Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».

La mayoría de las organizaciones asumen que los datos cifrados están seguros.

Pero muchos atacantes ya se están preparando para un futuro en el que se podrá romper el cifrado actual. En lugar de intentar descifrar información ahora, están recopilar datos cifrados y almacenarlos para que pueda ser descifrado más tarde utilizando computadoras cuánticas.

Esta táctica, conocida como “cosechar ahora, descifrar después”—significa que los datos confidenciales transmitidos hoy podrían volverse legibles dentro de unos años, una vez que maduren las capacidades cuánticas.

Los líderes de seguridad que quieran comprender este riesgo y cómo prepararse pueden explorarlo en detalle en el próximo seminario web sobre las mejores prácticas de criptografía poscuánticadonde los expertos explicarán formas prácticas en que las organizaciones pueden comenzar a proteger los datos antes de que sea posible el descifrado cuántico.

Por qué es importante la criptografía poscuántica

La computación cuántica avanza rápidamente y la mayoría de los algoritmos de cifrado modernos, como RSA y ECC, no permanecerán seguros para siempre.

Para las organizaciones que deben mantener la confidencialidad de los datos durante muchos años (registros financieros, propiedad intelectual, comunicaciones gubernamentales), esperar no es una opción.

Un enfoque práctico que está surgiendo hoy es criptografía híbridaque combina el cifrado tradicional con algoritmos resistentes a los cuánticos como ML-KEM. Esto permite a las organizaciones fortalecer la seguridad sin alterar los sistemas existentes.

El Seminario web sobre seguridad preparada para el futuro Explicará cómo funciona la criptografía híbrida en entornos reales y cómo las organizaciones pueden comenzar la transición a protecciones de seguridad cuántica.

Preparándose para la era cuántica

Las organizaciones que se preparan para las amenazas cuánticas se están centrando en algunos pasos clave:

• Identificar datos confidenciales que deben permanecer protegidos a largo plazo
• Comprender dónde se utiliza el cifrado en todos los sistemas
• Comience a adoptar estrategias de criptografía híbrida
• Mantenga la visibilidad de los algoritmos criptográficos y las necesidades de cumplimiento.

Al mismo tiempo, los equipos de seguridad aún deben inspeccionar el tráfico cifrado y aplicar políticas en sus redes. Moderno Arquitecturas de confianza cero desempeñan un papel importante en el mantenimiento de este control.

Estas estrategias, y cómo las implementan plataformas como Zscaler, se discutirán durante la conferencia. sesión de seminario web en vivo diseñado para líderes de TI, seguridad y redes.

Lo que aprenderá en el seminario web

Esta sesión cubrirá:

• El creciente riesgo de Ataques de “cosechar ahora, descifrar después”
• Cómo Cifrado híbrido ML-KEM ayuda a las organizaciones a realizar una transición segura
• Cómo inspección de tráfico post-cuántica permite la aplicación de políticas a escala
• Mejores prácticas para proteger datos confidenciales en la era cuántica

La computación cuántica remodelará la ciberseguridad. Las organizaciones que comiencen a prepararse temprano estarán mejor posicionadas para proteger sus datos más críticos.

Únase al seminario web para aprenda cómo construir una estrategia de seguridad práctica y preparada para la tecnología cuántica antes de que la amenaza se vuelva urgente.

Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.

El vulnerabilidades en cuestión se enumeran a continuación –

• CVE-2026-20122 (Puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. La explotación exitosa requiere que el atacante tenga credenciales válidas de solo lectura con acceso API en el sistema afectado.
• CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del Agente de recopilación de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.

Cisco lanzó los parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:

• Anterior a la versión 20.91: migre a una versión fija.
• Versión 20.9 – Corregido en 20.9.8.2
• Versión 20.11 – Corregido en 20.12.6.1
• Versión 20.12: corregida en 20.12.5.3 y 20.12.6.1
• Versión 20.13 – Corregido en 20.15.4.2
• Versión 20.14 – Corregido en 20.15.4.2
• Versión 20.15 – Corregido en 20.15.4.2
• Versión 20.16 – Corregido en 20.18.2.1
• Versión 20.18 – Corregido en 20.18.2.1

«En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades que se describen únicamente en CVE-2026-20128 y CVE-2026-20122», dijo el especialista en equipos de redes. La empresa no dio más detalles sobre la escala de la actividad y quién podría estar detrás de ella.

A la luz de la explotación activa, se recomienda a los usuarios actualizar a una versión de software fija lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar cualquier tráfico inesperado hacia y desde los sistemas.

La divulgación se produce una semana después de que la compañía dijera que una falla de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuación CVSS: 10.0) había sido explotada por un actor de amenazas cibernéticas altamente sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.

Esta semana, Cisco también actualizaciones publicadas para abordar dos vulnerabilidades de seguridad de máxima gravedad en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131puntuaciones CVSS: 10.0) que podrían permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau.

«La cadena de ataque se inicia con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial muestra un documento señuelo escrito en ucraniano sobre apelaciones para cruzar la frontera para engañar a la víctima», ClearSky dicho en un informe publicado esta semana.

En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.

La campaña se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, basándose en la huella de objetivos, la naturaleza geopolítica de los señuelos utilizados y las superposiciones con técnicas observadas en operaciones cibernéticas rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una «imagen excepcionalmente pequeña», actuando efectivamente como un píxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.

Una vez que se completa este paso, la víctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez iniciada, suelta un documento señuelo como mecanismo de distracción, mientras ejecuta etapas de seguimiento en segundo plano.

«El documento señuelo arrojado sirve como una táctica de ingeniería social, presentando una confirmación de recibo de una apelación del gobierno sobre un cruce fronterizo con Ucrania», dijo ClearSky. «Este señuelo tiene como objetivo mantener el barniz de legitimidad».

El archivo HTA también realiza comprobaciones para evitar su ejecución en entornos sandbox. Para ello, consulta la clave del Registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para cancelar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer código malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de código ficticio», explicó la compañía israelí de ciberseguridad. «Esta ejecución señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una imagen de un gato, alineándose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».

«Cuando se hace clic en el botón ‘MeowMeow’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para engañar al análisis manual».

El código malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado parámetro («-v») proporcionado por la cadena de infección inicial, y después de verificar que se está ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identificó cadenas en idioma ruso en el código fuente, lo que refuerza la evaluación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o inadvertidamente dejó artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», dijo.

Some weeks in cybersecurity feel routine. This one doesn’t.

Several new developments surfaced over the past few days, showing how quickly the threat landscape keeps shifting. Researchers uncovered fresh activity, security teams shared new findings, and a few unexpected moves from major tech companies also drew attention.

Together, these updates offer a useful snapshot of what is happening behind the scenes in the cyber world right now. From new tactics and campaigns to security and policy changes that could affect millions of users, there is a lot unfolding at once.

Below is a quick roundup of the most notable stories making headlines this week.

That wraps up this week’s quick look at what has been happening across the cybersecurity landscape.

Each update on its own may seem small, but together they show how quickly things continue to change. New techniques appear, old tactics evolve, and security decisions from major companies can shift the wider ecosystem.

For security teams, researchers, and anyone who follows the threat landscape, keeping track of these signals helps make sense of the bigger picture.

Stay tuned for the next edition of the ThreatsDay Bulletin with more developments from the cyber world.

Las organizaciones suelen implementar la autenticación multifactor (MFA) y suponen que las contraseñas robadas ya no son suficientes para acceder a los sistemas. En entornos Windows, esa suposición suele ser errónea. Los atacantes siguen comprometiendo las redes todos los días utilizando credenciales válidas. La cuestión no es la ayuda macrofinanciera en sí, sino la cobertura.

Se aplica a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace. MFA funciona bien para aplicaciones en la nube e inicios de sesión federados. Pero muchos inicios de sesión de Windows dependen únicamente de rutas de autenticación de Active Directory (AD) que nunca activan mensajes de MFA. Para reducir el riesgo basado en credenciales, los equipos de seguridad deben comprender dónde ocurre la autenticación de Windows fuera de su pila de identidades.

Siete rutas de autenticación de Windows en las que confían los atacantes

1. Inicio de sesión interactivo de Windows (local o unido a un dominio)

Cuando un usuario inicia sesión directamente en una estación de trabajo o servidor de Windows, la autenticación normalmente la maneja AD (a través de Kerberos o NTLM), no mediante un IdP en la nube.

En entornos híbridosincluso si Entra ID aplica MFA para aplicaciones en la nube, los controladores de dominio locales validan los inicios de sesión tradicionales de Windows en sistemas unidos a un dominio. A menos que se implemente Windows Hello for Business, tarjetas inteligentes u otro mecanismo MFA integrado, no hay ningún factor adicional en ese flujo.

Si un atacante obtiene la contraseña de un usuario (o hash NTLM), puede autenticarse en una máquina unida a un dominio sin activar las políticas MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde la perspectiva del controlador de dominio, esta es una solicitud de autenticación estándar.

Herramientas como Acceso seguro a Specops son clave para limitar el riesgo de abuso de credenciales en estos escenarios. Al aplicar MFA para el inicio de sesión de Windows, así como para las conexiones VPN y de Protocolo de escritorio remoto (RDP), esta herramienta dificulta que los atacantes obtengan acceso no autorizado a su red. Esto se extiende incluso a los inicios de sesión fuera de línea, que están protegidos con autenticación con contraseña de un solo uso.

Acceso seguro a Specops

2. Acceso RDP directo que evita el acceso condicional

RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso cuando RDP no está expuesto a Internet, los atacantes suelen llegar a través de movimiento lateral después del compromiso inicial. Una sesión RDP directa a un servidor no pasa automáticamente por los controles MFA basados ​​en la nube, lo que significa que el inicio de sesión puede depender únicamente de la credencial AD subyacente.

3. Autenticación NTLM

NTLM es un protocolo de autenticación heredado que, a pesar de estar en desuso a favor del protocolo Kerberos, más seguro, todavía existe por razones de compatibilidad. También es un vector de ataque común porque admite técnicas como pass-the-hash.

En los ataques pass-the-hash, el atacante no necesita la contraseña en texto plano; en su lugar, utilizan el hash NTLM para autenticarse. Ministerio de Asuntos Exteriores no ayuda si el sistema acepta el hash como prueba de identidad.

NTLM también puede aparecer en flujos de autenticación internos que las organizaciones tal vez no monitoreen activamente; sólo un incidente o una auditoría lo revelará a los equipos de seguridad.

4. Abuso de tickets de Kerberos

Kerberos es el protocolo de autenticación principal para AD. En lugar de robar contraseñas directamente, Los atacantes roban tickets de Kerberos. desde la memoria o generar tickets falsificados después de comprometer cuentas privilegiadas. Esto permite técnicas como:

• Pase el boleto
• Boleto Dorado
• Boleto de Plata

Estos ataques permiten el acceso a largo plazo y el movimiento lateral y también reducen la necesidad de inicios de sesión repetidos, lo que reduce las posibilidades de detección. Estos ataques pueden persistir incluso después de restablecer la contraseña si el compromiso subyacente no se aborda por completo.

5. Cuentas de administrador local y reutilización de credenciales

Las organizaciones todavía dependen de cuentas de administrador local para tareas de soporte y recuperación del sistema. Si las contraseñas de administrador local se reutilizan en todos los puntos finales, los atacantes pueden escalar un compromiso hacia un acceso amplio.

Las cuentas de administrador local generalmente se autentican directamente en el punto final, evitando por completo los controles de MFA. No se aplican las políticas de acceso condicional de Entra ID. Ésta es una de las razones por las que el volcado de credenciales sigue siendo tan eficaz en entornos Windows.

6. Autenticación y movimiento lateral del Bloque de mensajes del servidor (SMB)

SMB se utiliza para compartir archivos y acceder remotamente a recursos de Windows. También es una de las rutas de movimiento lateral más confiables una vez que un atacante tiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos como C$ o para interactuar con sistemas de forma remota utilizando credenciales válidas.

Si la autenticación SMB se trata como tráfico interno, rara vez se aplica MFA en esta capa. Si el atacante tiene credenciales válidas, puede usar SMB para moverse rápidamente entre sistemas.

7. Cuentas de servicio que nunca activan MFA

cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. Suelen tener credenciales estables, amplios permisos y una larga vida útil.

En muchas organizaciones, las contraseñas de las cuentas de servicio no caducan y rara vez se controlan. También son difíciles de proteger con MFA porque la autenticación está automatizada. Con frecuencia, estas cuentas se utilizan en aplicaciones heredadas que no pueden admitir controles de autenticación modernos.

Esta es una de las razones por las que los atacantes apuntan credenciales de soporte técnico y acceso de administrador de endpoints en las primeras etapas de una intrusión.

Cómo cerrar las brechas de autenticación de Windows

Los equipos de seguridad deben tratar la autenticación de Windows como su propia superficie de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir la exposición:

1. Aplicar políticas de contraseñas más seguras en AD

Se debe aplicar una política de contraseñas segura frases de contraseña más largas de 15 o más caracteres. Las frases de contraseña son más fáciles de recordar para los usuarios y más difíciles de descifrar para los atacantes. Las políticas sólidas también deberían impedir la reutilización de contraseñas y bloquear patrones débiles que los atacantes puedan adivinar.

2. Bloquear continuamente las contraseñas comprometidas

El robo de credenciales no siempre es el resultado de ataques de fuerza bruta. Miles de millones de contraseñas ya están disponibles en conjuntos de datos violados para que los atacantes las reutilicen. ataques de credenciales. El bloqueo de contraseñas comprometidas en el momento de su creación reduce la posibilidad de que los usuarios establezcan credenciales que los atacantes ya tienen.

3. Reducir la exposición a protocolos de autenticación heredados

Siempre que sea posible, las organizaciones deben restringir o eliminar la autenticación NTLM. Los equipos de seguridad deben fijarse el objetivo de comprender dónde existe NTLM, reducirlo cuando sea posible y reforzar los controles cuando no se pueda eliminar.

4. Audite las cuentas de servicio y reduzca la pérdida de privilegios

Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben inventariarlos, reducir privilegios innecesariosrotar credenciales y eliminar cuentas que ya no sean necesarias. Si una cuenta de servicio tiene permisos a nivel de dominio, la organización debe asumir que será el objetivo.

Cómo puede ayudar Specops

Las políticas de contraseñas sólidas y las comprobaciones proactivas de credenciales comprometidas conocidas son dos de las formas más efectivas de reducir el riesgo de ataques basados ​​en credenciales. Política de contraseñas de Specops ayuda aplicando controles de contraseña flexibles que van más allá de lo que está disponible de forma nativa en Microsoft.

Política de contraseñas de Specops

Es Protección de contraseña violada La función verifica continuamente las contraseñas de Active Directory con una base de datos de más de 5,4 mil millones de credenciales expuestas, avisándole rápidamente si se descubre que la contraseña de un usuario está en riesgo. Si está interesado en ver cómo Specops puede ayudar a su organización, hable con un experto o reservar una demostración para ver nuestras soluciones en acción.

Un presunto actor de amenazas del nexo con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.

Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.

«Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de verificación adjuntos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real», dijo el investigador de seguridad Sudeep Singh. dicho. «El servidor C2 también utilizó técnicas de geocercado y verificación de usuario-agente».

Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidas.

La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual existe un gotero .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.

TWINTASK, por su parte, es una DLL maliciosa («libvlc.dll») que el binario legítimo «vlc.exe» descarga para sondear periódicamente un archivo («C:\ProgramData\PolGuid\in.txt») cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado («C:\ProgramData\PolGuid\out.txt»).

TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído («WingetUI.exe»), lo que provoca que descargue la DLL TWINTALK («hostfxr.dll»). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargar y cargar archivos.

«El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecución de código», dijo Singh. «Tras la ejecución, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».

La segunda cadena de ataque representa una evolución de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la necesidad de escribir artefactos en el disco.

Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.

El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también descubrió la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.

Además, el dominio C2 asociado a TWINTALK, «meetingapp[.]site», se dice que fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para albergar una página falsa de invitación a una reunión de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente vista en los ataques de ingeniería social estilo ClickFix.

El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.

Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (también conocido como APT34).

«Esta campaña, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware».

Una operación conjunta de aplicación de la ley ha sido desmantelada Base de fugasuno de los foros en línea más grandes del mundo para que los ciberdelincuentes compren y vendan datos robados y herramientas de cibercrimen.

El foro LeakBase, según el Departamento de Justicia de EE. UU. (DoJ), tenía más de 142.000 miembros y más de 215.000 mensajes entre miembros en diciembre de 2025. Aquellos que intentaban acceder al sitio web del foro («base de fugas[.]la«) ahora son recibidos con un cartel de incautación que dice que fue confiscado por la Oficina Federal de Investigaciones (FBI) de Estados Unidos como parte de un esfuerzo internacional de aplicación de la ley.

«Todo el contenido del foro, incluidas las cuentas de los usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP, se ha protegido y conservado con fines probatorios», se lee en el cartel.

Disponible en inglés y accesible a través de clearnet, LeakBase ofreció bases de datos pirateadasincluidos cientos de millones de credenciales de cuentas e información financiera, como números de tarjetas de crédito y débito, información de ruta y cuenta bancaria, nombres de usuario y contraseñas asociadas, de las que se podría abusar para facilitar la apropiación de cuentas.

Según un informe Publicado por Flare en abril de 2023, LeakBase prohibía explícitamente a los usuarios vender o publicar bases de datos rusas, probablemente en un intento de evitar el escrutinio. El foro ha estado activo desde junio de 2021.

LeakBase es uno de los alias de Chucky, que también se conoce con los apodos Chuckies y Sqlrip en varios foros clandestinos. Por SOCRadarel actor de amenazas tiene un historial de compartir vastas colecciones de bases de datos, que a menudo contienen información confidencial de entidades globales.

Es más, SpyCloud reveló A principios del mes pasado, el foro había estado inactivo durante unos días y Chucky estaba buscando un nuevo proveedor de alojamiento. Algunos de los otros administradores y moderadores conocidos de LeakBase incluyen BloodyMery, OrderCheck y TSR.

Como parte del ejercicio de interrupción denominado Operación Fuga que tuvo lugar los días 3 y 4 de marzo de 2026, las autoridades ejecutaron órdenes de registro, realizaron arrestos y realizaron entrevistas en los EE. UU., Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

En un anuncio coordinado, Europol dicho LeakBase se especializó en la venta de registros de ladrones, que contienen archivos de credenciales recopiladas mediante malware de ladrones de información. La información podría utilizarse como arma para realizar apropiaciones de cuentas, fraudes y otras intrusiones cibernéticas.

La agencia dijo que se llevaron a cabo alrededor de 100 acciones coercitivas en todo el mundo, incluida la adopción de medidas no especificadas contra 37 de los usuarios más activos de las plataformas.

«El FBI, Europol y agencias policiales de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios». dicho Brett Leatherman, subdirector de la División Cibernética del FBI.

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de recolección de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.

El kit de phishing basado en suscripcióncual surgió por primera vez en agosto de 2023fue descrita por Europol como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de 120 dólares por 10 días o 350 dólares por acceso a un panel de administración basado en web durante un mes.

El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.

La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.

«Permitió a miles de ciberdelincuentes acceder de forma encubierta al correo electrónico y a cuentas de servicios basados ​​en la nube», Europol dicho. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.

Al caracterizar a Tycoon 2FA como «peligroso», Intel 471 dicho el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.

Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)

Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, notó que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.

Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.

«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», Microsoft dicho.

«También permitió a los actores de amenazas que usaban su servicio establecer persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del usuario. Los códigos MFA se transmitieron posteriormente a través de los servidores proxy de Tycoon 2FA al servicio de autenticación».

El kit también empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para alojar la infraestructura de phishing en Cloudflare.

Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesión.

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso», señaló Proofpoint.

Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores más experimentados.

«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas tomadas tenían habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas».

«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener acceso a cuentas de correo electrónico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas».

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».