Sansec advierte sobre una falla de seguridad crítica en la API REST de Magento que podría permitir a atacantes no autenticados cargar ejecutables arbitrarios y lograr la ejecución de código y el control de cuentas.

La vulnerabilidad ha sido nombrada en código. PoliShell por Sansec debido a que el ataque consiste en disfrazar el código malicioso como una imagen. No hay evidencia de que la deficiencia haya sido explotada en la naturaleza. La falla en la carga de archivos sin restricciones afecta a todas las versiones de Magento Open Source y Adobe Commerce hasta 2.4.9-alpha2.

La firma de seguridad holandesa dijo que el problema surge del hecho de que la API REST de Magento acepta cargas de archivos como parte de las opciones personalizadas para el artículo del carrito.

«Cuando una opción de producto tiene el tipo ‘archivo’, Magento procesa un objeto file_info incrustado que contiene datos de archivo codificados en base64, un tipo MIME y un nombre de archivo», indica. dicho. «El archivo está escrito en pub/media/custom_options/quote/ en el servidor».

Dependiendo de la configuración del servidor web, la falla puede permitir la ejecución remota de código mediante la carga de PHP o la apropiación de cuentas a través de XSS almacenado.

Sansec también señaló que Adobe solucionó el problema en la rama de prelanzamiento 2.4.9 como parte de APSB25-94pero deja las versiones de producción actuales sin un parche aislado.

«Si bien Adobe proporciona una configuración de servidor web de muestra que limitaría en gran medida las consecuencias, la mayoría de las tiendas utilizan una configuración personalizada de su proveedor de alojamiento», añadió.

Para mitigar cualquier riesgo potencial, se recomienda a las tiendas de comercio electrónico que realicen los siguientes pasos:

• Restrinja el acceso al directorio de carga («pub/media/custom_options/»).
• Verifique que las reglas de nginx o Apache impidan el acceso al directorio.
• Escanee las tiendas en busca de web shells, puertas traseras y otro malware.

«Bloquear el acceso no bloquea las cargas, por lo que las personas aún podrán cargar códigos maliciosos si no estás utilizando un WAF especializado [Web Application Firewall]», dijo Sansec.

El desarrollo se produce cuando Netcraft señaló una campaña en curso que involucra el compromiso y la desfiguración de miles de sitios de comercio electrónico Magento en múltiples sectores y geografías. La actividad, que comenzó el 27 de febrero de 2026, implica que el actor de amenazas cargue archivos de texto sin formato en directorios web de acceso público.

«Los atacantes han implementado archivos de texto de destrucción de datos en aproximadamente 15.000 nombres de host que abarcan 7.500 dominios, incluida la infraestructura asociada con marcas globales prominentes, plataformas de comercio electrónico y servicios gubernamentales», dijo la investigadora de seguridad Gina Chow. dicho.

Actualmente no está claro si los ataques explotan una vulnerabilidad específica de Magento o una mala configuración, y es obra de un único actor de amenazas. La campaña ha impactado la infraestructura de varias marcas reconocidas a nivel mundial, incluidas Asus, FedEx, Fiat, Lindt, Toyota y Yamaha, entre otras.

Hacker News también se comunicó con Netcraft para comprender si esta actividad tiene una conexión con PolyShell, y actualizaremos la historia si recibimos respuesta.

La Inteligencia Artificial (IA) está cambiando la forma en que las personas y las organizaciones realizan muchas actividades, incluida la forma en que los ciberdelincuentes llevan a cabo ataques de phishing e iteran sobre malware. Ahora, los ciberdelincuentes utilizan la IA para generar correos electrónicos de phishing personalizados, deepfakes y malware que evaden la detección tradicional al hacerse pasar por la actividad normal del usuario y eludir los modelos de seguridad heredados. Como resultado, los modelos basados ​​en reglas por sí solos suelen ser insuficientes para la seguridad de la identidad contra las amenazas habilitadas por la IA. El análisis de comportamiento debe evolucionar más allá del monitoreo de patrones de actividad sospechosas a lo largo del tiempo hacia un modelado de riesgos dinámico, basado en identidad, capaz de identificar inconsistencias en tiempo real.

Riesgos comunes introducidos por los ataques habilitados por IA

Los ciberataques basados ​​en IA introducen riesgos de seguridad muy diferentes en comparación con las ciberamenazas tradicionales. Al confiar en la automatización e imitar el comportamiento legítimo, la IA permite a los ciberdelincuentes escalar sus ataques y, al mismo tiempo, reducir las señales obvias para pasar desapercibidas.

Phishing e ingeniería social impulsados ​​por IA

A diferencia de los ataques de phishing tradicionales que utilizan mensajes genéricos, La IA permite el phishing personalizado mensajes a escala utilizando datos públicos, suplantando los estilos de escritura de los ejecutivos o creando mensajes conscientes del contexto que hacen referencia a eventos reales. Estos ataques impulsados ​​por IA pueden reducir las señales de alerta obvias, eludir algunos enfoques de filtrado y depender de la manipulación psicológica en lugar de la entrega de malware, lo que aumenta significativamente el riesgo de robo de credenciales y fraude financiero.

Abuso de credenciales automatizado y apropiación de cuentas

El abuso de credenciales mejorado por IA puede optimizar los intentos de inicio de sesión y al mismo tiempo evitar activar umbrales de bloqueo, imitando el tiempo humano entre intentos de autenticación y apuntando a cuentas privilegiadas según el contexto. Dado que estos ataques utilizan credenciales comprometidas, a menudo parecen válidos y se mezclan con la actividad de inicio de sesión normal, lo que hace que la seguridad de la identidad sea un componente crucial de las estrategias de seguridad modernas.

Malware asistido por IA

Antes de que los ciberdelincuentes pudieran utilizar la IA para acelerar el desarrollo y la implementación de malware, tuvieron que modificar manualmente las firmas de código y dedicar mucho tiempo a crear nuevas variantes. La IA puede acelerar aún más la variación, la programación y la adaptación. Con el malware adaptable moderno, los ciberdelincuentes pueden modificar automáticamente el código para evitar la detección, cambiar el comportamiento según el entorno y generar nuevas variantes de exploits con poco o ningún esfuerzo manual. Dado que los modelos tradicionales de detección basados ​​en firmas luchan contra el código en continua evolución, las organizaciones deben empezar a confiar en patrones de comportamiento en lugar de indicadores estáticos.

Cómo el monitoreo del comportamiento tradicional puede fallar contra los ataques basados ​​en IA

El monitoreo tradicional fue diseñado para detectar amenazas cibernéticas impulsadas por malware, vulnerabilidades de seguridad conocidas y anomalías de comportamiento visibles. Estas son algunas de las formas en las que el monitoreo de comportamiento tradicional se queda corto frente a los ataques habilitados por IA:

• La detección basada en firmas no puede identificar amenazas modernas: Las herramientas basadas en firmas se basan en signos conocidos de compromiso. El malware asistido por IA reescribe constantemente su propio código y genera automáticamente nuevas variantes, lo que hace que las firmas de códigos estáticos queden obsoletas.
• Los sistemas basados ​​en reglas se basan en umbrales predefinidos: Muchos sistemas de seguimiento del comportamiento dependen de reglas, como la frecuencia de inicio de sesión o la ubicación geográfica. Los ciberdelincuentes asistidos por IA ajustan su comportamiento para permanecer dentro de los límites establecidos, realizando actividades maliciosas durante un período de tiempo más largo e imitando el comportamiento humano para evitar ser detectados.
• Los modelos basados ​​en perímetro fallan cuando se trata de credenciales comprometidas: Los modelos de seguridad tradicionales basados ​​en perímetro asumen confianza una vez que se autentica un usuario o dispositivo. Cuando los ciberdelincuentes se autentican con credenciales legítimas, estos modelos obsoletos los tratan como usuarios válidos, lo que les permite llevar a cabo acciones maliciosas.
• Los ataques basados ​​en IA están diseñados para parecer normales: Las ciberamenazas basadas en IA se mezclan intencionalmente operando dentro de los permisos asignados, siguiendo flujos de trabajo anticipados y ejecutando sus actividades gradualmente. Si bien la actividad aislada puede parecer legítima, el principal riesgo surge cuando se considera la actividad en conjunto con el contexto conductual a lo largo del tiempo.

Por qué el análisis del comportamiento debe cambiar para los ataques basados ​​en IA

El cambio hacia el análisis de comportamiento moderno requiere una evolución desde la simple detección de amenazas hacia un modelado de riesgos dinámico y consciente del contexto capaz de identificar el uso indebido de privilegios sutiles.

Los ataques basados ​​en identidad requieren contexto

Para parecer normales, los ciberdelincuentes impulsados ​​por IA suelen utilizar credenciales comprometidas mediante phishing o abuso de credenciales, trabajan desde dispositivos o redes conocidas y llevan a cabo actividades maliciosas a lo largo del tiempo para evitar ser detectados. Los análisis de comportamiento modernos deben evaluar si incluso el más mínimo cambio de comportamiento es coherente con los patrones de comportamiento típicos de un usuario. Los modelos de comportamiento avanzados establecen líneas de base, evalúan la actividad en tiempo real y combinan identidad, dispositivo y contexto de sesión.

El monitoreo debe extenderse a toda la pila

Una vez que los ciberdelincuentes obtienen acceso a los sistemas a través de credenciales comprometidas, débiles o reutilizadas, se centran en ampliar gradualmente su acceso. La visibilidad del comportamiento debe cubrir toda la pila de seguridad, incluido el acceso privilegiado, la infraestructura de la nube, los puntos finales, las aplicaciones y las cuentas administrativas. Para que el análisis de comportamiento sea más eficaz contra los ciberataques basados ​​en IA, las organizaciones deben aplicar una seguridad de confianza cero y asumir que ningún usuario o dispositivo debe tener confianza implícita o autenticación automática basada en la ubicación de la red.

Los iniciados malintencionados pueden utilizar herramientas de inteligencia artificial

Las herramientas de inteligencia artificial no solo fortalecen a los ciberdelincuentes externos, sino que también facilitan que los internos malintencionados actúen dentro de la red de una organización. Los usuarios malintencionados pueden utilizar la IA para automatizar la recolección de credenciales, identificar información confidencial o generar contenido de phishing creíble. Dado que los usuarios internos a menudo operan con permisos legítimos, detectar el uso indebido de privilegios requiere identificar anomalías de comportamiento como el acceso más allá de las responsabilidades definidas, la actividad fuera del horario comercial normal y la actividad repetida dentro de los sistemas críticos. Eliminar el acceso permanente mediante la aplicación del acceso Justo a Tiempo (JIT), el monitoreo y la grabación de sesiones ayuda a las organizaciones a limitar la exposición y reducir el impacto de las cuentas comprometidas y el uso indebido de información privilegiada.

Identidades seguras contra ciberataques autónomos basados ​​en IA

En un momento en que los agentes de IA pueden crear campañas convincentes de ingeniería social, probar credenciales a escala y reducir el esfuerzo práctico necesario para ejecutar ataques, los ciberataques basados ​​en IA se están volviendo cada vez más automatizados. Proteger las identidades humanas y no humanas (NHI) ahora requiere más que autenticación; Las organizaciones deben implementar análisis de comportamiento continuos y contextuales y controles de acceso granulares. Soluciones modernas de gestión de acceso privilegiado (PAM) como Guardián consolide análisis de comportamiento, monitoreo de sesiones en tiempo real y acceso JIT para proteger identidades en entornos híbridos y de múltiples nubes.

Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Ashley D’Andrea, redactora de contenido de Keeper Security.

Google el jueves anunciado un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de un mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado que requiere que todas las aplicaciones de Android estén registradas por desarrolladores verificados para instalarse en dispositivos Android certificados. La medida, añadió, se hizo para detectar a los malos actores más rápidamente y evitar que distribuyan malware.

Esto también incluye escenarios potenciales en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que permitan desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

Sin embargo, el requisitos de registro obligatorios ha sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, quienes dicen que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre privacidad y vigilancia en ausencia de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de sofocar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados con un proceso único que requiere que sigan los pasos a continuación:

• Habilite el modo desarrollador en la configuración del sistema.
• Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
• Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador controle las acciones que está realizando un usuario.
• Espere un período de 24 horas y confirme que realmente están realizando este cambio con autenticación biométrica o PIN del dispositivo.
• Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o por un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente del ecosistema Android, Sameer Samat. citado diciendo a Ars Técnica. «En ese tiempo, probablemente puedas descubrir que tu ser querido no está realmente encarcelado o que tu cuenta bancaria no está realmente bajo ataque».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una tarifa de registro».

Vale la pena señalar que el proceso antes mencionado no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como el flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el mes siguiente.

«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes caminos para satisfacer sus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia con el objetivo de realizar apropiación de dispositivos (DTO) y fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android. Incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkidy el Mossad como parte de una operación policial autorizada por el tribunal.

En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.

«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. dicho. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».

En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).

El periodista independiente de seguridad Brian Krebs también rastreado el administrador de Kimwolf de Jacob Butler (también conocido como Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.

Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». De acuerdo a krebsel otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.

La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.

«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».

Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.

• AISURU – >200.000 comandos de ataque DDoS
• Kimwolf: >25.000 comandos de ataque DDoS
• JackSkid: >90.000 comandos de ataque DDoS
• Mossad: >1.000 comandos de ataque DDoS

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero distinguido de AWS, dicho en una publicación compartida en LinkedIn.

«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidos decodificadores de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».

Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.

«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados ​​en la nube de alta capacidad», dijo la empresa de infraestructura web. dicho.

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.

«Speagle está diseñado para recolectar subrepticiamente información confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre el cliente y el servidor», investigadores de Symantec y Carbon Black. dicho en un informe publicado hoy.

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. El abuso de este software en ataques del mundo real se ha registrado públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una actualización maliciosa impulsada por el software.

Más tarde, en agosto, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee, que se encontró usando una versión troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de mención es que está diseñado para recopilar y filtrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.

«Esto indica un objetivo deliberado, posiblemente para facilitar la recopilación de inteligencia o el espionaje industrial», dijeron los equipos de caza de amenazas propiedad de Broadcom. «En la actualidad, creemos que las hipótesis más probables son que se trata del trabajo de un actor patrocinado por el Estado o de un contratista privado disponible para contratar».

Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que pudo haber sido realizado a través de un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados.

Además, merece una mención el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard legítimo para comando y control (C2) y como punto de exfiltración de datos, sino que también invoca un controlador asociado con el programa para eliminarse del host comprometido.

El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a recopilar y transmitir datos desde la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletar.

Es más, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar/desactivar ciertos tipos de recopilación de datos, así como buscar archivos relacionados con misiles balísticos chinos como Dongfeng-27 (también conocido como DF-27).

«Speagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración», dijeron los investigadores. «Sin duda, su desarrollador se dio cuenta de ataques anteriores a la cadena de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo».

Un nuevo análisis de los asesinos de detección y respuesta de puntos finales (EDR) ha revelado que 54 de ellos aprovechan una técnica conocida como trae tu propio controlador vulnerable (BYOVD) al abusar de un total de 34 controladores vulnerables.

Los programas asesinos de EDR han sido una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detección.

«Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), frecuentemente producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación pase desapercibida de manera confiable puede llevar mucho tiempo», dijo el investigador de ESET Jakub Souček. dicho en un informe compartido con The Hacker News.

«Más importante aún, los cifradores son inherentemente muy ruidosos (ya que inherentemente necesitan modificar una gran cantidad de archivos en un período corto); hacer que dicho malware no sea detectado es bastante desafiante».

Los asesinos de EDR actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los casilleros, manteniendo así estos últimos simples, estables y fáciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los módulos de ransomware y terminación EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.

La mayoría de los asesinos de EDR dependen de conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.

«El objetivo de un Ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Anillo 0″, Bitdefender explica. «En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, ‘trae’ un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida».

Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza del conductor de Microsoft para evadir las defensas, aprovechando el hecho de que el conductor vulnerable es legítimo y está firmado.

Los asesinos de EDR basados ​​en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:

• Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
• Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
• Los ciberdelincuentes comercializan este tipo de herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller también conocido como БафометABYSSWORKER y CardSpaceKiller)

ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que determinadas variantes combinan secuencias de comandos con el modo seguro de Windows.

«Dado que el modo seguro carga sólo un subconjunto mínimo del sistema operativo y las soluciones de seguridad normalmente no están incluidas, el malware tiene una mayor probabilidad de desactivar la protección», señaló la compañía. «Al mismo tiempo, esta actividad es muy ruidosa, ya que requiere un reinicio, lo cual es arriesgado y poco confiable en entornos desconocidos. Por lo tanto, rara vez se ve en la naturaleza».

La tercera categoría de asesinos de EDR son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para finalizar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar al de «coma».

«Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados no sean detectados», dijo ESET. «Más bien, todas las técnicas sofisticadas de evasión de defensa se han trasladado a los componentes del modo de usuario de los asesinos EDR. Esta tendencia es más visible en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección».

Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los controladores comúnmente utilizados indebidamente es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de iniciar el cifrador, una falla en esta etapa significa que el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.

La implicación es que las organizaciones necesitan defensas en capas y estrategias de detección para monitorear, marcar, contener y remediar proactivamente la amenaza en cada etapa del ciclo de vida del ataque.

«Los asesinos de EDR perduran porque son baratos, consistentes y están desacoplados del cifrador: una opción perfecta tanto para los desarrolladores de cifrados, que no necesitan concentrarse en hacer que sus cifrados sean indetectables, como para los afiliados, que poseen una utilidad poderosa y fácil de usar para interrumpir las defensas antes del cifrado», dijo ESET.

ThreatsDay Bulletin is back on The Hacker News, and this week feels off in a familiar way. Nothing loud, nothing breaking everything at once. Just a lot of small things that shouldn’t work anymore but still do.

Some of it looks simple, almost sloppy, until you see how well it lands. Other bits feel a little too practical, like they’re already closer to real-world use than anyone wants to admit. And the background noise is getting louder again, the kind people usually ignore.

A few stories are clever in a bad way. Others are just frustratingly avoidable. Overall, it feels like quiet pressure is building in places that matter.

Skim it or read it properly, but don’t skip this one.

Some of this will fade by next week. Some of it won’t. That’s the annoying part, figuring out which “minor” thing quietly sticks around and turns into a real problem later.

Anyway, that’s the rundown. Take what you need, ignore what you can, and keep an eye on the stuff that feels a little too easy.

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
• TvTApp (com.tvtapps.live) – Carga útil de Perseo
• PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

• notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• parada_vncpara detener la sesión remota.
• inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
• parada_hvncpara detener la sesión remota.
• enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
• claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
• acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
• camisónpara silenciar el audio.
• clic_coordpara realizar un toque en coordenadas de pantalla específicas.
• instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
• inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

• CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
• CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
• CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
• CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

• UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
• Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»