La mayoría de los equipos cuentan con herramientas de seguridad. Las alertas se activan, los paneles se ven limpios, la información sobre amenazas fluye. A primera vista, todo parece estar bajo control.

Pero una pregunta suele quedar sin respuesta: ¿sus defensas realmente detendrían un ataque real?

Ahí es donde las cosas se ponen inestables. Existe un control, por lo que se supone que funciona. Hay una regla de detección activa, por lo que se espera que detecte algo. Pero muy pocos equipos están probando constantemente cómo se mantiene todo esto cuando alguien intenta activamente abrirse paso, paso a paso.

Esta es exactamente la brecha en la que se centra este seminario web.

Resiliencia impulsada por la exposición: automatice las pruebas para validar y mejorar su postura de seguridad Es una sesión práctica basada en una idea: deja de adivinar, empieza a demostrar. En lugar de depender de pruebas o suposiciones ocasionales, muestra cómo validar su postura de seguridad continuamente utilizando el comportamiento real de un atacante.

La sesión explica cómo realizar pruebas de presión tanto de sus controles como de sus procesos, cómo utilizar la inteligencia sobre amenazas para guiar lo que prueba y cómo incorporar esto al SOC cotidiano y a los flujos de trabajo de respuesta a incidentes sin agregar complejidad innecesaria.

También escucharás directamente de Jermain Njemanze y Sebastián Miguelquien explicará cómo funciona esto en la práctica y realizará una demostración en vivo.

Si desea pruebas claras de que sus defensas funcionan, no solo señales de que existen, vale la pena dedicar tiempo a ello. Reserva un asiento y únete a la sesión.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Investigadores de ciberseguridad han descubierto un nuevo skimmer de pagos que utiliza Canales de datos WebRTC como medio para recibir cargas útiles y exfiltrar datos, evitando efectivamente los controles de seguridad.

«En lugar de las habituales solicitudes HTTP o balizas de imágenes, este malware utiliza canales de datos WebRTC para cargar su carga útil y filtrar datos de pago robados», Sansec dicho en un informe publicado esta semana.

Se dice que el ataque, que tuvo como objetivo el sitio web de comercio electrónico de un fabricante de automóviles, fue facilitado por PolyShell, una nueva vulnerabilidad que afecta a Magento Open Source y Adobe Commerce y que permite a atacantes no autenticados cargar ejecutables arbitrarios a través de la API REST y lograr la ejecución de código.

En particular, desde entonces la vulnerabilidad ha sido objeto de explotación masiva desde el 19 de marzo de 2026, con más de 50 direcciones IP participando en la actividad de escaneo. La empresa de seguridad holandesa dijo que encontró ataques PolyShell en el 56,7% de todas las tiendas vulnerables.

El skimmer está diseñado como un script autoejecutable que establece una conexión entre pares WebRTC a una dirección IP codificada («202.181.177[.]177») a través del puerto UDP 3479 y recupera código JavaScript que posteriormente se inyecta en la página web para robar información de pago.

El uso de WebRTC marca una evolución significativa en los ataques skimmer, ya que elude la Política de seguridad de contenidos (CSP) directivas.

«Una tienda con un CSP estricto que bloquea todas las conexiones HTTP no autorizadas todavía está abierta a la exfiltración basada en WebRTC», señaló Sansec. «El tráfico en sí también es más difícil de detectar. Los WebRTC DataChannels se ejecutan sobre UDP cifrado con DTLS, no sobre HTTP. Las herramientas de seguridad de red que inspeccionan el tráfico HTTP nunca verán salir los datos robados».

Adobe lanzó una solución para PolyShell en versión 2.4.9-beta1 lanzado el 10 de marzo de 2026. Pero el parche aún no ha llegado a las versiones de producción.

Como mitigación, se recomienda a los propietarios de sitios bloquear el acceso al directorio «pub/media/custom_options/» y escanear las tiendas en busca de shells web, puertas traseras y otro malware.

El presunto administrador del foro sobre cibercrimen LeakBase ha sido arrestado por las autoridades policiales rusas, informaron los medios estatales el jueves.

De acuerdo a TAS y Medios MVDun sitio web de noticias vinculado al Ministerio del Interior ruso, el sospechoso es residente de la ciudad de Taganrog. Se dice que el sospechoso fue detenido por crear y administrar un sitio criminal que permitía el comercio de bases de datos personales robadas desde 2021.

Además, durante el registro de la residencia del sospechoso se confiscaron equipos técnicos y otros elementos de valor probatorio.

«La plataforma albergaba cientos de millones de cuentas de usuario, datos bancarios, nombres de usuario y contraseñas, así como documentos corporativos obtenidos mediante piratería», dijo Irina Volk, portavoz oficial del Ministerio del Interior ruso. «Más de 147.000 usuarios registrados en el foro pudieron comprar y vender estos datos, así como utilizarlos para cometer actos fraudulentos contra los ciudadanos».

LeakBase fue desmantelado en una operación policial a principios de este mes. El Departamento de Justicia de Estados Unidos (DoJ) dijo que el foro contra el cibercrimen era uno de los centros más grandes del mundo para que los ciberdelincuentes compraran y vendieran datos robados y herramientas para el cibercrimen.

Esto incluía cientos de millones de credenciales de cuentas e información financiera, como números de tarjetas de crédito y débito, cuentas bancarias e información de enrutamiento, nombres de usuario y contraseñas asociadas, de las que se podía abusar para llevar a cabo ataques de apropiación de cuentas.

La plataforma tenía más de 142.000 miembros y más de 215.000 mensajes entre miembros en diciembre de 2025. Los visitantes del sitio clearnet fueron recibidos con un cartel de incautación que decía: «Todo el contenido del foro, incluidas las cuentas de los usuarios, las publicaciones, los detalles de crédito, los mensajes privados y los registros de IP, se han protegido y conservado con fines probatorios».

LeakBase es obra de un actor de amenazas que utiliza los alias en línea Chucky, beakdaz, Chuckies, Sqlrip. En informes publicados tras la clausura del foro, KELA y Investigaciones TriTrace vinculado chuky a un individuo de 33 años de Taganrog.

Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

Los investigadores de ciberseguridad han señalado una nueva evolución de la campaña GlassWorm que ofrece un marco de múltiples etapas capaz de robar datos integrales e instalar un troyano de acceso remoto (RAT), que implementa una extensión de Google Chrome para robar información haciéndose pasar por una versión fuera de línea de Google Docs.

«Registra las pulsaciones de teclas, descarga cookies y tokens de sesión, realiza capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de la cadena de bloques Solana», dijo el investigador de seguridad de Aikido Ilyas Makari. dicho en un informe publicado la semana pasada.

GlassWorm es el apodo asignado a una campaña persistente que obtiene un punto de apoyo inicial a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Además, se sabe que los operadores comprometen las cuentas de los mantenedores del proyecto para enviar actualizaciones envenenadas.

Los ataques son lo suficientemente cuidadosos como para evitar infectar sistemas con una configuración regional rusa y utilizan transacciones de Solana como un sistema de resolución muerta para recuperar el servidor de comando y control (C2) («45.32.150[.]251») y descargar cargas útiles específicas del sistema operativo.

La carga útil de la etapa dos es un marco de robo de datos con capacidades de recolección de credenciales, exfiltración de billeteras de criptomonedas y creación de perfiles del sistema. Los datos recopilados se comprimen en un archivo ZIP y se extraen a un servidor externo («217.69.3[.]152/pared»). También incorpora funcionalidad para recuperar y lanzar la carga útil final.

Una vez que se transmiten los datos, la cadena de ataque implica recuperar dos componentes adicionales: un binario .NET diseñado para llevar a cabo phishing de billetera de hardware y un RAT JavaScript basado en Websocket para desviar datos del navegador web y ejecutar código arbitrario. La carga útil RAT se obtiene de «45.32.150[.]251» mediante el uso de una URL de evento pública de Google Calendar como solucionador de caídas muertas.

El binario .NET aprovecha la infraestructura del Instrumental de administración de Windows (WMI) para detectar conexiones de dispositivos USB y muestra una ventana de phishing cuando se conecta una billetera de hardware Ledger o Trezor.

«La interfaz de usuario de Ledger muestra un error de configuración falso y presenta 24 campos de entrada de frases de recuperación numerados», señaló Makari. «La interfaz de usuario de Trezor muestra un mensaje falso de ‘Error en la validación del firmware, iniciando reinicio de emergencia’ con el mismo diseño de entrada de 24 palabras. Ambas ventanas incluyen un botón ‘RESTAURAR WALLET’».

El malware no sólo elimina cualquier proceso real de Ledger Live que se esté ejecutando en el host de Windows, sino que también vuelve a mostrar la ventana de phishing si la víctima la cierra. El objetivo final del ataque es capturar la frase de recuperación de la billetera y transmitirla a la dirección IP «45.150.34[.]158.»

La RAT, por otro lado, utiliza una tabla hash distribuida (DHT) para recuperar los detalles de C2. En caso de que el mecanismo no devuelva ningún valor, el malware cambia al punto muerto basado en Solana. Luego, la RAT establece comunicación con el servidor para ejecutar varios comandos en el sistema comprometido:

• start_hvnc / stop_hvnc, para implementar un módulo de Computación de red virtual oculta (HVNC) para acceso a escritorio remoto.
• start_socks / stop_socks, para iniciar un módulo WebRTC y ejecutarlo como proxy SOCKS.
• reget_log, para robar datos de navegadores web, como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi y Mozilla Firefox. El componente está equipado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chrome.
• get_system_info, para enviar información del sistema.
• comando, para ejecutar JavaScript proporcionado por el atacante a través de eval().

La RAT también instala a la fuerza una extensión de Google Chrome llamada Google Docs Offline en sistemas Windows y macOS, que luego se conecta a un servidor C2 y recibe comandos emitidos por el operador, lo que permite recopilar cookies, almacenamiento local y el modelo de objetos de documento completo (DOMINGO) árbol de la pestaña activa, marcadores, capturas de pantalla, pulsaciones de teclas, contenido del portapapeles, hasta 5000 entradas del historial del navegador y la lista de extensiones instaladas.

«La extensión también realiza vigilancia de sesión específica. Extrae las reglas del sitio monitoreado de /api/get-url-for-watch y se envía con Bybit (.bybit.com) preconfigurado como objetivo, vigilando las cookies de token seguro y de identificación del dispositivo», dijo Aikido. «Al ser detectado, activa un webhook detectado por autenticación a /api/webhook/auth-detected que contiene el material de la cookie y los metadatos de la página. El C2 también puede proporcionar reglas de redireccionamiento que fuerzan las pestañas activas a URL controladas por el atacante».

El descubrimiento coincide con otro cambio en las tácticas de GlassWorm, con los atacantes publicando paquetes npm haciéndose pasar por el servidor WaterCrawl Model Context Protocol (MCP) («@iflow-mcp/watercrawl-watercrawl-mcp) para distribuir cargas útiles maliciosas.

«Este es el primer paso confirmado de GlassWorm hacia el ecosistema MCP», dijo el investigador de seguridad de Koi, Lotan Sery. «Y dado lo rápido que está creciendo el desarrollo asistido por IA, y cuánta confianza se otorga a los servidores MCP por diseño, este no será el último».

Se recomienda a los desarrolladores que tengan cuidado al instalar extensiones Open VSX, paquetes npm y servidores MCP. También se recomienda verificar los nombres de los editores, los historiales de paquetes y evitar confiar ciegamente en los recuentos de descargas. La empresa polaca de ciberseguridad AFINE ha publicado una herramienta Python de código abierto llamada cazador de gusanos de cristal para escanear los sistemas de los desarrolladores en busca de cargas útiles asociadas con la campaña.

«El cazador de gusanos de vidrio no realiza ninguna solicitud de red durante el escaneo», dijeron los investigadores Paweł Woyke y Sławomir Zakrzewski. «Sin telemetría. Sin llamadas telefónicas a casa. Sin verificaciones de actualizaciones automáticas. Solo lee archivos locales. La actualización de Glassworm-hunter es el único comando que toca la red. Obtiene la última versión Base de datos de IoC de nuestro GitHub y lo guarda localmente.»

El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.

Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.

«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».

Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.

El objetivo principal de los ataques era revender el acceso a otros grupos criminales, que lo aprovecharon para esquemas de extorsión mediante ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó el Grupo de ransomware BitPaymer con acceso a su botnet, lo que permitió a la banda de delitos electrónicos infectar a 72 corporaciones estadounidenses. Esto resultó en más de 14,17 millones de dólares en pagos de extorsión.

Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).

En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.

«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».

El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.

En septiembre de 2025, Antrópico revelado que un actor de amenazas patrocinado por el estado utilizó un agente de codificación de IA para ejecutar una campaña autónoma de ciberespionaje contra 30 objetivos globales. La IA manejó entre el 80 y el 90 % de las operaciones tácticas por sí sola, realizando reconocimientos, escribiendo códigos de explotación e intentando movimientos laterales a la velocidad de la máquina.

Este incidente es preocupante, pero hay un escenario que debería preocupar aún más a los equipos de seguridad: un atacante que no necesita recorrer la cadena de destrucción en absoluto, porque ha comprometido a un agente de IA que ya vive dentro de su entorno. Uno que ya tenga el acceso, los permisos y una razón legítima para moverse por sus sistemas todos los días.

Un marco creado para las amenazas humanas

La cadena de destrucción cibernética tradicional supone que los atacantes deben ganarse cada centímetro de acceso. es un modelo desarrollado por Lockheed Martin en 2011 para describir cómo los adversarios pasan del compromiso inicial a su objetivo final, y ha dado forma a cómo los equipos de seguridad piensan sobre la detección desde entonces.

La lógica es simple: los atacantes deben completar una secuencia de pasos y los defensores pueden interrumpir la cadena en cualquier punto. Cada etapa por la que tiene que pasar un atacante es otra oportunidad para atraparlo.

Una intrusión típica pasa por distintas etapas:

1. Acceso inicial (explotación de una vulnerabilidad, etc.)
2. Persistencia sin activar alertas
3. Reconocimiento para comprender el entorno.
4. Movimiento lateral para alcanzar datos valiosos
5. Escalada de privilegios cuando el acceso no es suficiente
6. Exfiltración evitando controles DLP

Cada etapa crea oportunidades de detección: la seguridad de los terminales puede detectar la carga útil inicial, el monitoreo de la red puede detectar movimientos laterales inusuales, los sistemas de identidad pueden señalar una escalada de privilegios y las correlaciones SIEM pueden vincular comportamientos anómalos en todos los sistemas. Cuantos más pasos dé un atacante, más posibilidades habrá de tropezar con un cable.

Esta es la razón por la que los actores de amenazas avanzadas como LUCR-3 y APT29 invierten mucho en sigilo, pasando semanas viviendo de la tierra y mezclándose con el tráfico normal. Incluso entonces, dejan artefactos: ubicaciones de inicio de sesión inusuales, patrones de acceso extraños, ligeras desviaciones del comportamiento inicial. Estos artefactos son exactamente para lo que están diseñados los sistemas de detección modernos.

El problema aquí, sin embargo, es que los agentes de IA realmente no siguen este manual.

Lo que ya tiene un agente de IA

Los agentes de IA operan de manera fundamentalmente diferente a los usuarios humanos. Funcionan en todos los sistemas, mueven datos entre aplicaciones y se ejecutan continuamente. Si se ve comprometido, un atacante evita toda la cadena de eliminación: el propio agente se convierte en la cadena de eliminación.

Piense en a qué suele tener acceso un agente de IA. Su historial de actividad es un mapa perfecto de qué datos existen y dónde residen. Probablemente extrae de Salesforce, ingresa a Slack, se sincroniza con Google Drive y actualiza ServiceNow como parte de su flujo de trabajo normal. Se le otorgaron amplios permisos durante la implementación, a menudo acceso a nivel de administrador en múltiples aplicaciones, y ya mueve datos entre sistemas como parte de su trabajo.

Un atacante que compromete a ese agente lo hereda todo al instante. Obtienen el mapa, el acceso, los permisos y una razón legítima para mover datos. ¿Cada etapa de la cadena de destrucción que los equipos de seguridad han pasado años aprendiendo a detectar? El agente los omite todos de forma predeterminada.

La amenaza ya se está desarrollando

El Crisis de OpenClaw nos mostró cómo se ve esto en la práctica:

Aproximadamente el 12% de las habilidades en su mercado público eran maliciosas. Una vulnerabilidad crítica de RCE permitió un compromiso con un solo clic. Más de 21.000 casos fueron expuestos públicamente. Pero la parte más aterradora era a qué podía acceder un agente comprometido una vez conectado a Slack y Google Workspace: mensajes, archivos, correos electrónicos y documentos, con memoria persistente entre sesiones.

El principal problema es que las herramientas de seguridad están diseñadas para detectar comportamientos anormales. Cuando un atacante aprovecha el flujo de trabajo existente de un agente de IA, todo parece normal. El agente accede a los sistemas a los que siempre accede, mueve los datos que siempre mueve y opera en los momentos en que siempre opera.

Esta es la brecha de detección a la que se enfrentan los equipos de seguridad.

Cómo Reco cierra la brecha de visibilidad

La defensa contra agentes de IA comprometidos comienza con saber qué agentes están operando en su entorno, a qué se conectan y qué permisos tienen. La mayoría de las organizaciones no tienen un inventario de los agentes de IA que tocan su ecosistema SaaS. Este es exactamente el tipo de problema para el que Reco fue creado.

Descubra todos los agentes de IA en juego

Agentic AI Security de Reco descubre cada agente de IA, función de IA integrada e integración de IA de terceros en su entorno SaaS, incluidas las herramientas de IA en la sombra conectadas sin la aprobación de TI.

Figura 1: Inventario de agentes de IA de Reco, que muestra los agentes descubiertos y sus conexiones con GitHub.

Alcance de acceso al mapa y radio de explosión

Para cada agente, Reco asigna a qué aplicaciones SaaS se conecta, qué permisos tiene y a qué datos puede acceder. recoco Visualización de SaaS a SaaS muestra exactamente cómo los agentes se integran en su ecosistema de aplicaciones, mostrando combinaciones tóxicas en las que los agentes de IA unen sistemas a través de integraciones MCP, OAuth o API, creando desgloses de permisos que ningún propietario de la aplicación autorizaría.

Figura 2: Gráfico de conocimiento de Reco que muestra una combinación tóxica entre Slack y Cursor a través de MCP.

Marcar objetivos y hacer cumplir el privilegio mínimo

Reco identifica qué agentes representan su mayor exposición al evaluar el alcance del permiso, el acceso entre sistemas y la sensibilidad de los datos. Los agentes asociados a riesgos emergentes se etiquetan automáticamente. Desde allí, Reco le ayuda a acceder al tamaño adecuado a través de gobernanza de identidad y accesolimitando directamente lo que un atacante puede hacer si un agente se ve comprometido.

Figura 3: Verificaciones de postura de la IA de Reco con puntuaciones de seguridad y hallazgos de cumplimiento de IAM.

Detectar actividad anómala del agente

recoco motor de detección de amenazas aplica un análisis de comportamiento centrado en la identidad a los agentes de IA de la misma manera que lo hace con las identidades humanas, distinguiendo la automatización normal de las desviaciones sospechosas en tiempo real.

Figura 4: Una alerta de Reco que señala una conexión ChatGPT no autorizada a SharePoint.

Lo que esto significa para su equipo

La cadena de destrucción tradicional suponía que los atacantes tenían que luchar por cada centímetro de acceso. Los agentes de IA cambian por completo esa suposición.

Un agente comprometido puede brindarle a un atacante acceso legítimo, un mapa perfecto del entorno, amplios permisos y cobertura incorporada para el movimiento de datos, sin un solo paso que parezca una intrusión.

Los equipos de seguridad que todavía se centran exclusivamente en detectar el comportamiento de los atacantes humanos se lo perderán. Los atacantes aprovecharán los flujos de trabajo existentes de sus agentes de IA, invisibles en el ruido de las operaciones normales.

Tarde o temprano, un agente de IA en su entorno será el objetivo. La visibilidad es la diferencia entre detectarlo temprano y descubrirlo durante la respuesta al incidente. Reco le brinda esa visibilidad, en todo su ecosistema SaaS, en minutos.

Obtenga más información aquí: Solicite una demostración: comience con Reco.

La Comisión Federal de Comunicaciones de Estados Unidos (FCC) dijo el lunes que prohibiría la importación de nuevos enrutadores de consumo fabricados en el extranjero, citando riesgos «inaceptables» para la seguridad cibernética y nacional.

La acción fue diseñada para salvaguardar a los estadounidenses y las redes de comunicaciones subyacentes de las que depende el país, dijo el presidente de la FCC, Brendan Carr. dicho en una publicación en X. El desarrollo significa que los nuevos modelos de enrutadores producidos en el extranjero ya no serán elegibles para su comercialización o venta en los EE. UU. La medida se produce a raíz de una determinación de seguridad nacional proporcionada por las agencias del poder ejecutivo, agregó Carr.

Con ese fin, todos los enrutadores de consumo fabricados en países extranjeros se han agregado al Lista cubiertaa menos que hayan recibido una Aprobación Condicional por parte del Departamento de Guerra (DoW) o el Departamento de Seguridad Nacional (DHS) después de determinar que no representan ningún riesgo.

Al momento de escribir, el lista aprobada solo incluye sistemas de drones y radios definidas por software (SDR) de SiFly Aviation, Mobilicom, ScoutDI y Verge Aero. Los productores de enrutadores de consumo pueden enviar una solicitud de aprobación condicional. De acuerdo a noticias de la bbcLos enrutadores Wi-Fi Starlink están exentos de la política, ya que se fabrican en el estado estadounidense de Texas.

«La determinación del Poder Ejecutivo señaló que los enrutadores producidos en el extranjero (1) introducen ‘una vulnerabilidad en la cadena de suministro que podría perturbar la economía, la infraestructura crítica y la defensa nacional de los EE. UU.’ y (2) plantean ‘un grave riesgo de ciberseguridad que podría aprovecharse para perturbar inmediata y gravemente la infraestructura crítica de los EE. UU. y dañar directamente a las personas estadounidenses’», dijo la FCC. dicho.

La agencia dijo que actores de amenazas patrocinados tanto por el estado como por el estado han explotado las deficiencias de seguridad en enrutadores pequeños y de oficinas domésticas para irrumpir en hogares estadounidenses, interrumpir redes, facilitar el ciberespionaje y permitir el robo de propiedad intelectual. Además, estos dispositivos podrían incorporarse a redes masivas con el objetivo de realizar transferencias de contraseñas y accesos no autorizados a la red, además de actuar como representantes para espionaje.

Los adversarios del nexo con China, como También se ha observado que Volt Typhoon, Flax Typhoon y Salt Typhoon aprovechan botnets que comprenden enrutadores fabricados en el extranjero para realizar ataques cibernéticos a infraestructuras críticas de comunicaciones, energía, transporte e agua de Estados Unidos.

«En los ataques del Salt Typhoon, los actores de amenazas cibernéticas patrocinados por el estado aprovecharon enrutadores comprometidos y producidos en el extranjero para integrarse y obtener acceso a largo plazo a ciertas redes y pivotar hacia otras dependiendo de su objetivo», según la Determinación de Seguridad Nacional (NSD).

El gobierno de EE. UU. también destacó una botnet denominada CovertNetwork-1658 (también conocida como Quad7), que se ha utilizado para orquestar ataques de pulverización de contraseñas altamente evasivos. Se considera que la actividad es obra de un actor de amenazas chino rastreado como Storm-0940.

Vale la pena señalar que la actualización de la Lista cubierta no afecta el uso continuo por parte del cliente de enrutadores que ya compraron. Tampoco afecta a los minoristas, quienes pueden continuar vendiendo, importando o comercializando modelos de enrutadores que fueron aprobados previamente a través del proceso de autorización de equipos de la FCC.

«Los enrutadores inseguros y producidos en el extranjero son objetivos principales para los atacantes y han sido utilizados en múltiples ataques cibernéticos recientes para permitir a los piratas informáticos obtener acceso a las redes y utilizarlas como plataformas de lanzamiento para comprometer la infraestructura crítica», dijo la NSD. «Las vulnerabilidades introducidas en las redes estadounidenses y en la infraestructura crítica como resultado de los enrutadores fabricados en el extranjero son inaceptables».

Los enrutadores han sido un objetivo lucrativo para los ataques cibernéticos, ya que sirven como conducto principal para el acceso a Internet. Los enrutadores comprometidos podrían permitir a los actores de amenazas realizar vigilancia de la red, filtrar datos e incluso entregar malware a las víctimas. En 2014, el periodista Glenn Greenwald presunto en su libro No hay lugar para esconderse cómo la Agencia de Seguridad Nacional de EE.UU. (NSA) rutinariamente intercepta enrutadores antes de que los fabricantes estadounidenses puedan exportarlos para implantar puertas traseras.

TeamPCP, el actor de amenazas detrás de los recientes compromisos de Trivy y KICS, ahora ha comprometido un popular paquete de Python llamado litelmoimpulsando dos versiones maliciosas que contienen un recolector de credenciales, un conjunto de herramientas de movimiento lateral de Kubernetes y una puerta trasera persistente.

Múltiples proveedores de seguridad, incluidos Laboratorios Endor y JFrogreveló que las versiones 1.82.7 y 1.82.8 de Litellm eran publicado el 24 de marzo de 2026, probablemente debido a la uso del paquete de Trivy en su flujo de trabajo CI/CD. Desde entonces, ambas versiones con puerta trasera se han eliminado de PyPI.

«La carga útil es un ataque de tres etapas: un recolector de credenciales que barre claves SSH, credenciales de nube, secretos de Kubernetes, billeteras de criptomonedas y archivos .env; un conjunto de herramientas de movimiento lateral de Kubernetes que implementa pods privilegiados en cada nodo; y una puerta trasera persistente systemd (sysmon.service) que sondea ‘checkmarx[.]zona/sin procesar’ para binarios adicionales», dijo el investigador de Endor Labs, Kiran Raj.

Como se observó en casos anteriores, los datos recopilados se extraen como un archivo cifrado («tpcp.tar.gz») a un dominio de comando y control llamado «models.litellm».[.]nube» a través de una solicitud HTTPS POST.

En el caso de 1.82.7, el código malicioso está incrustado en el archivo «litellm/proxy/proxy_server.py», y la inyección se realiza durante o después del proceso de creación de la rueda. El código está diseñado para ejecutarse en el momento de la importación del módulo, de modo que cualquier proceso que importe «litellm.proxy.proxy_server» active la carga útil sin requerir ninguna interacción del usuario.

La siguiente iteración del paquete agrega un «vector más agresivo» al incorporar un «litellm_init.pth» malicioso en la raíz de la rueda, lo que hace que la lógica se ejecute automáticamente en cada inicio de proceso Python en el entorno, no solo cuando se importa litellm.

Otro aspecto que hace que 1.82.8 sea más peligroso es el hecho de que el iniciador .pth genera un proceso secundario de Python a través de subproceso.Popenque permite que la carga útil se ejecute en segundo plano.

«Los archivos Python .pth colocados en los paquetes del sitio son procesados ​​automáticamente por site.py al iniciar el intérprete», dijo Endor Labs. «El archivo contiene una sola línea que importa un subproceso e inicia un proceso Python independiente para decodificar y ejecutar la misma carga útil Base64».

La carga útil se decodifica en un orquestador que descomprime un recolector de credenciales y un cuentagotas de persistencia. El recolector también aprovecha el token de la cuenta de servicio de Kubernetes (si está presente) para enumerar todos los nodos del clúster e implementar un pod privilegiado en cada uno de ellos. La vaina entonces chroots en el sistema de archivos del host e instala el cuentagotas de persistencia como un servicio de usuario systemd en cada nodo.

El servicio systemd está configurado para iniciar un script de Python («~/.config/sysmon/sysmon.py»), el mismo nombre utilizado en el compromiso Trivy, que llega a «checkmarx[.]zona/raw» cada 50 minutos para obtener una URL que apunte a la carga útil de la siguiente etapa. Si la URL contiene youtube[.]com, el script aborta la ejecución, un patrón de interrupción común a todos los incidentes observados hasta ahora.

«Es casi seguro que esta campaña no ha terminado», dijo Endor Labs. «TeamPCP ha demostrado un patrón consistente: cada entorno comprometido genera credenciales que desbloquean el siguiente objetivo. El giro de CI/CD (ejecutores de GitHub Actions) a producción (paquetes PyPI que se ejecutan en clústeres de Kubernetes) es una escalada deliberada».

Con el último desarrollo, TeamPCP ha emprendido una incesante campaña de ataque a la cadena de suministro que ha generado cinco ecosistemas, incluidos GitHub Actions, Docker Hub, npm, Open VSX y PyPI, para expandir su huella de objetivos y poner cada vez más sistemas bajo su control.

«TeamPCP está intensificando una campaña coordinada dirigida a herramientas de seguridad e infraestructura de desarrollo de código abierto, y ahora se está atribuyendo abiertamente el mérito de múltiples ataques posteriores en todos los ecosistemas», Socket dicho. «Esta es una operación sostenida que apunta a puntos de alto apalancamiento en la cadena de suministro de software».

en un mensaje al corriente En su canal de Telegram, TeamPCP dijo: «Estas empresas fueron creadas para proteger sus cadenas de suministro, pero ni siquiera pueden proteger las suyas propias, el estado de la investigación de seguridad moderna es una broma, como resultado, estaremos por mucho tiempo robando terrabytes». [sic] de secretos comerciales con nuestros nuevos socios».

«El efecto bola de nieve de esto será enorme, ya nos estamos asociando con otros equipos para perpetuar el caos, muchas de sus herramientas de seguridad favoritas y proyectos de código abierto serán atacados en los próximos meses, así que estén atentos», dijo el actor de amenazas. agregado.

Se recomienda a los usuarios que realicen las siguientes acciones para contener la amenaza:

• Audite todos los entornos para las versiones 1.82.7 o 1.82.8 de Litellm y, si los encuentra, vuelva a una versión limpia.
• Aislar los huéspedes afectados
• Verifique la presencia de pods no autorizados en los clústeres de Kubernetes
• Revise los registros de red para ver el tráfico de salida a «models.litellm[.]nube» y «checkmarx[.]zona»
• Eliminar los mecanismos de persistencia.
• Audite las canalizaciones de CI/CD para detectar el uso de herramientas como Trivy y KICS durante las ventanas de compromiso.
• Revocar y rotar todas las credenciales expuestas

«La cadena de suministro de código abierto se está derrumbando sobre sí misma», dijo Gal Nagli, jefe de exposición a amenazas en Wiz, propiedad de Google. dicho en una publicación en X. «Trivy se ve comprometido → LiteLLM se ve comprometido → las credenciales de decenas de miles de entornos terminan en manos de atacantes → y esas credenciales conducen al siguiente compromiso. Estamos atrapados en un bucle».