manzana el miercoles expandido la disponibilidad de iOS 18.7.7 y iPadOS 18.7.7 en una gama más amplia de dispositivos para proteger a los usuarios del riesgo que representa un kit de explotación recientemente revelado conocido como DarkSword.

«Habilitamos la disponibilidad de iOS 18.7.7 para más dispositivos el 1 de abril de 2026, por lo que los usuarios con las Actualizaciones automáticas activadas pueden recibir automáticamente importantes protecciones de seguridad contra ataques web llamados DarkSword», dijo la compañía. «Las correcciones asociadas con el exploit DarkSword se enviaron por primera vez en 2025».

La actualización está disponible para los siguientes dispositivos:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (segunda generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (tercera generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos) y iPhone 16e.
• iPad mini (quinta generación – A17 Pro), iPad (séptima generación – A16), iPad Air (tercera – quinta generación), iPad Air de 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (primera generación – M4), iPad Pro de 12,9 pulgadas (tercera – sexta generación) y iPad Pro de 13 pulgadas (M4)

La última actualización tiene como objetivo cubrir dispositivos que tienen la capacidad de actualizarse a iOS 26 pero que aún tienen versiones anteriores. Apple lanzó por primera vez iOS 18.7.7 y iPadOS 18.7.7 el 24 de marzo de 2026, pero solo para iPhone XS, iPhone XS Max, iPhone XR y iPad de séptima generación.

El mes pasado, la compañía también instó a los usuarios a actualizar los dispositivos más antiguos a iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y iPadOS 16.7.15 para solucionar algunos de los exploits que se utilizaron en DarkSword y otro kit de exploits llamado Coruna.

Si bien se sabe que Apple admite correcciones para dispositivos más antiguos dependiendo de la importancia de las vulnerabilidades, la medida para permitir a los usuarios de iOS 18 parchear sus dispositivos sin tener que actualizar a la última versión del sistema operativo marca un cambio inusual para el gigante tecnológico.

en una declaración compartido Con WIRED, un portavoz de Apple dijo que estaba ampliando la actualización a más dispositivos para ayudarlos a mantenerse protegidos. Los usuarios que no tengan habilitada la actualización automática tendrán la opción de actualizar a la última versión parcheada de iOS 18 o iOS 26.

Este raro paso se produce semanas después de que Google Threat Intelligence Group (GTIG), iVerify y Lookout compartieran detalles de un kit de explotación de iOS llamado DarkSword que se ha utilizado en ataques cibernéticos dirigidos a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania desde julio de 2025. El kit es capaz de apuntar a dispositivos iOS y iPadOS que ejecutan versiones entre iOS 18.4 y 18.7.

El ataque se desencadena cuando un usuario que ejecuta un dispositivo vulnerable visita un sitio web legítimo pero comprometido que aloja el código malicioso como parte de lo que se llama un ataque de abrevadero. Una vez lanzados, se ha descubierto que los ataques implementan puertas traseras y un minero de datos para el acceso persistente y el robo de información.

Actualmente no se sabe cómo la herramienta de piratería avanzada llegó a ser compartida por múltiples actores de amenazas. Desde entonces, se filtró una versión más nueva del kit en el sitio de código compartido GitHub, lo que generó preocupaciones de que más actores de amenazas pudieran subirse al tren de la explotación.

El descubrimiento también destaca que el software espía potente para iPhone puede no ser tan raro como se pensaba anteriormente y que podría convertirse en herramientas atractivas para una explotación masiva.

A partir de la semana pasada, Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar las últimas actualizaciones.

Proofpoint y Malfors también revelaron que otro actor de amenazas vinculado a Rusia conocido como COLDRIVER (también conocido como TA446) ha explotado el kit DarkSword para entregar el malware de robo de datos GHOSTBLADE en ataques dirigidos a entidades gubernamentales, grupos de expertos, educación superior, financieras y legales.

«DarkSword roba silenciosamente grandes cantidades de datos de usuario simplemente porque el usuario ahora visitó un sitio web real (pero comprometido)», dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un comunicado compartido con The Hacker News. «Apple al menos ha estado de acuerdo con la evaluación de la comunidad de seguridad de que esto presenta una amenaza clara y presente para los dispositivos que permanecen sin parches en versiones anteriores de iOS, que aproximadamente el 20% de las personas todavía utilizan».

«Dejar expuestos a esos usuarios sería una decisión difícil de defender, especialmente para una empresa que centra su marca en la seguridad y la privacidad. Actualizar parches a versiones anteriores de iOS parece ser lo mínimo que pueden hacer en lugar de proporcionar un marco de seguridad para desarrolladores externos. El hecho es que los parches son demasiado pequeños y demasiado tarde cuando se trata de días 0, y el mercado de exploits está en auge».

Some weeks are loud. This one was quieter but not in a good way. Long-running operations are finally hitting courtrooms, old attack methods are showing up in new places, and research that stopped being theoretical right around the time defenders stopped paying attention.

There’s a bit of everything this week. Persistence plays, legal wins, influence ops, and at least one thing that looks boring until you see what it connects to.

All of it below. Let’s go.

⚡ Threat of the Week

Citrix Flaw Comes Under Active Exploitation — A critical security flaw in Citrix NetScaler ADC and NetScaler Gateway (CVE-2026-3055, CVSS score: 9.3) has come under active exploitation as of March 27, 2026. The vulnerability refers to a case of insufficient input validation leading to memory overread, which an attacker could exploit to leak potentially sensitive information. Per Citrix, successful exploitation of the flaw hinges on the appliance being configured as a SAML Identity Provider (SAML IDP).

🔔 Top News

• FBI Confirms Hack of Director Kash Patel’s Personal Email Account — The U.S. Federal Bureau of Investigation (FBI) confirmed that threat actors gained access to an email account belonging to FBI Director Kash Patel, but said no government information has been compromised. The Iran-linked hacker group Handala claimed responsibility for the hack, releasing files allegedly representing photos, emails, and classified documents taken from the FBI director’s inbox. «The so-called ‘impenetrable’ systems of the FBI were brought to their knees within hours by our team,» the hackers wrote. It’s unclear when the account was hacked. The U.S. government, which recently took down multiple sites operated by Iranian state actors, said it’s offering up to $10 million for information on threat groups like Parsian Afzar Rayan Borna and Handala.
• Red Menshen Uses Stealthy BPFDoor to Spy on Telecom Networks — A China-linked state-sponsored threat actor known as Red Menshen has deployed kernel implants and passive backdoors deep within telecommunication backbone infrastructure worldwide for long-term persistence. The implants have been fittingly described as sleeper cells that lie dormant and blend into target environments, but spring into action upon receiving a magic packet by quietly monitoring network traffic instead of opening a visible connection. Initial access is usually gained by exploiting known vulnerabilities in edge networking devices and VPN products or by leveraging compromised accounts. Once inside, the threat actor maintains long-term access by deploying tools like BPFdoor. Some BPFdoor samples mimic bare-metal infrastructure, posing as legitimate enterprise platforms to blend into operational noise. Others spoof core containerization components. By embedding the implant deep below traditional visibility layers, the goal is to significantly complicate detection efforts. Rapid7 has released a scanning script designed to detect known BPFDoor variants across Linux environments.
• GlassWorm Evolves to Drop Extension-Based Stealer — A new evolution of the GlassWorm campaign is delivering a multi-stage framework capable of comprehensive data theft and installing a remote access trojan (RAT), which deploys an information-stealing Google Chrome extension masquerading as an offline version of Google Docs. «It logs keystrokes, dumps cookies and session tokens, captures screenshots, and takes commands from a C2 server hidden in a Solana blockchain memo,» Aikido said. GlassWorm is the moniker assigned to a persistent campaign that obtains an initial foothold through rogue packages published across npm, PyPI, GitHub, and the Open VSX marketplace. In addition, the operators are known to compromise the accounts of project maintainers to push poisoned updates.
• Russian Hacker Sentenced to 2 Years for TA551-Linked Ransomware Attacks — Ilya Angelov, a 40-year-old Russian national, was sentenced to two years in prison for managing a botnet that was used to launch ransomware attacks against U.S. companies. Angelov, who went by the online aliases «milan» and «okart,» is said to have co-managed a Russia-based cybercriminal group known as TA551 (aka ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra, Shathak, and UNC2420) between 2017 and 2021. The attacks leveraged spam emails to compromise systems and rope them into a botnet that other cybercriminals used to break into corporate systems and deploy ransomware. This included threat actors affiliated with BitPaymer and IcedID.
• FCC Bans New Foreign-Made Routers Over Security Risks — The U.S. Federal Communications Commission (FCC) said it was banning the import of new, foreign-made consumer routers, citing «unacceptable» risks to cyber and national security. To that end, all consumer-grade routers manufactured in foreign countries have been added to the Covered List, unless they have been granted a Conditional Approval by the Department of War (DoW) or the Department of Homeland Security (DHS) after determining that they do not pose any risks. The development comes as the Indian government appears to be preparing to bar Chinese CCTV product makers, such as Hikvision, Dahua, and TP-Link, from selling their cameras from April 1, 2026, to tighten oversight under the Standardisation Testing and Quality Certification (STQC) rules, the Economic Times reported.

‎️‍🔥 Trending CVEs

New vulnerabilities show up every week, and the window between disclosure and exploitation keeps getting shorter. The flaws below are this week’s most critical — high-severity, widely used software, or already drawing attention from the security community.

Check these first, patch what applies, and don’t wait on the ones marked urgent — CVE-2026-3055 (Citrix NetScaler ADC and NetScaler Gateway), CVE-2025-62843, CVE-2025-62844, CVE-2025-62845, CVE-2025-62846 (QNAP), CVE-2026-22898 (QNAP QVR Pro), CVE-2026-4673, CVE-2026-4677, CVE-2026-4674 (Google Chrome), CVE-2026-4404 (GoHarbor Harbor), CVE-2026-1995 (IDrive for Windows), CVE-2026-4681 (Windchill and FlexPLM), CVE-2025-15517, CVE-2025-15518, CVE-2025-15519, CVE-2025-15605, CVE-2025-62673 (TP-Link),CVE-2025-66176 (HikVision), CVE-2026-32647 (NGINX Open Source and NGINX Plus), CVE-2026-22765, CVE-2026-22766 (Dell Wyse Management Suite), CVE-2026-21637, CVE-2026-21710 (Node.js), CVE-2026-25185 aka LnkMeMaybe (Microsoft), CVE-2026-1519, CVE-2026-3104, CVE-2026-3119, CVE-2026-3591 (BIND 9), CVE-2026-2931 (Amelia Booking plugin), CVE-2026-33656 (EspoCRM), CVE-2026-3608 (Kea), CVE-2026-20817 (Microsoft Windows Error Reporting), CVE-2025-33244 (NVIDIA Apex), CVE-2026-32746 (Synology DiskStation Manager), and CVE-2026-3098 (Smart Slider 3 plugin).

🎥 Cybersecurity Webinars

📰 Around the Cyber World

• Fortinet FortiClient EMS Flaw Comes Under Attack — A recently patched security flaw affecting Fortinet FortiClient EMS has come under active exploitation in the wild as of March 24, 2026. The vulnerability in question is CVE-2026-21643 (CVSS score: 9.1), a critical SQL injection that could allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests. The issue was addressed by Fortinet last month in FortiClient EMS version 7.4.5. «Attackers can smuggle SQL statements through the ‘Site’-header inside an HTTP request,» Defused Cyber said. Nearly 1,000 FortiClient EMS are publicly exposed.
• Meta Disrupts Influence Operation Linked to Iran — Meta said it disrupted an influence operation linked to Iran that employed «sophisticated fake personas» on Instagram to build relationships with U.S. users before sending political messaging. The network used accounts posing as journalists, commentators, and ordinary people to engage users and gradually introduce political narratives. A second layer of accounts amplified posts to help spread the messaging.
• Armenian National Extradited to U.S. in Connection with RedLine Stealer Operations — An Armenian national has been extradited to the United States over his alleged role in the administration of the RedLine infostealer malware. Hambardzum Minasyan, per court documents, allegedly developed and managed the stealer, while unnamed conspirators maintained digital infrastructure, including the command-and-control (C2) servers and administrative panels to enable the deployment of the malware by affiliates, and collected payments from the affiliates. «They allegedly responded to questions and requests from actual and potential RedLine affiliates, conspired with each other and affiliates to steal and possess the financial information, including access devices, of victims, and laundered the proceeds of cybercrime through cryptocurrency exchanges and other means,» the U.S. Justice Department said. Minasyan has also been accused of registering two virtual private servers to host portions of RedLine’s infrastructure, as well as two internet domains in support of the scheme, repositories on an online file sharing site to distribute the stealer to affiliates, and registering a cryptocurrency account in November 2021 to receive payments. RedLine Stealer was disrupted in an international law enforcement operation in October 2024. Minasyan has been charged with conspiracy to commit access device fraud, conspiracy to violate the Computer Fraud and Abuse Act, and conspiracy to commit money laundering. If convicted, he faces up to 10 years in prison for access device fraud and up to 20 years in prison for the other two counts. In June 2025, the U.S. Department of State announced a $10 million reward for information on Maxim Alexandrovich Rudometov, who is believed to be the main developer and administrator of RedLine.
• Android 17 Beta Gains New Security Features — To improve security against code injection attacks, Android now enforces that dynamically loaded native libraries must be read-only. If your app targets Android 17 or higher, all native files loaded using System.load() must be marked as read-only beforehand. Another new addition is the support for Post-Quantum Cryptography (PQC) through the new v3.2 APK Signature Scheme. This scheme utilizes a hybrid approach, combining a classical signature with an ML-DSA signature.
• China-Linked Actors Deliver Mofu Loader and KIVARS — In recent months, Chinese-affiliated espionage clusters like DRBControl have employed DLL side-loading techniques to deliver Mofu Loader – a malware previously attributed to GroundPeony – which then drops a C++ backdoor capable of executing commands issued by an attacker-controlled server. Last year, companies and organizations in Japan and Taiwan have also been targeted by variants of a backdoor called KIVARS, which is tied to a Chinese hacking group called BlackTech.
• Automated Traffic Outpaces Human Traffic — HUMAN Security found that automated traffic grew eight times faster than human traffic year-over-year. «In 2025, automated traffic across the internet grew 23.51% year over year, while human traffic increased 3.10% over the same period,» the company said. The cybersecurity company noted that its customers experienced more than 400,000 attempted post-login account compromise attacks, more than quadruple that of 2024.
• U.S. Accuses China of Backing Scam Compounds — A senior U.S. official accused Beijing of implicitly backing Chinese criminal syndicates running cyber scam compounds across Southeast Asia. Speaking during a Joint Economic Committee congressional hearing about U.S. efforts to combat digital scams, Reva Price, commissioner with the U.S.-China Economic and Security Review Commission, said links have been unearthed between scam centers and the Chinese government’s Belt and Road Initiative. Chinese criminal syndicates have «invested in projects linked to China’s Belt and Road Initiative alongside China’s state-owned enterprises,» she said, adding that they «have also seen criminal leaders who appear to have gotten a pass by promoting messaging and other activities aligned with Chinese Communist Party priorities.» Scam centers in Southeast Asia are often operated by Chinese crime syndicates that lure people into the region with enticing job opportunities and coerce them into participating in pig butchering or romance baiting scams by confiscating their passports and subjecting them to torture.
• Exploitation Against Oracle WebLogic Servers — A recently disclosed security flaw in Oracle WebLogic (CVE-2026-21962, CVSS score: 10.0) witnessed automated exploitation attempts almost immediately after public exploit code was released, demonstrating how software flaws are being rapidly weaponized by bad actors. The activity, detected by CloudSEK against its honeypots, also leveraged other WebLogic flaws (CVE-2020-14882, CVE-2020-14883, CVE-2020-2551, and CVE-2017-10271), as well as flaws impacting Hikvision and PHPUnit, indicating a spray and pray approach. «Attackers predominantly utilized rented Virtual Private Servers (VPS) from common hosting providers like DigitalOcean and HOSTGLOBAL.PLUS,» the company said. «The overall activity was characterized by high-volume, automated scanning, with tools like libredtail-http and the Nmap Scripting Engine dominating the malicious traffic.»
• Security Flaws in Cisco Catalyst 9300 Series Switches — Details have emerged about now-patched vulnerabilities in Cisco Catalyst 9300 Series switches (CVE-2026-20110, CVE-2026-20112, CVE-2026-20113, and CVE-2026-20114) that could result in privilege escalation, operational denial-of-service, stored cross-site scripting (XSS), and CRLF injection. «Collectively, these vulnerabilities introduce risks to administrative trust boundaries, service availability, session integrity, and system log reliability – affecting both operational continuity and security monitoring capabilities,» OPSWAT said. «CVE-2026-20114 and CVE-2026-20110 are the most operationally impactful when chained. A low-privilege Web UI user can escalate access and invoke a maintenance-mode operation, resulting in full denial of service that may require physical intervention to restore.» The issues were patched by Cisco last week.
• Financial Institution Targeted by BRUSHWORM and BRUSHLOGGER — A modular backdoor with USB-based spreading capabilities was used in an attack targeting an unnamed South Asian financial institution, according to findings from Elastic Security Labs. The malware, dubbed BRUSHWORM, is one of the two malware components identified in the victim’s infrastructure, the other being a DLL keylogger referred to as BRUSHLOGGER. «BRUSHWORM features anti-analysis checks, AES-CBC encrypted configuration, scheduled task persistence, modular DLL payload downloading, USB worm propagation, and broad file theft targeting documents, spreadsheets, email archives, and source code,» security researcher Salim Bitam said. BRUSHWORM is also responsible for running basic anti-analysis checks, maintaining persistence, command-and-control (C2) communication, and downloading additional modular payloads. BRUSHLOGGER augments the backdoor by capturing system-wide keystrokes via a simple Windows keyboard hook and logging the active window context for each keystroke session. «Neither binary employs meaningful code obfuscation, packing, or advanced anti-analysis techniques,» Elastic said. «Given the absence of a kill switch, the use of free dynamic DNS servers in testing versions, and some coding mistakes, we assess with moderate confidence that the author is relatively inexperienced and may have leveraged AI code-generation tools during development without fully reviewing the output.»
• U.K. Sanctions Xinbi — The U.K.’s Foreign, Commonwealth and Development Office (FCDO) has sanctioned Xinbi, a Chinese-language guarantee marketplace accused of enabling large-scale online fraud and human exploitation by supporting #8 Park (aka Legend Park), an industrial-scale scam compound in Cambodia notorious for large-scale pig butchering scams and forced labor of trafficked workers. The U.K. is the first country to sanction Xinbi. The move is designed to isolate Xinbi from the legitimate crypto ecosystem and disrupt its operations. Xinbi is estimated to have processed over $19.9 billion between 2021 and 2025. «The platform facilitates everything from ‘Black U’ money laundering and unlicensed OTC trades to the sale of compromised personal databases and scam infrastructure,» Chainalysis said. «In the face of previous takedowns, Xinbi demonstrated significant resilience by rapidly migrating to the SafeW messaging app and launching its own proprietary payment app, XinbiPay. This evolution highlights the challenges around pursuing illicit services as they build custom financial rails to insulate themselves from platform-level disruptions.» According to a report published by Elliptic last month, #8 Park is linked to a company named Legend Innovation, which, in turn, has ties to Prince Group, whose chairman, Chen Zhi, was arrested and extradited to China in connection with a crackdown on a large-scale fraud operation. #8 Park is also tied to HuiOne Group, with its payment business, HuiOne Pay (later rebranded as H-PAY), which operates a physical store within the compound. There has since been a sharp decline in incoming payments to merchants operating inside the compound beginning around February 9, 2026, with transactions almost entirely ceasing by February 13.
• What is Tsundere? — Tsundere is a botnet that enables system fingerprinting and arbitrary command execution on victim machines. It’s notable for the use of a technique called EtherHiding to retrieve command-and-control (C2) servers stored in smart contracts on the Ethereum blockchain. The malware is suspected to be a Malware-as-a-Service (MaaS) offering of Russian origin, owing to logic that checks whether the infected host is located in a CIS country, including Ukraine, and terminates execution if so. Most recently, the use of the botnet has been linked to the Iranian state-sponsored actor MuddyWater.
• Jailbreaking, a Continued Risk to LLMs — New research from Palo Alto Networks Unit 42 has uncovered that prompt jailbreaking remains a practical risk to large language models (LLMs) and that a genetic algorithm-based fuzzing approach can be used to generate meaning-preserving prompt variants to trigger policy-violating outcomes against both closed-source and open-weight pre-trained models. «The broader implication is that guardrails should be treated as probabilistic controls that require continuous adversarial evaluation, not as definitive security boundaries,» Unit 42 said. The findings reinforce that security for LLM applications cannot rely on a single layer, necessitating that organizations define and enforce application scope, use robust, multi-signal content controls, treat user input as untrusted and isolate it from privileged instructions, validate outputs against scope and policy, and monitor for misuse, and apply standard security controls, such as authentication, rate limiting, and and least privilege tool permissions.
• SEO Campaign Delivers AsyncRAT — Since October 2025, an unknown threat actor has been running an active SEO poisoning campaign, using impersonation sites of over 25 popular applications to direct victims to malicious installers, including VLC Media Player, OBS Studio, KMS Tools, and CrosshairX. The campaign uses ScreenConnect, a legitimate remote management tool, to establish initial access and to deliver AsyncRAT. «Most notable in this campaign is the RAT’s added cryptocurrency clipper, dynamic plugin system capable of loading arbitrary capabilities at runtime, and a geo-fencing mechanism that deliberately excludes targets across the Middle East, North Africa, and Central Asia,» NCC Group said. AsyncRAT has also been delivered as part of a series of attacks on Libyan organizations between November 2025 and February 2026. The attacks targeted an oil refinery, a telecoms organization, and a state institution. «AsyncRAT is a remote access Trojan with a variety of capabilities, including keylogging, screen capture, and remote command execution capabilities, making it ideal for use in intelligence gathering and espionage attacks,» Symantec and Carbon Black said. «It is also modular, meaning it can be updated and customized, which is attractive for attackers.»
• Nigerian National Sentenced to 7 Years in Prison — A Nigerian man has been sentenced to more than seven years in a U.S. prison for his role in a scheme that broke into business email accounts and tricked victims into sending millions of dollars to fraudulent bank accounts. James Junior Aliyu, 31, received a 90-month prison sentence for conspiracy to commit wire fraud and money laundering. The court also ordered Aliyu to forfeit $1.2 million and repay nearly $2.39 million to the victims. Aliyu, who pleaded guilty in August 2025, acknowledged that he conspired with others, including Kosi Goodness Simon-Ebo, 31, and Henry Onyedikachi Echefu, 34, to deceive and defraud multiple American victims from February 2017 until at least July 2017. The business email compromise scheme targeted American businesses and individuals by compromising email accounts and sending false wiring instructions to deceive victims into sending money to bank accounts under their control. «Aliyu and his accomplices conspired to commit money laundering by disbursing the fraudulently obtained funds in the drop accounts to other accounts,» the U.S. Justice Department said. «Co-conspirators moved the stolen money by initiating account transfers, withdrawing cash, and obtaining cashier’s checks. They also wrote checks to other individuals and entities to hide the true ownership and source of these assets. In total, Aliyu and his co-conspirators attempted to defraud victims of at least $10.4 million, and the victims suffered an actual loss of at least $2,389,130.»
• Sensor Technology to Combat Deepfakes — Researchers at ETH Zürich have developed a sensor system that stamps a cryptographic signature onto images, video, and audio within a sensor chip at the exact moment they are captured, making it impossible to tamper with the data without being detected. «If the signatures are uploaded to a public ledger (e.g., a blockchain), anyone can verify the authenticity of videos and other data,» ETH Zürich said. «The technology can, in principle, be integrated into any type of sensor or camera. It would then be possible to identify manipulated content on online platforms with minimal effort.»
• Middle East Conflict Fuels Cyber Attacks — Threat actors have been capitalizing on geopolitical tensions in the Middle East region to spread Android spyware by distributing trojanized versions of Israel’s Red Alert apps via SMS phishing messages. The espionage campaign has been codenamed Operation False Siren by CYFIRMA. ZIP archives containing lures related to the conflict are also being used to launch malicious payloads that lead to the deployment of PlugX and LOTUSLITE backdoors. These ZIP-based phishing campaigns have been attributed to a Chinese nation-state actor known as Mustang Panda. Elsewhere, an Iran-themed fake news blog site hosting malicious JavaScript has been found, leading to the deployment of StealC malware.
• Apple Tests Ways to Block Malicious Copy-Pastes in macOS — With the release of macOS 26.4 last week, Apple has introduced a new feature that warns Mac users if they paste harmful commands in the Terminal app to curb ClickFix-style attacks that have increasingly targeted macOS in recent months. «Scammers often encourage pasting text into Terminal to try and harm your Mac or compromise your privacy,» the message reads. «These instructions are commonly offered via websites, chat agents, apps, files, or a phone call.» The alert comes with a «Paste Anyway» for those who wish to proceed. The disclosure comes as multiple ClickFix campaigns have come to light, including using a Cloudflare-themed verification page to deliver a Python-based macOS stealer dubbed Infiniti Stealer. A similar Cloudflare verification, but for Windows, has been used to launch PowerShell commands that ultimately drop StealC, Lumma, Rhadamanthys, Vidar Stealer, and Aura Stealer malware. The ClickFix strategy has also been adopted by a traffic distribution system known as KongTuke to redirect visitors of compromised WordPress websites to phishing pages and malware payloads. According to eSentire, ClickFix lures have been used to deliver EtherRAT, a Node.js-based backdoor linked to North Korean threat actors. «EtherRAT allows threat actors to run arbitrary commands on compromised hosts, gather extensive system information, and steal assets such as cryptocurrency wallets and cloud credentials,» the Canadian security company said. «Command-and-Control (C2) addresses are retrieved using ‘EtherHiding,’ a technique to make C2 addresses more resilient by storing and updating them in Ethereum smart contracts, allowing threat actors to rotate infrastructure at a small cost and avoid takedowns by law enforcement.» Recorded Future said it has identified five distinct clusters leveraging ClickFix to facilitate initial access to Windows and macOS systems since May 2024. «This indicates that the ClickFix methodology has transitioned into a standardized, high-ROI template adopted across a fragmented ecosystem of threat actors,» Insikt Group said. «While visually diverse, all analyzed clusters use a consistent execution framework that bypasses traditional browser security controls by shifting the point of exploitation to user-assisted manual commands. These campaigns target a wide variety of sectors, including accounting (QuickBooks), travel (Booking.com), and system optimization (macOS).»
• Apple Rolls Out Mandatory Age Verification in U.K. — In more Apple news, the tech giant has rolled out mandatory U.K. age verification with iOS 26.4, requiring users to provide a credit card or ID to confirm if they are an adult before «downloading apps, changing certain settings, or taking other actions with your Apple Account.» The move comes at a time when online child safety is increasingly drawing attention from regulators, causing many digital services, including social media apps and porn sites, to roll out similar checks. Discord, which announced plans to verify the ages of all its users last month, has since paused the effort until H2 2026 after concerns were raised about how IDs and personal information would be handled. Discord has reiterated that it does not receive any identifying personal information from users who need to manually verify their age. Instead, it is partnering with third-party age verification companies, who will «handle verification and only pass back your age group.» The company also said it’s no longer working with age verification vendor Persona, which has attracted criticism over allegations that it shared users’ data with other companies and left its frontend source code exposed to the internet.

🔧 Cybersecurity Tools

• OpenClaw Security Handbook → It is a detailed security guide published by ZAST AI for users of OpenClaw, a multi-channel AI gateway that connects messaging platforms, LLMs, and local system capabilities. Because that combination creates a serious attack surface, the handbook covers the real risks — prompt injection, malicious skills, exposed ports, credential theft — backed by documented incidents and CVEs, with practical configuration guidance for locking it down.
• VulHunt → It is an open-source framework from Binarly’s research team for hunting vulnerabilities in software binaries and UEFI firmware. It uses customizable rulepacks for scanning and can connect to Binarly’s Transparency Platform for large-scale triage. It also supports running as an MCP server, letting AI assistants interact with it directly.

Disclaimer: For research and educational use only. Not security-audited. Review all code before use, test in isolated environments, and ensure compliance with applicable laws.

Conclusion

That’s the week. Some of it will age well, some of it is already being quietly exploited while you’re reading this sentence.

The through-line, if there is one: patience. Attackers are playing long games. The detections, the arrests, the patches — they matter, but they’re almost always trailing. Stay sharp, check the CVE list, and see you next Monday.

Apple ahora envía notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en web e instarlos a instalar la actualización.

El desarrollo fue reportado por primera vez por MacRumors.

«Apple es consciente de los ataques dirigidos a software iOS desactualizado, incluida la versión de su iPhone. Instale esta actualización crítica para proteger su iPhone», se lee en la notificación emitida por Apple.

El desarrollo se produce una semana después de que Apple publicara un documento de soporte, pidiendo a los usuarios que ejecutan versiones anteriores de iOS y iPadOS que actualicen sus dispositivos tras el descubrimiento de nuevos kits de exploits para iOS como Coruna y DarkSword.

Se ha descubierto que múltiples actores de amenazas con diversas motivaciones aprovecharon estos kits durante el año pasado para entregar cargas útiles maliciosas cuando usuarios desprevenidos visitan un sitio web comprometido. Mientras que Coruña apunta a versiones de iOS entre 13.0 y 17.2.1, DarkSword está diseñado para iPhones que ejecutan versiones de iOS entre 18.4 y 18.7.

Un nuevo informe de Kaspersky esta semana encontró que el kit de exploits Coruna es una evolución del marco utilizado en la Operación Triangulación, una sofisticada campaña dirigida a iPhones a través de exploits de iMessage sin hacer clic. Salió a la luz por primera vez en junio de 2023.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco de Operación Triangulación original», dijo el proveedor ruso de ciberseguridad.

Actualmente no se sabe cómo los dos kits llegaron a manos de varios actores de amenazas y ciberdelincuentes, pero una investigación reciente ha planteado la posibilidad de que exista un mercado activo para exploits de día cero de segunda mano.

La aparición de estos kits, junto con la filtración de una versión más nueva de DarkSword, ha generado preocupaciones de que podrían democratizar el acceso a exploits que antes estaban reservados para los estados-nación, convirtiéndolos potencialmente en herramientas de explotación masiva. En el proceso, corren el riesgo de transformar los iPhone y iPad en una superficie de ataque mayor que la que tienen actualmente.

Se recomienda a los usuarios que no puedan actualizar a una versión compatible que consideren habilitar el modo de bloqueo, si está disponible, para protegerse contra contenido web malicioso. El modo de bloqueo se introdujo en 2022 y está disponible en dispositivos con versiones de iOS 16 y posteriores.

En una declaración compartida con TechCrunch, Apple dicho«No tenemos conocimiento de ningún ataque exitoso de software espía mercenario contra un dispositivo Apple con modo de bloqueo habilitado».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a parchearlos antes del 3 de abril de 2026.

Las vulnerabilidades que han sido objeto de explotación se enumeran a continuación:

• CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Corregido en julio de 2025)
• CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Corregido en diciembre de 2025)
• CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa cause una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025)
• CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS que podría permitir a un atacante remoto ejecutar código arbitrario. (Corregido en abril de 2025)
• CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire que podría permitir a atacantes no autenticados lograr la ejecución remota de comandos en escenarios específicos. (Corregido en julio de 2025)

La incorporación de las tres vulnerabilidades de Apple al catálogo KEV se produce a raíz de informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas deficiencias, junto con tres errores, para implementar varias familias de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER para el robo de datos.

Se considera que CVE-2025-32432 ha sido explotado como día cero por actores de amenazas desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Desde entonces, también se ha observado un conjunto de intrusiones rastreado como Mimo (también conocido como Hezb) que explota la vulnerabilidad para implementar un minero de criptomonedas y un proxy residencial.

Completando la lista está CVE-2025-54068, cuya explotación fue señalada recientemente por el equipo Ctrl-Alt-Intel Threat Research como parte de ataques organizados por el grupo de hackers patrocinado por el estado iraní, MuddyWater (también conocido como Boggy Serpens).

En un informe publicado a principios de esta semana, la Unidad 42 de Palo Alto Networks denunció los constantes ataques del adversario a infraestructuras diplomáticas y críticas, incluidas las energéticas, marítimas y financieras, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.

«Si bien la ingeniería social sigue siendo su característica distintiva, el grupo también está aumentando sus capacidades tecnológicas», Unidad 42 dicho. «Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a largo plazo. Esta combinación de ingeniería social y herramientas de rápido desarrollo crea un perfil de amenaza potente».

«Para respaldar sus campañas de ingeniería social a gran escala, Boggy Serpens utiliza una plataforma de orquestación basada en web hecha a medida», dijo la Unidad 42. «Esta herramienta permite a los operadores automatizar la entrega masiva de correos electrónicos mientras mantienen un control granular sobre las identidades de los remitentes y las listas de objetivos».

Atribuido al Ministerio de Inteligencia y Seguridad de Irán (MOIS), el grupo se centra principalmente en el ciberespionaje, aunque también se le ha vinculado con operaciones disruptivas dirigidas al Instituto de Tecnología Technion de Israel mediante la adopción del personaje del ransomware DarkBit.

Una de las características distintivas del oficio de MuddyWater ha sido el uso de cuentas secuestradas pertenecientes a entidades gubernamentales y corporativas oficiales en sus ataques de phishing, y el abuso de relaciones de confianza para evadir sistemas de bloqueo basados ​​en reputación y distribuir malware.

En una campaña sostenida dirigida a una empresa nacional de energía y marina no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, se dice que el actor de amenazas llevó a cabo cuatro oleadas distintas de ataques, lo que llevó al despliegue de varias familias de malware, incluidos GhostBackDoor y Nuso (también conocido como HTTP_VIP). Algunas de las otras herramientas notables en el arsenal del actor de amenazas incluyen UDPGangster y LampoRAT (también conocido como CHAR).

«La actividad reciente de Boggy Serpens ejemplifica un perfil de amenaza en proceso de maduración, ya que el grupo integra sus metodologías establecidas con mecanismos refinados para la persistencia operativa», dijo la Unidad 42. «Al diversificar su proceso de desarrollo para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el grupo crea vías paralelas que garantizan la redundancia necesaria para mantener un ritmo operativo alto».

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Apple lanzó el martes su primera ronda de Mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.

La vulnerabilidad, rastreada como CVE-2026-20643 (Puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría aprovecharse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.

La falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.

Manzana notas que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en lugar de publicarlos como parte de actualizaciones de software más grandes.

La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una actualización de software posterior, agrega Apple.

Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para garantizar que se instalen automáticamente, se recomienda mantener activada la opción «Instalar automáticamente».

Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima actualización de software. Visto desde esa perspectiva, la función es análoga a Rapid Security Response, que introducido en iOS 16 como una forma de instalar actualizaciones de seguridad menores.

«Si se aplicó una mejora de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la actualización de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano», señaló Apple en un documento de ayuda.

El desarrollo se produce poco más de un mes después de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código arbitrario.

La semana pasada, el fabricante de iPhone también amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».