Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».

Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», informó el equipo de Microsoft Threat Intelligence. dicho en una publicación en X. «Este descargador usó PowerShell y binarios que viven de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs», antes de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez iniciado, se conecta a un servidor externo en «79.110.49[.]15» para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.

Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.

La divulgación se produce cuando BlackFog reveló detalles de una nueva familia de malware RAT para Windows llamada Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con 11.

A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollador para facilitar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.

Otras características notables incluyen la eliminación de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.

«La herramienta brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, que cubre la ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCague. dicho.

«Un único actor de amenazas puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva después del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un grupo sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.

meta el jueves dicho está tomando acciones legales para abordar las estafas en sus plataformas mediante la presentación de demandas contra lo que llama anunciantes engañosos con sede en Brasil, China y Vietnam.

Como parte del esfuerzo, se suspendieron los métodos de pago de los anunciantes, se deshabilitaron las cuentas relacionadas y se bloquearon los nombres de dominio de los sitios web utilizados para realizar las estafas.

Al mismo tiempo, el gigante de las redes sociales dijo que también emitió cartas de cese y desistimiento a ocho consultores de marketing que anunciaron la capacidad de eludir sus sistemas de aplicación de políticas publicitarias. Esto incluía servicios falsos de «desbanificación» o restauración de cuentas y alquiler de acceso a cuentas confiables para ayudar a los clientes a eludir sus controles.

Se descubrió que al menos tres anunciantes, dos de Brasil y uno de China, participaban en estafas con cebos para celebridades, que a menudo implican el uso indebido de la imagen de figuras conocidas para engañar a las personas para que hagan clic en anuncios falsos que conducen a sitios fraudulentos. Estos sitios web están diseñados para recopilar datos confidenciales o engañar a usuarios desprevenidos para que envíen dinero o inviertan en plataformas falsas.

Los tres anunciantes contra los que Meta ha presentado demandas se enumeran a continuación:

• Vitor Lourenço de Souza y Milena Luciani Sánchez, residentes en Brasil, están siendo demandados por utilizar imágenes y voces alteradas de celebridades para promover productos sanitarios fraudulentos.
• B&B Suplementos e Cosméticos Ltda., con sede en Brasil. (Brites Corp), Brites Academia de Treinamento Ltda., Daniel de Brites Macieira Cordeiro y José Victor de Brites Chaves de Araújo por ser parte de una operación fraudulenta que aprovechó imágenes sintéticas de un médico destacado para publicitar productos de atención médica sin aprobación regulatoria y vendió cursos que enseñaban las mismas tácticas.
• Shenzhen Yunzheng Technology Co., Ltd, con sede en China, por utilizar anuncios de cebo para celebridades dirigidos a personas en varios países, incluidos Estados Unidos y Japón, como parte de un plan de fraude diseñado para atraerlos a unirse a grupos de inversión.

«Para luchar contra las estafas de cebo de celebridades, desarrollamos protecciones para celebridades cuyas imágenes se utilizan repetidamente en estos esquemas», dijo Meta. «Este programa protege actualmente las imágenes de más de 500.000 celebridades y figuras públicas de todo el mundo».

Además, la empresa señaló que demandó al anunciante con sede en Vietnam Lý Văn Lâm por utilizar técnicas de encubrimiento para eludir su proceso de revisión. El encubrimiento se refiere a una técnica adversa que tiene como objetivo ocultar la verdadera naturaleza de un sitio web vinculado a un anuncio en un intento de engañar a los sistemas de revisión de anuncios al ofrecer una versión de su contenido durante la revisión y mostrar un contenido malicioso completamente diferente a los usuarios reales.

En este caso, se dice que el anunciante utilizó anuncios fraudulentos para ofrecer artículos con descuento de marcas conocidas a cambio de completar una encuesta. Las personas que interactuaron con estos anuncios fueron dirigidas a sitios web falsos donde se les pidió que ingresaran la información de su tarjeta de crédito para comprar artículos que nunca fueron entregados. Sus tarjetas de crédito también incurrieron en tarifas recurrentes no autorizadas, una práctica conocida como fraude de suscripción.

El desarrollo se produce meses después de una investigación de Reuters. descubrió que el 19% de los 18 mil millones de dólares en ventas de publicidad de Meta en China en 2024 provinieron de anuncios de estafas, juegos de azar ilegales, pornografía y otros contenidos prohibidos. El informe también descubrió agencias que permiten a las empresas publicar anuncios prohibidos, lo que llevó a la empresa a revisar su programa Badged Partners.

En un análisis de 14,5 millones de anuncios publicados en plataformas Meta en toda la UE y el Reino Unido durante un período de 23 días, Gen Digital descubrió que casi uno de cada tres de esos anuncios (alrededor del 30,99%) apuntaba a un enlace de estafa, phishing o malware.

«En total, los anuncios fraudulentos generaron más de 300 millones de impresiones en menos de un mes», afirma la empresa de ciberseguridad. dicho a principios de este mes. «La actividad estaba altamente concentrada, con solo 10 anunciantes responsables de más del 56% de todos los anuncios fraudulentos observados. Se rastrearon grupos de campañas repetidas hasta pagos compartidos e infraestructura vinculada a China y Hong Kong, lo que indica operaciones organizadas a escala industrial en lugar de malos actores aislados».

Estos hallazgos también coinciden con el descubrimiento de infraestructura maliciosa y servicios clandestinos que se han utilizado para vender diversos tipos de estafas.

• Se han descubierto estafas combinar publicidad maliciosa y matanza de cerdos modelos de fraude para defraudar a las víctimas, principalmente a aquellas en Japón, engañándolas para que hagan clic en anuncios con temas de inversión en las redes sociales. Estos anuncios redirigen a las víctimas a sitios web que les piden que interactúen con un supuesto experto a través de aplicaciones de mensajería escaneando un código QR.
• Una vez que las víctimas se agregan a chats individuales y grupales con estos supuestos expertos, que en algunos casos no son más que chatbots impulsados ​​por inteligencia artificial (IA), se les persuade a invertir cantidades progresivamente mayores de dinero, solo para exigir una «tarifa de liberación» para desbloquear ganancias inexistentes. Se han descubierto más de 23.000 dominios dentro de este ecosistema.
• Los actores de amenazas son comprometiendo enrutadores para alterar la configuración de DNS para usar solucionadores de sombra alojados en Aeza International, una empresa de alojamiento a prueba de balas (BPH) sancionada por el gobierno de EE. UU. en julio de 2025. Esta modificación no autorizada está diseñada para alterar selectivamente las respuestas de DNS asociadas con Okta y Shopify, lo que permite a los operadores dirigir a los usuarios a contenido fraudulento y de malware mediante un sistema de distribución de tráfico (TDS) basado en HTTP.
• Se ha creado una red maliciosa de notificaciones push. observado utilizar una red de dominios maliciosos para atacar a los usuarios de Android Chrome en todo el mundo con un flujo constante de notificaciones automáticas no deseadas (por ejemplo, «¡Android infectado con malware!» o «El sistema necesita un escaneo») después de obtener permisos en un intento de dirigir a sitios fraudulentos y contenido para adultos. Según datos de Infoblox, Bangladesh, India, Indonesia y Pakistán representaron el 50% de todo el tráfico.
• Se ha identificado una red de más de 150 sitios web falsos clonados que se hacen pasar por bufetes de abogados reales con sede en EE. UU. y el Reino Unido y se dirigen a usuarios que buscan asesoramiento y representación legal para promover una estafa de suplantación de empresas.
• «Los sitios utilizaron el nombre de la firma, la marca y las identidades de abogados disponibles públicamente, presentándose como servicios legales y de recuperación de activos legítimos, ofreciendo ayudar a las víctimas a recuperar los fondos perdidos en fraudes anteriores», Sygnia dicho. «La campaña se dirigió a personas que ya habían sufrido fraude financiero».

El proliferación de estafasimpulsada por una floreciente economía de matanza de cerdos como servicio (PBaaS), no ha escapado a la atención de las autoridades, como lo demuestra el desmantelamiento de compuestos de estafa en Sudeste Asiático en últimos meses.

A principios de este mes, el gobierno camboyano prometido para tomar medidas enérgicas y desmantelar las redes de estafa cibernética que operan dentro de sus fronteras, y agregó que los funcionarios de policía lanzaron 48 operaciones en los primeros nueve meses de 2025 para combatir el fraude cibernético, arrestaron a 168 personas y deportaron a 2.722 personas de regreso a sus países de origen.

Los esfuerzos en curso han reducido la actividad fraudulenta a la mitad desde principios de este año, afirmó el Ministro Principal Chhay Sinarith, presidente de la Secretaría de la Comisión para la Lucha contra los Delitos Tecnológicos. citado como decía esta semana. El primer ministro camboyano, Hun Manet, también admitido que los centros de estafas en línea que operan en el país están dañando la reputación del país y socavando su economía.

Madhu Gottumukkala dejó el cargo de director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, y el actual director ejecutivo de ciberseguridad de la agencia, Nick Andersen, lo reemplazó como líder interino.

La noticia de la salida de Gottumukkala llega un día después de que CyberScoop informara sobre la consternación generalizada por el desempeño de la agencia durante el primer año de la administración Trump, con importantes críticas dirigidas al liderazgo de Gottumukkala en ambos lados del pasillo después de una serie de historias poco halagadoras sobre su gestión.

“Madhu Gottumukkala ha hecho un trabajo extraordinario en la ingrata tarea de ayudar a reformar la CISA para que vuelva a su misión estatutaria central”, dijo a CyberScoop el jueves un funcionario del Departamento de Seguridad Nacional. “Abordó la burocracia despierta, armada e inflada que existía en CISA, negociando contratos para ahorrar dólares de los contribuyentes estadounidenses”.

Gottumukkala, se desempeñó como director de información bajo la entonces gobernadora de Dakota del Sur, Kristi Noem, ahora secretaria del DHS, antes de ser elegido subdirector de la agencia. La nominación de Sean Plankey para desempeñarse como director a tiempo completo de CISA se ha estancado, dejando a Gottumukkala como director interino en su lugar.

Gottumukkala asumirá un nuevo rol en el DHS, como director de implementación estratégica. Andersen ha obtenido críticas más favorables de la industria y los profesionales cibernéticos durante su mandato en CISA que Gottumukkala, a quien algunos todavía elogian por su perspicacia técnica.

ABC Noticias reportado por primera vez las noticias sobre los movimientos de Gottumukkala y Andersen. La noticia llega el mismo día que se informa sobre otro cambio de liderazgo en la agencia, con Cybersecurity Dive. primer informe sobre la salida de Robert Costello como CIO de CISA.

Si bien algunos funcionarios con los que CyberScoop habló esta semana para su artículo sobre CISA creían que la agencia tenía cierta duplicación, la mayoría pensó que la administración Trump había hecho recortes mucho más profundos de lo necesario, dañando a la agencia.

Andersen ha ocupado varios puestos en TI y ciberseguridad en el sector público durante las últimas dos décadas, incluidos puestos en la Guardia Costera, la Marina y el Departamento de Energía.

Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.

Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminación.

«En lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la cadena de bloques pública Polygon», Qrator Labs dicho en un informe compartido con The Hacker News.

«Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de eliminación».

Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tomó medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la dirección real del servidor C2.

Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 dólares que otorga a los clientes acceso a un panel y una compilación configurada. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código base de C++ junto con las actualizaciones.

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la cadena de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales públicos de llamada a procedimiento remoto (RPC).

Todo esto se gestiona a través del panel web, desde donde los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno específico, se escribe en la cadena de bloques como una transacción, después de lo cual queda disponible para todos los dispositivos comprometidos que estén sondeando la red.

«Una vez que se confirma un comando, nadie más que el titular de la billetera no puede modificarlo ni eliminarlo», dijo Qrator Labs. «El operador puede gestionar múltiples contratos inteligentes simultáneamente, cada uno de los cuales potencialmente cumple una carga útil o función diferente, como un clipper, un ladrón, un RAT o un minero».

Según un investigación en dos partes publicado por Ctrl Alt Intel A principios de este mes, el panel C2 se implementó como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware la llama a través de Polygon RPC, hace que devuelva el comando cifrado que posteriormente se decodifica y se ejecuta en las máquinas víctimas.

Además de utilizar blockchain para convertirla en una botnet resistente a la eliminación, el malware incluye varias funciones antianálisis para extender la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, además de equipar a los clientes con la capacidad de escanear sus compilaciones a través de Kleenscan para garantizar que no sean marcados por los proveedores de antivirus.

«Los costes operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor checo de ciberseguridad. «El operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura más allá de una billetera criptográfica y una copia local del panel».

El actor de amenazas ha desde entonces intentó vender todo el kit de herramientas por un precio inicial de 10.000 dólares, alegando falta de tiempo para recibir apoyo y su participación en otro proyecto. «Venderé todo el proyecto a una persona con permiso para reventa y uso comercial, con todos los ‘derechos’», dijo LenAI. «También daré consejos/notas útiles sobre el desarrollo que no tuve tiempo de implementar».

Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.

La divulgación se produce cuando Infrawatch publicó detalles de un servicio clandestino que implementa hardware de computadoras portátiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tráfico malicioso a través de ellos.

El hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon que está equipado con capacidades para enumerar módems compatibles en la red, así como para controlar de forma remota el equipo de red residencial y los dispositivos Android a través de una integración de Android Debug Bridge (ADB).

«El análisis de atribución identifica al operador como un ciudadano bielorruso con presencia residencial en Minsk y Moscú», Infrawatch dicho. «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.».

El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un usuario que opera bajo el alias GlobalSolutions, afirmando ofrecer proxies ADSL residenciales físicos a la venta por $190 por mes para acceso sin restricciones. También está disponible por $990 por seis meses y $1,750 por suscripciones anuales.

«El software personalizado de DSLRoot proporciona gestión remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de la conectividad», señaló la empresa. «La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.».

Se ha arraigado un esfuerzo mundial de aplicación de la ley para combatir The Com, una red nihilista en expansión de miles de menores y adultos jóvenes involucrados en diversas formas de delitos cibernéticos, incluida la violencia física y la extorsión.

Proyecto Brújulauna operación coordinada por Europol con el apoyo de 28 países, incluidos todos los miembros de los Cinco Ojos, ha dado lugar a la arresto de 30 perpetradores desde que la iniciativa se puso en marcha en enero de 2025, dijeron las autoridades en un comunicado de prensa el jueves.

Las autoridades dijeron que las contramedidas sostenidas han contribuido a la identificación total y parcial de 179 perpetradores, mientras que la operación también ha salvaguardado a cuatro víctimas e identificado hasta 62 víctimas.

El Com se divide en tres subconjuntos principales con diferentes objetivos que el FBI describe como Hacker Com, In Real Life Com y Extortion Com. Los delitos atribuidos a miembros del grupo se han vuelto cada vez más complejos, y los perpetradores hacen todo lo posible para enmascarar identidades, ocultar transacciones financieras y lavar dinero.

«Estas redes apuntan deliberadamente a los niños en los espacios digitales donde se sienten más cómodos», dijo en un comunicado Anna Sjöberg, directora del Centro Europeo Contra el Terrorismo de Europol.

Varias ramas de The Com han sido vinculadas a crímenes de alto perfil en los últimos años, y las fuerzas del orden han respondido con una mayor actividad e interés en las actividades del grupo.

La COM es enorme: muchos perpetradores siguen prófugos y aún más víctimas siguen sufriendo y esperando ayuda.

Este creciente esfuerzo global para frustrar las tendencias cambiantes del crimen con recursos apropiados ha construido una base que fomentará resultados más allá de los logrados hasta la fecha, dijo Allison Nixon, directora de investigación de la Unidad 221B.

«¿Cómo se come un elefante? Un bocado a la vez», dijo a CyberScoop. «La COM representa un importante problema social que afecta a la juventud, y las expectativas de la gente deben ser realistas. Estas primeras cifras y el aumento de los esfuerzos con el tiempo es lo que representa el éxito y debemos fomentarlo».

Una respuesta policial eficaz a The Com requiere una forma diferente de pensar y reequipar, “pero tiene más solución que el crimen que se origina en naciones hostiles”, dijo Nixon.

Project Compass se basa en una red de intercambio de información, que permite a cada uno de los países socios ayudar con las investigaciones en varias unidades especializadas. Los países también están compartiendo consejos sobre medidas preventivas y movilizando grupos de datos para reunir inteligencia para los casos en curso.

«El Proyecto Compass nos permite intervenir antes, salvaguardar a las víctimas y perturbar a quienes explotan la vulnerabilidad con fines extremistas», afirmó Sjöberg. «Ningún país puede hacer frente a esta amenaza por sí solo y, a través de esta cooperación, estamos cerrando las brechas en las que intentan esconderse».

Europol no ha identificado hasta el momento a las 30 personas detenidas en el marco del Proyecto Compass. Sin embargo, al menos algunos de esos casos son públicos.

Durante el año pasado, las autoridades arrestaron a varios miembros de una rama de Com conocida como 764, que es una creciente amenaza en línea para obligar a niños vulnerables a producir material de abuso sexual infantil de ellos mismos, material gor, automutilación, abuso de hermanos, abuso de animales y otros actos de violencia.

Dos presuntos líderes de 764, Leonidas Varagiannis y Prasan Nepal, fueron arrestados y acusados ​​de dirigir y distribuir CSAM en abril.

Tony Christoper Long y Alexis Aldair Chávez se declararon culpables a fines del año pasado de múltiples delitos relacionados con su participación en el grupo extremista. Otros presuntos 764 miembros han sido arrestados en Estados Unidos más recientemente, incluidos Erik Lee Madison y Aaron Corey.

Anthropic está implementando una nueva característica de seguridad para Claude Code que puede escanear las bases de código de software de un usuario en busca de vulnerabilidades y sugerir soluciones de parcheo.

La compañía anunció el viernes que Seguridad del código Claude Inicialmente estará disponible para pruebas en un número limitado de clientes empresariales y de equipos. Esto sigue a más de un año de pruebas de estrés por parte de los miembros internos del equipo rojo, compitiendo en concursos de ciberseguridad Capture the Flag y trabajando con el Laboratorio Nacional del Noroeste del Pacífico para perfeccionar la precisión de las funciones de escaneo de la herramienta.

Los grandes modelos de lenguajes se han mostrado cada vez más prometedores tanto en la generación de código como en las tareas de ciberseguridad en los últimos dos años, acelerando el proceso de desarrollo de software pero también reduciendo el listón técnico necesario para crear nuevos sitios web, aplicaciones y otras herramientas digitales.

«Esperamos que una parte significativa del código mundial sea escaneada por IA en un futuro próximo, dado lo efectivos que se han vuelto los modelos para encontrar errores y problemas de seguridad ocultos durante mucho tiempo», escribió la compañía en un blog. correo.

Esas mismas capacidades también permiten a los delincuentes escanear el entorno de TI de una víctima más rápido para encontrar debilidades que puedan explotar. Anthropic apuesta a que a medida que la “codificación de vibración” se generalice, la demanda de escaneo automatizado de vulnerabilidades superará la necesidad de revisiones de seguridad manuales.

A medida que más personas utilizan la IA para generar su software y aplicaciones, un escáner de vulnerabilidades integrado podría reducir potencialmente la cantidad de vulnerabilidades que lo acompañan. El objetivo es reducir grandes partes del proceso de revisión de seguridad del software a unos pocos clics, y el usuario aprueba cualquier parche o cambio antes de la implementación.

Anthropic afirma que Claude Code Security «lee y razona sobre su código como lo haría un investigador humano», mostrando una comprensión de cómo interactúan los diferentes componentes de software, rastreando el flujo de datos y detectando errores importantes que pueden pasarse por alto con las formas tradicionales de análisis estático.

«Cada hallazgo pasa por un proceso de verificación de varias etapas antes de llegar a un analista. Claude vuelve a examinar cada resultado, intentando probar o refutar sus propios hallazgos y filtrar los falsos positivos», afirmó la empresa. «A los hallazgos también se les asignan clasificaciones de gravedad para que los equipos puedan centrarse primero en las soluciones más importantes».

Los investigadores de amenazas le han dicho a CyberScoop que, si bien las capacidades de ciberseguridad han mejorado claramente en los últimos años, tienden a ser más efectivas para encontrar errores de menor impacto, mientras que en muchas organizaciones todavía se necesitan operadores humanos experimentados para administrar el modelo y lidiar con amenazas y vulnerabilidades de mayor nivel.

Pero herramientas como Claude Opus y XBOW han demostrado la capacidad de descubrir cientos de vulnerabilidades de software, en algunos casos haciendo que el proceso de descubrimiento y parcheo sea exponencialmente más rápido que con un equipo de humanos.

antrópico dicho Claude Opus 4.6 es «notablemente mejor» para encontrar vulnerabilidades de alta gravedad que los modelos anteriores, identificando en algunos casos fallas que «no habían sido detectadas durante décadas».

Los usuarios interesados ​​pueden solicitar el acceso al programa. Anthropic aclara su página de registro que los evaluadores deben aceptar utilizar Claude Code Security únicamente en el código que posee su empresa y que «posee todos los derechos necesarios para escanear», no en códigos con licencia o propiedad de terceros ni en proyectos de código abierto.

Anthropic acusó el lunes a tres laboratorios chinos de inteligencia artificial de intentar desviar sigilosamente las capacidades de Claude para sus propios modelos, potencialmente de una manera que podría impulsar operaciones cibernéticas ofensivas.

La startup estadounidense de inteligencia artificial dijo que los tres laboratorios, DeepSeek, Moonshot y MiniMax, realizaron “campañas a escala industrial” con una táctica conocida como “destilación”. Implica enviar solicitudes masivas a su modelo Claude en un intento por impulsar las suyas propias (en este caso, 16 millones en total). La destilación puede ser una práctica legítima como método de capacitación, dijo la compañía en una publicación de blogpero no cuando se utiliza como atajo para quitar capacidades a los competidores.

“Los modelos elaborados ilícitamente carecen de las salvaguardias necesarias, lo que crea importantes riesgos para la seguridad nacional”, argumentó Anthropic. “Los laboratorios extranjeros que destilan modelos estadounidenses pueden luego incorporar estas capacidades desprotegidas a sistemas militares, de inteligencia y de vigilancia, permitiendo a los gobiernos autoritarios desplegar IA de frontera para operaciones cibernéticas ofensivas, campañas de desinformación y vigilancia masiva”.

No es la primera vez que Anthropic advierte sobre las amenazas chinas derivadas del uso de Claude por parte de la nación. Y Anthropic combinó sus revelaciones sobre la campaña de destilación con repitiendo su llamada para controles más estrictos a las exportaciones.

OpenAI también tiene acusó a DeepSeek de utilizar técnicas de destilación. CyberScoop no pudo comunicarse de inmediato con los tres laboratorios chinos para comentar sobre las afirmaciones de Anthropic.

«Las tres campañas de destilación… siguieron un manual similar, utilizando cuentas fraudulentas y servicios de proxy para acceder a Claude a escala mientras evadían la detección», dijo Anthropic. «El volumen, la estructura y el enfoque de las indicaciones eran distintos de los patrones de uso normales, lo que reflejaba una extracción deliberada de capacidades en lugar de un uso legítimo».

En total, los laboratorios utilizaron 24.000 cuentas fraudulentas, dijo Anthropic. DeepSeek fue responsable de 150.000 de los intercambios, en comparación con 3,4 millones de Moonshot y 13 millones de MiniMax, según la startup. La actividad violó los términos de servicio y las restricciones de acceso regional, dijo.

Lo que hace que la táctica sea ilegítima es que esencialmente roba la propiedad intelectual, la potencia informática y el esfuerzo de Anthropic, dijo Gal Elbaz, cofundador y director de tecnología de Oligo Security, que se anuncia a sí misma como una empresa de seguridad de tiempo de ejecución de IA.

«Lo aterrador es que puedes tomar todo el poder y liberarlo, porque no tienes a nadie que realmente haga cumplir esas barreras en el otro lado», dijo Elbaz a CyberScoop sobre los temores que Anthropic generó sobre los laboratorios que alimentan los ciberataques.

Las propias empresas de IA se han enfrentado a acusaciones de que están robando datos e propiedad intelectual de otros para impulsar sus modelos.

Los ciberataques llegaron a las víctimas más rápido y provinieron de una gama más amplia de grupos de amenazas que nunca el año pasado, dijo CrowdStrike en su informe anual de amenazas globales publicado el martes, y agrega que los ciberdelincuentes y los estados-nación dependen cada vez más de tácticas predecibles para evadir la detección mediante la explotación de sistemas confiables.

El tiempo medio de ruptura (el tiempo que tardaron los atacantes con motivación financiera en pasar de la intrusión inicial a otros sistemas de red) se redujo a 29 minutos en 2025, un aumento del 65% en la velocidad con respecto al año anterior. «El tiempo de fuga más rápido hace un año fue de 51 segundos. Este año es de 27 segundos», dijo a CyberScoop Adam Meyers, jefe de operaciones de contraataque en CrowdStrike.

Los defensores se están quedando atrás porque los atacantes están perfeccionando sus técnicas, utilizando ingeniería social para acceder más rápido a sistemas con altos privilegios y moverse a través de la infraestructura de nube de las víctimas sin ser detectados.

«Los actores de amenazas están explotando esas brechas entre dominios para obtener acceso a los entornos, por lo que se están metiendo entre las costuras de la nube, la identidad, la empresa y los dispositivos de red no administrados», dijo Meyers.

Partiendo de una posición ya de por sí desventajosa, agravada por ataques más rápidos y técnicas de supervivencia, los defensores enfrentan agotamiento, estrés y otros factores que pueden conducir a errores, añadió.

Las innumerables fuentes de estos problemas también se están extendiendo.

CrowdStrike rastreó 281 grupos de amenazas a finales de 2025, incluidas 24 nuevas amenazas que nombró a lo largo del año. Los investigadores de la empresa de ciberseguridad también están rastreando 150 grupos activos de actividades maliciosas y grupos de amenazas emergentes.

Los ciberdelincuentes que buscan un pago y los estados nacionales que cometen espionaje o implantan puntos de apoyo en infraestructuras críticas para un acceso prolongado están aprovechando cada vez más las debilidades de seguridad en los entornos basados ​​en la nube para irrumpir en las redes de las víctimas.

Estos ataques centrados en la nube han experimentado un aumento interanual del 37%, con un aumento del 266% en esta actividad por parte de grupos de amenazas de estados-nación.

La gran mayoría de los ataques detectados el año pasado, el 82%, estaban libres de malware, lo que pone de relieve el cambio duradero de los atacantes hacia operaciones prácticas con el teclado y el abuso de herramientas y credenciales legítimas, afirmó CrowdStrike en el informe. Según CrowdStrike, más de 1 de cada 3 casos de respuesta a incidentes que involucraron intrusiones en la nube el año pasado estuvieron vinculados a una credencial válida o abusada que otorgó acceso a los atacantes.

Los ataques originados o patrocinados por Corea del Norte aumentaron un 130% el año pasado, mientras que los incidentes relacionados con China aumentaron un 38% durante el mismo período.

Los grupos de amenazas chinos lograron acceso inmediato al sistema con dos tercios de las vulnerabilidades que explotaron el año pasado, y el 40% de esas vulnerabilidades se dirigieron a dispositivos periféricos.

Los exploits de día cero (especialmente defectos en dispositivos periféricos como firewalls, enrutadores y redes privadas virtuales) permitieron que grupos de amenazas de cibercrimen y estados-nación ingresaran a los sistemas, ejecutaran códigos y escalaran privilegios sin ser detectados.

CrowdStrike dijo que observó un aumento interanual del 42% en la cantidad de vulnerabilidades de día cero explotadas antes de su divulgación pública el año pasado.

Meyers dijo que espera que ese número crezca aún más, prediciendo una explosión de actividad de atacantes que utilizan inteligencia artificial para encontrar y explotar vulnerabilidades de día cero en varios productos durante los próximos tres a nueve meses.

El informe anual sobre amenazas globales de CrowdStrike está lleno de cifras que van en la dirección equivocada, pero el hallazgo más preocupante para Meyers se reduce a la velocidad de los atacantes.

«La velocidad a la que estamos viendo acelerar estos tiempos de fuga es uno de los marcadores», dijo, y agregó que es sólo cuestión de tiempo antes de que los ataques más rápidos bajen a segundos, si no milisegundos.