El Departamento de Justicia de EE. UU. (DoJ) anunció esta semana la incautación de Tether por valor de 61 millones de dólares que supuestamente estaban asociados con esquemas falsos de criptomonedas conocidos como matanza de cerdos.

Los fondos confiscados se rastrearon hasta direcciones de criptomonedas utilizadas para el lavado de ingresos derivados de delitos robados a víctimas de estafas de inversión en criptomonedas, añadió el departamento.

«Los actores criminales y los blanqueadores de dinero profesionales utilizan esquemas de fraude cibernéticos para estafar a sus víctimas y ocultar sus ganancias mal habidas», dicho Agente especial interino a cargo de HSI Charlotte, Kyle D. Burns.

«Los agentes especiales de HSI trabajan diligentemente para rastrear el producto ilícito del crimen en todo el mundo para desmantelar y desmantelar las organizaciones criminales transnacionales que buscan defraudar a los trabajadores estadounidenses».

Como es norma en este tipo de operaciones de delitos cibernéticos, se sabe que los actores de amenazas atacan a personas cultivando relaciones románticas después de acercarse a ellas a través de aplicaciones de citas y mensajería de redes sociales. Estas actividades son llevadas a cabo por personas que son traficadas hacia complejos fraudulentos que operan principalmente en el Sudeste Asiático con promesas de empleos bien remunerados.

Los sindicatos de delitos cibernéticos detrás de las estafas luego confiscan sus pasaportes y se ven obligados a estafar a las víctimas en línea haciéndose pasar por extraños encantadores o corredores en plataformas de inversión, o enfrentar consecuencias brutales. El objetivo final es convencer a los usuarios desprevenidos para que se deshagan del dinero que tanto les costó ganar en esquemas fraudulentos de inversión en criptomonedas.

Según el Departamento de Justicia, las plataformas falsas mostraban carteras de inversión inventadas que mostraban rendimientos inusualmente altos en un intento deliberado de hacer que las víctimas invirtieran más de sus fondos. La realidad llega cuando los usuarios intentan retirar sus fondos, momento en el que se les pide que paguen una tarifa adicional como una forma de extraer aún más dinero de ellos.

«Una vez que el dinero de las víctimas se transfirió a una billetera de criptomonedas bajo el control de los estafadores, los delincuentes rápidamente enviaron ese dinero a través de muchas otras billeteras para ocultar la naturaleza, fuente, control y propiedad de ese dinero robado», agregó el departamento.

En un anuncio coordinado, Tether dicho ha congelado alrededor de 4.200 millones de dólares en activos vinculados a actividades ilícitas hasta la fecha, incluidos casi 250 millones de dólares relacionados con redes de estafa solo desde junio de 2025.

La Fundación Shadowserver ha reveló que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.

De estos, 401 instancias están ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.

La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.

«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», FreePBX dicho en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco».

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el módulo de almacén de archivos a la última versión.

Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.

Fuente: La Fundación Shadowserver

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.

«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la compañía de ciberseguridad.

Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.

Investigadores de ciberseguridad han revelado detalles de un módulo Go malicioso diseñado para recopilar contraseñas, crear acceso persistente a través de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe.

El módulo Go, github[.]com/xinfeisoft/crypto, se hace pasar por el código base legítimo «golang.org/x/crypto», pero inyecta código malicioso responsable de filtrar secretos ingresados ​​a través de solicitudes de contraseña del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.

«Esta actividad encaja con la confusión del espacio de nombres y la suplantación del subrepositorio legítimo golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)», Kirill Boychenko, investigador de seguridad de Socket dicho. «El proyecto legítimo identifica go.googlesource.com/crypto como canónico y trata a GitHub como un espejo, una distinción que el actor de amenazas abusa para hacer que github.com/xinfeisoft/crypto parezca rutinario en los gráficos de dependencia».

Específicamente, la puerta trasera se ha colocado dentro del archivo «ssh/terminal/terminal.go», de modo que cada vez que una aplicación víctima invoca ReadPassword() (una función supuestamente destinada a leer entradas como contraseñas desde una terminal) hace que esa información capture secretos interactivos.

La principal responsabilidad del script descargado es funcionar como un escenario de Linux, agregando la clave SSH de un actor de amenazas al archivo «/home/ubuntu/.ssh/authorized_keys», configurando las políticas predeterminadas de iptables en ACEPTAR en un intento de aflojar las restricciones del firewall y recuperando cargas útiles adicionales de un servidor externo mientras las disfrazan con la extensión .mp5.

De las dos cargas útiles, una es un asistente que prueba la conectividad a Internet e intenta comunicarse con una dirección IP («154.84.63[.]184») a través del puerto TCP 443. El programa probablemente funcione como un reconocimiento o cargador, señaló Socket.

Se ha evaluado que la segunda carga útil descargada es Rekoobe, un conocido troyano de Linux que ha sido detectado en la naturaleza. desde al menos 2015. El Puerta trasera es capaz de recibir comandos de un servidor controlado por un atacante para descargar más cargas útiles, robar archivos y ejecutar un shell inverso. En agosto de 2023, grupos de estados-nación chinos como APT31 han utilizado Rekoobe.

Mientras el paquete todavía permanece en la lista En pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para bloquear el paquete como malicioso.

«Esta campaña probablemente se repetirá porque el patrón requiere poco esfuerzo y alto impacto: un módulo similar que conecta un límite de alto valor (ReadPassword), usa GitHub Raw como puntero giratorio, luego gira hacia curl | sh staging y entrega de carga útil de Linux», dijo Boychenko.

«Los defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas de ‘borde de credenciales’ (ayudantes de SSH, solicitudes de autenticación CLI, conectores de bases de datos) y más indirección a través de superficies de alojamiento para rotar la infraestructura sin volver a publicar el código».

Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».

Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», informó el equipo de Microsoft Threat Intelligence. dicho en una publicación en X. «Este descargador usó PowerShell y binarios que viven de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs», antes de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez iniciado, se conecta a un servidor externo en «79.110.49[.]15» para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.

Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.

La divulgación se produce cuando BlackFog reveló detalles de una nueva familia de malware RAT para Windows llamada Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con 11.

A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollador para facilitar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.

Otras características notables incluyen la eliminación de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.

«La herramienta brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, que cubre la ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCague. dicho.

«Un único actor de amenazas puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva después del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un grupo sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.

meta el jueves dicho está tomando acciones legales para abordar las estafas en sus plataformas mediante la presentación de demandas contra lo que llama anunciantes engañosos con sede en Brasil, China y Vietnam.

Como parte del esfuerzo, se suspendieron los métodos de pago de los anunciantes, se deshabilitaron las cuentas relacionadas y se bloquearon los nombres de dominio de los sitios web utilizados para realizar las estafas.

Al mismo tiempo, el gigante de las redes sociales dijo que también emitió cartas de cese y desistimiento a ocho consultores de marketing que anunciaron la capacidad de eludir sus sistemas de aplicación de políticas publicitarias. Esto incluía servicios falsos de «desbanificación» o restauración de cuentas y alquiler de acceso a cuentas confiables para ayudar a los clientes a eludir sus controles.

Se descubrió que al menos tres anunciantes, dos de Brasil y uno de China, participaban en estafas con cebos para celebridades, que a menudo implican el uso indebido de la imagen de figuras conocidas para engañar a las personas para que hagan clic en anuncios falsos que conducen a sitios fraudulentos. Estos sitios web están diseñados para recopilar datos confidenciales o engañar a usuarios desprevenidos para que envíen dinero o inviertan en plataformas falsas.

Los tres anunciantes contra los que Meta ha presentado demandas se enumeran a continuación:

• Vitor Lourenço de Souza y Milena Luciani Sánchez, residentes en Brasil, están siendo demandados por utilizar imágenes y voces alteradas de celebridades para promover productos sanitarios fraudulentos.
• B&B Suplementos e Cosméticos Ltda., con sede en Brasil. (Brites Corp), Brites Academia de Treinamento Ltda., Daniel de Brites Macieira Cordeiro y José Victor de Brites Chaves de Araújo por ser parte de una operación fraudulenta que aprovechó imágenes sintéticas de un médico destacado para publicitar productos de atención médica sin aprobación regulatoria y vendió cursos que enseñaban las mismas tácticas.
• Shenzhen Yunzheng Technology Co., Ltd, con sede en China, por utilizar anuncios de cebo para celebridades dirigidos a personas en varios países, incluidos Estados Unidos y Japón, como parte de un plan de fraude diseñado para atraerlos a unirse a grupos de inversión.

«Para luchar contra las estafas de cebo de celebridades, desarrollamos protecciones para celebridades cuyas imágenes se utilizan repetidamente en estos esquemas», dijo Meta. «Este programa protege actualmente las imágenes de más de 500.000 celebridades y figuras públicas de todo el mundo».

Además, la empresa señaló que demandó al anunciante con sede en Vietnam Lý Văn Lâm por utilizar técnicas de encubrimiento para eludir su proceso de revisión. El encubrimiento se refiere a una técnica adversa que tiene como objetivo ocultar la verdadera naturaleza de un sitio web vinculado a un anuncio en un intento de engañar a los sistemas de revisión de anuncios al ofrecer una versión de su contenido durante la revisión y mostrar un contenido malicioso completamente diferente a los usuarios reales.

En este caso, se dice que el anunciante utilizó anuncios fraudulentos para ofrecer artículos con descuento de marcas conocidas a cambio de completar una encuesta. Las personas que interactuaron con estos anuncios fueron dirigidas a sitios web falsos donde se les pidió que ingresaran la información de su tarjeta de crédito para comprar artículos que nunca fueron entregados. Sus tarjetas de crédito también incurrieron en tarifas recurrentes no autorizadas, una práctica conocida como fraude de suscripción.

El desarrollo se produce meses después de una investigación de Reuters. descubrió que el 19% de los 18 mil millones de dólares en ventas de publicidad de Meta en China en 2024 provinieron de anuncios de estafas, juegos de azar ilegales, pornografía y otros contenidos prohibidos. El informe también descubrió agencias que permiten a las empresas publicar anuncios prohibidos, lo que llevó a la empresa a revisar su programa Badged Partners.

En un análisis de 14,5 millones de anuncios publicados en plataformas Meta en toda la UE y el Reino Unido durante un período de 23 días, Gen Digital descubrió que casi uno de cada tres de esos anuncios (alrededor del 30,99%) apuntaba a un enlace de estafa, phishing o malware.

«En total, los anuncios fraudulentos generaron más de 300 millones de impresiones en menos de un mes», afirma la empresa de ciberseguridad. dicho a principios de este mes. «La actividad estaba altamente concentrada, con solo 10 anunciantes responsables de más del 56% de todos los anuncios fraudulentos observados. Se rastrearon grupos de campañas repetidas hasta pagos compartidos e infraestructura vinculada a China y Hong Kong, lo que indica operaciones organizadas a escala industrial en lugar de malos actores aislados».

Estos hallazgos también coinciden con el descubrimiento de infraestructura maliciosa y servicios clandestinos que se han utilizado para vender diversos tipos de estafas.

• Se han descubierto estafas combinar publicidad maliciosa y matanza de cerdos modelos de fraude para defraudar a las víctimas, principalmente a aquellas en Japón, engañándolas para que hagan clic en anuncios con temas de inversión en las redes sociales. Estos anuncios redirigen a las víctimas a sitios web que les piden que interactúen con un supuesto experto a través de aplicaciones de mensajería escaneando un código QR.
• Una vez que las víctimas se agregan a chats individuales y grupales con estos supuestos expertos, que en algunos casos no son más que chatbots impulsados ​​por inteligencia artificial (IA), se les persuade a invertir cantidades progresivamente mayores de dinero, solo para exigir una «tarifa de liberación» para desbloquear ganancias inexistentes. Se han descubierto más de 23.000 dominios dentro de este ecosistema.
• Los actores de amenazas son comprometiendo enrutadores para alterar la configuración de DNS para usar solucionadores de sombra alojados en Aeza International, una empresa de alojamiento a prueba de balas (BPH) sancionada por el gobierno de EE. UU. en julio de 2025. Esta modificación no autorizada está diseñada para alterar selectivamente las respuestas de DNS asociadas con Okta y Shopify, lo que permite a los operadores dirigir a los usuarios a contenido fraudulento y de malware mediante un sistema de distribución de tráfico (TDS) basado en HTTP.
• Se ha creado una red maliciosa de notificaciones push. observado utilizar una red de dominios maliciosos para atacar a los usuarios de Android Chrome en todo el mundo con un flujo constante de notificaciones automáticas no deseadas (por ejemplo, «¡Android infectado con malware!» o «El sistema necesita un escaneo») después de obtener permisos en un intento de dirigir a sitios fraudulentos y contenido para adultos. Según datos de Infoblox, Bangladesh, India, Indonesia y Pakistán representaron el 50% de todo el tráfico.
• Se ha identificado una red de más de 150 sitios web falsos clonados que se hacen pasar por bufetes de abogados reales con sede en EE. UU. y el Reino Unido y se dirigen a usuarios que buscan asesoramiento y representación legal para promover una estafa de suplantación de empresas.
• «Los sitios utilizaron el nombre de la firma, la marca y las identidades de abogados disponibles públicamente, presentándose como servicios legales y de recuperación de activos legítimos, ofreciendo ayudar a las víctimas a recuperar los fondos perdidos en fraudes anteriores», Sygnia dicho. «La campaña se dirigió a personas que ya habían sufrido fraude financiero».

El proliferación de estafasimpulsada por una floreciente economía de matanza de cerdos como servicio (PBaaS), no ha escapado a la atención de las autoridades, como lo demuestra el desmantelamiento de compuestos de estafa en Sudeste Asiático en últimos meses.

A principios de este mes, el gobierno camboyano prometido para tomar medidas enérgicas y desmantelar las redes de estafa cibernética que operan dentro de sus fronteras, y agregó que los funcionarios de policía lanzaron 48 operaciones en los primeros nueve meses de 2025 para combatir el fraude cibernético, arrestaron a 168 personas y deportaron a 2.722 personas de regreso a sus países de origen.

Los esfuerzos en curso han reducido la actividad fraudulenta a la mitad desde principios de este año, afirmó el Ministro Principal Chhay Sinarith, presidente de la Secretaría de la Comisión para la Lucha contra los Delitos Tecnológicos. citado como decía esta semana. El primer ministro camboyano, Hun Manet, también admitido que los centros de estafas en línea que operan en el país están dañando la reputación del país y socavando su economía.

Investigadores de ciberseguridad han revelado detalles de un nuevo cargador de botnet llamado Aeternum C2 que utiliza una infraestructura de comando y control (C2) basada en blockchain para hacerlo resistente a los esfuerzos de eliminación.

«En lugar de depender de servidores o dominios tradicionales para el comando y control, Aeternum almacena sus instrucciones en la cadena de bloques pública Polygon», Qrator Labs dicho en un informe compartido con The Hacker News.

«Esta red es ampliamente utilizada por aplicaciones descentralizadas, incluido Polymarket, el mercado de predicción más grande del mundo. Este enfoque hace que la infraestructura C2 de Aeternum sea efectivamente permanente y resistente a los métodos tradicionales de eliminación».

Esta no es la primera vez que se descubre que botnets dependen de blockchain para C2. En 2021, Google dijo que tomó medidas para interrumpir una botnet conocida como Glupteba que utiliza la cadena de bloques de Bitcoin como mecanismo C2 de respaldo para recuperar la dirección real del servidor C2.

Los detalles de Aeternum C2 surgieron por primera vez en diciembre de 2025, cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado LenAI estaba anunciando el malware en foros clandestinos por 200 dólares que otorga a los clientes acceso a un panel y una compilación configurada. Por 4.000 dólares, supuestamente a los clientes se les prometió todo el código base de C++ junto con las actualizaciones.

El malware, un cargador nativo de C++ disponible en versiones x32 y x64, funciona escribiendo comandos que se emiten al host infectado en contratos inteligentes en la cadena de bloques Polygon. Luego, los bots leen esos comandos consultando puntos finales públicos de llamada a procedimiento remoto (RPC).

Todo esto se gestiona a través del panel web, desde donde los clientes pueden seleccionar un contrato inteligente, elegir un tipo de comando, especificar una URL de carga útil y actualizarla. El comando, que puede apuntar a todos los puntos finales o a uno específico, se escribe en la cadena de bloques como una transacción, después de lo cual queda disponible para todos los dispositivos comprometidos que estén sondeando la red.

«Una vez que se confirma un comando, nadie más que el titular de la billetera no puede modificarlo ni eliminarlo», dijo Qrator Labs. «El operador puede gestionar múltiples contratos inteligentes simultáneamente, cada uno de los cuales potencialmente cumple una carga útil o función diferente, como un clipper, un ladrón, un RAT o un minero».

Según un investigación en dos partes publicado por Ctrl Alt Intel A principios de este mes, el panel C2 se implementó como una aplicación web Next.js que permite a los operadores implementar contratos inteligentes en la cadena de bloques Polygon. Los contratos inteligentes contienen una función que, cuando el malware la llama a través de Polygon RPC, hace que devuelva el comando cifrado que posteriormente se decodifica y se ejecuta en las máquinas víctimas.

Además de utilizar blockchain para convertirla en una botnet resistente a la eliminación, el malware incluye varias funciones antianálisis para extender la vida útil de las infecciones. Esto incluye comprobaciones para detectar entornos virtualizados, además de equipar a los clientes con la capacidad de escanear sus compilaciones a través de Kleenscan para garantizar que no sean marcados por los proveedores de antivirus.

«Los costes operativos son insignificantes: 1 dólar en MATIC, el token nativo de la red Polygon, es suficiente para entre 100 y 150 transacciones de comando», dijo el proveedor checo de ciberseguridad. «El operador no necesita alquilar servidores, registrar dominios ni mantener ninguna infraestructura más allá de una billetera criptográfica y una copia local del panel».

El actor de amenazas ha desde entonces intentó vender todo el kit de herramientas por un precio inicial de 10.000 dólares, alegando falta de tiempo para recibir apoyo y su participación en otro proyecto. «Venderé todo el proyecto a una persona con permiso para reventa y uso comercial, con todos los ‘derechos’», dijo LenAI. «También daré consejos/notas útiles sobre el desarrollo que no tuve tiempo de implementar».

Vale la pena señalar que LenAI también está detrás de una segunda solución de crimeware llamada ErrTraffic que permite a los actores de amenazas automatizar los ataques ClickFix generando fallos falsos en sitios web comprometidos para inducir una falsa sensación de urgencia y engañar a los usuarios para que sigan instrucciones maliciosas.

La divulgación se produce cuando Infrawatch publicó detalles de un servicio clandestino que implementa hardware de computadoras portátiles dedicado en hogares estadounidenses para incorporar los dispositivos a una red proxy residencial llamada DSLRoot que redirige el tráfico malicioso a través de ellos.

El hardware está diseñado para ejecutar un programa basado en Delphi llamado DSLPylon que está equipado con capacidades para enumerar módems compatibles en la red, así como para controlar de forma remota el equipo de red residencial y los dispositivos Android a través de una integración de Android Debug Bridge (ADB).

«El análisis de atribución identifica al operador como un ciudadano bielorruso con presencia residencial en Minsk y Moscú», Infrawatch dicho. «Se estima que DSLRoot opera aproximadamente 300 dispositivos de hardware activos en más de 20 estados de EE. UU.».

El operador ha sido identificado como Andrei Holas (también conocido como Andre Holas y Andrei Golas), con el servicio promocionado en BlackHatWorld por un usuario que opera bajo el alias GlobalSolutions, afirmando ofrecer proxies ADSL residenciales físicos a la venta por $190 por mes para acceso sin restricciones. También está disponible por $990 por seis meses y $1,750 por suscripciones anuales.

«El software personalizado de DSLRoot proporciona gestión remota automatizada de módems de consumo (ARRIS/Motorola, Belkin, D-Link, ASUS) y dispositivos Android a través de ADB, lo que permite la rotación de direcciones IP y el control de la conectividad», señaló la empresa. «La red opera sin autenticación, lo que permite a los clientes enrutar el tráfico de forma anónima a través de IP residenciales de EE. UU.».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-2441 (Puntuación CVSS: 8,8): una vulnerabilidad de uso después de la liberación en Google Chrome que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
• CVE-2024-7694 (Puntuación CVSS: 7,2) – Un vulnerabilidad de carga de archivos arbitrarios en TeamT5 ThreatSonar Anti-Ransomware versiones 3.4.5 y anteriores que podrían permitir a un atacante cargar archivos maliciosos y lograr la ejecución arbitraria de comandos del sistema en el servidor.
• CVE-2020-7796 (Puntuación CVSS: 9,8): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante enviar una solicitud HTTP diseñada a un host remoto y obtener acceso no autorizado a información confidencial.
• CVE-2008-0015 (Puntuación CVSS: 8,8): una vulnerabilidad de desbordamiento de búfer basada en pila en el control ActiveX de vídeo de Microsoft Windows que podría permitir a un atacante lograr la ejecución remota de código mediante la configuración de una página web especialmente diseñada.

La adición de CVE-2026-2441 al catálogo KEV se produce días después de que Google reconociera que «existe un exploit para CVE-2026-2441 en la naturaleza». Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma, pero dicha información generalmente se retiene hasta que la mayoría de los usuarios se actualizan con una solución para evitar que otros actores de amenazas se unan al tren de la explotación.

En cuanto a CVE-2020-7796, un informe publicado por la firma de inteligencia sobre amenazas GreyNoise en marzo de 2025 reveló que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2020-7796, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

«Cuando un usuario visita una página web que contiene un exploit detectado como Exploit:JS/CVE-2008-0015, puede conectarse a un servidor remoto y descargar otro malware», Microsoft notas en su enciclopedia de amenazas. También dijo que tiene conocimiento de casos en los que el exploit se utiliza para descargar y ejecutar perroun gusano que se propaga a través de unidades extraíbles.

El gusano viene con capacidades para recuperar y ejecutar binarios adicionales, sobrescribir ciertos archivos del sistema, finalizar una larga lista de procesos relacionados con la seguridad e incluso reemplazar el archivo Hosts de Windows en un intento de evitar que los usuarios accedan a sitios web asociados con programas de seguridad.

Actualmente no está claro cómo se explota la vulnerabilidad TeamT5 ThreatSonar Anti-Ransomware. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 10 de marzo de 2026 para una protección óptima.

Actualizar

en un publicación de seguimiento Publicado el 22 de febrero de 2026, TeamT5 dijo que la vulnerabilidad se relaciona con un problema identificado en 2024 y que desde entonces todos los clientes afectados han migrado desde versiones vulnerables de su producto ThreatSonar Anti-Ransomware.

La compañía de seguridad taiwanesa dijo que desde entonces ha mejorado su ciclo de vida de desarrollo de software seguro y sus controles de seguridad de productos, así como procesos estandarizados de respuesta a incidentes internos y gestión de vulnerabilidades.

(La historia se actualizó después de la publicación para incluir detalles de TeamT5).