El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la forma en que maneja las vulnerabilidades y exposiciones de ciberseguridad (CVE) enumeradas en su Base de datos nacional de vulnerabilidades (NVD), afirmando que solo enriquecerá aquellas que cumplan ciertas condiciones debido a una explosión en las presentaciones de CVE.

«Los CVE que no cumplan esos criterios seguirán figurando en el NVD, pero no se incluirán automáticamente enriquecido por NIST,» él dicho. «Este cambio está impulsado por un aumento en las presentaciones de CVE, que aumentaron un 263 % entre 2020 y 2025. No esperamos que esta tendencia disminuya pronto».

Los criterios de priorización descritos por el NIST, que entraron en vigor el 15 de abril de 2026, son los siguientes:

• CVE que aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
• CVE para software utilizado dentro del gobierno federal.
• CVE para software crítico según lo define la Orden Ejecutiva 14028: esto incluye software que está diseñado para ejecutarse con privilegios elevados o privilegios administrados, tiene acceso privilegiado a redes o recursos informáticos, controla el acceso a datos o tecnología operativa y opera fuera de los límites de confianza normales con acceso elevado.

Cualquier envío de CVE que no cumpla con estos umbrales se marcará como «No programado». La idea, dijo el NIST, es centrarse en CVE que tengan el máximo potencial de impacto generalizado.

«Si bien los CVE que no cumplen con estos criterios pueden tener un impacto significativo en los sistemas afectados, generalmente no presentan el mismo nivel de riesgo sistémico que aquellos en las categorías priorizadas», añadió.

El NIST dijo que las presentaciones de CVE durante los primeros tres meses de 2026 son casi un tercio más altas que el año pasado, y está trabajando más rápido que nunca para enriquecer las presentaciones. También dijo que enriqueció casi 42.000 CVE en 2025, un 45% más que cualquier año anterior.

En los casos en los que un CVE de alto impacto se haya clasificado como no programado, los usuarios tienen la opción de solicitar enriquecimiento enviando un correo electrónico a «nvd@nist[.]gov.»Se espera que el NIST revise esas solicitudes y programe el enriquecimiento de los CVE según corresponda.

También se han instituido cambios para varios otros aspectos de las operaciones de NVD. Estos incluyen –

• El NIST ya no proporcionará de forma rutinaria una puntuación de gravedad separada para un CVE cuando la Autoridad de Numeración de CVE ya haya proporcionado una puntuación de gravedad.
• Un CVE modificado se volverá a analizar sólo si «afecta materialmente» los datos de enriquecimiento. Los usuarios pueden solicitar que se vuelvan a analizar CVE específicos enviando un correo electrónico a la misma dirección indicada anteriormente.
• Todos los CVE no enriquecidos actualmente en cartera con una fecha de publicación de NVD anterior al 1 de marzo de 2026 se trasladarán a la categoría «No programado». Esto no se aplica a los CVE que ya están en el catálogo de KEV.
• NIST ha actualizado el Etiquetas y descripciones de estado CVEasí como el Panel de control NVDpara reflejar con precisión el estado de todos los CVE y otras estadísticas en tiempo real.

«El anuncio del NIST no es una gran sorpresa, dado que previamente han telegrafiado su intención de pasar a un modelo de priorización ‘basado en riesgos’ para el enriquecimiento de CVE», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado compartido con The Hacker News.

«En el lado positivo, el NIST está estableciendo clara y públicamente expectativas para la comunidad en medio de un aumento enorme y creciente de nuevas vulnerabilidades. Por otro lado, una parte significativa de las vulnerabilidades ahora parece no tener un camino claro hacia el enriquecimiento para las organizaciones que dependen del NIST como su fuente autorizada (o única) de datos de enriquecimiento CVE».

Los datos de la empresa de ciberseguridad muestran que todavía quedan aproximadamente 10.000 vulnerabilidades a partir de 2025 sin puntuación CVSS. Se estima que el NIST ha enriquecido 14.000 vulnerabilidades ‘CVE-2025’, lo que representa aproximadamente el 32 % de la población CVE de 2025.

«Este anuncio subraya lo que ya sabemos: ya no vivimos en un mundo donde el enriquecimiento manual de nuevas vulnerabilidades es una estrategia factible o efectiva», dijo Condon.

«Incluso sin que el descubrimiento de vulnerabilidades impulsado por IA acelere el volumen de CVE y los desafíos de validación, el clima de amenazas actual exige inequívocamente enfoques distribuidos y a velocidad de máquina para la identificación y el enriquecimiento de vulnerabilidades, junto con una perspectiva genuinamente global sobre el riesgo que reconozca la naturaleza interconectada e interdependiente del ecosistema de software mundial y los atacantes que lo atacan. Después de todo, lo que no priorizamos para nosotros mismos, los adversarios lo priorizarán para nosotros».

David Lindner, director de seguridad de la información de Contrast Security, dijo que la decisión del NIST de priorizar solo las vulnerabilidades de alto impacto marca el final de una era en la que los defensores podrían aprovechar una única base de datos administrada por el gobierno para evaluar los riesgos de seguridad, lo que obligaría a las organizaciones a adoptar un enfoque proactivo para la gestión de riesgos impulsado por la inteligencia de amenazas.

«Los defensores modernos deben ir más allá del ruido del volumen total de CVE y, en cambio, centrar sus recursos limitados en la lista CISA KEV y las métricas de explotabilidad», dijo Lindner.

«Si bien esta transición puede alterar los flujos de trabajo de auditoría heredados, en última instancia hace que la industria madure al exigir que prioricemos la exposición real sobre la gravedad teórica. Depender de un subconjunto curado de datos procesables es mucho más efectivo para la resiliencia nacional que mantener un archivo completo pero inmanejable de cada error menor».

Una operación internacional de aplicación de la ley derribó 53 dominios y arrestó a cuatro personas en relación con operaciones comerciales de denegación de servicio distribuido (DDoS) que fueron utilizadas por más de 75.000 ciberdelincuentes.

El esfuerzo en curso, denominado Operación Apagadointerrumpió el acceso a los servicios de alquiler de DDoS, derribó la infraestructura técnica que los respaldaba y obtuvo acceso a bases de datos que contenían más de 3 millones de cuentas de usuarios criminales. Las autoridades también están enviando correos electrónicos y cartas de advertencia a los usuarios criminales identificados, y se han emitido 25 órdenes de registro.

En la acción participaron nada menos que 21 países: Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal, Suecia, Tailandia, Reino Unido y Estados Unidos.

«Los servicios de arranque permiten a los usuarios lanzar ataques DDoS contra sitios web, servidores o redes específicos», Europol dicho en un comunicado. «Su infraestructura se compone de servidores, bases de datos y otros componentes técnicos que hacen posibles las actividades de alquiler de DDoS. Al apoderarse de estas infraestructuras, las autoridades pudieron obstaculizar estas operaciones criminales y evitar mayores daños a las víctimas».

La agencia describió el alquiler de DDoS como una de las tendencias más prolíficas y de fácil acceso en materia de delitos cibernéticos, ya que permite que incluso personas con poco o ningún conocimiento técnico ejecuten ataques maliciosos a escala e inflijan daños significativos a las empresas.

Europol también señaló que la actividad DDoS puede provenir de actores de amenazas capacitados y con buenos recursos, que podrían confiar en dichos servicios para personalizar u optimizar sus actividades ilícitas. Los ataques DDoS suelen tener como objetivo varios servicios basados ​​en la web, y las motivaciones detrás de ellos son tan variadas como amplias.

Esto va desde la simple curiosidad y la ganancia financiera mediante la extorsión hasta el hacktivismo impulsado por razones ideológicas y la interrupción de los servicios de los competidores. Se ha descubierto que algunos operadores de estos servicios enmascaran sus verdaderos motivos y escapan al escrutinio de las autoridades disfrazándolos de herramientas de pruebas de estrés.

Este desarrollo marca el último paso dado por las autoridades para desmantelar las infraestructuras criminales de alquiler de DDoS en todo el mundo como parte de PowerOFF. En agosto de 2025, el gobierno de EE. UU. anunció la eliminación de una botnet DDoS llamada RapperBot que se utilizaba para llevar a cabo ataques disruptivos a gran escala dirigidos a víctimas en más de 80 países desde al menos 2021.

Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».

Dos hombres de Nueva Jersey fueron sentenciado el miércoles por facilitar el plan de larga duración de Corea del Norte para colocar a operativos dentro de empresas estadounidenses como empleados, generando más de 5 millones de dólares en ingresos ilícitos para el régimen, dijo el Departamento de Justicia.

Los ciudadanos estadounidenses –Kejia Wang, también conocido como Tony Wang, y Zhenxing Wang, también conocido como Danny Wang– fueron parte de una conspiración de años de duración que colocó a agentes en puestos de trabajo en más de 100 empresas estadounidenses, incluidas muchas compañías Fortune 500, con sede en 27 estados y el Distrito de Columbia.

El elaborado plan involucraba empresas fantasma que se hacían pasar por empresas de desarrollo de software, lavado de dinero y espionaje con implicaciones para la seguridad nacional. Los agentes involucrados en la conspiración robaron archivos confidenciales de un contratista de defensa con sede en California relacionados con la tecnología militar estadounidense controlada bajo el Reglamento de Tráfico Internacional de Armas (ITAR), dijeron funcionarios.

«Los trabajadores de TI de la República Popular Democrática de Corea (RPDC) no se limitan a la generación de ingresos. Cuando se les asigna la tarea, pueden operacionalizar su ubicación y acceso para respaldar los requisitos de inteligencia estratégica, incluido el robo de propiedad intelectual, la interrupción de la red o la extorsión», dijo a CyberScoop Michael Barnhart, investigador del estado nacional en DTEX.

Si bien la mayor parte del plan de Corea del Norte se centra en los ingresos, a veces aplica un enfoque de doble uso, asignando a ciertos trabajadores de TI privilegiados actividades maliciosas que ayudan a otros grupos de piratería respaldados por el estado, añadió Barnhart.

«No todos los trabajadores de TI pueden ser piratas informáticos, pero todos los piratas informáticos norcoreanos pueden o han sido trabajadores de TI», dijo. «Esta distinción es importante para el análisis de amenazas internas porque, a diferencia de las típicas contrataciones fraudulentas motivadas por ganancias financieras personales, los trabajadores de TI pueden infligir daños a nivel de seguridad nacional».

Kejia Wang, de 42 años, Zhenzing Wang, de 39, y sus cómplices robaron las identidades de al menos 80 residentes estadounidenses para facilitar la contratación de agentes norcoreanos y recaudaron al menos 696.000 dólares en honorarios combinados, dijeron funcionarios. Las empresas estadounidenses víctimas también incurrieron en honorarios legales, costos de reparación y otros daños y pérdidas superiores a los 3 millones de dólares.

Ambos hombres se declararon previamente culpables de una variedad de delitos. Kejia Wang fue condenada a nueve años de prisión por conspiración para cometer fraude electrónico y postal, blanqueo de dinero y robo de identidad. Zhenxing Wang fue sentenciado a 92 meses de prisión por conspiración para cometer fraude electrónico y postal y lavado de dinero.

A la pareja también se le ordenó perder un total combinado de 600.000 dólares, de los cuales dos tercios ya han sido pagados, dijeron las autoridades.

La conspiración, que se desarrolló al menos desde 2021 hasta octubre de 2024, se basó en parte en empresas fantasma (Hopana Tech, Tony WKJ y Independent Lab), que los hombres crearon para crear la apariencia de negocios legítimos.

«Al combinar a una persona estadounidense, una dirección estadounidense y una empresa fachada como Independent Lab, los facilitadores crearon la ilusión de un esfuerzo interno legítimo que permitía a los trabajadores de TI presentarse como residentes de Estados Unidos sin despertar sospechas durante la incorporación o los flujos de trabajo diarios», dijo Barnhart.

«Las empresas pantalla pueden actuar como ese flujo financiero intermedio desde las empresas víctimas de regreso a las unidades de la RPDC, lo que luego impulsa fondos hacia arriba a través del Partido de los Trabajadores de Corea para apoyar cualquier programa con el que estuviera alineada la unidad, ya sea desarrollo de armas o prioridades internas», añadió.

Estas empresas fachada reflejan un mayor nivel de habilidad que explota un punto débil en las evaluaciones de riesgos internos porque las amenazas no siempre son una persona maliciosa que intenta ingresar a una red, dijo Barnhart. «A veces parece como si toda una empresa pareciera limpia sobre el papel».

Las autoridades han respondido al plan de Corea del Norte apuntando a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y confiscando criptomonedas vinculadas al robo.

Los triunfos en materia de aplicación de la ley se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es masiva y evoluciona constantemente.

La sentencia de Kejia Wang y Zhenxing Wang se produce menos de un mes después de que un trío de hombres estadounidenses fueran sentenciados por delitos similares, incluida la operación de granjas de computadoras portátiles, fraude electrónico y robo de identidad.

Los Departamentos de Justicia y del Tesoro también han emitido acusaciones y sancionado a personas y entidades presuntamente involucradas en el esfuerzo de Corea del Norte de enviar miles de profesionales técnicos especializados fuera del país para conseguir empleos bajo falsos pretextos y canalizar sus salarios de regreso a Pyongyang.

Puede leer las acusaciones completas contra Kejia Wang y Zhenxing Wang a continuación.

Investigadores de ciberseguridad han advertido sobre una campaña maliciosa activa dirigida a la fuerza laboral en la República Checa con una botnet previamente indocumentada denominada mezcla de polvo desde al menos diciembre de 2025.

«PowMix emplea intervalos aleatorios de balizas de comando y control (C2), en lugar de una conexión persistente al servidor C2, para evadir las detecciones de firmas de red», dijo Chetan Raghuprasad, investigador de Cisco Talos. dicho en un informe publicado hoy.

«PowMix incorpora los datos de latidos cifrados junto con identificadores únicos de la máquina víctima en las rutas URL de C2, imitando las URL de API REST legítimas. PowMix tiene la capacidad de actualizar dinámicamente de forma remota el nuevo dominio C2 al archivo de configuración de la botnet».

La cadena de ataque comienza con un archivo ZIP malicioso, probablemente entregado a través de un correo electrónico de phishing, para activar una cadena de infección de varias etapas que elimina PowMix. Específicamente, se trata de un acceso directo de Windows (LNK) que se utiliza para iniciar un cargador de PowerShell, que luego extrae el malware incrustado en el archivo, lo descifra y lo ejecuta en la memoria.

La botnet nunca antes vista está diseñada para facilitar el acceso remoto, el reconocimiento y la ejecución remota de código, al tiempo que establece persistencia mediante una tarea programada. Al mismo tiempo, verifica el árbol de procesos para garantizar que no se esté ejecutando otra instancia del mismo malware en el host comprometido.

La lógica de gestión remota de PowMix le permite procesar dos tipos diferentes de comandos enviados desde el servidor C2. Cualquier respuesta sin prefijo # hace que PowMix cambie al modo de ejecución arbitrario y descifre y ejecute la carga útil obtenida.

• #KILL, para iniciar una rutina de autoeliminación y borrar rastros de todos los artefactos maliciosos
• #HOST, para habilitar la migración de C2 a una nueva URL del servidor.

Paralelamente, también abre un documento señuelo con señuelos con temática de cumplimiento como mecanismo de distracción. Los documentos señuelo hacen referencia a marcas legítimas como Edeka e incluyen datos de compensación y referencias legislativas válidas, potencialmente en un esfuerzo por mejorar su credibilidad y engañar a los destinatarios, como los aspirantes a empleo.

Talos dijo que la campaña comparte cierto nivel de superposición táctica con una campaña denominada ZipLine que Check Point reveló a fines de agosto de 2025 como dirigida a empresas de fabricación críticas para la cadena de suministro con un malware en memoria llamado MixShell.

Esto incluye el uso de la misma entrega de carga útil basada en ZIP, la persistencia de tareas programadas y el abuso de Heroku para C2. Dicho esto, no se han observado cargas útiles finales más allá del propio malware botnet, lo que deja sin respuesta preguntas sobre sus motivos exactos.

«PowMix evita conexiones persistentes al servidor C2», dijo Talos. «En su lugar, implementa una fluctuación a través del comando Get-Random PowerShell para variar los intervalos de baliza inicialmente entre 0 y 261 segundos, y posteriormente entre 1.075 y 1.450 segundos. Esta técnica intenta evitar la detección de tráfico C2 a través de firmas de red predecibles».

La divulgación se produce cuando Bitsight arroja luz sobre la cadena de infección asociada con la botnet RondoDox, destacando las capacidades en evolución del malware para extraer criptomonedas ilícitamente en sistemas infectados usando XMRig además de la funcionalidad de ataque de denegación de servicio distribuido (DDoS) existente.

Los hallazgos pintan la imagen de un malware mantenido activamente que ofrece evasión mejorada, mayor resistencia, eliminación agresiva de la competencia y un conjunto de funciones ampliado.

RondoDox es capaz de explotar más de 170 vulnerabilidades conocidas en varias aplicaciones conectadas a Internet para obtener acceso inicial y soltar un script de shell que realiza un antianálisis básico y elimina el malware de la competencia antes de soltar el binario de botnet apropiado para la arquitectura.

El malware «realiza múltiples comprobaciones e implementa técnicas para obstaculizar el análisis, que incluyen el uso de nanomites, cambiar el nombre/eliminar archivos, eliminar procesos y comprobar activamente si hay depuradores durante la ejecución», dijo el científico investigador principal de Bitsight, João Godinho. dicho.

«El robot es capaz de ejecutar ataques DoS en Internet, en la capa de transporte y de aplicación, dependiendo del comando y los argumentos emitidos por el C2».

Se ha observado una «novedosa» campaña de ingeniería social que abusa de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.

Apodado REF6598 Según Elastic Security Labs, se descubrió que la actividad aprovecha elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS, acercándose a personas potenciales bajo la apariencia de una empresa de capital de riesgo y luego trasladando la conversación a un grupo de Telegram donde están presentes varios supuestos socios.

El chat grupal de Telegram está diseñado para darle a la operación una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de liquidez de criptomonedas. Luego se le indica al objetivo que use Obsidian para acceder a lo que parece ser un panel compartido conectándose a un bóveda alojada en la nube utilizando las credenciales que se les proporcionaron.

Es esta bóveda la que desencadena la secuencia de infección. Tan pronto como se abre la bóveda en la aplicación para tomar notas, se solicita al objetivo que habilite la sincronización de «Complementos comunitarios instalados», lo que provoca efectivamente la ejecución de código malicioso.

«Los actores de amenazas abusan del ecosistema legítimo de complementos comunitarios de Obsidian, específicamente el Comandos de shell y Ocultador complementos, para ejecutar código silenciosamente cuando una víctima abre una bóveda en la nube compartida», dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.

Dado que la opción está deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronización del complemento comunitario en su dispositivo para que la configuración de la bóveda maliciosa pueda activar la ejecución de comandos a través del complemento Shell Commands. También se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, la información sobre herramientas y otros.

«Si bien este ataque requiere ingeniería social para cruzar el límite de sincronización de complementos de la comunidad, la técnica sigue siendo notable: abusa de una característica de aplicación legítima como canal de persistencia y ejecución de comandos, la carga útil reside completamente dentro de archivos de configuración JSON que es poco probable que activen AV tradicionales. [antivirus] firmas y la ejecución se realiza mediante una aplicación Electron confiable y firmada, lo que hace que la detección basada en procesos principales sea la capa crítica», dijeron los investigadores.

Las rutas de ejecución dedicadas se activan según el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en código PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.

PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor de comando y control (C2) recuperando el última transacción asociado con un dirección de billetera codificada. Al obtener la dirección C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetría del sistema, buscar comandos y transmitir los resultados de la ejecución, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.

Los comandos admitidos están diseñados para facilitar el acceso remoto completo:

• inyectarpara inyectar shellcode/DLL/EXE en el proceso de destino
• gotapara colocar un archivo en el disco y ejecutarlo
• captura de pantallapara capturar y cargar una captura de pantalla
• registro de teclaspara iniciar/detener un registrador de teclas
• desinstalarpara iniciar la eliminación de la persistencia y realizar la limpieza
• elevarpara escalar privilegios al SISTEMA a través del Apodo de elevación COM
• degradarpara realizar la transición de SISTEMA a administrador elevado

En macOS, el complemento Shell Commands ofrece un cuentagotas AppleScript ofuscado que itera sobre una lista de dominios codificada, mientras emplea Telegram como un solucionador de caída para la resolución alternativa C2. Este enfoque también ofrece mayor flexibilidad, ya que permite rotar fácilmente la infraestructura C2, lo que hace que el bloqueo basado en dominios sea insuficiente.

En el paso final, el script dropper se pone en contacto con el dominio C2 para descargar y ejecutar una carga útil de segunda etapa a través de osascript. Se desconoce la naturaleza exacta de esta carga útil, dado que los servidores C2 están actualmente fuera de línea. La intrusión finalmente no tuvo éxito, ya que el ataque fue detectado y bloqueado antes de que el adversario pudiera lograr sus objetivos en la máquina infectada.

«REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de acceso inicial creativos abusando de aplicaciones confiables y empleando ingeniería social dirigida», dijo Elastic. «Al abusar del ecosistema de complementos de la comunidad de Obsidian en lugar de explotar una vulnerabilidad del software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario».

Autoridades de 21 países derribaron 53 dominios y arrestaron a cuatro personas presuntamente involucradas en operaciones distribuidas de denegación de servicio utilizado por más de 75.000 ciberdelincuentes, dijo Europol el jueves.

El esfuerzo coordinado globalmente denominado “Operación Apagado«Interrumpió los servicios de arranque y confiscó y desmanteló la infraestructura, incluidos servidores y bases de datos, que respaldaban los servicios de alquiler de DDoS, dijeron los funcionarios.

Los organismos encargados de hacer cumplir la ley obtuvieron datos sobre más de 3 millones de cuentas de usuarios presuntamente delincuentes de las bases de datos incautadas y, finalmente, enviaron más de 75.000 correos electrónicos y cartas a los participantes, advirtiéndoles que detuvieran sus actividades.

Los funcionarios de los países involucrados en la operación también cumplieron 25 órdenes de registro, eliminaron más de 100 URL que anunciaban servicios de alquiler de DDoS en los resultados de los motores de búsqueda y crearon anuncios en motores de búsqueda dirigidos a jóvenes que buscaban herramientas de alquiler de DDoS.

La operación, que está en curso, apunta principalmente a factores estresantes de IP o iniciadores DDoS que los ciberdelincuentes utilizan para inundar sitios web, servidores y redes con tráfico basura, haciendo que los servicios legítimos sean inaccesibles.

Los funcionarios describieron las herramientas de alquiler de DDoS como prolíficas y de fácil acceso, y a menudo incluyen tutoriales que permiten a personas sin conocimientos de tecnología iniciar ataques contra diversas organizaciones.

«Los ataques suelen tener un enfoque regional, y los usuarios apuntan a servidores y sitios web dentro de su continente, y están dirigidos a una amplia gama de objetivos, incluidos mercados en línea, proveedores de telecomunicaciones y otros servicios basados ​​en la web», dijo Europol en un comunicado de prensa. «Las motivaciones varían desde la curiosidad hasta propósitos ideológicos vinculados al hacktivismo, así como ganancias financieras a través de la extorsión o la interrupción de los servicios de los competidores».

Operation PowerOFF cuenta con el apoyo de múltiples agencias policiales de Estados Unidos, Reino Unido, Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Noruega, Polonia, Portugal, Suecia y Tailandia.

La represión internacional interrumpió otros servicios populares de alquiler de DDoS a finales de 2024, provocando tres arrestos y 27 retiradas de dominios. En mayo, las autoridades de Polonia arrestaron a cuatro presuntos administradores de herramientas de alquiler DDoS que los ciberdelincuentes utilizaron para lanzar miles de ataques entre 2022 y 2025.

Un banco aprobó un píxel Taboola. Ese píxel redirigió silenciosamente a los usuarios que iniciaron sesión a un punto final de seguimiento de Temu. Esto ocurrió sin el conocimiento del banco, sin el consentimiento del usuario y sin que un solo control de seguridad registrara una infracción.

Lea el desglose técnico completo en el Resumen de inteligencia de seguridad. Descargar ahora →

El punto ciego del «sesgo del primer salto»

La mayoría de las pilas de seguridad, incluidos WAF, analizadores estáticos y CSP estándar, comparten un modo de falla común: evalúan la origen declarado de un guión, no del destino de tiempo de ejecución de su cadena de solicitudes.

Si sync.taboola.com está en la lista permitida de su Política de seguridad de contenido (CSP), el navegador considera que la solicitud es legítima. Sin embargo, no revalida contra el destino terminal de un redirección 302. Cuando el navegador llega a temu.com, ha heredado la confianza otorgada a Taboola.

El rastro forense

Durante una auditoría realizada en febrero de 2026 de una plataforma financiera europea, Reflectiz identificó la siguiente cadena de redireccionamiento que se ejecuta en páginas de cuentas en las que se ha iniciado sesión:

1. Solicitud inicial: Una solicitud GET a https://sync.taboola.com/sg/temurtbnative-network/1/rtb/.
2. La redirección: El servidor respondió con un 302 encontradoredirigiendo el navegador a https://www.temu.com/api/adx/cm/pixel-taboola?….
3. La carga útil: La redirección incluía el encabezado crítico Access-Control-Allow-Credentials: true.

Este encabezado indica específicamente al navegador que incluya cookies en la solicitud de origen cruzado al dominio de Temu. Este es el mecanismo mediante el cual Temu puede leer o escribir identificadores de seguimiento en un navegador que ahora sabe que visitó una sesión bancaria autenticada.

Por qué las herramientas convencionales no lo lograron

«`html

«`

Las consecuencias regulatorias

Para las entidades reguladas, la ausencia de robo directo de credenciales no limita la exposición al cumplimiento. Nunca se informó a los usuarios que el comportamiento de su sesión bancaria estaría asociado con un perfil de seguimiento de PDD Holdings, una falla de transparencia según el art. 13. El enrutamiento en sí involucra infraestructura en un país no adecuado, y sin Cláusulas Contractuales Estándar que cubran esta relación específica de cuarto partido, la transferencia no está respaldada por el Capítulo V del RGPD. «No sabíamos que el píxel hacía eso» no es una defensa disponible para un controlador de datos según el art. 24.

La exposición al PCI DSS agrava esto. Una cadena de redireccionamiento que termina en un dominio de terceros no previsto queda fuera del alcance de cualquier revisión que evalúe sólo al proveedor principal, que es precisamente lo que Requerido 6.4.3 fue escrito para cerrar.

Inspeccionar el tiempo de ejecución, no sólo las declaraciones

En este momento, la misma configuración de píxeles de Taboola se ejecuta en miles de sitios web. La pregunta no es si se están produciendo cadenas de redireccionamiento como ésta. Ellos son. La pregunta es si su pila de seguridad puede ver más allá del primer salto, o si se detiene en el dominio que usted aprobó y da por terminado.

Para equipos de seguridad: inspeccionar el comportamiento del tiempo de ejecución, no solo las listas de proveedores declaradas.

Para equipos legales y de privacidad: Las cadenas de seguimiento a nivel del navegador en páginas autenticadas garantizan el mismo rigor que las integraciones de backend.

La amenaza entró por la puerta grande. Su CSP lo dejó entrar.

El registro completo de evidencia técnica se encuentra en el Security Intelligence Brief. Descárgalo aquí →

You know that feeling when you open your feed on a Thursday morning and it’s just… a lot? Yeah. This week delivered. We’ve got hackers getting creative in ways that are almost impressive if you ignore the whole «crime» part, ancient vulnerabilities somehow still ruining people’s days, and enough supply chain drama to fill a season of television nobody asked for.

Not all bad though. Some threat actors got exposed with receipts, a few platforms finally tightened things up, and there’s research in here that’s genuinely worth your time. Grab your coffee and keep scrolling.

That’s a wrap for this week. If anything here made you pause, good. Go check your patches, side-eye your dependencies, and maybe don’t trust that app just because it’s sitting in an official store. The basics still matter more than most people want to admit.

We’ll be back next Thursday with whatever fresh chaos the internet cooks up. Until then, stay sharp and keep your logs close. See you on the other side.

En 2024, las cuentas de servicio comprometidas y las claves API olvidadas estuvieron detrás del 68% de las infracciones de la nube. No phishing. No contraseñas débiles. Identidades no humanas no administradas que nadie estaba mirando.

Por cada empleado de su organización, hay entre 40 y 50 credenciales automatizadas: cuentas de servicio, tokens de API, conexiones de agentes de IA y subvenciones de OAuth. Cuando los proyectos finalizan o los empleados se van, la mayoría de ellos permanecen activos. Totalmente privilegiado. Completamente descontrolado.

Los atacantes no necesitan entrar. Simplemente recogen las llaves que dejaste fuera.

Únase a nuestro próximo seminario web donde le mostraremos cómo encontrar y eliminar estas «Identidades fantasma» antes de que se conviertan en una puerta trasera para los piratas informáticos.

Los agentes de inteligencia artificial y los flujos de trabajo automatizados están multiplicando estas credenciales a un ritmo que los equipos de seguridad no pueden rastrear manualmente. Muchos tienen acceso a nivel de administrador que nunca necesitaron. Un token comprometido puede darle al atacante un movimiento lateral en todo su entorno, y el tiempo de permanencia promedio para estas intrusiones es de más de 200 días.

La IAM tradicional no se creó para esto. Gestiona personas. Ignora las máquinas.

Lo que le guiaremos en esta sesión:

• Cómo ejecutar un análisis de descubrimiento completo de cada identidad no humana en su entorno
• Un marco para ajustar el tamaño de los permisos entre cuentas de servicio e integraciones de IA
• Una política de ciclo de vida automatizada para que las credenciales inactivas se revoquen antes de que los atacantes las encuentren.
• Una lista de verificación de limpieza de identidad lista para usar que obtendrá durante la sesión en vivo

Esta no es una demostración del producto. Es un libro de jugadas que puedes llevar a tu equipo la misma semana.

No permita que las claves ocultas comprometan sus datos. Estamos organizando una sesión en vivo para guiarlo paso a paso en la protección de estas identidades no humanas.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.