Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.
La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de alta gravedad que afecta al marco MSHTML.
«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una característica de seguridad en una red», Microsoft anotado en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.
Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo real, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.
En un escenario de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como un archivo adjunto de correo electrónico.
Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecución del código.
Si bien la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.
Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).
La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la lógica dentro de «ieframe.dll» que maneja la navegación de hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.
«Esta carga útil implica un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles de varias etapas de la campaña. El exploit aprovecha los iframes anidados y múltiples contextos DOM para manipular los límites de confianza».
Akamai señaló que la técnica hace posible que un atacante eluda la Marca de la Web (MotW) y Configuración de seguridad mejorada de Internet Explorer (Es decir, ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador a través de ShellExecuteExW.
«Si bien la campaña observada aprovecha archivos LNK maliciosos, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».
Durante años, los ciberataques siguieron un patrón familiar: reconocimiento, explotación, persistencia, impacto. Los defensores construyeron sus estrategias en torno a ese ciclo, parcheando vulnerabilidades, monitoreando indicadores y trabajando para reducir el tiempo de permanencia. Pero se está produciendo un cambio más silencioso.
Los adversarios más sofisticados de la actualidad utilizan la IA para estudiar cómo se defienden las organizaciones. Llevan a cabo lo que llamamos “campañas de sondeo silencioso”: operaciones sutiles a largo plazo diseñadas para mapear cómo un equipo detecta amenazas, intensifica los problemas y responde bajo presión. Estas campañas se centran en conocer los hábitos, el flujo de trabajo y los puntos de decisión del defensor para que los atacantes puedan cronometrar y adaptar las acciones de seguimiento para evadir la detección. Esto reformula el riesgo cibernético, convirtiéndolo de un problema técnico en uno de comportamiento.
De encontrar vulnerabilidades a estudiar a los defensores
Históricamente, los atacantes se centraban únicamente en lagunas técnicas, ya fuera de un servidor sin parches, credenciales expuestas o una nube mal configurada. El objetivo era encontrar la debilidad y explotarla antes de que alguien más lo hiciera. El sondeo silencioso añade una nueva fase de “aprendizaje” a ese manual.
Los atacantes estudian cómo responde una organización con tanto cuidado como estudian sus sistemas. Utilizando IA durante semanas o meses, miden silenciosamente la velocidad de detección y escalamiento, aprenden qué alertas se ignoran e infieren patrones como cobertura de turnos, fatiga de alertas y cuellos de botella en los procesos.
Con el tiempo, estas sutiles sondas generan datos que alimentan los modelos adaptativos. Esos modelos ayudan a los atacantes a aprender qué desencadena una respuesta, qué tan rápido reaccionan los equipos y dónde tiende a fallar la detección. Esto significa que cuando finalmente se desarrolla un ataque importante, ya se ha optimizado frente a los patrones defensivos reales de la organización.
Al mismo tiempo, las organizaciones están incorporando IA en sus operaciones de seguridad, desde la clasificación automatizada hasta la orquestación de respuestas autónomas. Sin embargo, este cambio introduce un nuevo riesgo: los mismos sistemas diseñados para defender la empresa pueden convertirse en parte de la superficie de ataque.
A medida que las organizaciones dependen cada vez más de la IA para ejecutar sus operaciones de seguridad, estos sistemas necesitan una amplia visibilidad y acceso para funcionar correctamente. A menudo se conectan a plataformas en la nube, sistemas de identidad y controles de puntos finales para poder detectar amenazas y actuar rápidamente. Pero ese nivel de acceso crea una cantidad sustancial de poder. Si uno de estos sistemas impulsados por IA se ve comprometido o manipulado, no solo expone una sola herramienta, sino que puede darle al atacante un amplio alcance en todo el entorno. En ese escenario, la tecnología diseñada para proteger a la organización puede acelerar el daño.
La automatización aumenta el riesgo cuando los sistemas de IA pueden tomar medidas sin la aprobación humana, como aislar dispositivos, restablecer contraseñas o cambiar configuraciones. Se requieren límites y barreras de seguridad claros, ya que las entradas manipuladas o las interpretaciones erróneas pueden desencadenar una perturbación rápida y de gran alcance. El riesgo depende de la autoridad del sistema y de los controles que lo rodean.
Las alucinaciones de la IA en las operaciones de seguridad pueden hacer que los sistemas identifiquen erróneamente las amenazas, aíslen los activos equivocados o pasen por alto la amenaza real. Los errores repetidos pueden erosionar la confianza en el sistema o, peor aún, crear una falsa sensación de confianza en sus decisiones automatizadas. Esto afecta el juicio, la toma de decisiones y cómo se entiende el riesgo en tiempo real.
El riesgo de defensas predecibles
Un sondeo silencioso revela cuán predecibles son las defensas de una organización. Los atacantes ahora buscan patrones en el comportamiento defensivo: consistencia de respuesta entre turnos, alertas ignoradas rutinariamente, pasos de respuesta a incidentes predecibles y si herramientas ruidosas ocultan accidentalmente amenazas que se mueven lentamente.
Cuando el comportamiento defensivo se vuelve visible y predecible, puede estudiarse y explotarse. Las organizaciones necesitan comprender cómo se ven sus defensas desde el exterior y evaluar su exposición conductual de la misma manera que los equipos rojos prueban los controles técnicos. Esto incluye comprender con qué facilidad un extraño puede identificar los umbrales de detección, con qué claridad se pueden medir los tiempos de respuesta y cuánta rutina operativa se puede aprender mediante sondeos silenciosos y repetidos. La pregunta clave es si los patrones de respuesta están enseñando involuntariamente a los atacantes cómo tener éxito.
Preparación en la era de la IA
Dado que la IA desempeña un papel más importante en las operaciones de seguridad, la supervisión debe evolucionar junto con ella. Una gobernanza sólida comienza con una definición clara de lo que se permite hacer a los sistemas de IA. Las organizaciones deben ser explícitas sobre qué acciones pueden ocurrir automáticamente y cuáles requieren aprobación humana. Por el contrario, los principios de privilegios mínimos deberían aplicarse no sólo a las personas, sino también a las máquinas. Las herramientas impulsadas por la IA deben probarse periódicamente y revisarse para detectar derivas, sesgos y conclusiones inexactas. Siempre que sea posible, las autoridades de detección y respuesta deben estar separadas para evitar concentrar demasiada energía en un solo sistema. La centralización sin control puede parecer eficiente, pero en la práctica crea fragilidad.
Aun así, las políticas y las barreras de seguridad por sí solas no son suficientes. A medida que los atacantes utilizan la IA para comprender a los defensores, estos deben perfeccionar su propia capacidad para pensar como sus adversarios. Los profesionales de seguridad necesitan evaluar cómo funcionan sus herramientas y cómo podrían ser observadas, manipuladas o engañadas. Esto requiere cuestionar las decisiones automatizadas, intervenir cuando sea necesario e investigar anomalías, especialmente cuando el sistema parece confiar en sus conclusiones.
Por eso son importantes las simulaciones prácticas y los equipos rojos centrados en la IA. Los equipos necesitan experiencia en entornos que simulen adversarios adaptativos que ajustan sus tácticas en función de respuestas defensivas. no sólo escenarios de ataque de libros de texto. Necesitan comprender las capacidades de detección de la IA y los riesgos que introducen las configuraciones deficientes o la confianza ciega. La brecha que enfrentan las organizaciones se ha vuelto más cognitiva que tecnológica, y cerrar esa brecha requiere un desarrollo continuo y mensurable de habilidades, incluida la alfabetización en IA, la conciencia ofensiva sobre la IA y la capacidad de evaluar críticamente los resultados automatizados.
En una era en la que la IA es lo primero, la resiliencia ahora depende de cómo una organización se defiende como si estuviera siendo vigilada. El sondeo silencioso permite a los atacantes comprender los umbrales de detección, la velocidad de escalada y la coherencia de la respuesta durante semanas o meses. y la coherencia con la que responden los equipos. Esta tranquila observación puede servir ahora como precursora de un ataque importante a una empresa.
Los líderes de seguridad deben centrarse en lo que sus organizaciones revelan a través del comportamiento defensivo diario. Cuando los atacantes pueden observar, aprender y adaptarse con el tiempo, las respuestas predecibles se convierten en un problema porque son fáciles de estudiar y explotar.
Dimitrios Bougioukas es vicepresidente senior de capacitación en Hack The Box, donde lidera el desarrollo de iniciativas y certificaciones de capacitación avanzada que equipan a los profesionales de la ciberseguridad de todo el mundo con habilidades listas para la misión.
Los investigadores de ciberseguridad han revelado una nueva iteración de la actual campaña Contagious Interview, donde los actores de amenazas norcoreanos han publicado un conjunto de 26 paquetes maliciosos en el registro npm.
Los paquetes se hacen pasar por herramientas de desarrollador, pero contienen funcionalidad para extraer el comando y control real (C2) mediante el uso de contenido aparentemente inofensivo de Pastebin como un solucionador de caídas y, en última instancia, eliminan un ladrón de credenciales y un troyano de acceso remoto dirigidos a desarrolladores. La infraestructura C2 está alojada en Vercel en 31 implementaciones.
El campañarastreado por Socket y Kieran Miyamoto de kmsec.uk está siendo rastreado bajo el apodo StegaBin.
«El cargador extrae URL C2 codificadas esteganográficamente dentro de tres pastas de Pastebin, ensayos informáticos inofensivos en los que los caracteres en posiciones uniformemente espaciadas han sido reemplazados para deletrear direcciones de infraestructura ocultas», los investigadores de Socket Philipp Burckhardt y Peter van der Zee dicho.
La lista de paquetes npm maliciosos es la siguiente:
argonista@0.41.0
bcryptance@6.5.2
abeja-quarl@2.1.2
núcleo de burbuja@6.26.2
corstoken@2.14.7
daytonjs@1.11.20
ether-lint@5.9.4
expressjs-lint@5.3.2
fastify-lint@5.8.0
formmiderable@3.5.7
hapi-lint@19.1.2
iosysredis@5.13.2
jslint-config@10.22.2
jsnwebapptoken@8.40.2
kafkajs-lint@2.21.3
loadash-lint@4.17.24
mqttoken@5.40.2
prisma-lint@7.4.2
promanage@6.0.21
secuela@6.40.2
tiporiem@0.4.17
undicy-lint@7.23.1
uuindex@13.1.0
vitetest-lint@4.1.21
windowston@3.19.2
zoddle@4.4.2
Todos los paquetes identificados vienen con un script de instalación («install.js») que se ejecuta automáticamente durante la instalación del paquete, que, a su vez, ejecuta la carga útil maliciosa ubicada en «vendor/scrypt-js/version.js». Otro aspecto común que une a los 26 paquetes es que declaran explícitamente el paquete legítimo que están escribiendo como una dependencia, probablemente en un intento de hacerlos parecer creíbles.
La carga útil sirve como un decodificador de esteganografía de texto al contactar una URL de Pastebin y extraer su contenido para recuperar las URL C2 Vercel reales. Si bien los pegados aparentemente contienen un ensayo benigno sobre informática, el decodificador está diseñado para observar caracteres específicos en ciertas posiciones del texto y unirlos para crear una lista de dominios C2.
«El decodificador elimina los caracteres Unicode de ancho cero, lee un marcador de longitud de 5 dígitos desde el principio, calcula las posiciones de los caracteres espaciados uniformemente a lo largo del texto y extrae los caracteres en esas posiciones», dijo Socket. «Los caracteres extraídos luego se dividen en un separador ||| (con un marcador de terminación ===END===) para producir una matriz de nombres de dominio C2».
Luego, el malware llega al dominio decodificado para recuperar cargas útiles específicas de la plataforma para Windows, macOS y Linux, una táctica ampliamente observada en la campaña Contagious Interview. Uno de esos dominios, «ext-checkdin.vercel[.]app» sirve un script de shell, que luego contacta la misma URL para recuperar un componente RAT.
El troyano se conecta a 103.106.67[.]63:1244 a esperar más instrucciones que le permitan cambiar el directorio actual y ejecutar comandos de shell, a través de los cuales se implementa un conjunto integral de recopilación de inteligencia. Contiene nueve módulos para facilitar la persistencia de Microsoft Visual Studio Code (VS Code), el registro de teclas y el robo del portapapeles, la recolección de credenciales del navegador, el escaneo de secretos de TruffleHog y el repositorio Git y la filtración de claves SSH.
vsque utiliza un archivo task.json malicioso para contactar un dominio de Vercel cada vez que se abre un proyecto en VS Code aprovechando el disparador runOn: «folderOpen». El módulo escanea específicamente el directorio de configuración de VS Code de la víctima en las tres plataformas y escribe el archivo task.json malicioso directamente en él.
acortarque actúa como registrador de teclas, rastreador de mouse y ladrón de portapapeles con soporte para seguimiento activo de ventanas y realiza filtraciones periódicas cada 10 minutos.
hermanoque es una carga útil de Python para robar almacenes de credenciales del navegador.
jque es un módulo de Node.js utilizado para el robo de navegadores y criptomonedas dirigido a Google Chrome, Brave, Firefox, Opera y Microsoft Edge, y extensiones como MetaMask, Phantom, Coinbase Wallet, Binance, Trust, Exodus y Keplr, entre otras. En macOS, también apunta al llavero de iCloud.
zque enumera el sistema de archivos y roba archivos que coinciden con ciertos patrones predefinidos.
norteque actúa como RAT para otorgar al atacante la capacidad de controlar de forma remota el host infectado en tiempo real a través de una conexión WebSocket persistente a 103.106.67[.]63:1247 y exfiltrar datos de interés a través de FTP.
trufaque descarga el legítimo Escáner de secretos de TruffleHog desde la página oficial de GitHub para descubrir y filtrar los secretos de los desarrolladores.
gitque recopila archivos de directorios .ssh, extrae credenciales de Git y escanea repositorios.
programadoque es lo mismo que «vendor/scrypt-js/version.js» y se vuelve a implementar como mecanismo de persistencia.
«Mientras que las oleadas anteriores de la campaña Contagious Interview se basaban en scripts maliciosos relativamente sencillos y cargas útiles alojadas en Bitbucket, esta última iteración demuestra un esfuerzo concertado para evitar tanto la detección automatizada como la revisión humana», concluyó Socket.
«El uso de esteganografía a nivel de personaje en Pastebin y el enrutamiento Vercel de múltiples etapas apunta a un adversario que está refinando sus técnicas de evasión e intentando hacer sus operaciones más resistentes».
La divulgación se produce cuando también se ha observado que los actores norcoreanos publican paquetes npm maliciosos (por ejemplo, express-core-validator) para recuperar una carga útil de JavaScript de la siguiente etapa alojada en Google Drive.
«Sólo se ha publicado un paquete con esta nueva técnica», Miyamoto dicho. «Es probable que FAMOUS CHOLLIMA continúe aprovechando múltiples técnicas e infraestructura para entregar cargas útiles de seguimiento. Es poco probable que esto indique una revisión completa de su comportamiento de etapa en npm».
OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.
«Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado», Oasis Security dicho en un informe publicado esta semana.
La falla ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.
El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puertaun servidor WebSocket local, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.
La secuencia de infección sigue los pasos siguientes:
JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw.
El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad que falta.
Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del usuario.
El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.
«Cualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes», dijo Oasis Security. «Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a su puerta de enlace OpenClaw local. El usuario no ve nada».
«Esa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático».
Tras una divulgación responsable, OpenClaw impulsó una solución en menos de 24 horas con versión 2026.2.25 publicado el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).
El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de verse comprometidos.
Informes de Bitsight y Confianza neuronal han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radio de explosión y pueden transformarse en un arma de ataque incorporando inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.
La divulgación se produce cuando OpenClaw también parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso para registrar archivos a través de solicitudes WebSocket en una instancia de acceso público en el puerto TCP 18789.
Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El asunto fue abordado en versión 2026.2.13que se envió el 14 de febrero de 2026.
«Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas», Eye Security dicho. «Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas».
«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», afirmó Endor Labs.
En otros lugares, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Araña de galleta.
«La cadena de infección comienza con un SKILL.md normal que instala un requisito previo», Trend Micro dicho. «La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones».
Las instrucciones alojadas en el sitio web «openclawcli.vercel[.]app» incluye un comando malicioso para descargar una carga útil de ladrón desde un servidor externo («91.92.242[.]30») y ejecútelo.
Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en el que se identificó a un actor de amenazas con el nombre @liuhui1010, que dejó comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad «no funciona en macOS».
El comando está diseñado para recuperar Atomic Stealer de «91.92.242[.]30», una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha descubierto no menos de 71 programas maliciosos, algunos de los cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.
Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.
«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».
Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generación de imágenes benigna para generar credibilidad del desarrollador.
Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso, ya sea a través de habilidades envenenadas o inyecciones rápidas.
«Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar».
«Si una organización determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del modelo operativo».
Una nueva investigación ha descubierto que se podría abusar de las claves API de Google Cloud, generalmente designadas como identificadores de proyecto con fines de facturación, para autenticarse en puntos finales sensibles de Gemini y acceder a datos privados.
Los hallazgos provienen de Truffle Security, que descubrió casi 3.000 claves API de Google (identificadas por el prefijo «AIza») incrustadas en el código del lado del cliente para proporcionar servicios relacionados con Google, como mapas incrustados en sitios web.
«Con una clave válida, un atacante puede acceder a los archivos cargados, a los datos almacenados en caché y cargar el uso de LLM a su cuenta», dijo el investigador de seguridad Joe Leon. dichoañadiendo las claves «ahora también se autentican en Gemini aunque nunca fueron destinadas a ello».
El problema ocurre cuando los usuarios habilitan la API de Gemini en un proyecto de Google Cloud (es decir, API de lenguaje generativo), lo que hace que las claves de API existentes en ese proyecto, incluidas aquellas a las que se puede acceder a través del código JavaScript del sitio web, obtengan acceso subrepticio a los puntos finales de Gemini sin ninguna advertencia o aviso.
Esto permite efectivamente que cualquier atacante que raspe sitios web obtenga dichas claves API y las utilice con fines nefastos y robo de cuotas, incluido el acceso a archivos confidenciales a través de los puntos finales /files y /cachedContents, así como realizar llamadas a la API Gemini, acumulando enormes facturas para las víctimas.
Además, Truffle Security descubrió que la creación de una nueva clave API en Google Cloud tiene como valor predeterminado «Sin restricciones», lo que significa que es aplicable para todas las API habilitadas en el proyecto, incluido Gemini.
«El resultado: miles de claves API que se implementaron como tokens de facturación benignos ahora son credenciales de Gemini activas en la Internet pública», dijo Leon. En total, la compañía dijo que encontró 2.863 claves activas accesibles en la Internet pública, incluido un sitio web asociado con Google.
La divulgación se produce cuando Quokka publicó un informe similar, en el que encontró más de 35.000 claves API únicas de Google integradas en su análisis de 250.000 aplicaciones de Android.
«Más allá del posible abuso de costos a través de solicitudes automatizadas de LLM, las organizaciones también deben considerar cómo los puntos finales habilitados para IA podrían interactuar con mensajes, contenido generado o servicios en la nube conectados de manera que amplíen el radio de explosión de una clave comprometida», dijo la empresa de seguridad móvil. dicho.
«Incluso si no se puede acceder a datos directos del cliente, la combinación de acceso a inferencia, consumo de cuotas y posible integración con recursos más amplios de Google Cloud crea un perfil de riesgo que es materialmente diferente del modelo de identificador de facturación original en el que confiaron los desarrolladores».
Aunque inicialmente se consideró que el comportamiento era intencionado, desde entonces Google intervino para solucionar el problema.
«Somos conscientes de este informe y hemos trabajado con los investigadores para abordar el problema», dijo un portavoz de Google a The Hacker News por correo electrónico. «Proteger los datos y la infraestructura de nuestros usuarios es nuestra principal prioridad. Ya hemos implementado medidas proactivas para detectar y bloquear claves API filtradas que intentan acceder a la API de Gemini».
Actualmente no se sabe si este problema alguna vez fue explotado en la naturaleza. Sin embargo, en un publicación en Reddit publicado hace dos días, un usuario afirmó que una clave API de Google Cloud «robada» resultó en cargos de $82,314.44 entre el 11 y el 12 de febrero de 2026, frente a un gasto regular de $180 por mes.
Nos comunicamos con Google para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Se recomienda a los usuarios que hayan configurado proyectos de Google Cloud que verifiquen sus API y servicios, y verifiquen si las API relacionadas con la inteligencia artificial (IA) están habilitadas. Si están habilitadas y son de acceso público (ya sea en JavaScript del lado del cliente o registradas en un repositorio público), asegúrese de que las claves estén rotadas.
«Empiece primero con las claves más antiguas», dijo Truffle Security. «Es más probable que se hayan implementado públicamente bajo la antigua guía de que las claves API se pueden compartir de forma segura y luego obtuvieron privilegios de Gemini de manera retroactiva cuando alguien de su equipo habilitó la API».
«Este es un gran ejemplo de cómo el riesgo es dinámico y cómo las API pueden tener permisos excesivos después del hecho», dijo Tim Erlin, estratega de seguridad de Wallarm, en un comunicado. «Las pruebas de seguridad, el escaneo de vulnerabilidades y otras evaluaciones deben ser continuas».
«Las API son complicadas en particular porque los cambios en sus operaciones o los datos a los que pueden acceder no son necesariamente vulnerabilidades, pero pueden aumentar directamente el riesgo. La adopción de IA que se ejecuta en estas API y su uso solo acelera el problema. Encontrar vulnerabilidades no es suficiente para las API. Las organizaciones tienen que perfilar el comportamiento y el acceso a los datos, identificar anomalías y bloquear activamente la actividad maliciosa».
Anthropic respondió el viernes después de que el secretario de Defensa de Estados Unidos, Pete Hegseth, ordenara al Pentágono que designara a la nueva inteligencia artificial (IA) como un «riesgo para la cadena de suministro».
«Esta acción sigue a meses de negociaciones que llegaron a un punto muerto sobre dos excepciones que solicitamos al uso legal de nuestro modelo de IA, Claude: la vigilancia interna masiva de los estadounidenses y las armas totalmente autónomas», dijo la compañía. dicho.
«Ninguna intimidación o castigo por parte del Departamento de Guerra cambiará nuestra posición sobre la vigilancia interna masiva o las armas totalmente autónomas».
En una publicación en las redes sociales sobre Truth Social, el presidente de los Estados Unidos, Donald Trump dicho Ordenaba a todas las agencias federales que eliminaran gradualmente el uso de tecnología Anthropic en los próximos seis meses. Una publicación X posterior de Hegseth ordenó que todos los contratistas, proveedores y socios que hicieran negocios con el ejército estadounidense cesaran cualquier «actividad comercial con Anthropic» con efecto inmediato.
«Junto con la directiva del Presidente para que el Gobierno Federal cese todo uso de la tecnología de Anthropic, estoy ordenando al Departamento de Guerra que designe a Anthropic como un riesgo para la seguridad nacional en la cadena de suministro», dijo Hegseth. escribió.
La designación se produce después de semanas de negociaciones entre el Pentágono y Anthropic sobre el uso de sus modelos de IA por parte del ejército estadounidense. En una publicación publicada esta semana, la empresa argumentó que sus contratos no deberían facilitar la vigilancia interna masiva o el desarrollo de armas autónomas.
«Apoyamos el uso de la IA para misiones legales de inteligencia y contrainteligencia extranjeras», señaló Anthropic. «Pero utilizar estos sistemas para una vigilancia nacional masiva es incompatible con los valores democráticos. La vigilancia masiva impulsada por la IA presenta riesgos graves y novedosos para nuestras libertades fundamentales».
La compañía también destacó la posición del Departamento de Guerra de EE. UU. (DoW) de que solo trabajará con compañías de IA que permitan «cualquier uso legal» de la tecnología, eliminando al mismo tiempo cualquier salvaguardia que pueda existir, como parte de los esfuerzos para construir una fuerza de guerra «primero la IA» y reforzar la seguridad nacional.
«La diversidad, la equidad y la inclusión y la ideología social no tienen cabida en el DoW, por lo que no debemos emplear modelos de IA que incorporen un ‘ajuste’ ideológico que interfiera con su capacidad de proporcionar respuestas objetivamente veraces a las solicitudes de los usuarios», se indica en un memorando. emitido por el Pentágono lee el mes pasado.
«El Departamento también debe utilizar modelos libres de restricciones de políticas de uso que puedan limitar las aplicaciones militares legales».
En respuesta a la designación, Anthropic la describió como «legalmente errónea» y dijo que sentaría un precedente peligroso para cualquier empresa estadounidense que negocie con el gobierno. También señaló que una designación de riesgo de la cadena de suministro según 10 USC 3252 solo puede extenderse al uso de Claude como parte de contratos DoW, y que no puede afectar el uso de Claude para servir a otros clientes.
Cientos de empleados de Google y OpenAI han firmó una carta abierta instando a sus empresas a apoyar a Anthropic en su enfrentamiento con el Pentágono por las aplicaciones militares de herramientas de inteligencia artificial como Claude.
El punto muerto La relación entre Anthropic y el gobierno de EE. UU. se produce cuando el director ejecutivo de OpenAI, Sam Altman, dijo que OpenAI llegó a un acuerdo con el Departamento de Defensa de EE. UU. (DoD) para implementar sus modelos en su red clasificada. También pidió al Departamento de Defensa que extendiera esos términos a todas las empresas de inteligencia artificial.
«La seguridad de la IA y la amplia distribución de beneficios son el núcleo de nuestra misión. Dos de nuestros principios de seguridad más importantes son la prohibición de la vigilancia masiva nacional y la responsabilidad humana por el uso de la fuerza, incluidos los sistemas de armas autónomos», Altman dicho en una publicación en X. «El Departamento de Guerra está de acuerdo con estos principios, los refleja en leyes y políticas, y los incluimos en nuestro acuerdo».
El Departamento de Justicia de EE. UU. (DoJ) anunció esta semana la incautación de Tether por valor de 61 millones de dólares que supuestamente estaban asociados con esquemas falsos de criptomonedas conocidos como matanza de cerdos.
Los fondos confiscados se rastrearon hasta direcciones de criptomonedas utilizadas para el lavado de ingresos derivados de delitos robados a víctimas de estafas de inversión en criptomonedas, añadió el departamento.
«Los actores criminales y los blanqueadores de dinero profesionales utilizan esquemas de fraude cibernéticos para estafar a sus víctimas y ocultar sus ganancias mal habidas», dicho Agente especial interino a cargo de HSI Charlotte, Kyle D. Burns.
«Los agentes especiales de HSI trabajan diligentemente para rastrear el producto ilícito del crimen en todo el mundo para desmantelar y desmantelar las organizaciones criminales transnacionales que buscan defraudar a los trabajadores estadounidenses».
Como es norma en este tipo de operaciones de delitos cibernéticos, se sabe que los actores de amenazas atacan a personas cultivando relaciones románticas después de acercarse a ellas a través de aplicaciones de citas y mensajería de redes sociales. Estas actividades son llevadas a cabo por personas que son traficadas hacia complejos fraudulentos que operan principalmente en el Sudeste Asiático con promesas de empleos bien remunerados.
Los sindicatos de delitos cibernéticos detrás de las estafas luego confiscan sus pasaportes y se ven obligados a estafar a las víctimas en línea haciéndose pasar por extraños encantadores o corredores en plataformas de inversión, o enfrentar consecuencias brutales. El objetivo final es convencer a los usuarios desprevenidos para que se deshagan del dinero que tanto les costó ganar en esquemas fraudulentos de inversión en criptomonedas.
Según el Departamento de Justicia, las plataformas falsas mostraban carteras de inversión inventadas que mostraban rendimientos inusualmente altos en un intento deliberado de hacer que las víctimas invirtieran más de sus fondos. La realidad llega cuando los usuarios intentan retirar sus fondos, momento en el que se les pide que paguen una tarifa adicional como una forma de extraer aún más dinero de ellos.
«Una vez que el dinero de las víctimas se transfirió a una billetera de criptomonedas bajo el control de los estafadores, los delincuentes rápidamente enviaron ese dinero a través de muchas otras billeteras para ocultar la naturaleza, fuente, control y propiedad de ese dinero robado», agregó el departamento.
En un anuncio coordinado, Tether dicho ha congelado alrededor de 4.200 millones de dólares en activos vinculados a actividades ilícitas hasta la fecha, incluidos casi 250 millones de dólares relacionados con redes de estafa solo desde junio de 2025.
La Fundación Shadowserver ha reveló que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.
De estos, 401 instancias están ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.
La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.
«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», FreePBX dicho en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco».
La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el módulo de almacén de archivos a la última versión.
Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.
Fuente: La Fundación Shadowserver
En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.
«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la compañía de ciberseguridad.
Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.
Investigadores de ciberseguridad han revelado detalles de un módulo Go malicioso diseñado para recopilar contraseñas, crear acceso persistente a través de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe.
El módulo Go, github[.]com/xinfeisoft/crypto, se hace pasar por el código base legítimo «golang.org/x/crypto», pero inyecta código malicioso responsable de filtrar secretos ingresados a través de solicitudes de contraseña del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.
«Esta actividad encaja con la confusión del espacio de nombres y la suplantación del subrepositorio legítimo golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)», Kirill Boychenko, investigador de seguridad de Socket dicho. «El proyecto legítimo identifica go.googlesource.com/crypto como canónico y trata a GitHub como un espejo, una distinción que el actor de amenazas abusa para hacer que github.com/xinfeisoft/crypto parezca rutinario en los gráficos de dependencia».
Específicamente, la puerta trasera se ha colocado dentro del archivo «ssh/terminal/terminal.go», de modo que cada vez que una aplicación víctima invoca ReadPassword() (una función supuestamente destinada a leer entradas como contraseñas desde una terminal) hace que esa información capture secretos interactivos.
La principal responsabilidad del script descargado es funcionar como un escenario de Linux, agregando la clave SSH de un actor de amenazas al archivo «/home/ubuntu/.ssh/authorized_keys», configurando las políticas predeterminadas de iptables en ACEPTAR en un intento de aflojar las restricciones del firewall y recuperando cargas útiles adicionales de un servidor externo mientras las disfrazan con la extensión .mp5.
De las dos cargas útiles, una es un asistente que prueba la conectividad a Internet e intenta comunicarse con una dirección IP («154.84.63[.]184») a través del puerto TCP 443. El programa probablemente funcione como un reconocimiento o cargador, señaló Socket.
Se ha evaluado que la segunda carga útil descargada es Rekoobe, un conocido troyano de Linux que ha sido detectado en la naturaleza. desde al menos 2015. El Puerta trasera es capaz de recibir comandos de un servidor controlado por un atacante para descargar más cargas útiles, robar archivos y ejecutar un shell inverso. En agosto de 2023, grupos de estados-nación chinos como APT31 han utilizado Rekoobe.
Mientras el paquete todavía permanece en la lista En pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para bloquear el paquete como malicioso.
«Esta campaña probablemente se repetirá porque el patrón requiere poco esfuerzo y alto impacto: un módulo similar que conecta un límite de alto valor (ReadPassword), usa GitHub Raw como puntero giratorio, luego gira hacia curl | sh staging y entrega de carga útil de Linux», dijo Boychenko.
«Los defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes de SSH, solicitudes de autenticación CLI, conectores de bases de datos) y más indirección a través de superficies de alojamiento para rotar la infraestructura sin volver a publicar el código».
Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.
La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.
«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».
Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.
Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.
Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.
THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.
Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:
smpara shell de comandos interactivo
fmpara manipulación de archivos y directorios
GMpara gestionar complementos y configuración
habitaciónpara modificar el Registro de Windows
p.mpara enumerar procesos en ejecución
DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
centímetropara realizar vigilancia de audio y vídeo
Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
[filepath]para cargar una DLL determinada
THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.
También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.
«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».
