Un tribunal federal dictaminó el lunes que la base de datos nacional de votantes de la administración Trump viola las leyes federales de privacidad, interfiere con el derecho al voto de los estadounidenses y debe ser desmantelada.

En el decisiónel juez Sparkle L. Sooknanan del Tribunal de Distrito de Washington DC escribió que los registros revisados ​​por el tribunal muestran que las agencias federales sabían que la base de datos de votantes SAVE violaba leyes federales como la Ley de Privacidad, la Ley de Seguridad Social y la Ley de Procedimiento Administrativo, pero estaban «luchando» para cumplir con la orden ejecutiva del presidente Trump para crear un sistema para la verificación masiva de votantes.

Esa presión dio lugar a que las agencias combinaran y reutilizaran “al azar” la información personal de millones de estadounidenses de diferentes bases de datos gubernamentales, incluidos datos de ciudadanía que sabían que no eran confiables.

“Por lo tanto, el Tribunal anula y anula el sistema modificado SAVE 2025 y los avisos relacionados porque eran contrarios a la ley, arbitrarios y caprichosos, excedían la autoridad legal y sin observar el procedimiento requerido por la ley”, escribió Sooknanan.

La Liga de Mujeres Votantes, sus grupos afiliados locales y el Centro de Información sobre Privacidad Electrónica presentaron la demanda el año pasado. Argumentaron que la administración violó las leyes de privacidad que restringen la capacidad del gobierno para recopilar o combinar datos privados sin autorización del Congreso.

Sooknanan escribió que la base de datos SAVE viola una prohibición de la Ley de Seguridad Social contra la divulgación de números de Seguridad Social y otros registros relacionados de la SSA, así como protecciones sustantivas y procesales en la Ley de Privacidad, que impiden la divulgación no consensuada de cierta información tanto por parte de agencias federales como entre agencias federales y requieren notificación y comentarios.

El tribunal también dictaminó que SAVE viola la Ley de Procedimientos Administrativos, que rige cómo el gobierno federal desarrolla regulaciones y toma decisiones oficiales para garantizar que sean justas e imparciales.

Anteriormente, Sooknanan se había negado a declarar que la base de datos era ilegal según la Ley de Procedimientos Administrativos, diciendo que los demandantes no habían podido demostrar que los datos causarían un daño irreparable. En su fallo final, cambió de rumbo y escribió que desde entonces los estados han procesado sus padrones de votantes a través del sistema SAVE modificado del gobierno federal, y que algunos votantes han sido identificados erróneamente como no ciudadanos y se les cancelaron sus registros de votantes.

«En general, el gobierno federal ha pisoteado conscientemente los derechos de privacidad de los ciudadanos estadounidenses de una manera que amenaza el sagrado derecho al voto», escribió Sooknanan. «Este Tribunal no puede quedarse de brazos cruzados mientras eso sucede».

El fallo refuerza las objeciones de larga data de ex funcionarios gubernamentales y expertos en privacidad durante el año pasado, quienes han dicho que el Congreso ha aprobado repetidas veces leyes de privacidad explícitamente para impedir que el poder ejecutivo utilice los datos de los estadounidenses en formas no prohibidas por la ley. Eso es lo que hizo el DHS el año pasado cuando tomó SAVE, una base de datos destinada a procesar beneficios gubernamentales para inmigrantes legales, y la combinó con datos de la Administración de la Seguridad Social y otras agencias para crear una nueva base de datos masiva de votantes estadounidenses y su estatus de ciudadanía.

John Davisson, subdirector de cumplimiento de la ley en EPIC, celebró la decisión en un comunicado, diciendo que el fallo “subraya que las agencias gubernamentales deben respetar la ley, defender la privacidad y seguir siendo responsables ante el público al que sirven”.

«La decisión de hoy es una victoria para todos nosotros. Al detener la consolidación ilegal de datos personales confidenciales en las agencias federales, el tribunal ha salvaguardado no sólo nuestros derechos de privacidad sino también la base de nuestra democracia: el derecho al voto», dijo Davisson.

La administración Trump planea tomar una acción ejecutiva el lunes para acelerar la transición del gobierno federal hacia el cifrado poscuántico y volver a priorizar el financiamiento gubernamental para apoyar la industria nacional de la computación cuántica.

Las órdenes, sobre las que CyberScoop informó por primera vez el año pasado, ordenan al gobierno que apoye la industria de la computación cuántica, según varias fuentes. Son parte de un esfuerzo más amplio de la administración Trump para poner su sello en el desarrollo de otra tecnología emergente clave.

En mayo, el Departamento de Comercio anunciado Cartas de intención por más de 2.000 millones de dólares en incentivos financieros federales para nueve empresas cuánticas en virtud de la Ley CHIPS y Ciencia. El año pasado, la administración hizo algo similar con su Centrado en la IA órdenes ejecutivas y plan de acción que creó programas federales especiales de exportación para tecnología y equipos de IA, ordenó a las agencias federales que movilizaran herramientas de financiamiento federal para apoyar a la industria y recortó o redujo las regulaciones que, según la administración, pueden impedir el crecimiento interno.

En la orden, se utiliza un «enfoque de todo el gobierno para potenciar la investigación y el desarrollo de la computación cuántica, así como la detección cuántica». [and other resources]”, dijo una fuente, que habló bajo condición de anonimato para discutir las acciones administrativas pendientes.

Describieron la actitud de la administración Trump para apuntalar la industria como «no dejemos de dar prioridad a los alimentadores de la investigación o el desarrollo cuántico».

Una segunda fuente con conocimiento de los planes de la administración confirmó el contenido de las acciones ejecutivas.

La segunda orden requerirá que las redes civiles federales adopten un cifrado resistente a los cuánticos más rápido que la fecha límite actual de 2035. Los nuevos algoritmos de cifrado, examinados por el Instituto Nacional de Estándares y Tecnología, protegerán contra futuros ataques informáticos cuánticos.

Las agencias que no cumplan con el nuevo plazo deben informar a la Oficina de Gestión y Presupuesto explicando el motivo.

Una fuente dijo que en las versiones preliminares que habían visto, la administración apuntaba a 2029 o 2030 como nueva fecha límite, y la orden excluirá las redes militares y no civiles de los mandatos, que se rigen por un proyecto separado de migración de cifrado liderado por la Agencia de Seguridad Nacional.

Estuvieron presentes para la firma el subsecretario de Ciencia del Departamento de Energía, Darío Gil, el secretario del Departamento de Comercio, Howard Lutnick, el director cibernético nacional, Sean Cairncross, el secretario de Defensa, Pete Hegseth, el director federal de información, Greg Barbaccia, y el director de la Oficina de Política Científica y Tecnológica, Michael Kratisos.

Varios ejecutivos de empresas de tecnología también estuvieron presentes para la firma de la orden, elogiando los esfuerzos del gobierno para impulsar la industria.

«IBM aplaude a la Administración por dar este importante y oportuno paso adelante», dijo el director ejecutivo de IBM, Arvind Krishna, en un comunicado. «Una política sólida, una inversión sostenida y una asociación público-privada son vitales para sostener el liderazgo cuántico y la resiliencia tecnológica de Estados Unidos. Estamos orgullosos de seguir construyendo sobre esta base, fortaleciendo la competitividad de Estados Unidos y reforzando la seguridad nacional mientras damos forma juntos al futuro cuántico».

Esta es una historia en desarrollo y se actualizará a medida que haya información disponible.

A principios de este mes, hablé en el Cumbre de seguridad y gestión de riesgos de Gartner sobre un punto ciego que la mayoría de los programas de seguridad aún no tienen en cuenta: cómo los atacantes están eludiendo los programas de seguridad de IA utilizando infraestructura heredada para secuestrar agentes de IA.

La adopción de la IA avanza más rápido de lo que los programas de seguridad pueden dar cuenta. Aproximadamente el 71 % de las organizaciones están probando agentes de IA en sus aplicaciones empresariales y el 31 % ya los ha trasladado a flujos de trabajo de producción.

Por esta razón, las organizaciones están invirtiendo recursos legítimamente en proteger las cargas de trabajo de IA contra el envenenamiento de modelos, la inyección rápida, la fuga de datos y otras amenazas emergentes. Sin embargo, este enfoque lo pierde todo. debajo la capa de IA. Porque un servidor sin parches, un permiso de Active Directory mal configurado o una credencial almacenada en caché en la máquina de un desarrollador son exposiciones que brindan a los atacantes una ruta directa a todo de lo que dependen sus agentes de IA: bases de conocimiento, almacenamiento en la nube, funciones Lambda, integraciones SaaS y las credenciales que los conectan.

Esto significa que los actores de amenazas realmente no necesitan atacar su IA de frente. sólo necesitan alcanzar aquello a lo que se conecta. En este artículo, explicaré cómo la infraestructura heredada se convierte en la ruta de ataque hacia los entornos de agentes de IA y qué pueden hacer los equipos de seguridad para bloquear esas rutas.

Los agentes de IA usan lo que heredan

A pesar de su novedad y poder, en cierto modo los agentes de IA operan como otros activos en su entorno. Se autentican a través de proveedores de identidad existentes, almacenan datos en depósitos de nube existentes, ejecutan tareas a través de funciones Lambda existentes y heredan permisos de roles de IAM existentes. Cada una de esas dependencias conlleva cualquier deuda de seguridad que tuviera la organización antes de que comenzara el despliegue de la IA.

Es más, la mayoría de las organizaciones, sin darse cuenta, compuesto esa deuda. De acuerdo a Revista Infoseguridadel 70% de las organizaciones otorgan sus sistemas de IA más acceso privilegiado que un humano en el mismo rol. No es sorprendente que esto tenga un precio doloroso. Las organizaciones con IA con privilegios excesivos informaron una tasa de incidentes del 76%, en comparación con solo el 17% de aquellas que imponen privilegios mínimos.

Todas esas conexiones (proveedores de identidad, depósitos en la nube, funciones Lambda, roles de IAM) se ejecutan a través de la infraestructura que sus equipos han administrado durante años: Active Directory, IAM en la nube, cuentas de servicio, credenciales almacenadas. Sin embargo, nada de esto fue diseñado teniendo en mente a los agentes de IA, y la mayor parte se aprovisionó mucho antes de que el primer agente entrara en producción. El resultado es que un atacante que encuentre su camino a través de cualquiera de esas capas no necesita tocar la IA. Los propios permisos del agente hacen el trabajo por él.

Cómo un CVE de 2025 secuestra a un agente de IA en 2026

El siguiente diagrama muestra una arquitectura típica de agente de IA empresarial. Un equipo de éxito del cliente utiliza un Co-Pilot impulsado por IA, alojado en AWS Bedrock, para consultar los datos de los clientes exportados desde Salesforce a un depósito de S3. Co-Pilot ejecuta tareas a través de funciones Lambda y se integra con aplicaciones comerciales. John, un desarrollador, construye y mantiene el agente. Los usuarios de toda la organización interactúan con él a diario.

Ahora bien, esto es lo que sucede cuando un atacante encuentra una manera de entrar. El siguiente diagrama muestra una ruta de ataque que mi equipo modeló en un entorno empresarial real. Ninguna de estas exposiciones es exótica: existen, en alguna combinación, en la mayoría de las redes empresariales en este momento. Lo que los hace peligrosos es cómo se conectan. Así es como se desarrolló el ataque, etapa por etapa.

• Etapa 1: un depósito S3 se convierte en un activo crítico. Para alimentar al CSM Co-Pilot, el equipo exportó datos de Salesforce a un depósito de S3. Esa exportación convirtió el cubo en un objetivo de alto valor que contiene registros confidenciales de clientes. Varios usuarios de la cuenta de AWS recibieron un acceso de lectura demasiado amplio a los depósitos de producción S3, incluido John, el desarrollador de Co-Pilot, que nunca necesitó acceso a los datos de producción. Por sí solo, esto es una simple mala configuración de permisos.
• Etapa 2: un servidor sin parches en el perímetro. Un servidor externo ejecuta Apache Tomcat. Ese servidor está expuesto a CVE-2025-24813 – una falla de ejecución remota de código revelada en marzo de 2025 y agregada al catálogo de vulnerabilidades explotadas conocidas de CISA el mismo mes. Nunca fue parcheado. Debido a que el servidor se encuentra en el entorno empresarial y está unido a Active Directory, un atacante que aproveche la vulnerabilidad puede volcar las credenciales almacenadas en caché de la memoria del servidor y comprometer una cuenta de usuario de AD. De forma aislada, se trata de una vulnerabilidad conocida en un único servidor: grave, pero no crítica.
  
• Etapa 3: la mala configuración de Active Directory permite el movimiento lateral. Esa cuenta de AD comprometida puede abusar de una mala configuración de la delegación restringida basada en recursos para hacerse pasar por John y acceder a su estación de trabajo. John utiliza AWS CLI para administrar los recursos de la nube de Co-Pilot y, detrás de escena, CLI almacena las claves de acceso de AWS en su máquina. El atacante recolecta esas claves. De forma aislada, este es un problema de permisos de AD, uno de los miles que tienen la mayoría de los entornos.
  
• Ahora conecta las tres etapas. El atacante explota CVE-2025-24813 en el perímetro, descarta las credenciales, se mueve lateralmente a través de AD hasta la estación de trabajo de John, recopila sus claves de acceso a AWS y lee cada registro en el depósito de producción S3, el mismo depósito que alimenta la base de conocimientos del Co-Pilot. El agente Co-Pilot ahora está comprometido. El atacante controla lo que lee, en qué confía y lo que devuelve a los usuarios. Ninguna parte de la pila de IA fue atacada directamente. Tres hallazgos moderados (una clave de nube con privilegios excesivos, un servidor web sin parches y una mala configuración de AD) se convirtieron en una ruta de ataque crítica.
  

Qué hacer al respecto

La ruta de ataque que acabo de describir cruza cuatro capas: red, identidad, nube e inteligencia artificial. La mayoría de los programas de seguridad evalúan cada una de esas capas de forma independiente y es posible que ya se conozcan las exposiciones en cada una de ellas. Una herramienta EASM marca el servidor Tomcat. Una herramienta de seguridad de AD detecta la configuración incorrecta de la delegación. Una herramienta CSPM obtiene el acceso S3 con privilegios excesivos. Cada uno informa un hallazgo moderado que puede no remediarse debido a una menor prioridad, pero que en combinación se convierte en un problema crítico: una vulnerabilidad de Tomcat en el perímetro se encadena a través de AD hasta las credenciales de la nube de un desarrollador y termina en la base de conocimientos de un agente de IA.

Cerrar estos caminos comienza con un enfoque de gestión de la exposición que trate las dependencias de los agentes de IA (bases de conocimiento, depósitos de almacenamiento, funciones Lambda, etc.) como activos críticos en sí mismos. A partir de ahí, mapee hacia atrás: ¿qué relaciones de identidad, permisos e infraestructura se conectan a esos activos, y cuáles de esas conexiones conllevan exposiciones explotables en el contexto de su entorno? Cuando trazas el camino completo, surgen puntos de estrangulamiento: lugares donde una única solución bloqueará múltiples rutas hacia tus activos de IA.

Si su plataforma de gestión de exposición puede rastrear esa ruta completa (desde el servidor heredado, pasando por AD y la infraestructura de la nube hasta la base de conocimientos de un agente de IA), puede solucionar la exposición antes de que un atacante la encadene. Si no puede, ninguna barrera de seguridad en la capa de IA lo cerrará.

La conclusión

La adopción de agentes de IA se está acelerando en todos los departamentos empresariales. Y cada nuevo agente que implemente se conecta a una infraestructura que ya está expuesta. Eso significa que la superficie de ataque se agrava con cada despliegue.

La pregunta para los líderes de seguridad no es si su capa de IA está protegida. Se trata de si el entorno en el que operan esos agentes, incluida su infraestructura heredada básica, está brindando a los atacantes el camino para secuestrarlos.

Porque los atacantes no necesitan nuevas técnicas para comprometer a los agentes de IA. Sólo necesitan los viejos y un entorno que les permita utilizar los viejos para explotar lo nuevo.

Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia. por Zur UliánitzkyVicepresidente senior de investigación de productos y seguridad, XM Cyber.

It’s Monday again.

This week’s threat list looks painfully familiar: abused integrations, fake tools, poisoned websites, ransomware crews trying to shut down security tools, and mobile malware asking for way too much control.

The annoying part is how little of this feels new. Weak credentials, sketchy downloads, browser extensions with too much access, and WordPress sites are used to push more attacks. Nothing clever. Just sloppy, cheap, and effective.

Here’s the Monday recap. Let’s get into the week’s mess.

⚡ Threat of the Week

FortiBleed Campaign Identifies Over 80K Targets — A large-scale campaign codenamed FortiBleed has systematically targeted and compromised Fortinet FortiGate firewall and SSL VPN gateway devices worldwide. According to SOCRadar, it has been running since at least February 2026, with over 80,000 devices identified with working usernames and passwords that have been tested by suspected Russian-speaking threat actors using automated tools running around the clock. The U.S. Cybersecurity and Infrastructure Security Agency (CISA) urged Fortinet customers with FortiGate appliances to take steps to secure against ongoing malicious activity aimed at thousands of internet-accessible devices. Fortinet also said the campaign likely involves the threat actors reusing credentials from previous incidents, such as CVE-2026-24858, CVE-2025-59718, and CVE-2025-59719, along with employing brute-force techniques against devices with weak password hygiene and no multi-factor authentication (MFA).

🔔 Top News

• Salesforce Disables Klue App Integration After New Extortion Campaign — Salesforce revealed that it disabled the Klue Battlecards app integration within its platform in response to a security incident impacting the competitive intelligence company on June 11, 2026. «Salesforce took this action because our security teams recently detected unusual activity involving the app that may have resulted in unauthorized access to a subset of customer data via the app’s connection to Salesforce,» the company said. «This issue is limited to Klue’s app connection and does not arise from a vulnerability within the Salesforce platform.» The development comes as an extortion group dubbed Icarus compromised and exfiltrated data from customers of Klue after obtaining access through a compromised legacy credential associated with an integration service. A number of companies have publicly acknowledged the incident, but noted the impact is limited.
• The Gentlemen RaaS Develops GentleKiller EDR Killer Suite — The Gentlemen ransomware-as-a-service (RaaS) operation is actively developing and maintaining a suite of endpoint detection and response (EDR) killers that it hands out to affiliates for shutting down endpoint detection and response (EDR) products before deploying the encryptor. The centerpiece of the group’s EDR-disabling capability is GentleKiller, an in-house developed framework that comes in eight different variants, each one impersonating a different legitimate product and abusing a different vulnerable or malicious kernel driver. GentleKiller targets over 400 processes belonging to 48 security products, including CrowdStrike, SentinelOne, Microsoft Defender, Sophos, Kaspersky, and ESET itself.
• Splunk Flaw Actively Exploited in the Wild — Splunk’s Product Security Incident Response Team (PSIRT) said it became aware of «limited exploitation» of CVE-2026-20253, a critical flaw in Splunk Enterprise that could be exploited to conduct unauthenticated file operations and even remote code execution. «In Splunk Enterprise versions below 10.2.4 and 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint,» Splunk said. «The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials.» In an analysis of the flaw, Resecurity said it’s «particularly dangerous» as it can be exploited remotely without authentication or user interaction. «By chaining multiple weaknesses together, an attacker can progress from unauthenticated access to arbitrary file operations and ultimately Remote Code Execution (RCE),» it said. «A successful compromise may expose sensitive logs, credentials, security alerts, and operational data while providing attackers with a foothold for persistence, defense evasion, and lateral movement within the environment.»
• Unpatchable ‘usbliter8’ Exploit Targets Apple A12 and A13 Chips — Security researchers at Paradigm Shift released details of a working exploit dubbed usbliter8 that could be abused to achieve arbitrary code execution inside the SecureROM of Apple’s A12 and A13 chips. The vulnerability is classified as a hardware bug residing in the Synopsys DWC2 USB controller, meaning the issue can never be patched. That said, a successful exploitation requires an attacker to have physical access to a vulnerable device. A proof-of-concept for usbliter8 has been made publicly available.
• Operation Endgame Disrupts SocGholish Servers — Dutch law enforcement authorities, along with counterparts from Canada, Germany, and the U.S., have disrupted malicious infrastructure associated with SocGholish and cleaned up nearly 15,000 infected WordPress websites. The takedown is part of Operation Endgame, an ongoing international law enforcement initiative to combat botnets and associated criminal infrastructures. It was launched in 2024. As part of the effort, 106 servers linked to SocGholish have been taken down, and 14,971 WordPress sites have been rid of the infections. Website owners have been notified to update their content management system (CMS), change their credentials, and delete any suspicious accounts.
• Malicious Campaign Fakes Popularity to Deliver Crypto Clipper — A cryptocurrency-stealing malware campaign has been targeting cryptocurrency asset holders and online gamblers by faking its own popularity, dressing up booby-trapped sniper bots and crash-game predictors with bogus GitHub stars, inflated download counts, and artificial intelligence (AI)-narrated YouTube tutorials. The activity has been traced to a Rust-based clipper malware targeting Windows and macOS users. The lures are «edge» tools that promise easy money, crypto sniper bots, and «predictors» that claim to forecast crash-gambling games, aimed at traders and gamblers chasing shortcuts, while a WordPress phishing page acts as the hub, funneling victims to the downloads.
• Rokarolla Android Trojan Combines Banking Fraud with Screen Surveillance — A new «invasive» Android trojan dubbed Rokarolla is being distributed via malicious websites, while masquerading as popular applications like TikTok or Google Chrome. It’s designed to target 217 distinct cryptocurrency and banking applications by serving fake overlay login screens, in addition to leveraging 137 commands that grant it complete control of a compromised device. It can harvest lock screen credentials, exfiltrate sensitive contact lists and SMS data, monitor the screen to capture WhatsApp data, take screenshots by abusing Android’s accessibility services, redirect cryptocurrency transactions, and utilize keyloggers to continuously record user input. The malware also actively hides its presence from the launcher screen and disrupts user intervention by blocking incoming calls, deploying fraudulent screen overlays, suppressing device audio, and deactivating Google Play Protect. «The infection process begins when a dropper misleads users into installing a secondary payload containing the core malware,» Zimperium said. «By masquerading as Google Play Protect, the dropper facilitates the installation of this payload. This strategy allows the malware to evade Android restrictions and exploit Accessibility services.»

🔥 Trending CVEs

Bugs drop weekly, and the gap between a patch and an exploit is shrinking fast. These are the heavy hitters for the week: high-severity, widely used, or already being poked at in the wild.

Check the list, patch what you have, and hit the ones marked urgent first — CVE-2026-20262 (Cisco SD-WAN Manager), CVE-2026-54420 (LiteSpeed cPanel Plugin), CVE-2026-48907 (Widget Factory Joomla Content Editor), CVE-2026-4020 (Gravity SMTP WordPress Plugin), CVE-2026-47101, CVE-2026-47102, CVE-2026-40217, CVE-2026-49468 (LiteLLM), CVE-2026-24190 (NVIDIA Display Driver for Windows and Linux), CVE-2026-48558 (SimpleHelp), CVE-2026-39449 (Contact Form to Any API WordPress plugin), CVE-2026-39849, CVE-2026-44693 (Pi-hole FTL), CVE-2026-49980, CVE-2026-41179, CVE-2026-41176 (Rclone), CVE-2026-54157 (@lobehub/lobehub), CVE-2026-48746 (vllm), CVE-2026-48519 (Langflow), CVE-2026-38329 (Bludit CMS), CVE-2026-39949 (Cacti), CVE-2026-8444 (WP Review Slider Pro WordPress plugin), CVE-2026-52697 (Taskbuilder WordPress plugin), CVE-2026-52700 (WCMultiShipping WordPress plugin), CVE-2026-3326 (XStore WordPress theme), CVE-2026-2418 (Login with Salesforce WordPress plugin), CVE-2026-6379 (WP Photo Album Plus WordPress plugin), CVE-2026-2446 (PowerPack for LearnDash WordPress plugin), CVE-2025-15445 (Restaurant Cafeteria WordPress theme), CVE-2026-8443 (WP Review Slider Pro WordPress plugin), CVE-2026-6933 (Premmerce Dev Tools WordPress plugin), CVE-2026-9848 (WP Ticket Customer Service Software & Support Ticket System WordPress plugin), CVE-2026-52707 (Kastell WordPress theme), CVE-2026-52703 (FastDup WordPress plugin), CVE-2026-52706 (JetEngine WordPress plugin), CVE-2026-27429 (Nifty WordPress theme), CVE-2025-69129 (WordPress & WooCommerce Scraper WordPress plugin), CVE-2026-27400 (BookPro WordPress plugin), CVE-2026-8713 (Avada Builder WordPress plugin), from CVE-2026-12437 through CVE-2026-12443 (Google Chrome), CVE-2026-12326, CVE-2026-12327, CVE-2026-12328 (Mozilla Firefox), CVE-2026-8049, CVE-2026-8050 (SignalRGB kernel driver), CVE-2026-20266 (Splunk AI Toolkit), CVE-2026-41293, CVE-2026-43512, CVE-2026-42579, CVE-2026-42584, CVE-2026-43515 (Atlassian Confluence Data Center and Server), CVE-2026-20181, CVE-2026-20190 (Cisco Identity Services Engine and ISE Passive Identity Connector), CVE-2026-48933, CVE-2026-48618 (Node.js), CVE-2026-9862 (Fortra Core Privileged Access Manager), and multiple vulnerabilities in Crawl4AI Docker API (no CVEs).

🎥 Cybersecurity Webinars

• Your Company Is Using More AI Than You Can See. Here’s How to Secure It → AI bots are actively accessing your company’s sensitive data—often without a clear human owner to hold accountable. Join this webinar to learn how to uncover hidden AI tools, lock down their permissions, and safely take back control of your network before a blind spot becomes a massive data breach.
• Machine-Speed Attacks are Here: How to Stop AI-Powered Hackers → Hackers are now using AI to launch lightning-fast, highly convincing attacks that easily slip past traditional security. If your defenses rely on old, ‘human-speed’ tools, you’re already falling behind. Join this critical webinar to see exactly how AI-powered threats operate—and get a clear, practical blueprint to lock down your network and stop machine-speed attacks in their tracks.

📰 Around the Cyber World

• Flaws in SiderAI and MaxAI — Critical vulnerabilities have been disclosed in SiderAI (Spyder) and MaxAI (MaXSS) agentic side-panel Chrome extensions that can allow malicious websites to take screenshots of arbitrary websites or run arbitrary code by taking advantage of the add-ons’ permissions. «Abusing these vulnerabilities allows attackers to compromise all browser sessions across any website, leading to the leakage of sensitive information, the invocation of arbitrary commands, and even account takeover,» Rebora said. «Furthermore, there was a potential risk of stealing files from the underlying operating system.» Both extensions have a «Featured» badge and have been collectively installed nearly 7 million times. Given that the issues remain unpatched, users are recommended to remove them until fixes are in place.
• Israeli Company Linked to Popa Android TV Box Botnet — The Popa Android TV box botnet, which has been used for residential proxy traffic in ad fraud and website scraping, has been attributed to NetNut, operated by publicly traded Israeli company Alarum Technologies. Qurium, along with the Nokia Deepfield Emergency Response Team and Synthient, has found that Popa is a «residential proxy software family that turns consumer devices into internet relay nodes» by means of a software development kit. It’s worth noting that Popa was first flagged by QiAnXin XLab in March 2025 as an Android component of the Vo1d botnet. «So Popa is not a traditional downloader or banking trojan, the ultimate goal of the code is just to implement a persistent communications layer capable of registering a device, maintaining long-lived encrypted connections, and opening tunnels on demand,» according to the report. «Not differently from many other types of malware, Popa does not connect directly to a fixed command-and-control server. The compromised device starts by connecting a limited set of domain names to later learn where to register and tunnel the traffic.» The botnet has impacted millions of consumer TV boxes over the last four years. Alarum, which also maintains RoboVPN, a commercial VPN service that includes a residential-proxy SDK that turns the user’s machine into an exit node for third-party traffic. In a statement shared with cybersecurity journalist Brian Krebs, NetNut and Alarum have disputed the allegations, calling them «demonstrably inaccurate assertions and flawed deductions rather than verified facts,» adding «the SDKs at issue are designed to facilitate bandwidth-sharing functionality and do not transform user devices into malware-controlled systems or otherwise compromise the devices on which they operate.» The development comes weeks after another report from Include Security found that an iOS SDK that Bright Data embeds in consumer apps can turn devices, including always-on smart TVs, into exit nodes that relay web-scraping traffic with users’ consent.
  
• Prinz Eugen Encrypts Recently Modified Files — A new Go-based ransomware called Prinz Eugen has been observed targeting recently modified files for encryption. «It performs recursive encryption, prioritizes recently modified files, uses ChaCha20-Poly1305 with integrity checks, and leaves no ransom note on disk,» Malwarebytes Threatdown said. It’s suspected that the attackers gain initial access through compromised RDP credentials. The ransomware binary also takes steps to frustrate forensic analysis and recovery. The ransomware has been attributed to an actor called ROOTBOY, who has a track record of selling stolen data on cybercrime forums.
• Okendo Reviews Widget Compromised in SmartApeSG Supply Chain Attack — Okendo Reviews widget, a popular customer review platform used by more than 18,000 brands, is said to have been compromised as part of attacks designed to deploy malware via embedded malicious JavaScript code. The activity, detected on May 14, 2026, has been tied to SmartApeSG, which was previously observed using ClickFix and FakeUpdates lures to distribute NetSupport Manager. «The injected JavaScript used obfuscation, environment checks, and staged execution,» Zscaler said. «The SmartApeSG injected JavaScript behaved as a staged loader, and did not attempt to execute every action immediately. Instead, the JavaScript focused on control, reconstruction, and retrieval, which reduced the visibility of the script and gave the operator more flexibility.» The end goal of the attacks is to serve bogus ClickFix prompts that lead to malware deployment. In the past, SmartApeSG has also relied on command-and-control (C2) servers hosted on Russian infrastructure providers to communicate with hosts infected with Remcos RAT through fake CAPTCHA prompts injected into websites that instructed users to execute commands copied to the clipboard. Okendo has since addressed the issue and restored the widget script to a clean state.
• AI-Generated Websites Used to Deliver SmartRAT — Typosquatting domains hosting malicious content generated with AI-powered website creation tools are being used to deliver a PowerShell-based malware called SmartRAT (aka Banana RAT). The web page impersonates a Brazilian bank and a ClickFix lure to trick victims into running a PowerShell command that downloads the malware. «Threat actors are leveraging website builders to create convincing lures quickly and at scale, with capabilities ranging from basic credential theft to a ClickFix campaign that delivers remote access trojans (RATs),» Zscaler said. «SmartRAT supports encrypted C2 communications, remote control (screen/keyboard/mouse), credential theft (keylogging and banking overlays), and persistence via scheduled tasks and a Windows service.»
• ClickFix Delivers GuLoader — Another ClickFix has been observed using a combination of ClickFix and EtherHiding to deliver malware called GuLoader using a compromised WordPress site as an entry point. «The attack chain combines four distinct components, compromised WordPress, EtherHiding via BSC Testnet, ClickFix social engineering, and GULoader delivery via UNC path, into a single intrusion sequence where every traditional defensive layer has a structural reason to remain silent,» Sicuranext said.
  
• UnregStealer Targets Brazilian Banks — A new purpose-built trojan called UnregStealer has been targeting Latin America (LATAM) financial institutions. Described as a human-operated credential theft campaign, it was first discovered by IBM X-Force in May 2026. «Most LATAM banking trojans rely on automated infection chains and compiled malware, UnregStealer is different,» the company said. «trojans rely on automated infection chains and compiled malware, UnregStealer is different. This trojan involves a real operator, who watches each victim’s session live and pulls the trigger manually. This variation makes the campaign nearly invisible to sandboxes and behavioral detection systems that never see the payload activate.» Attack chains begin with social engineering lures that masquerade as mandatory SSL certificate updates to deliver a PowerShell stager, ultimately resulting in the deployment of a malicious Chrome extension named «Certificado SSL Chrome» that’s responsible for data theft and exfiltration. In recent months, LATAM financial institutions have been targeted by a JavaScript adversary-in-the-middle (AitM) framework called OverlordMX that also makes use of a human operator, who monitors victims in real time and manually triggers the necessary overlays to capture credentials. The campaign is assessed to be the work of a Spanish-speaking threat actor. «The attack operates in two stages: a web-inject layer that intercepts sensitive information from the victim, followed by a socially engineered RAT delivery that grants the operator full remote control of the victim’s device,» IBM said.
• Pushka Android Malware Detailed — An Android malware called Pushka is equipped to carry out on-device fraud, while granting remote access trojan (RAT) capabilities to the operators by abusing accessibility services. «Pushka can use fake overlay tactics to phish victims’ credentials on their mobile devices and can further steal and exfiltrate data from their devices,» IBM X-Force said. «Pushka’s RAT capabilities can perform actions on behalf of the user, including entering the user’s login credentials, and clicking buttons.» Pushka was first spotted in September 2025 across different European countries. It uses fake TV apps as decoys to trick users into installing them. The app acts as a dropper, and uses Android’s PackageInstaller.Session API to silently install its main payload while bypassing Android 13’s Restricted Settings. «This method replaces the traditional use of Intent.ACTION_INSTALL_PACKAGE and is specifically used to mimic the legitimate installation flow used by the Play Store, allowing the malware to evade the OS-level restrictions introduced in newer Android versions,» IBM said.
• Ransomware Ecosystem Consolidates in Q1 2026 — Data from Flare shows that the ransomware ecosystem is «reconsolidating around fewer, more capable operators after a fragmented stretch,» led by brands like LockBit, Qilin, and The Gentlemen. The top 10 groups account for 71% of all Q1 2026 victims, with LockBit 5.0 logging 163 victims.
• Australian Bank Accounts Targeted by Extension-Based Trojan — A highly sophisticated browser extension-based banking is targeting Australian banking customers. «This is not a traditional virus designed to crash systems or cause visible disruption,» IBM said. «Instead, it is specifically engineered to function as an invisible threat, embedding itself within the browser and operating directly inside the victim’s trusted, authenticated session.» It comes with capabilities to alter displayed balances, transaction history, and transfer limits; intercept one-time passwords (OTP) before submission; steal active banking session cookies; track visited pages and transaction patterns; and maintain a persistent WebSocket C2 connection for real-time commands. Exactly how the extension is distributed is unclear. «Because the attack runs within a legitimate, authenticated session, it inherits the user’s trust context and security controls, effectively neutralizing traditional protections,» the company added.
• Chinese and Russian Influence Operations Use AI to Bypass Bot Detection — In a new report, Two Six Technologies said Russian and Chinese inauthentic accounts are likely using AI to enhance content quality rather than to increase content volume and exhibit fewer bot-like behaviours. «AI is enabling and motivating adversaries to craft better content and more human-like accounts,» the company said. «Inauthentic accounts are using AI to add visual appeal to their content. To reach broader audiences, they are probably also using it for translation. Pro-Russia and pro-China accounts now have slower posting speeds, and more pro-Russia accounts are inactive for a long stretch each day, mimicking a human who sleeps.»
• Operation Escaneo Targets Mexican Federal and Financial Orgs — A sophisticated campaign targeting Latin American governments and financial institutions has come to light, thanks to an exposed attacker server («62.171.185[.]97») that revealed the custom tools, exploitation chain, and persistence tactics adopted by the threat actors. «The campaign is characterised by a proprietary distributed reconnaissance engine (Kimera), a curated exploit armory targeting enterprise perimeter devices (Fortinet, Ivanti, Cisco), portable lateral movement toolkits, and layered command-and-control infrastructure using Neo-reGeorg webshells, Chisel reverse tunnels, and compromised Cisco routers with persistent GRE tunnels,» CloudSEK said. «The threat actor demonstrated capability to operate across Windows and Linux environments, compromise SAP ERP and Oracle database systems for command execution, extract cryptographic material and Active Directory datasets, and maintain long-dwell access through multiple redundant persistence mechanisms.» The activity has been attributed medium confidence to a group called PanchoVilla (aka MexicanMafia).
• GNU Savannah Security Flaw Fixed — The Free Software Foundation (FSF) said it has addressed an exploit demonstrated by Hacktron, alongside additional security issues. «After thorough review, we have found no reason to believe that sensitive project data or credentials were accessed, nor that there has been any compromise of Savannah’s software supply chain,» the FSF said. «Though the initial security issue was reported to us in early May, the vulnerabilities were discovered in software that was published approximately two years prior. We will be communicating directly with Savannah-hosted projects about steps they can take to review and strengthen the security of their projects.»
• 27-Year-Old Authentication Bypass in OpenBSD — Argus said it discovered a 27-year-old authentication bypass flaw in OpenBSD’s PPP stack that could be used to sidestep Password Authentication Protocol (PAP) entirely. «OpenBSD’s sppp_pap_input function used attacker-controlled length fields as the bcmp comparison length for credential validation,» the company said. «Sending zero-length name and password fields caused bcmp to return 0 unconditionally, bypassing PAP authentication entirely.» The flaw was introduced in July 1999. A fix was issued on June 14, 2026.
• Abusing AI Features in SQL Server 2025 for C2 — SpecterOps has revealed that it’s possible to weaponize native AI features in Microsoft SQL Server 2025, such as sp_invoke_external_rest_endpoint, CREATE EXTERNAL MODEL, and AI_GENERATE_EMBEDDINGS as a practical channel for data exfiltration and C2, assuming an attacker has compromised an account with the sysadmin role in the database. To counter the threat, it’s essential to review SQL Server database logins, audit and alert usage of xp_cmdshell, SQL Agent Jobs, and CLR Assemblies, and set up notifications for any changes to sys.external_models or when sp_invoke_external_rest_endpoint is enabled.
• ErrTraffic TDS Exposed — A traffic distribution system (TDS) known as ErrTraffic is being operated under a malware-as-a-service (MaaS) model for bad actors to direct users to ClickFix lures. ErrTraffic is a JavaScript framework that’s injected into compromised WordPress sites. It employs the EtherHiding technique as a dead drop resolver to hide its C2 infrastructure within the blockchain. Sekoia’s analysis of the framework has identified two distinct clusters of activity: Analytics and Beer. While Analytics interacts with the Polygon blockchain to fetch Vidar Stealer, the Beer cluster distributes several stealer families, including Vidar, Stealc, Remus and Salat. Alternatively, malvertising lures impersonating AI tools like Google Antigravity and OpenAI ChatGPT have also been used by the Analytics cluster to propagate DanaBot and Hijack Loader. A threat actor using the name LenAI has advertised and sold the ErrTraffic framework, with a one-month subscription costing $380. The attackers have also been found to use credential stuffing attacks to gain initial access to WordPress accounts and install PHP backdoors on the sites by masquerading as a must-use plugin.
  
• Malicious Resumes Lead to Xctdoor Malware — AhnLab has disclosed details of a new campaign that uses malicious Windows Shortcut (LNK) files disguised as resumes that, upon execution, display decoy documents, while dropping additional scripts which then employ DLL side-loading to deploy Xctdoor, a Go-based backdoor previously attributed to North Korean threat actors. «This attack is a method of executing an LNK file disguised as a normal document, using a task scheduler and a startup program to ensure persistence, and then exploiting the normal executable to execute backdoor malware,» AhnLab said.
• Bypassing Microsoft Entra Conditional Access Policies — NetSPI said it found a way to bypass Microsoft Entra Conditional Access Policies by abusing Nested App Authentication to return access tokens for the Microsoft Graph API. «It was possible to use certain Nested App Authentication (or BroCI) flows to bypass any Conditional Access policy,» security researcher Thomas Byrne said. «This vulnerability served mainly as a persistence mechanism as it would have required a successful phishing attack to return an initial refresh token before the vulnerable authentication flows could be carried out.» A fix for the issue has since been rolled out by Microsoft.
• Mexican Financial Sector Targeted by GitBait — At least a dozen Mexican banks have been targeted by a modular phishing infrastructure dubbed GitBait that abuses GitHub-hosted Pages and employs obfuscated scripts and a centralized credential exfiltration via SheetBest API. Per Group-IB, the large-scale campaign has been active for three years. The activity is «built on a fully serverless architecture that abuses GitHub Pages for hosting and the SheetBest API for credential exfiltration — eliminating the need for any dedicated backend infrastructure.» It’s believed that victims are reached through common phishing delivery channels such as SMS, messaging apps, email, or social media platforms. In all cases, the victim receives a fraudulent URL that directs them to a phishing page impersonating a trusted financial institution. The phishing pages harvest user credentials, payment card details, client identifiers, and passwords through a multi-stage flow that mimics legitimate banking authentication workflows. In some cases, the captured data is exfiltrated to a Telegram bot, marking a deviation from the SheetBest-based mechanism. More than 100 domains associated with the campaign have been identified.
• Email Bombing Leads to Deno-Based Proxy and RAT — A large-scale email flooding campaign is being used as a pretext to target employees with bogus Microsoft Teams calls from an attacker impersonating internal IT support. Victims are then persuaded to download and execute a malicious archive from a fake self-service portal. The archive contains a modular Deno-based Remote Access Trojan and a TCP proxy framework spanning four different JavaScript files. «The JavaScript files implement a Deno-based remote access and tunneling agent,» InfoGuard Labs said. «The main backdoor connects to a CloudFront-hosted WebSocket C2 endpoint, registers victim identity metadata, receives commands, and brokers traffic through local helper services.» The proxy turns the compromised host into a pivot point for internal network access, allowing the attacker to route traffic through the victim machine.

🔧 Cybersecurity Tools

• Aether → Because advanced malware often evades standard antivirus software by executing directly in a system’s RAM, security teams need tools to inspect live memory. Aether is an open-source Windows threat-hunting tool that scans active, running processes for hidden payloads, code injections, and malicious behaviors, using a layered validation model to minimize false alarms during incident response.
• AzureRedOps → It is an open-source offensive security toolkit designed to streamline Microsoft Entra ID and Azure red teaming. It unifies complex workflows—such as multi-flow token management, directory enumeration, and post-exploitation Microsoft Graph actions—into a single command-line interface.

Disclaimer: This is strictly for research and learning. It hasn’t been through a formal security audit, so don’t just blindly drop it into production. Read the code, break it in a sandbox first, and make sure whatever you’re doing stays on the right side of the law.

Conclusion

This week’s lesson: most attacks do not need a genius move. They need one trusted app, one stale login, one noisy plugin, or one user chasing a shortcut.

The fix starts in the dull places. Cut access. Clean old sites. Question helper tools. Watch the small cracks, because that is where the week usually starts leaking.

Múltiples complementos de WordPress de Complemento en forma se vieron comprometidos en un ataque a la cadena de suministro después de que actores de amenazas desconocidos lograron alterar los canales de lanzamiento oficiales y empujar el código de puerta trasera.

«Los atacantes comprometieron el proceso de construcción y distribución del proveedor, inyectando código de puerta trasera en las versiones de complementos Pro distribuidos a través de canales de actualización con licencia oficial», Wordfence dicho en un análisis publicado la semana pasada.

El incidente afecta a los siguientes complementos:

• Product Slider Pro para WooCommerce (versiones anteriores a 3.5.4)
• Testimonios reales Pro (versión 3.2.5)
• Smart Post Show Pro (versiones anteriores a 4.0.2)

Como se mencionó anteriormente, vale la pena enfatizar que el compromiso solo afecta a las compilaciones de complementos Pro distribuidas a través de la infraestructura Easy Digital Downloads (EDD) del proveedor a través de account.shapeplugin.[.]com. Las versiones gratuitas de los complementos en WordPress.org no se ven afectadas.

Al compromiso de la cadena de suministro asociado con Product Slider Pro para WooCommerce se le ha asignado el identificador CVE CVE-2026-49777junto con una puntuación CVSS de 10,0, que indica gravedad máxima. CVE-2026-10735 (Puntuación CVSS: 9,8) es el identificador CVE para todo el incidente.

La compañía de seguridad de WordPress dijo que las versiones comprometidas de los complementos incorporan un cargador que se activa en cada página de administración, lo que hace que obtenga una carga útil de un servidor remoto («194.76.217[.]28:2871»), instálelo y actívelo como un complemento falso.

Una vez activado, el malware informa el dominio de la víctima al servidor y se borra para cubrir las huellas y complicar los esfuerzos de respuesta a incidentes. El complemento falsificado, por su parte, se oculta de la lista de complementos de administración de WordPress y es capaz de capturar credenciales en texto sin formato y códigos de autenticación de dos factores (2FA).

También establece múltiples métodos de persistencia que permiten escrituras de archivos arbitrarios a través de un punto final REST personalizado cuando se proporciona un token de autenticación específico, además de eliminar un shell web con funciones de ejecución de comandos. Por último, utiliza un archivo PHP llamado «install-persistent.php», que se incluye como parte del complemento, para extraer los siguientes datos:

• Contenido completo de wp-config.php, incluidas las credenciales de la base de datos, las claves de autenticación y la configuración de depuración.
• Todas las cuentas de administrador con fechas de registro
• Credenciales del complemento de correo de WP Mail SMTP, Post SMTP y Easy WP SMTP
• Datos de pedidos de WooCommerce de los últimos 3 meses con desglose del método de pago

Una vez que se muestra esta información, el archivo se elimina. La evidencia indica que el ataque podría comprometer el proceso de construcción, en lugar de un envenenamiento directo de los paquetes.

Lo que es particularmente peligroso de este ataque es que expone a los propietarios de sitios que compraron licencias legítimas e instalaron actualizaciones directamente desde el sistema de actualización oficial del proveedor al malware.

Al ser notificado del problema, ShapedPlugin confirmó el incidente y agregó que está revisando los procesos de distribución y lanzamiento para garantizar la integridad de sus productos en el futuro. Se espera que se publiquen nuevas versiones de los complementos afectados en espera de revisiones de seguridad exhaustivas y pruebas de validación.

Se recomienda a los propietarios de sitios que hayan instalado las versiones maliciosas que restablezcan todas las contraseñas, revoquen y regeneren los secretos 2FA para todos los usuarios, revisen las cuentas de administrador en busca de adiciones no autorizadas y verifiquen las configuraciones de complementos de correo para detectar credenciales SMTP modificadas.

Investigadores de ciberseguridad han revelado detalles de cuatro vulnerabilidades en Dificaruna plataforma de flujo de trabajo agente de código abierto con más de 146.000 estrellas de GitHubque podría permitir a los atacantes leer sigilosamente conversiones de inteligencia artificial (IA) de las aplicaciones de otros clientes sin requerir autenticación.

Las vulnerabilidades han recibido un nombre en código colectivo. DifyTap por Seguridad Zafran.

«Dos eran de gravedad crítica, dos no requerían autenticación y tres tenían un impacto entre inquilinos en el servicio de nube multiinquilino de Dify, permitiendo que los datos de un cliente quedaran expuestos a otro», investigadores Ido Shani y Gal Zaban. dicho.

Los defectos de seguridad podrían haber permitido a los atacantes leer chats privados de IA de las aplicaciones de otros clientes, creando un canal de exfiltración encubierto para cada mensaje y respuesta modelo.

También hicieron posible atravesar la API interna de Plugin Daemon de Dify desde solicitudes no autenticadas y activar llamadas API internas entre inquilinos, así como obtener una vista previa de los documentos cargados por otros inquilinos y filtrar archivos entre usuarios dentro de un inquilino adjuntando el identificador único del archivo de otro usuario.

Por otra parte, Zafran dijo que también descubrió que la pila de análisis de archivos de Dify dependía de una versión de PDFium, una biblioteca C++ de código abierto para renderizado de PDF, que era vulnerable a CVE-2024-5846 (Puntuación CVSS: 8,8), un error de uso después de la liberación que data de hace dos años y que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de un archivo PDF manipulado.

Las vulnerabilidades restantes se enumeran a continuación:

• CVE-2026-41947 (Puntuación CVSS: 9,1): una vulnerabilidad de omisión de autorización que permite a los usuarios del editor autenticados establecer y habilitar configuraciones de seguimiento para cualquier aplicación, independientemente de la propiedad del inquilino.
• CVE-2026-41948 (Puntuación CVSS: 9,4): una vulnerabilidad de recorrido de ruta que permite a los usuarios autenticados manipular las solicitudes enviadas a la API REST interna del Plugin Daemon explotando una desinfección insuficiente de la ruta URL y accediendo a puntos finales privados internos.
• CVE-2026-41949 (Puntuación CVSS: 7,5/5,9): una vulnerabilidad de omisión de autorización en el punto final de vista previa de archivos («/console/api/files/{file_id}/preview») que permite a cualquier usuario autenticado leer hasta 3000 caracteres de cualquier documento cargado en todos los inquilinos y espacios de trabajo utilizando solo el UUID del archivo.
• CVE-2026-41950 (Puntuación CVSS: 6,5): una vulnerabilidad de omisión de autorización que permite a los usuarios autenticados leer el contenido completo de los archivos cargados por otros usuarios dentro del mismo inquilino al proporcionar un UUID de archivo arbitrario en la matriz de archivos de una solicitud de mensajes de chat.

Las comprobaciones de propiedad de los inquilinos que faltan se pueden aprovechar para redirigir todos los mensajes y respuestas de las aplicaciones de las víctimas a un proveedor de seguimiento LLM controlado por el atacante. Vale la pena señalar que cualquiera puede registrarse libremente para obtener una cuenta Dify.

«En consecuencia, un atacante puede configurar su propio seguimiento para cualquier aplicación a la que pueda acceder como cliente, lo que incluye todas las aplicaciones de acceso público», explicaron los investigadores. «Esto permite a un atacante crear un canal de exfiltración persistente para todos los mensajes y respuestas enviados en la aplicación».

Tras una divulgación responsable, todas las vulnerabilidades excepto CVE-2026-41948 se han abordado en versión 1.14.2que se envió el mes pasado. Se espera que una solución para la falla pendiente esté disponible en la próxima versión de Dify.

«DifyTap demuestra dónde reside el desafío en la visibilidad de las vulnerabilidades, particularmente en las imágenes de contenedores, donde las diferencias entre implementaciones pueden crear brechas de visibilidad que los escáneres tradicionales no pueden detectar», la compañía dicho.

Google ha fijado el 30 de septiembre de 2026 como el día en que comenzará a aplicar Verificación de desarrollador de Android en los primeros cuatro países, y las tiendas de aplicaciones de los principales fabricantes de dispositivos están presentes desde el principio.

En esa fecha, los teléfonos Android certificados en Brasil, Indonesia, Singapur y Tailandia bloquearán las instalaciones normales de aplicaciones cuyos desarrolladores no hayan registrado una identidad con Google, ya sea que la aplicación provenga de Google Play o de las tiendas administradas por Samsung, Xiaomi, OPPO, vivo, Honor y Transsion.

Los dispositivos certificados son los que se envían con los servicios de Google y Play Protect, que, según el recuento de F-Droid, representa más del 95 por ciento de los dispositivos Android fuera de China.

La mayoría de los usuarios no se darán cuenta, que es el punto. Las aplicaciones de desarrolladores verificados siguen instalándose como antes. La fricción recae en aplicaciones de desarrolladores que Google no ha verificado, y es más difícil en los canales independientes y de código abierto, basados ​​en que no necesitan el permiso de Google para enviar.

Los desarrolladores que distribuyen a través de esas tiendas deben verificar y registrarse antes de la fecha límite. Google dice que las aplicaciones que no lo hagan no estarán disponibles para una nueva instalación en dispositivos certificados en los cuatro países.

Lo que cambia el 30 de septiembre

La verificación se ejecuta en el dispositivo. Google está impulsando una nueva servicio del sistemael Verificador de desarrolladores de Android, para teléfonos con Android 8 y versiones posteriores a partir de junio de 2026, y confirma que una aplicación está registrada para un desarrollador verificado antes de que se instale.

Después del 30 de septiembre, en los cuatro mercados de lanzamiento, una aplicación no registrada no se instalará mediante la ruta normal. Todavía se puede instalar a través de Android Debug Bridge (ADB) o mediante el flujo avanzado, la ruta deliberadamente de alta fricción que Google construyó a principios de este año. Esa ruta hace que el usuario active el modo de desarrollador, reinicie, espere 24 horas y se vuelva a autenticar antes de descargar una aplicación no verificada, y se globaliza en agosto.

El registro se abrió para todos los desarrolladores en marzo y Google dice que ya cubre casi todas las instalaciones en Google Play y una gran mayoría de las que se realizan fuera de él.

Para registrarse, un desarrollador proporciona a Google un nombre legal, una dirección y datos de contacto, es posible que deba cargar una identificación gubernamental y demuestra la propiedad de cada aplicación enviando un APK firmado con su clave privada.

Google también está agregando API para registro masivo y verificación de nombres de paquetes, con delegación de OAuth para que una tienda de terceros pueda ejecutar partes del proceso para los desarrolladores. Las dos interfaces, una API de estado de ID de desarrollador de Android y una API de consola de desarrollador de Android, llegarán en julio.

Un carril separado para cuentas gratuitas de distribución limitada ingresa al acceso anticipado en julio y se lanza a nivel mundial en agosto; permite a estudiantes y aficionados compartir aplicaciones con hasta 20 dispositivos, sin identificación gubernamental ni tarifa. La cuenta de desarrollador completa estándar conlleva una tarifa única de $25.

Por qué el campo del código abierto está luchando contra ello

El caso de Google es el malware. Dice que las fuentes descargadas contienen mucha más cantidad que Google Play, y que las estafas funcionan cada vez más convenciendo a la víctima para que instale un APK malicioso en el acto.

Un control de identidad y una espera de 24 horas están destinados a romper con eso. Google dice que eligió los cuatro países de lanzamiento porque se ven muy afectados por estafas de aplicaciones, a menudo por parte de infractores reincidentes.

El rechazo ha sido fuerte desde que se anunció el programa en agosto de 2025. F-Droid, el repositorio de aplicaciones de software libre, dice que el requisito pondría fin a su proyectoporque crea y firma aplicaciones de muchos colaboradores seudónimos que no le darán a Google una identidad legal.

A Mantener Android abierto Una campaña respaldada por más de 70 organizaciones en 23 países ha pedido a Google que elimine las comprobaciones de identificación de las aplicaciones enviadas fuera de Play. Las concesiones de Google, el flujo avanzado y las cuentas de 20 dispositivos responden a la queja de que se estaba eliminando la descarga lateral. No tocan el problema más profundo: una sola empresa se sentaría en el camino de instalación de casi todos los dispositivos Android fuera de China y decidiría quién obtiene el camino fluido.

Quedan abiertas tres preguntas antes del lanzamiento global en 2027: si Google detalla un proceso de apelación para los desarrolladores que marca por error, qué mantiene en el registro de identidad y durante cuánto tiempo, y si ofrece alguna ruta para repositorios como F-Droid que no pueden cumplir con el control de propiedad por aplicación sin cambiar su funcionamiento.

Las agencias de inteligencia de Estados Unidos, Canadá, Reino Unido, Australia y Nueva Zelanda advierten que los modelos avanzados de IA capaces de causar estragos en el dominio cibernético están a “meses” de estar disponibles públicamente.

En una declaración conjunta, la alianza Five Eyes dice que esperan que el tipo de capacidades de piratería avanzadas proporcionadas por modelos fronterizos como Fable 5 de Anthropic y Daybreak de OpenAI estén ampliamente disponibles para el público dentro de un año, a pesar de los esfuerzos de las empresas de IA para retenerlas o restringir su acceso.

«Se prevé que los modelos Frontier Al superen las expectativas actuales de la industria, transformando fundamentalmente las capacidades cibernéticas tanto ofensivas como defensivas», dijeron las agencias. «El cronograma no es de años, sino de meses».

La declaración, que incluía firmas del director de la Dirección de Ciberseguridad de la NSA, David Imbordino, y del director interino de CISA, Nick Andersen, no cita específicamente fuentes o métodos secretos o clasificados para llegar a esta conclusión.

Pero gran parte de la justificación subyacente proporcionada por las agencias de inteligencia también se alinea con lo que los expertos públicos en ciberseguridad e inteligencia artificial han estado advirtiendo durante meses.

Los modelos de IA capaces de explotar las debilidades de la ciberseguridad ya están disponibles hoy a través de múltiples canales: modelos comerciales más antiguos, versiones de código abierto o fuentes extranjeras y del mercado negro.

Las agencias señalan los sistemas heredados, los ciclos de parcheo lentos, la conectividad innecesaria a Internet, los controles débiles de identidad y acceso y la falta de planificación previa a los incidentes por parte de las organizaciones como debilidades clave que la IA explotará con excelencia.

Y si bien se dice que los modelos más nuevos como Mythos son significativamente más poderosos para tareas relacionadas con la ciberseguridad, el ritmo vertiginoso del desarrollo de modelos de frontera a menudo significa que la IA de frontera restringida de ayer es La IA gratuita y de código abierto del mañana.

«El rápido ritmo del desarrollo de la IA significa que las suposiciones de riesgo cibernético pueden quedar obsoletas en meses, no en años», escribieron las agencias. «Debemos actuar antes y estar preparados para adaptarnos y resistir las amenazas cambiantes».

Desde que los grandes modelos de lenguaje irrumpieron en escena, los modelos de código abierto se han retrasado entre 6 y 8 meses con respecto a las empresas de inteligencia artificial más grandes.

Para dar una idea de lo rápido que se desarrolla este campo: las capacidades descritas en el informe de inteligencia de amenazas de Amazon que convenció a la administración Trump de imponer controles de exportación a Fable 5 ya podrían lograrse a través de modelos más antiguos como Claude Opus y Claude Sonnet, así como modelos chinos de código abierto.

Como resultado, Anthropic cerró el acceso a sus modelos Fable 5 y Mythos 5 y, a pesar de publicar una declaración de que creen que la decisión de la Casa Blanca fue un «malentendido», la disputa sigue resuelta.

Programas como el Proyecto Glasswing de Anthropic y el Programa Trusted Access for Cyber ​​de OpenAI proporcionan sistemas de IA a organizaciones para la ciberdefensa. El objetivo es dar a los defensores una ventaja para encontrar y corregir vulnerabilidades antes de que los sistemas de inteligencia artificial puedan explotarlas de forma rutinaria en los próximos años.

Sin embargo, a pesar de todo el temor que rodea a la nueva tecnología, la orientación recomendada es en gran medida la misma que ha sido durante décadas. Los gobiernos, las empresas y los líderes deben dejar de tratar la seguridad digital de su trabajo como una ocurrencia tardía o una cuestión de cumplimiento.

«El éxito vendrá de lograr los conceptos básicos correctos, actuar rápidamente e integrar la seguridad cibernética en la estrategia comercial central», escribieron las agencias. «Aquellos que no lo hagan se enfrentarán a una creciente desventaja operativa y estratégica».

Una sobrelectura del montón en el proxy web de Squid puede filtrar la solicitud HTTP en texto claro de otro usuario, incluidas las credenciales o tokens de sesión que lleva, a cualquiera que ya tenga permiso para enviar tráfico a través del mismo proxy.

El error se remonta a un 1997 cambio de análisis de FTP y todavía está activo en la configuración predeterminada de Squid. Investigadores de Calif.io lo reveló en junio y lo nombró calamar (CVE-2026-47729), después de Heartbleed, que filtró memoria de la misma manera.

Squid describe esto como un ataque de un cliente de confianza: alguien que ya tiene permiso para usar el proxy, no cualquier host aleatorio en Internet. Eso coincide con el hogar habitual de Squid, redes compartidas como escuelas, oficinas y Wi-Fi público. En esas configuraciones, el atacante es simplemente otro usuario del mismo proxy.

La filtración también llega sólo al tráfico que Squid puede leer. HTTPS normal recorre un túnel CONNECT opaco, por lo que Squid nunca ve su interior; el tráfico expuesto es HTTP de texto sin cifrar, además de configuraciones de terminación TLS donde Squid descifra e inspecciona.

El atacante también necesita que el proxy llegue a un servidor FTP que controla en el puerto 21. Tanto FTP como ese puerto están activados de forma predeterminada.

Cómo funciona la fuga

El error se encuentra en el analizador de listado de directorios FTP de Squid. Para manejar servidores NetWare antiguos que rellenaban listados con espacios adicionales, el código omite los espacios en blanco con un bucle: while (strchr(w_space, *copyFrom)) ++copyFrom;.

Si el servidor FTP del atacante envía una línea de listado que termina justo después de la marca de tiempo, sin nombre de archivo, copyFrom aterriza en el terminador nulo de la cadena. strchr trata esa terminación NUL como parte de la cadena que busca, por lo que devuelve un puntero en lugar de NULL y el bucle nunca se detiene. Sale del final del búfer y xstrdup copia lo que sigue al atacante como un nombre de archivo.

Los bytes filtrados son la parte útil. Squid reutiliza los buffers de memoria liberados sin ponerlos a cero, por lo que un buffer de 4 KB que recientemente contuvo la solicitud HTTP de una víctima todavía contiene la mayor parte. Una línea FTP corta sobrescribe sólo los primeros bytes; la lectura excesiva devuelve el resto.

La demostración de Calif extrae un encabezado de Autorización de una víctima que comparte el mismo proxy, suficiente para actuar como ese usuario. El código de prueba de concepto es públicoy hasta el momento no se ha informado de explotación en la naturaleza.

que hacer

Si aplica el parche, verifique la solución, no solo la versión. Confirme que la guardia esté en FtpGateway.cc, o verifique el backport de su distribución, ya que las distribuciones envían sus propias compilaciones (paquetes Debian Squid 5.7).

El hilo público sigue siendo inconsistente: el mantenedor Amos Jeffries primero dijo que Squid 7.6 tenía la solución, luego corregido eso a 7.7y el 22 de junio Salvatore Bonaccorso de Debian tomó nota del compromiso al que se hace referencia Parece que ya está en 7.6.

La solución es pequeña, una verificación de terminador nulo antes de que las llamadas strchr vulnerablesfusionado con la rama de desarrollo en abril y v7 en mayo. Squid 7.6 parchea por separado CVE-2026-50012, un desbordamiento del montón cache_digest no relacionado.

La medida más limpia es la que recomiendan los investigadores de todos modos: desactivar FTP. Chromium eliminó FTP hace años y la mayoría de las redes casi no lo transportan, por lo que al desactivarlo se elimina esta superficie de ataque de forma gratuita, independientemente de la versión que ejecute.

El riesgo es real pero limitado. SUSE lo califica como moderado, CVSS6.5y el vector explica la puntuación: el atacante necesita acceso proxy (privilegios bajos) y el único impacto es la confidencialidad, nada sobre la integridad o la disponibilidad.

Calif le da crédito a Claude Mythos Preview de Anthropic, el modelo detrás del Proyecto Glasswing, por detectar la peculiaridad de strchr casi de inmediato; el mismo tipo de error enterrado del analizador que los agentes de IA han estado apareciendo en otros lugares, incluso en FFmpeg. Calif insinúa que el código FTP de Squid puede no ser el último lugar donde olvidó dejar de leer.

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que ofrece CastleStealer mediante un cargador de malware no reportado previamente denominado OXLOADER.

Según Elastic Security Labs, la campaña aprovecha los anuncios maliciosos de Google como punto de partida para distribuir el malware. La evidencia indica que el actor de la amenaza probablemente habla ruso y tiene motivaciones financieras, debido a la presencia de exclusiones explícitas para evitar infectar máquinas ubicadas en la región de la Comunidad de Estados Independientes (CEI). La campaña lleva el nombre en código REF8372.

«El cargador utiliza varias capas de ofuscación (aplanamiento de flujo de control, predicados opacos, aritmética booleana mixta), códigos auxiliares de descifrado que se modifican automáticamente y abusa de la sección .reloc de Windows para preparar el código shell», afirman los investigadores Daniel Stepanic y Jia Yu Chan. dicho en una avería técnica.

El ataque comienza cuando usuarios desprevenidos ingresan consultas como «versión lts de node.js» en motores de búsqueda como Google, redireccionándolos a un sitio web falso («node-js[.]prentiva99[.]info») surgió a través de anuncios falsos publicados bajo el nombre verificado «ВОЛОДИМИР ТЕРЕЩЕНКО» que supuestamente tiene su sede en Ucrania.

Actualmente se desconoce si la cuenta del anunciante está vinculada al actor de la amenaza real, o si es una cuenta frontal o una identidad comprada. La cuenta del anunciante, junto con sus campañas publicitarias, se eliminó de Google el 14 de mayo de 2026.

Los usuarios que terminan interactuando con el sitio reciben un script por lotes alojado en Storj, una plataforma descentralizada de almacenamiento en la nube de código abierto. El abuso de Storj ilustra una vez más cómo los actores de amenazas continúan aprovechando servicios legítimos para evadir los filtros de reputación basados ​​en dominios.

La ejecución del script por lotes muestra una interfaz de usuario (UI) del asistente de instalación falsa, mientras se descarga sigilosamente una carga útil de la siguiente etapa, una Ejecutable alojado en Storj denominado OXLOADER a través de un comando de PowerShell y ejecutándolo con -Verb RunAs para activar un mensaje de Control de cuentas de usuario (UAC) de Windows.

Luego, el ataque emplea la carga lateral de DLL para lanzar una DLL maliciosa, que luego procede a descifrar y ejecutar la carga útil de CastleStealer. OXLOADER también utiliza técnicas como el aplanamiento del flujo de control (CFF) y la aritmética booleana mixta (MBA) para evadir la detección estática, al mismo tiempo que toma medidas para garantizar que no se ejecute en entornos aislados.

CastleStealer es un ladrón de información .NET que se distribuyó recientemente junto con CastleLoader a través de un señuelo estilo ClickFix disfrazado de herramienta gratuita de edición de imágenes como parte de una campaña con nombre en código BackgroundFix. CastleLoader se atribuye a un grupo de actividad de amenazas conocido como GrayBravo.

«OXLOADER se encuentra en una fase operativa temprana, pero la ingeniería detrás de él sugiere que vale la pena observar esta familia», dijo Elastic. «La ofuscación del código, las medidas anti-VM, el código de apariencia benigna utilizado para enmascarar sus archivos binarios y las técnicas de puesta en escena únicas reflejan decisiones de ingeniería deliberadas para evadir el análisis».

«Esa inversión está dando sus frutos, lo que da como resultado bajas tasas de detección en motores estáticos y ciclos de detonación, lo que le da a OXLOADER una ventana para operar antes de ser perseguido».