo: Agentes huérfanos y privilegios permanentes: los riesgos de acceso ocultos de la IA interna.

Por qué las herramientas de seguridad existentes pierden la señal

Las herramientas de acceso tradicionales tratan la IA como software estándar. Pero la IA no permanece estática; continuamente extrae, cambia e interactúa con datos por sí solo.

Un filtro de seguridad estándar detecta que una herramienta de inteligencia artificial extrae un repositorio completo y asume que la aplicación simplemente está haciendo su trabajo. No puede ver que el empleado que originalmente puso en marcha esa herramienta dejó la empresa la semana pasada. El sistema no puede juzgar si la acción es maliciosa porque no sabe de quién es la identidad que está tomando prestada el agente.

Intentar proteger una herramienta de IA por sí solo no funciona. Encontrar estos scripts ocultos es sólo la mitad del problema; aún tienes que asignarlos a un propietario vivo. Regístrese ahora para ver las tuberías necesarias para unificar las identidades humanas, de máquinas y de IA bajo un solo plano de control.

Qué cubre la sesión

Esta inmersión técnica profunda omite las exageraciones del marketing de IA para centrarse en la arquitectura práctica:

La brecha de identidad: Por qué falla proteger una herramienta de IA de forma aislada si no se sabe con qué credenciales se está ejecutando.
Encontrar la IA de las sombras: Un tutorial paso a paso para localizar herramientas no documentadas activas en su red en este momento.
Realidad del despliegue: Cómo obtener visibilidad inmediata del uso de la IA empresarial sin agregar cuellos de botella a la infraestructura de red.

Es posible que el desarrollador que creó la automatización se haya ido hace meses, pero el token de acceso no. Únase a SailPoint y Las noticias de los piratas informáticos para aprender cómo revocar el acceso antes de que un atacante lo use por usted.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Apple parchea la falla de Studio Buds que permite a atacantes cercanos espiar a través del micrófono – CYBERDEFENSA.MX

Noticias, Trending

Microsoft detalla la campaña de malware Windows Clipper utilizando el gusano USB LNK y C2 basado en Tor – CYBERDEFENSA.MX

junio 18, 2026

Noticias, Trending

Los piratas informáticos de DragonForce abusan de los relés de Microsoft Teams para ocultar la puerta trasera. Gire el tráfico C2

junio 18, 2026

Or Check Our Popuplar Categories...

Daily Archives: junio 18, 2026

La motivación del TeamPCP

Las víctimas abundan, pero la exposición es limitada

Cómo el modelo operativo de TeamPCP apunta al desarrollo

Las brechas defensivas crean aperturas para el ataque

Por qué las herramientas de seguridad existentes pierden la señal

Qué cubre la sesión