Los investigadores de ciberseguridad han descrito lo que dicen es una nueva clase de ataque que puede engañar a los agentes codificadores de inteligencia artificial (IA) para que ejecuten código arbitrario en las máquinas de los desarrolladores.

Llamado secuestro de agente Según Tenet Security, el ataque puede desencadenarse mediante un informe de error falso elaborado con Sentry, una plataforma de seguimiento de errores y monitoreo del rendimiento de código abierto.

«El ataque explota una falla arquitectónica crítica en la intersección de la ingestión de eventos de Sentry (que acepta cargas útiles arbitrarias de cualquier persona con el DSN) y el servidor Sentry MCP (que devuelve estos datos a los agentes de IA como salida confiable del sistema)», los investigadores de seguridad Ron Bobrov, Barak Sternberg y Nevo Poran dicho.

La idea es inyectar información diseñada en los eventos de error de Sentry, que luego son interpretados por agentes de codificación como Claude Code y Cursor como pasos legítimos de resolución de diagnóstico y ejecutan código controlado por el atacante.

Un ataque exitoso de este tipo puede exponer datos confidenciales, incluidas variables de entorno, credenciales de Git, URL de repositorios privados e identidades de desarrolladores, sin tener que depender de métodos como el phishing o el compromiso previo del servidor.

El problema tiene su origen en la confianza implícita asociada con la conexión a servicios externos mediante el Protocolo de contexto modelo (MCP). Debido a que un agente de IA no puede distinguir entre un evento de error generado por una falla real de una aplicación o inyectado por un atacante, crea una vía para la ejecución de código arbitrario cuando el agente procesa la respuesta.

La cadena de ataque ideada por Tenet es la siguiente:

• Un atacante encuentra el nombre de la fuente de datos Sentry de un objetivo (DSN), una credencial pública de solo escritura integrada en sitios web.
• El atacante envía un evento de error malicioso al punto final de ingesta de Sentry a través de una solicitud POST utilizando el DSN.
• El evento inyectado contiene «rebajas cuidadosamente formateadas» en el campo del mensaje y los nombres de las claves de contexto. Cuando el servidor Sentry MCP devuelve este evento a un agente de IA, se presenta como contenido estructurado visualmente idéntico a la plantilla del sistema Sentry.
• Cuando un desarrollador le pide a su agente de codificación de IA que «solucione problemas de Sentry no resueltos» (o un mensaje similar), el agente consulta a Sentry a través de MCP y recibe el evento malicioso.
• El agente ejecuta código malicioso, que se ejecuta con todos los privilegios del desarrollador.

«El atacante nunca toca la infraestructura de la víctima», explicaron los investigadores. «La instrucción maliciosa llega disfrazada de una ‘Resolución’ legítima dentro de un error ordinario. Cuando un desarrollador le pide a su agente de IA que solucione el problema de Sentry, el agente lee el comando del atacante como una guía confiable y lo ejecuta, con los propios privilegios del desarrollador, en la propia máquina del desarrollador».

Agentjacking se destaca porque se dirige al agente de IA en el que confía un desarrollador y utiliza un Sentry DSN como punto de partida. Además, la inyección de rebajas se realiza de tal manera que el agente no puede distinguirla de la guía legítima de Sentry.

La compañía de ciberseguridad de IA dijo que encontró al menos 2.388 organizaciones expuestas con DSN inyectables válidos y que probó el ataque de manera controlada contra más de 100 organizaciones, logrando una tasa de éxito de explotación del 85% contra errores inyectados en algunos de los asistentes de codificación de IA más utilizados.

Sentry, por su parte, reconoció el problema, pero optó por no solucionarlo, afirmando que «técnicamente no es defendible». Sin embargo, se dice que la compañía activó un filtro de contenido global que bloquea una «cadena de carga útil específica».

«A medida que las empresas se apresuran a implementar agentes de codificación de IA, esta investigación demuestra que los propios agentes ahora son la superficie de ataque, vueltos contra los desarrolladores que confían en ellos, utilizando nada más que datos que esas organizaciones publican sobre sí mismas», dijo Tenet. «El ataque evita EDR, WAF, IAM, VPN, Cloudflare y firewalls, porque no hay nada malicioso que detectar. Cada acción en la cadena está autorizada».

El campo de batalla digital se está expandiendo y cambiando más rápido que nunca. Washington debe enfrentar crecientes amenazas a redes y sistemas críticos. Pero hay un desafío que destaca por encima del resto: la inteligencia artificial. Los expertos cibernéticos del país deben estar preparados para afrontar esta nueva realidad.

El programa CyberCorps: Beca para el Servicio es una iniciativa federal que ha hecho precisamente eso durante 25 años, contribuyendo casi 5.000 profesionales de ciberseguridad a la fuerza laboral federal. El programa es una historia de éxito, pero la administración Trump lo ha puesto en riesgo al intentar recortar drásticamente su financiación. Afortunadamente, el Congreso ha intervenido y seguirá financiando el programa. La administración debería seguir el ejemplo del Congreso y apoyarlo en el futuro.

El programa CyberCorps se desarrolló como un equivalente al Cuerpo de Capacitación de Oficiales de Reserva (ROTC) para profesionales civiles de ciberseguridad, otorgando a los estudiantes participantes becas completas y estipendios para su educación en ciberseguridad a cambio de la obligación de servir al gobierno federal después de graduarse. Los participantes también reciben instrucción especializada y pasantías de verano además de sus cursos, lo que proporciona al gobierno federal empleados talentosos, examinados en seguridad y bien educados para defender a los Estados Unidos de las amenazas cibernéticas.

La IA está cambiando la ciberseguridad, creando nuevas oportunidades y nuevos peligros. CyberCorps se está adaptando para mantenerse a la vanguardia. La situación está impulsada por tres tendencias claras: la IA se está expandiendo rápidamente en todos los sectores, los actores de amenazas la están utilizando para ataques más avanzados y los modelos de IA más nuevos pueden encontrar vulnerabilidades de software más rápido que nunca.

En un informe publicado el mes pasado, los investigadores de Google dijeron que descubrieron una vulnerabilidad de seguridad previamente desconocida desarrollada por IA capaz de iniciar un ciberataque a gran escala. Expertos estimar que ahora hay una ventana de tres a cinco meses en la que los adversarios comenzarán a superar a las organizaciones que utilizan métodos de ataque impulsados ​​por IA para descubrir vulnerabilidades cibernéticas. Jen Easterly, exdirectora de la Agencia de Seguridad de Infraestructura y Ciberseguridad escribió El año pasado, la ciberseguridad tal como la conocemos se está convirtiendo en una reliquia del pasado y que la IA es el camino a seguir.

Las amenazas cibernéticas avanzan más rápido que nunca y nuestra fuerza laboral debe seguir el ritmo. CyberCorps está dando un paso adelante para afrontar el momento. Este año, los participantes del programa deben tener experiencia educativa en IA o planear desarrollar una. Las nuevas directrices requieren experiencia en dos áreas críticas: utilizar la IA en operaciones de ciberseguridad y proteger los propios sistemas de IA. Necesitamos expertos que puedan utilizar la IA para defendernos y personas que puedan proteger las herramientas de IA para que no se conviertan en armas. Los graduados del programa tendrán ambos conjuntos de habilidades, equipados para manejar las amenazas actuales y adaptarse a medida que evolucionan.

Para facilitar este esfuerzo, el programa CyberCorps apoya a las escuelas participantes existentes brindándoles capacitación en inteligencia artificial. CyberCorps también permite a las escuelas dedicar una parte del dinero que reciben a través de la membresía del programa a crear su propia capacitación en IA o brindar capacitación de otras instituciones para estudiantes e instructores.

Estos cambios logran dos cosas importantes. Preparan a los participantes como ciberprofesionales capaces mientras abordan una crisis laboral que el gobierno ya no puede ignorar. Sólo el Pentágono estima que necesita 25.000 expertos cibernéticos más. Al alinear el programa CyberCorps con las prioridades de la fuerza laboral de IA de la administración Trump, el gobierno finalmente está destinando recursos a una solución que importa.

El presidente Trump y la Fundación Nacional de Ciencias merecen crédito por su ágil trabajo para adaptarse a este desafío. Pero ese claro reconocimiento hace que la situación presupuestaria actual sea aún más irritante. El mayor énfasis en la IA en el programa CyberCorps podría respaldar la experiencia gubernamental en IA en los próximos años, pero sólo si el programa cuenta con los recursos adecuados.

El 2026 de la administración Trump presupuesto La solicitud incluía un recorte del 65 por ciento en la financiación de CyberCorps a sólo 21,7 millones de dólares, que el Congreso rectificó mediante apropiarse 63 millones de dólares. A pesar de esta clara señal del Congreso, el plan del presidente para 2027 presupuesto volvió a solicitar 21,7 millones de dólares, un recorte drástico.

Una vez más, el Congreso está interviniendo para arreglar las cosas. La financiación del Congreso informe para el año fiscal 2027 recomienda agregar entre $60 millones y $70 millones de fondos al programa. El informe también fomenta la inclusión de “la IA en las actividades financiadas por el programa para maximizar el potencial de aprendizaje en ambos campos” y aconseja aumentar el número de becas ofrecidas. Para implementar plenamente estas recomendaciones, el programa necesitará aún más financiación. El Congreso está en lo cierto.

Estados Unidos necesita defensores cibernéticos fuertes y preparados para la era de la IA. CyberCorps debe liderar el avance del gobierno federal. Con el apoyo adecuado, el programa logrará el éxito cibernético que exige nuestra nación.

El contraalmirante (retirado) Mark Montgomery es el director senior del Centro de Innovación Tecnológica y Cibernética de la Fundación para la Defensa de las Democracias, donde Sophie McDowall es investigadora asociada.

For most of the past decade, managed detection and response was the answer to a real problem. Security teams couldn’t staff around the clock, couldn’t hire enough analysts, and needed someone else to handle the alert queue. MDR stepped in. It worked well enough. Until now.

The threat landscape has changed faster than the MDR model can adapt. Attackers are using AI to move faster, generate more convincing phishing at scale, automate reconnaissance, and create malware variants that evade signature-based detection. The attack surface has expanded from endpoint to cloud, identity, and network simultaneously. And yet MDR is still doing what it always did. Routing alerts to human analysts who triage what they can, in the order they can get to it.

That is no longer enough. The data we share below proves it and security leaders might consider exploring whether they have outgrown their MDR.

MDR’s 24/7 promise doesn’t cover 60% of your alerts

MDR promised 24/7 human coverage. What it delivered was a 24/7 human capacity to triage high-severity alerts. Those are not the same thing.

Across the industry, approximately 60% of alerts go unreviewed. That’s not a performance failure. Human teams, whether in-house or outsourced to an MDR, cannot process the volume of alerts that modern environments generate. So they do what any rational person does. They prioritize. P1s and P2s get worked. P3s and P4s pile up.

But this is exactly where attackers hide.

Analysis of 25 million alerts across global enterprises in 2025 found that nearly 1% of real threats originate in low-severity and informational alerts. In an enterprise generating 450,000 alerts annually, that translates to roughly 54 real incidents per year, about one per week, sitting in the deprioritized queue where no one is looking.

The breaches hiding in that backlog are not theoretical. They are happening right now, in organizations that believe they have coverage.

Note: The math behind the above statement assumes 450K annual alerts, of which 60% are not investigated and of those, 2% are real incidents. Of those real incidents, 1% originate in low-severity alerts.

Investigation quality varies by who is on shift

Even for alerts that do get reviewed, MDR investigation quality is not consistent. It is bounded by the experience of the analyst on duty, the queue depth at that moment, the time of day, and whether the team is fully staffed. A P1 at 3 am gets a different investigation than the same alert at 10 am.

This is not a criticism of MDR analysts. It is a description of what happens when any human-executed process runs at high volume, under pressure, around the clock. Variance is unavoidable.

The consequences are real. When an investigation is shallow, threats get classified as noise. When follow-through is inconsistent, early-stage lateral movement looks like routine behavior. The attacker who got in on a low-severity alert keeps moving undetected because no one had the time or context to connect the signals.

Detection engineering is not a closed loop

In most MDR deployments, detection engineering is a periodic exercise. Rules get tuned when customers complain about alert volume. New coverage gets added when a major CVE makes news. Otherwise, the detection posture drifts.

The core problem is architectural. MDR investigation and detection engineering operate in separate silos. When an analyst investigates an alert and closes it as a false positive, that insight rarely feeds back into the detection system. Broken rules stay broken. Noisy rules keep generating noise. New attacker techniques arrive without matching detections.

The result is a detection posture that degrades faster than it improves. Real coverage, measured against the MITRE ATT&CK framework, can be far lower than teams assume.

You can’t audit what you can’t see

Most MDR services are a black box. Customers receive escalations and summaries. They do not get to see the investigation logic, inspect the evidence trail, verify the verdict, or audit what the analyst actually reviewed before closing a case.

In an era where accountability and transparency are security requirements, this is a genuine liability. When an incident is missed, you cannot diagnose why. When a verdict is wrong, you cannot trace the reasoning. When regulators ask what was investigated and how, there is no answer.

The AI savings are going to the vendor, not to you

AI is reducing the operational cost of MDR. Providers are using it to automate portions of triage, reduce analyst hours, and increase margins. Those efficiency gains do not flow through to customers as lower prices or expanded coverage. The buyer still pays the same rate, or more. The provider keeps the savings.

But the coverage gap stays the same. The human scaling constraint stays the same. Only the provider’s cost structure has improved.

You don’t own what was built in your name

Detection rules, triage logic, case history, and investigation learnings accumulate inside the MDR vendor’s platform over the life of the contract. When the contract ends, that knowledge does not move with you. The years of tuning, the accumulated context about your environment, and the detection improvements built from your data all stay with the vendor.

This creates two problems. First, organizations that switch providers start from scratch, rebuilding institutional knowledge that took years to develop. Second, organizations that want to bring security operations in-house, a trend that is accelerating as AI SOC tools mature, find themselves starting with no foundation.

MDR providers, for obvious reasons, are not incentivized to help customers build internal capability. Their model depends on retaining the work.

Your MDR contract may block you from using Claude for your SOC

The above-mentioned knowledge lock-in is no longer just a switching-cost problem. It’s also an AI readiness problem. When you try to deploy an AI agent for SOC work, it needs a knowledge foundation to reason over. Detection rules, case history, behavioral baselines, and forensic verdicts. If those live in your MDR vendor’s platform, your agent is starting from near zero.

Additional MDR gaps worth noting

Aside from the above, MDR has a set of smaller gaps that compound over time. Every customer gets the same generic playbook regardless of their specific risk profile, compliance obligations, or data sensitivity. Integration tools like SOAR, which were supposed to streamline MDR findings into internal workflows, largely failed to deliver on that promise because human-driven investigation doesn’t produce the structured, consistent outputs that automation requires. And when a real incident surfaces and a customer needs to talk to someone who understands their environment, they often reach an AI chatbot or a ticketing queue instead of a person.

What the AI-powered attacker era actually requires

The attackers of 2026 are not waiting for alert queues to clear. AI-generated phishing campaigns hit inboxes at a volume and quality that bypass conventional gateways. Credential stealers like Agent Tesla and LummaC2 move fast. EDR tools are being actively evaded, with research showing that more than half of confirmed compromised endpoints had already been marked as «mitigated» by the EDR vendor. The attacker has already won a round that the defender didn’t know was being played.

Meeting this moment requires a different operating model. One where investigation speed is measured in seconds, not hours. Where every alert gets examined, regardless of severity or time of day. Where the output is an evidence-backed verdict, not an analyst’s judgment call under pressure.

This is what an AI SOC is designed to deliver.

An operating model shift where AI executes and humans supervise

The core idea behind an AI SOC is simple. Move investigative execution out of the human queue and into AI, so that humans can focus on decisions rather than discovery.

In practice, this means 100% of alerts, including endpoint, identity, cloud, network, phishing, and SIEM, are triaged and investigated automatically. Not sampled. Not filtered by severity. All of them. The AI applies the same forensic depth to a P4 alert at 3 am that a senior analyst would apply to a P1 in the afternoon.

Intezer’s platform data across 25 million alerts shows this is achievable. Less than 2% of alerts required human escalation. The over 98% that resolved autonomously did so with sub-minute median triage time and 98% verdict accuracy. For a large enterprise with 450K annual alerts, that means roughly 441K alerts per year are fully investigated and resolved without human intervention and 54 genuine threats that would have been missed under traditional MDR coverage are now caught with actional remediation recommendations.

Forensic depth is what makes AI autonomy trustworthy

AI can summarize an alert. That’s useful. AI can enrich with threat intelligence. Also useful. But neither of those activities is investigation. They are pre-processing.

Genuine AI-driven investigation requires forensic-level interrogation. When an alert fires, the question is not «does this look suspicious?» It is, what actually executed, where did it originate, what did it do, and is there evidence of compromise in memory that the alert itself didn’t surface?

This matters because the most dangerous threats are specifically designed to evade surface-level detection. Fileless malware lives entirely in memory and writes nothing to disk. Code injection hides inside legitimate processes. Early-stage credential theft looks like normal authentication. Without memory forensics, binary analysis, and code reuse detection, an AI investigation is only as deep as the alert data it was handed.

Forensic depth is also what creates the trust threshold, the point at which AI verdicts are accurate and evidence-backed enough to act on without human validation. Below that threshold, AI assists analysts. Above it, AI can safely take on the full investigative workload and escalate only when evidence warrants it.

Closed-loop detection engineering changes everything

One of the most significant structural advantages of a true AI SOC is the closed loop between investigation and detection. Every alert investigation surfaces information about detection quality. Which rules are firing accurately, which are generating noise, and which attacker techniques have no coverage at all?

When this feedback flows continuously into detection engineering, the posture improves without waiting for an annual audit or a customer complaint. Noisy rules get tuned. Broken telemetry gets flagged. New coverage for emerging techniques gets deployed in days, not months. The detection system gets smarter alongside the investigation system.

This is how MITRE ATT&CK coverage moves from a static baseline to a dynamic, improving map of what an organization can actually detect. It is the difference between coverage that reflects what was set up two years ago and coverage that reflects what attackers are doing today.

Pricing that aligns with full coverage

The economics of an AI SOC should match the coverage it provides. Per-alert pricing, still common among AI copilot tools that rely heavily on LLMs, forces customers to be selective about which alerts to send. The result is the same cherry-picking problem that MDR created. High-severity alerts get the attention, low-severity alerts accumulate in a deprioritized queue.

Per-endpoint pricing changes this entirely. The cost is fixed to the number of monitored endpoints, not to alert volume. There is no economic penalty for investigating every alert. Full coverage becomes the default, not a premium option.

This also matters for budget predictability. Alert volumes spike unpredictably during active incidents or when new detections deploy. Endpoint counts are stable. For finance teams trying to plan security spend, the difference is significant.

What ownership looks like under an AI SOC

Detection rules, investigation history, and organizational context should belong to the organization, not to the vendor. This means every detection deployed to a customer’s SIEM is the customer’s rule. Investigation evidence is available for audit at any time. If the organization decides to expand internal capability, build its own AI agents, or switch tools, they take everything with it.

This is not just a contract term. It is a prerequisite for security maturity and for broader adoption of AI tools like Claude for your security team. Organizations that want to eventually supervise AI systems rather than outsource to vendors need a knowledge foundation to build on. That foundation cannot exist if it lives inside a vendor’s platform.

The transition from MDR to AI SOC

Moving from MDR to an AI SOC is not necessarily a rip-and-replace decision for most organizations. The practical path might be augmentation first. Bring in an AI investigation alongside the existing MDR contract, observe what the AI surfaces that the MDR was missing, and let the comparison build the case for a clean transition at renewal.

By the time the MDR contract is up for renewal, the organization typically has months of evidence showing what full alert coverage looks like, what the escalation rate was under AI triage, and what it would cost to maintain the old model versus the new one. The decision is no longer theoretical.

The question security leaders need to answer

The MDR model was designed for a world where attackers operated at human speed, and the primary challenge was staffing coverage. That world is gone. Attackers are running AI-assisted campaigns, moving through environments faster than human triage queues can respond, and specifically targeting the low-severity signal space where MDR leaves blind spots.

The question for every CISO and security leader evaluating their current operations is straightforward. Of the 60% of alerts your team isn’t reviewing, how confident are you that none of them contain a real threat?

The answer, informed by Intezer’s analysis of 25 million real alerts, is that roughly 54 of them do. Every year. One per week. In the pile that no one is looking at.

The AI SOC doesn’t promise to eliminate all threats. No platform does. But it closes the coverage gap that the MDR model structurally cannot. Every alert, every severity, every hour of the day, is investigated with forensic depth, in under a minute. That is what security operations in the AI era look like.

Found this article interesting? See the 2026 MDR renewal checklist by Intezer.

Una operación dirigida por INTERPOL el mes pasado provocó la interrupción de francotiradoruna plataforma de phishing como servicio (PhaaS) de una década, dijo el jueves Group-IB.

El esfuerzo, cuyo nombre en código es Operación Ramz, tuvo lugar entre octubre de 2025 y febrero de 2026, y en él las autoridades de 13 países de la región de Medio Oriente y África del Norte (MENA) realizaron 201 arrestos.

Entre ellos se encontraba Guedz, el principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que se dice que recopiló más de 45.000 registros de víctimas. La detención fue realizada por la Policía Nacional de Argelia. Con el paso de los años, la plataforma se rebautizó como Joker Dz, Storm Dz y Spam Dz.

Como parte de la Operación Ramz, el sitio web utilizado para ofrecer capacidades PhaaS a otros ciberdelincuentes fue eliminado. Las autoridades también confiscaron hardware que contenía software y scripts de phishing.

«Activo desde al menos 2015, Sniper Dz evolucionó hasta convertirse en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a los ciberdelincuentes», dijo la empresa de ciberseguridad con sede en Singapur. dicho.

Desde entonces, se han identificado más de 20.000 dominios únicos asociados con el servicio PhaaS. El conjunto de herramientas se dirigió principalmente a 30 organizaciones globales importantes, incluidas PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing implementadas en cinco idiomas, incluidos árabe, inglés, francés, español y hebreo.

Las campañas de phishing que utilizaban Sniper Dz señalaron a los usuarios de tecnología, redes sociales y plataformas de transmisión en varias geografías al hacerse pasar por marcas populares y entidades gubernamentales utilizando sitios web de imitación convincentes con el objetivo de recopilar credenciales, información personal y otros datos confidenciales.

«Más allá del tradicional robo de credenciales, la plataforma también aprovechó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en todo Medio Oriente y África del Norte», explicó Group-IB. «Los actores de amenazas crearon cuentas falsas en las redes sociales haciéndose pasar por personalidades políticas conocidas y las utilizaron para promover enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a Internet».

Sniper Dz fue objeto de un análisis exhaustivo realizado por la Unidad 42 de Palo Alto Networks en octubre de 2024, que detalló el uso por parte del actor de amenazas de un canal de Telegram con más de 7.300 suscriptores para compartir videos tutoriales y las opciones que ofrece para alojar las páginas de phishing en su propia infraestructura detrás de un servidor proxy.

Lo que hizo que Sniper Dz se destacara del abarrotado mercado PhaaS es que ofrecía toda su infraestructura de forma gratuita, lo que facilitaba a los aspirantes a ciberdelincuentes llevar a cabo campañas de phishing a escala. En cambio, las vías de monetización se basaron en el robo de credenciales y el tráfico de víctimas.

«Las credenciales robadas podrían recolectarse a través de campañas de phishing, mientras que los usuarios que no proporcionaron sus credenciales aún podrían ser redirigidos a fraudes de facturación del operador, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas fraudulentas impulsadas por afiliados», Group-IB dicho.

Investigadores de ciberseguridad han revelado detalles de tres fallas de seguridad ahora parcheadas que afectan LangGraphincluida una cadena de vulnerabilidad crítica que podría resultar en la ejecución remota de código.

LangGraph es un marco de código abierto creado por LangChain para crear aplicaciones de inteligencia artificial (IA) complejas, con estado y de múltiples agentes.

«Una inyección SQL en la función de LangGraph podría permitir a los atacantes obtener control total mediante la ejecución remota de código de un servidor explotando las debilidades en la forma en que el sistema procesa y maneja los datos», Check Point dicho.

La lista de vulnerabilidades identificadas es la siguiente:

• CVE-2025-67644 (Puntuación CVSS: 7,3): existe una vulnerabilidad de inyección SQL en la implementación del punto de control SQLite de LangGraph que permite a los atacantes manipular consultas SQL a través de claves de filtro de metadatos. (Afecta a las versiones de langgraph-checkpoint-sqlite anteriores a la 3.0.1)
• CVE-2026-28277 (Puntuación CVSS: 6,8) – Un lugar inseguro paquete de mensajes Vulnerabilidad de deserialización en LangGraph que podría usarse para desencadenar la reconstrucción de objetos cuando un atacante carga un punto de control que puede modificar los datos del punto de control. (Afecta a versiones de Langgraph anteriores a 1.0.10)
• CVE-2026-27022 (Puntuación CVSS: 6,5): una inyección de consulta RediSearch en @langchain/langgraph-checkpoint-redis que se puede utilizar para evitar los controles de acceso. (Afecta a las versiones de @langchain/langgraph-checkpoint-redis anteriores a la 1.0.1)

«La cadena de vulnerabilidad es explotable en implementaciones autohospedadas que utilizan el puntero de control SQLite o Redis con entrada de filtro controlada por el usuario», dijo Check Point. «La plataforma administrada de LangChain (LangSmith Deployment) no se ve afectada».

El investigador de seguridad Yarden Porat, a quien se le atribuye haber descubierto y reportado las tres fallas, dicho CVE-2025-67644 y CVE-2026-28277 podrían encadenarse para lograr la ejecución remota de código.

Específicamente, la cadena de ataque depende de la aplicación que expone el get_state_history() punto final, que luego permite a un atacante recuperar puntos de control históricos en función de sus metadatos. Requiere los siguientes pasos:

• El atacante prepara una carga útil de msgpack que contiene instrucciones para ejecutar código arbitrario.
• El atacante envía un parámetro de filtro malicioso que explota la vulnerabilidad de inyección SQL para devolver una fila de punto de control falsa a los resultados de la consulta de la base de datos, donde la columna del punto de control contiene datos serializados controlados por el atacante.
• Cuando la aplicación procesa los resultados de la consulta, deserializa el BLOB del punto de control malicioso.
• El atacante aprovecha la vulnerabilidad de deserialización insegura para ejecutar la carga útil del atacante, lo que le permite ejecutar código remoto en el servidor.

LangGraph ha descrito CVE-2026-28277 como un problema posterior a la explotación, donde la explotación exitosa requiere la capacidad de escribir datos de puntos de control controlados por el atacante y convertirlos en ejecución de código en el tiempo de ejecución de la aplicación, y no representa ningún riesgo para las implementaciones existentes alojadas en LangSmith.

En tal escenario, esta escalada desde el acceso de escritura al almacén de puntos de control» hasta la ejecución de código puede «exponer secretos del tiempo de ejecución o proporcionar acceso a otros sistemas al que el tiempo de ejecución puede llegar», dijeron los mantenedores de LangGraph. «El modelo de amenaza descrito requiere que un atacante altere la capa de persistencia del punto de control utilizada por la implementación; Las configuraciones alojadas típicas están diseñadas para evitar dicho acceso».

Check Point dijo que los hallazgos ilustran cómo las clases de vulnerabilidad clásicas, como la inyección SQL, pueden volverse más potentes cuando se manifiestan dentro de marcos de agentes de IA que conllevan un acceso y una confianza elevados, abriendo así la puerta a la exposición de datos confidenciales.

Se recomienda a los usuarios aplicar las últimas correcciones, implementar autenticación para servidores LangGraph autohospedados, evitar secretos estáticos de larga duración, imponer la segmentación de la red, tratar a los agentes de IA como identidades privilegiadas y aplicar el principio de privilegio mínimo (PoLP) para limitar la huella de acceso del agente.

Las autoridades en Europa han interrumpido AudiA6un servicio de lavado de criptomonedas utilizado por bandas de ransomware y redes de ciberdelincuentes.

Europol, en un comunicado emitido el jueves, dijo que el desmantelamiento del AudiA6 cortó un «canal financiero clave utilizado para lavar cientos de millones en ganancias ilícitas». Se estima que el servicio se ha utilizado para blanquear más de 336 millones de euros (~389 millones de dólares) desde su lanzamiento en 2021.

«La plataforma se convirtió en un centro central para los actores de ransomware y ciberdelincuentes que buscaban retirar activos digitales robados mientras ocultaban el rastro del dinero a las autoridades», dijo la agencia. agregado.

Se sospecha que los operadores de AudiA6 también administraron un foro de cibercrimen en la web oscura conocido como Dark2Web, donde los ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros actores de amenazas en todo el mundo.

Como parte del operativo que tuvo lugar el 10 de junio de 2026, se llevaron a cabo una serie de acciones coordinadas, entre ellas:

• Detención de dos presuntos administradores de nacionalidad ucraniana y rusa en Georgia
• Tres búsquedas de propiedades
• Eliminación de 25 dominios e incautación de más de 30 servidores
• Incautación de más de 80 vehículos y múltiples propiedades en Georgia
• Congelación de activos de criptomonedas por valor de 692.000 euros (798.000 dólares) e incautación de 86.000 euros (99.400 dólares) en criptomonedas
• Bloquear cuentas de Telegram utilizadas por la red
• Reemplazo de los sitios web de la web clara y la web oscura de AudiA6 y Dark2Web con un cartel de incautación policial

Al mismo tiempo, el Departamento de Justicia de Estados Unidos (DoJ) anunció cargos contra los dos individuos arrestados, Ruslan Igorevich Tkachuk, de 37 años, y Alexander Vladimirovich Ledenev, de 25, acusándolos de un cargo de conspiración para lavar instrumentos monetarios y un cargo de lavado de dinero encubierto. De ser declarados culpables, ambos se enfrentan a una pena máxima posible de 20 años de prisión.

«De los aproximadamente 10.333 bitcoins depositados, aproximadamente 393,39 BTC (valorados en alrededor de 19.234.331 dólares en el momento de las transacciones) se recibieron directamente de conocidos mercados de la red oscura, organizaciones de ransomware, servicios de cibercrimen y otras fuentes ilícitas, mientras que se depositaron fondos adicionales indirectamente de fuentes ilícitas en carteras AudiA6», dijo el Departamento de Justicia. dicho.

Europol dijo que la represión fue el resultado de una acción coercitiva anterior llevada a cabo por la policía polaca que condujo al arresto de un ciudadano ucraniano en septiembre de 2025 por su presunta participación en actividades de lavado de dinero relacionadas con el grupo AudiA6.

Esto permitió a las autoridades iniciar un examen forense de los dispositivos electrónicos incautados pertenecientes al sospechoso e identificar a personas adicionales vinculadas a la operación.

AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala industrial que se basó en miles de cuentas de intercambio fraudulentas abiertas utilizando identidades robadas o compradas. El servicio criminal ha sido vinculado a más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robo de criptomonedas a gran escala.

Antes de su disrupción, AudiA6 se comercializaba como un servicio de mezcla de criptomonedas que garantizaba anonimato y velocidad. Permitía a los clientes transferir sus ganancias obtenidas ilícitamente a billeteras controladas por el grupo y recibían a cambio fondos «limpios» en una hora a través de una «compleja cadena de transacciones» diseñada para ocultar el origen de los fondos.

Estas transacciones se realizaron a través de plataformas de mensajería privadas, y los operadores cobraban comisiones que oscilaban entre el 3 y el 10 por ciento.

«Durante la investigación se identificaron más de 6.000 registros de Conozca a su Cliente (KYC) vinculados a cuentas de mulas de dinero», dijo Europol. «Muchas de las cuentas de las mulas estaban conectadas a intermediarios de habla rusa reclutados específicamente para ayudar a mover ganancias criminales a través de intercambios de criptomonedas».

También se dice que AudiA6 dependió tanto de proveedores de correo electrónico comerciales como de direcciones de correo electrónico vinculadas a dominios bajo su control para registrar cuentas de mulas de dinero en varios intercambios de criptomonedas. Los nombres de los dominios se enumeran a continuación:

• designli.fotos
• pheontx.eu
• smplfy.in
• sumato-soft.org
• technobrains.dev
• lett.correo electrónico
• trayo.aplicación
• entregando.arriba
• bandeja de entrada.arriba
• postfast.eu
• postino.hacer clic
• agenciainboxally.agency
• mailora.eu
• postify.correo electrónico
• quix.express
• flowcomm.hacer clic
• qube.negro
• entregarlett.com
• cartacorreo.eu

En un informe publicado en noviembre de 2021, Intel 471 reveló que AudiA6 requería un saldo mínimo de 27 bitcoins y que cobraba una tarifa fija de servicio de entre el 3 y el 5,5 por ciento. En diciembre de 2025, un análisis de TRM Labs encontró que los fondos robados del hack de LastPass de 2022 se enrutaron a través de Cryptex y AudiA6.

La investigación fue llevada a cabo por el Servicio Secreto de los Estados Unidos y la Investigación Criminal del IRS, junto con la policía polaca y socios encargados de hacer cumplir la ley de Australia, Canadá, Francia, Georgia, Alemania, Islandia, Japón, Suiza y el Reino Unido.

Los hallazgos ilustran el aumento de los servicios de lavado de criptomonedas a escala industrial que permiten la economía del cibercrimen, así como el uso de cuentas de cambio fraudulentas, billeteras mula y herramientas centradas en la privacidad diseñadas para encubrir el rastro del dinero y eludir los controles contra el lavado de dinero.

«Los grupos de ransomware y las redes cibercriminales dependen cada vez más de intercambios descentralizados y plataformas de ‘mezclador como servicio’ para mover criptomonedas ilícitas a través de múltiples cadenas de bloques en cuestión de minutos, ayudando a que las ganancias criminales desaparezcan en el subsuelo digital», dijo Europol.

El equipo de extorsión de ShinyHunters aprovechó una falla no parcheada en Oracle PeopleSoft para ingresar a los sistemas empresariales, robar datos y exigir pagos para mantenerlos privados. La campaña afectó más a las universidades.

Mandiant de Google atributos al grupo al que rastrea como UNC6240 y fecha la actividad entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que el error fue de día cero todo el tiempo.

el defecto, CVE-2026-35273es un error de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9,8 sobre 10. No necesita inicio de sesión ni interacción del usuario, solo acceso a la red a través de HTTP, para hacerse cargo del servidor. Si ejecuta PeopleSoft con el Centro de gestión ambiental accesible desde el exterior, esa es su exposición, y el paso inmediato es bloquear esos puntos finales.

La vulnerabilidad se encuentra en el componente Updates Environment Management, la pieza detrás del Environment Management Hub (PSEMHUB). Oracle enumera PeopleTools 8.61 y 8.62 como afectados y dice anteriormente que las versiones no compatibles probablemente también sean vulnerables. Da crédito a los investigadores de TrendAI Zero Day Initiative y TrendAI Research por el informe.

Charles Carmakal, director tecnológico de Mandiant confirmado el error está siendo explotado en la naturaleza; Oracle no ha dicho si ha visto explotación. Su aviso apunta a un documento de disponibilidad de parches detrás de un inicio de sesión de soporte, y no está claro si una solución completa está ampliamente disponible. Por ahora, la orientación se centra en la mitigación.

El detalle operativo se hizo público porque los atacantes dejaron sus propios equipos expuestos. Investigador @nahamike01 marcó públicamente los directorios abiertos. Luego, Mandiant clasifica cinco direcciones IP secuenciales que ejecutan el servidor SimpleHTTP de Python en el puerto 8888. Esos servidores expusieron los archivos provisionales: un .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de archivos binarios de Microsoft Azure y un script de movimiento lateral.

Los agentes llamaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para parecerse a Azure NetApp Files. El guión, llamado [victim]_fanout.sh, se propaga a través de SSH rociando una lista codificada de nombres de usuario y contraseñas contra hosts internos extraídos de /etc/hosts, luego coloca un archivo de marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en los directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja el espejo público del sitio de filtración de ShinyHunters.

Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con puntos finales vulnerables. El sesenta y ocho por ciento estaban en educación superior, la mayoría de ellos en Estados Unidos. Algunos bloquearon la actividad; otros se vieron comprometidos y se publicaron datos en el sitio de la filtración.

La Universidad de Nottingham es una de las primeras víctimas confirmadas. ¿Me han engañado? ha contado alrededor de 455.000 direcciones de correo electrónico únicas en el conjunto filtrado, que cubren estudiantes y ex alumnos actuales, con nombres, direcciones, números de teléfono, números de pasaporte y detalles sobre origen étnico y discapacidades. La universidad ha confirmado la infracción.

La guía de Oracle es deshabilitar el servicio Environment Management Hub en configuraciones de múltiples servidores o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no puede hacer ninguna de las dos cosas, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.

Mandiant advierte que las normas de inspección de carrocerías del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones normales de los usuarios.

Luego busque señales de un compromiso existente:

• Registros de acceso de WebLogic que muestran solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector.
• Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas impares denominadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
• Archivos .xml modificados recientemente en envmetadata/data/environment de la raíz del documento web, de los que se puede abusar para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
• Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de explotación puede utilizar para capturar hashes NetNTLM de cuentas de máquina.

Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.

ShinyHunters dice que el contacto con las víctimas apenas ha comenzado y no ha publicado la mayoría de las organizaciones que afirma, por lo que es probable que haya más nombres.

El método es lo más revelador. ShinyHunters últimamente se ha apoyado en vishing, tokens robados y controles de acceso débiles para robar datos de SaaS y plataformas educativas, desde clientes de Salesforce hasta Canvas. Un software ERP local de día cero del lado del servidor es un paso adelante, dirigido a los mismos objetivos ricos en datos.

La pregunta abierta es si se trató de un día cero prestado único o el comienzo de la transición de ShinyHunters hacia la explotación de ERP.

Dos equipos de seguridad han demostrado, en una investigación separada publicada esta semana, que garra abiertael popular agente de IA autohospedado, puede ejecutarse para ejecutar código controlado por un atacante o entregar datos confidenciales a través de entradas de apariencia normal.

Imperva instrucciones enterradas dentro de contactos compartidos, vCards y pines de ubicación que el agente ejecutó sin que la víctima los viera. varonis creó un agente de prueba en la plataforma, le proporcionó un buzón lleno de datos comerciales sintéticos y observó cómo un solo correo electrónico simple lo convenció para que reenviara claves de AWS simuladas y una exportación de cliente falsa a una dirección externa.

La falla que encontró Imperva está parcheada en OpenClaw 2026.4.23, así que actualícela si la ejecuta. La debilidad del phishing que encontró Varonis no es algo que solucione un parche; todo se reduce a limitar lo que el agente puede hacer por sí solo.

Puertas diferentes a una misma habitación: el agente confía en lo que le llega y su acceso pasa a ser el del atacante.

Comandos ocultos en un contacto compartido

El investigador de Imperva, Yohann Sillam, analizó cómo OpenClaw entrega datos de mensajería al modelo detrás de él. El problema está en las tuberías.

Cuando el agente pasa un contacto compartido, una vCard o una ubicación al LLM, aplana el objeto en el texto del mensaje en línea, sin ningún límite que lo marque como no confiable. El contenido que el agente obtiene de la web se incluye en un marcador de contenido que no es de confianza. Los objetos de mensaje no.

Sólo algunos campos viajan al modelo, y de eso es de lo que abusa el ataque. Un contacto compartido envía solo el campo de nombre, serializado como . Los corchetes angulares son legales en un nombre, por lo que el modelo no puede decir dónde termina el nombre real y dónde comienza una instrucción inyectada. El nombre del contacto se trunca cuando aparece en la pantalla, tanto en WhatsApp como en la aplicación receptora, por lo que la víctima tampoco ve la carga útil.

El mismo truco funciona a través del campo de nombre completo de una vCard, que WhatsApp admite de forma nativa, y a través de la etiqueta en un pin de ubicación compartida.

En las pruebas de Imperva contra Gemini 3.1 Pro (versión preliminar), el texto oculto le indicó al agente que descargara y ejecutara un script desde un servidor controlado por los investigadores. Lo hizo. Una imagen sencilla con instrucciones enterradas falló, probablemente porque ese ataque se ha informado con tanta frecuencia que ahora los modelos están entrenados para resistirlo; la ruta mensaje-objeto funcionó porque los modelos han visto muchos menos ejemplos de ella.

Con la memoria de OpenClaw activada de forma predeterminada, advierte Imperva, una sola pieza de contenido ampliamente compartido que contenga una instrucción oculta podría comprometer silenciosamente a los agentes que lo ingieren, si no están protegidos.

Imperva reveló el problema y OpenClaw envió una solución en la versión 2026.4.23 que mueve los nombres de los contactos, los campos vCard y las etiquetas de ubicación fuera del cuerpo del mensaje y a un canal de metadatos separado que no es de confianza. Imperva encontró el mismo patrón de aplanamiento en otros asistentes personales de IA, por lo que el problema subyacente no es sólo de OpenClaw.

Un correo electrónico normal es suficiente

Varonis Threat Labs llegó a OpenClaw desde el ángulo social. En una investigación dirigida por Itay Yashar, el equipo creó un agente llamado pellizco en la plataforma, lo conectó a una bandeja de entrada de Gmail repleta de desorden empresarial realista pero sintético y secretos simulados, y lo ejecutó a través de cuatro simulaciones de phishing en Google Gemini 3.1 Pro y OpenAI Codex GPT-5.4.

Trazan una línea entre la inyección rápida, que oculta instrucciones en los datos, y lo que llaman phishing del agente: una solicitud creíble que llega a través de un canal normal y funciona porque el agente actúa antes de verificar quién la envió.

El agente no pasó ambas pruebas de exfiltración. En el primero, un mensaje que se hacía pasar por un líder de equipo llamado Dan, enviado desde una dirección externa de Gmail, solicitaba acceso provisional durante un incidente de producción falso. Pinchy encontró las credenciales y reenvió claves de acceso simuladas de AWS IAM, cadenas de conexión de bases de datos y credenciales SSH en texto sin formato.

El segundo pretexto fue más suave: una solicitud que parecía rutinaria para la exportación semanal del cliente, supuestamente para una plataforma QBR. El agente envió un conjunto de datos sintéticos de 247 clientes empresariales, incluidos contactos y valores de contratos. Ambas fallas ocurrieron bajo un perfil estricto que le pedía al agente que verificara primero a los remitentes. La regla existía. La urgencia le ganó una vez, la rutina le ganó la segunda vez.

El agente tuvo mejores resultados cuando la amenaza era técnica más que social. Interactuó con una página de phishing de tarjetas de regalo, pero retuvo credenciales reales y finalmente la marcó; el perfil estricto bloqueó la página por completo. En una pantalla de consentimiento de OAuth maliciosa disfrazada de una aplicación de parte de horas, inspeccionó el objetivo de redireccionamiento, lo consideró sospechoso y se detuvo antes de otorgarle acceso.

Ésa es la división que señala Varonis: el agente es mejor que muchas personas para detectar URL incorrectas y portales de inicio de sesión falsos, y peor en el juicio social que hace una pausa humana cuando un colega de repente pide credenciales a una hora extraña. El impulso para ser útil es la superficie de ataque.

Varonis dice que OpenAI Codex GPT-5.4 fue más cauteloso que Gemini 3.1 Pro al ingresar o enviar datos a sitios externos sin confirmación, pero ambos cayeron en los pretextos sociales.

El punto débil detrás de ambos ataques

Varonis mapea ambos ataques en lo que Simon Willison llama el trifecta letal: un agente que puede leer datos privados, recibir contenido que no es de confianza y enviar datos de vuelta. OpenClaw tiene los tres, por lo que un contacto envenenado y un correo electrónico amigable terminan en el mismo lugar.

Ese límite de confianza no es sólo un problema inmediato; también aparece en el código de OpenClaw. un separado Análisis de artículos de InfoSec convirtió los avisos anteriores de OpenClaw en reglas de análisis estático y luego los usó para encontrar cinco fallas más en las extensiones de canal Slack, Discord, Matrix, Zalo y Microsoft Teams.

Los cinco tenían el mismo error: el código de inicio resolvió la lista de permitidos de cada canal mediante un nombre para mostrar mutable en lugar de una identificación estable, por lo que un atacante que se cambiara el nombre para coincidir con un usuario permitido podría ingresar a la lista y dirigir al agente. OpenClaw los ha parcheado.

OpenClaw viene con amplio acceso a archivos, shells y más de veinte plataformas de mensajería, y ha recibido una serie constante de advertencias de inyección rápida y exfiltración de datos desde su lanzamiento a fines del año pasado.

La autoridad holandesa de protección de datos adoptó la postura más firme: la Autoriteit Persoonsgegevens dijo a los usuarios y organizaciones que no ejecutaran OpenClaw en sistemas que contengan datos confidenciales, citando riesgos de violación de datos y apropiación de cuentas.

¿Qué hacer al respecto?

Cualquiera que ejecute OpenClaw debe actualizar a 2026.4.23 o posterior para corregir el objeto de mensaje. El resto es arquitectura, no redacción inmediata, y Varonis establece cuatro controles.

Trate el archivo de instrucciones del agente como una política aplicada y controlada por versiones, no como una sugerencia. El correo saliente necesita una puerta: no se permite realizar envíos por primera vez a direcciones desconocidas sin aprobación, por lo que un agente secuestrado no puede transmitir phishing desde una cuenta confiable. El acceso al conector debe rastrear el nivel de confianza de lo que desencadenó la tarea, por lo que una bandeja de entrada que maneja correo electrónico externo no puede leer también todo el CRM. Y las acciones más riesgosas, reenviar credenciales o mover dinero, deberían esperar a que llegue un ser humano.

Ambos equipos aterrizan en el mismo modelo mental. Varonis lo plantea como tratar al agente como un empleado junior con acceso al sistema y sin instinto para lo que parece extraño, no como una herramienta de seguridad. Imperva llega desde la otra dirección, llamándolo un ejecutor autenticado que confía en sus entradas.

Las soluciones que se ofrecen hoy son parches y barandillas específicos. El problema más difícil aún está abierto. Un agente lo suficientemente útil como para actuar en su correo electrónico y ejecutar sus comandos es, por diseño, uno que confía en las entradas y quiere ayudar, y nadie tiene una solución general para eso todavía.

El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha lanzado una nueva omisión de BitLocker de Windows denominada Gran XMLun día después de que publicaran un exploit para Microsoft Defender.

«Este fue un descubrimiento accidental; se necesitaron un total de 4 horas para encontrarlo», dijo el investigador. dicho en una publicación en Blogger. «Si alguna vez intentaste utilizar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a una omisión de BitLocker. No estoy seguro de si aún puedes activar el error sin usar la función de análisis sin conexión, porque definitivamente puedes hacerlo».

El exploit funciona de la siguiente manera:

• Copie un archivo XML («unattend.xml») y una carpeta de recuperación que contenga otro archivo XML («Recovery/WindowsRE/ReAgent.xml) a la raíz de la partición de recuperación.
• Reinicie en el entorno de recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de energía de Windows.

Si cada paso se sigue correctamente, el resultado es un shell generado con acceso sin restricciones al volumen de BitLocker.

«Si el escaneo fuera de línea de Defender nunca se inició, entonces debe iniciar sesión e iniciarlo usted mismo o encontrar una manera de iniciar WinRE en estado de escaneo fuera de línea (creo que debería ser muy posible hacerlo sin iniciar sesión) y seguir los pasos anteriores», señaló Chaotic Eclipse.

El lanzamiento de GreatXML llega poco después de RoguePlanet, una falla de día cero en Microsoft Defender que facilita la escalada de privilegios locales (LPE) al SISTEMA, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

GreatXML es también el segundo bypass de BitLocker lanzado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron lanzados por Microsoft esta semana como parte de las actualizaciones del martes de parches.

Un nuevo análisis de los caballeros La operación ha revelado que el grupo de amenazas con motivación financiera operó inicialmente como un afiliado responsable de realizar ataques de doble extorsión, mientras aprovechaba recursos de varios esquemas de ransomware como servicio (RaaS) como LockBit (también conocido como Tenacious Mantis), Qilin (también conocido como Pestilent Mantis) y Medusa (también conocido como Venomous Mantis).

Según un informe detallado publicado por PRODAFT, el grupo, al que rastrea como Phantom Mantis, está dirigido por un cibercriminal de habla rusa al que llama LARVA-368, que utiliza los alias en línea hastalamuerte, ArmCorp, zeta88, nadie0 y santamuerte. los caballeros se sabe que está activo desde marzo de 2025, cobrando un total de 478 víctimas hasta la fecha, por datos de Ransomware.Live.

«En julio de 2025, Phantom Mantis pasó a formar parte de The Gentlemen, un programa de asociación independiente que ya no depende de otros grupos RaaS», dijo la empresa suiza de ciberseguridad. «Además, LARVA-368 depende en gran medida de la inteligencia artificial para el desarrollo y mantenimiento de ransomware y herramientas, así como para la asistencia con los procedimientos posteriores a la explotación».

En cuanto a LARVA-368, se estima que el actor de amenazas fue miembro del grupo de ransomware Embargo (también conocido como Primeval Mantis) antes de lanzar su propia operación bajo el nombre de ArmCorp. Posteriormente, cuatro meses después, pasó a llamarse The Gentlemen.

Desde entonces, la identidad del individuo ha sido descubierto por el periodista de ciberseguridad Brian Krebs como Alexander Andreevich Yapaev (Япаев Алексанр Андреевич), de 36 años, de la ciudad rusa de Izhevsk. PRODAFT dijo a The Hacker News que sus hallazgos coinciden con la misma persona con «alta confianza».

Como detalló Dark Atlas en agosto de 2025, el cambio coincidió con una disputa de pago entre LARVA-368 y Qilin, en la que el actor de amenazas acusó a la operación RaaS de llevar a cabo una estafa de salida y defraudarlos por 48.000 dólares.

«Aunque Phantom Mantis era un grupo afiliado muy activo con más de 20 objetivos registrados en su panel de afiliados en menos de 30 días, el administrador del grupo (LARVA-368) y LARVA-367 (también conocido como DevMan), un ex miembro de Phantom Mantis, afirmó que Pestilent Mantis estaba estafando a los afiliados y que había una supuesta ‘puerta trasera’ dentro de los chats de víctimas del panel de afiliados de Pestilent Mantis», señaló PRODAFT.

«Aunque no pudimos confirmar estas afirmaciones, existe la posibilidad de que LARVA-368 y LARVA-367 difundan intencionalmente desinformación con la intención de reclutar afiliados de Pestilent Mantis para Phantom Mantis desacreditando al grupo».

También se ha observado que Phantom Mantis paga por cuentas Premium en foros clandestinos para aumentar su visibilidad y defenderse de la competencia, con la comunicación del grupo y el soporte técnico a cargo de una persona separada de habla rusa llamada The Gentlemen Data.

Algunos de los otros aspectos destacados del plan de extorsión compilados a partir de varios informes son los siguientes:

• En un análisis del ransomware realizado a finales del año pasado, el equipo Cybereason de LevelBlue descrito The Gentlemen como una «operación de ransomware altamente adaptable y de rápido movimiento» que combina técnicas de ransomware maduras con características RaaS, doble extorsión, casilleros multiplataforma, propagación flexible y soporte para afiliados.
• el grupo tiene surgió como uno de los actores de amenazas más activos, representando el 10% de la actividad de ransomware en abril de 2026. «The Gentlemen sigue una cadena centrada en la empresa que comienza con el acceso inicial, a través de servicios vulnerables de Internet o credenciales robadas», NCC Group dicho. «El análisis sugiere que The Gentlemen puede adaptarse y cambiar tácticas durante un ataque, como manipular GPO, comprometer cuentas privilegiadas y utilizar métodos personalizados para eludir las protecciones de los terminales».
• Sólo sobre 13% de sus víctimas tienen su sede en los EE. UU. La mayoría de las víctimas se concentran en Tailandia, el Reino Unido, Brasil, Alemania y la India.
• LARVA-368 utiliza las cuentas de la aplicación The Gentlemen IM para ayudar a los afiliados con respecto al cifrado y cualquier problema relacionado con la intrusión, como proporcionar eliminadores de EDR para eludir las soluciones de seguridad mediante la técnica de traer su propio controlador vulnerable (BYOVD).
• Los servicios de soporte para The Gentlemen y The Gentlemen Data están disponibles a través de las plataformas de mensajería de código abierto Tox, SimpleX Chat y Ricochet Refresh.
• Los afiliados potenciales deben proporcionar al administrador al menos 1 GB de datos extraídos de una víctima para obtener acceso al panel de afiliados, una táctica diseñada para evitar que los investigadores y las autoridades policiales obtengan acceso a la infraestructura bajo la apariencia de un afiliado. El panel de afiliados admite la gestión de usuarios, la configuración de nuevos objetivos y la descarga de ransomware a un objetivo específico.
• Phantom Mantis ofrece cinco versiones de ransomware diseñadas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (LVM).
• El grupo corteja a los afiliados con un modelo agresivo de participación en las ganancias: 90% para los afiliados y 10% para el operador.
• El acceso inicial se obtiene a través de dispositivos periféricos, como dispositivos VPN, firewalls y otros sistemas conectados a Internet, con un enfoque específico en plataformas como Cisco y Fortinet FortiGate.
• Las cadenas de infección implican el uso de utilidades del equipo rojo como NetExec, RelayKing, TaskHound, PrivHound y CertiHound para realizar descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de archivos compartidos. Se utiliza un conjunto separado de herramientas, como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets, para evadir programas de seguridad, mientras que Velociraptor se emplea para comando y control (C2).
• Los ataques también intentar para borrar los registros de eventos de Windows del sistema, aplicaciones y seguridad, deshabilitar Microsoft Defender y agregar exclusiones de antivirus.
• El ransomware hace uso de un esquema criptográfico híbrido: Intercambio de claves X25519 combinado con cifrado simétrico XChaCha20.
• Microsoft, que está rastreando el clúster bajo el nombre de Storm-2697, dijo que el ransomware está escrito en Go y ofuscado con Garble para apuntar al entorno de Windows. «Cuando se habilita con el argumento –spread, convierte el malware de un cifrador de un solo host en un gusano autopropagador que intenta implementar su cifrado en todos los sistemas accesibles en la red», dijo el gigante tecnológico. dicho. «Si se proporciona el argumento –wipe, el ransomware The Gentlemen realiza una rutina adicional posterior al cifrado para eliminar los artefactos recuperables del disco».
• Según ZeroFox, el equipo de ransomware probablemente lleva a cabo una operación de extorsión multicanal, combinando ataques de ransomware con comunicación por correo electrónico y tácticas de presión telefónica dirigidas a las víctimas.
• El grupo implementa un «ciclo de desarrollo altamente responsivo», aspecto ejemplificado por el lanzamiento de un parche el mismo día después de un descifrador fue lanzado en abril de 2026.
• El tiempo medio de permanencia de una intrusión varía de dos a seis semanas desde el acceso inicial hasta el cifrado, y el grupo se centra especialmente en organizaciones que ejecutan infraestructura VMware.

El mes pasado, un filtración de un base de datos interna de Rocket.Chat utilizado por el grupo, que comprende 3.366 mensajes entre noviembre de 2025 y finales de abril de 2026, ha arrojar más luz sobre el funcionamiento interno del grupo, incluido el uso de fallas de seguridad conocidas en el software VMware Aria Operations, Fortinet, Cisco y Microsoft, al tiempo que presenta una imagen de una empresa criminal cuyos miembros tienen una clara división de roles y responsabilidades.

«El grupo rastrea y evalúa activamente las vulnerabilidades modernas, incluidas CVE-2024-55591, CVE-2025-32433y CVE-2025-33073y los combina con rutas basadas en técnicas como respaldo y abuso de controladores de administración y flujos de trabajo de retransmisión NTLM, brindándoles un canal de explotación flexible», Check Point dicho.

Eso no es todo. En marzo de 2026, Hunt.io dicho descubrió un directorio abierto alojado en «176.120.22[.]127:80» en el proveedor ruso de alojamiento a prueba de balas Proton66 que expuso 126 archivos que contenían un conjunto completo de herramientas de operador de ransomware atribuido a un afiliado de The Gentlemen RaaS.

Esto incluía herramientas de reconocimiento, escalada de privilegios, evasión de defensa, robo de credenciales, movimiento lateral, persistencia y preparación previa al cifrado, que esencialmente abarcaban todas las fases del ciclo de vida de la intrusión.

«LARVA-368 es un actor de amenazas especializado en actividades relacionadas con la extorsión y ha estado activo desde al menos 2020», dijo PRODAFT. «La experiencia adquirida a través de colaboraciones anteriores con varios grupos de RaaS proporcionó la base técnica necesaria para establecer The Gentlemen RaaS».