Se ha observado una «novedosa» campaña de ingeniería social que abusa de Obsidian, una aplicación multiplataforma para tomar notas, como vector de acceso inicial para distribuir un troyano de acceso remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.

Apodado REF6598 Según Elastic Security Labs, se descubrió que la actividad aprovecha elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS, acercándose a personas potenciales bajo la apariencia de una empresa de capital de riesgo y luego trasladando la conversación a un grupo de Telegram donde están presentes varios supuestos socios.

El chat grupal de Telegram está diseñado para darle a la operación una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de liquidez de criptomonedas. Luego se le indica al objetivo que use Obsidian para acceder a lo que parece ser un panel compartido conectándose a un bóveda alojada en la nube utilizando las credenciales que se les proporcionaron.

Es esta bóveda la que desencadena la secuencia de infección. Tan pronto como se abre la bóveda en la aplicación para tomar notas, se solicita al objetivo que habilite la sincronización de «Complementos comunitarios instalados», lo que provoca efectivamente la ejecución de código malicioso.

«Los actores de amenazas abusan del ecosistema legítimo de complementos comunitarios de Obsidian, específicamente el Comandos de shell y Ocultador complementos, para ejecutar código silenciosamente cuando una víctima abre una bóveda en la nube compartida», dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.

Dado que la opción está deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronización del complemento comunitario en su dispositivo para que la configuración de la bóveda maliciosa pueda activar la ejecución de comandos a través del complemento Shell Commands. También se utiliza junto con Shell Commands otro complemento llamado Hider para ocultar ciertos elementos de la interfaz de usuario de Obsidian, como la barra de estado, la barra de desplazamiento, la información sobre herramientas y otros.

«Si bien este ataque requiere ingeniería social para cruzar el límite de sincronización de complementos de la comunidad, la técnica sigue siendo notable: abusa de una característica de aplicación legítima como canal de persistencia y ejecución de comandos, la carga útil reside completamente dentro de archivos de configuración JSON que es poco probable que activen AV tradicionales. [antivirus] firmas y la ejecución se realiza mediante una aplicación Electron confiable y firmada, lo que hace que la detección basada en procesos principales sea la capa crítica», dijeron los investigadores.

Las rutas de ejecución dedicadas se activan según el sistema operativo. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en código PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.

PHANTOMPULSE es una puerta trasera generada por inteligencia artificial (IA) que utiliza la cadena de bloques Ethereum para resolver su servidor de comando y control (C2) recuperando el última transacción asociado con un dirección de billetera codificada. Al obtener la dirección C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite enviar datos de telemetría del sistema, buscar comandos y transmitir los resultados de la ejecución, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.

Los comandos admitidos están diseñados para facilitar el acceso remoto completo:

• inyectarpara inyectar shellcode/DLL/EXE en el proceso de destino
• gotapara colocar un archivo en el disco y ejecutarlo
• captura de pantallapara capturar y cargar una captura de pantalla
• registro de teclaspara iniciar/detener un registrador de teclas
• desinstalarpara iniciar la eliminación de la persistencia y realizar la limpieza
• elevarpara escalar privilegios al SISTEMA a través del Apodo de elevación COM
• degradarpara realizar la transición de SISTEMA a administrador elevado

En macOS, el complemento Shell Commands ofrece un cuentagotas AppleScript ofuscado que itera sobre una lista de dominios codificada, mientras emplea Telegram como un solucionador de caída para la resolución alternativa C2. Este enfoque también ofrece mayor flexibilidad, ya que permite rotar fácilmente la infraestructura C2, lo que hace que el bloqueo basado en dominios sea insuficiente.

En el paso final, el script dropper se pone en contacto con el dominio C2 para descargar y ejecutar una carga útil de segunda etapa a través de osascript. Se desconoce la naturaleza exacta de esta carga útil, dado que los servidores C2 están actualmente fuera de línea. La intrusión finalmente no tuvo éxito, ya que el ataque fue detectado y bloqueado antes de que el adversario pudiera lograr sus objetivos en la máquina infectada.

«REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de acceso inicial creativos abusando de aplicaciones confiables y empleando ingeniería social dirigida», dijo Elastic. «Al abusar del ecosistema de complementos de la comunidad de Obsidian en lugar de explotar una vulnerabilidad del software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario».

Los bancos e instituciones financieras de países latinoamericanos como Brasil y México han seguido siendo el objetivo de una familia de malware llamada JanelaRAT.

JanelaRAT, una versión modificada de BX RAT, es conocida por robar datos financieros y de criptomonedas asociados con entidades financieras específicas, así como por rastrear entradas del mouse, registrar pulsaciones de teclas, tomar capturas de pantalla y recopilar metadatos del sistema.

«Una de las diferencias clave entre estos troyanos es que JanelaRAT utiliza un mecanismo de detección de barra de título personalizado para identificar los sitios web deseados en los navegadores de las víctimas y realizar acciones maliciosas», Kaspersky dicho en un informe publicado hoy. «Los actores de amenazas detrás de las campañas de JanelaRAT actualizan continuamente la cadena de infección y las versiones del malware agregando nuevas funciones».

Los datos de telemetría recopilados por el proveedor ruso de ciberseguridad muestran que se registraron hasta 14.739 ataques en Brasil en 2025 y 11.695 en México. Actualmente no se sabe cuántos de ellos resultaron en un compromiso exitoso.

Detectado por primera vez en la naturaleza por Zscaler en junio de 2023, JanelaRAT aprovechó archivos ZIP que contienen un script Visual Basic (VBScript) para descargar un segundo archivo ZIP, que, a su vez, viene con un ejecutable legítimo y una carga útil DLL. La etapa final emplea la técnica de carga lateral de DLL para iniciar el troyano.

En un análisis posterior publicado en julio de 2025, KPMG dijo que el malware se distribuye a través de archivos de instalación MSI falsos que se hacen pasar por software legítimo alojado en plataformas confiables como GitLab. Los ataques relacionados con el malware se han centrado principalmente en Chile, Colombia y México.

«Tras la ejecución, el instalador inicia un proceso de infección de varias etapas utilizando scripts de orquestación escritos en Go, PowerShell y por lotes», KPMG anotado En el momento. «Estos scripts descomprimen un archivo ZIP que contiene el ejecutable RAT, una extensión de navegador maliciosa basada en Chromium y componentes de soporte».

Los scripts también están diseñados para identificar los navegadores basados ​​en Chromium instalados y modificar sigilosamente sus parámetros de inicio (como el interruptor de línea de comando «–load-extension») para instalar la extensión. Luego, el complemento del navegador procede a recopilar información del sistema, cookies, historial de navegación, extensiones instaladas y metadatos de pestañas, además de activar acciones específicas basadas en coincidencias de patrones de URL.

La última cadena de ataque documentada por Kaspersky muestra que los correos electrónicos de phishing disfrazados de facturas pendientes se utilizan para engañar a los destinatarios para que descarguen un archivo PDF haciendo clic en un enlace, lo que resulta en la descarga de un archivo ZIP que inicia la cadena de ataque antes mencionada que involucra la carga lateral de DLL para instalar JanelaRAT.

Al menos desde mayo de 2024, las campañas de JanelaRAT han pasado de los scripts de Visual Basic a los instaladores MSI, que actúan como un gotero para el malware mediante la carga lateral de DLL y establecen persistencia en el host mediante la creación de un acceso directo de Windows (LNK) en la carpeta de Inicio que apunta al ejecutable.

Tras su ejecución, el malware establece comunicaciones con un servidor de comando y control (C2) a través de un socket TCP para registrar una infección exitosa y controla la actividad de la víctima para interceptar interacciones bancarias confidenciales.

El objetivo principal de JanelaRAT es obtener el título de la ventana activa y compararlo con una lista codificada de instituciones financieras. Si hay una coincidencia, el malware espera 12 segundos antes de abrir un canal C2 dedicado y ejecutar las tareas maliciosas recibidas del servidor. Algunos de los comandos admitidos incluyen:

• Envío de capturas de pantalla al servidor C2
• Recortar regiones específicas de la pantalla y extraer imágenes
• Mostrar imágenes en modo de pantalla completa (por ejemplo, «Configurando actualizaciones de Windows, espere») y hacerse pasar por cuadros de diálogo con temas bancarios mediante superposiciones falsas para recopilar credenciales
• Capturando pulsaciones de teclas
• Simular acciones del teclado como ABAJO, ARRIBA y TAB para navegación
• Mover el cursor y simular clics
• Ejecutar un apagado forzado del sistema
• Ejecutar comandos usando «cmd.exe» y comandos o scripts de PowerShell
• Manipular el Administrador de tareas de Windows para ocultar su ventana para que no sea detectada
• Señalar la presencia de sistemas antifraude
• Envío de metadatos del sistema
• Detección de sandbox y herramientas de automatización

«El malware determina si la máquina de la víctima ha estado inactiva durante más de 10 minutos calculando el tiempo transcurrido desde la última entrada del usuario», dijo Kaspersky. «Si el período de inactividad supera los 10 minutos, el malware notifica al C2 enviando el mensaje correspondiente. Tras la actividad del usuario, notifica nuevamente al actor de la amenaza. Esto hace posible rastrear la presencia y la rutina del usuario para cronometrar posibles operaciones remotas».

«Esta variante representa un avance significativo en las capacidades del actor, combinando múltiples canales de comunicación, monitoreo integral de víctimas, superposiciones interactivas, inyección de entrada y funciones robustas de control remoto. El malware está diseñado específicamente para minimizar la visibilidad del usuario y adaptar su comportamiento al detectar software antifraude».

Las consecuencias y la posible exposición de los ataques respaldados por el Estado de Irán contra la infraestructura crítica de Estados Unidos se extienden a más de 5.200 dispositivos conectados a Internet, dijeron investigadores de Censys en un informe de inteligencia sobre amenazas Miércoles.

De los controladores lógicos programables fabricados por Rockwell Automation/Allen-Bradley que Censys identificó como potencialmente expuestos a atacantes del gobierno iraní, casi 3.900, o alrededor de 3 de cada 4, tienen su sede en Estados Unidos.

La firma de ciberseguridad identificó los dispositivos basándose en detalles que varias agencias federales compartieron en una alerta conjunta el martes y publicó indicadores adicionales de compromiso, incluidas las direcciones IP de los operadores y otras consultas de búsqueda de amenazas.

Las autoridades federales advirtieron a principios de esta semana que los atacantes del gobierno iraní explotaron dispositivos que controlan los procesos de automatización industrial y perturbaron múltiples sectores durante el último mes. Algunas víctimas también sufrieron pérdidas financieras como resultado de los ataques, dijeron las autoridades.

Los dispositivos de tecnología operativa se implementan en el sector energético, los sistemas de agua y aguas residuales y los servicios e instalaciones del gobierno de EE. UU.

Los escaneos de Censys detectaron 5,219 hosts de Rockwell Automation/Allen-Bradley PLC expuestos a Internet poco después de que el FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético de EE. UU. emitieran la alerta conjunta.

Los investigadores de Censys determinaron que la mayoría de los dispositivos expuestos están conectados a través de sistemas celulares, lo que representa un riesgo significativo para las implementaciones de campo remotas. Casi la mitad de los dispositivos a nivel mundial están conectados a la red inalámbrica de Verizon y el 13% está conectado a la infraestructura de AT&T.

«Es casi seguro que estos dispositivos se implementen en infraestructura física (estaciones de bombeo, subestaciones, instalaciones municipales) con módems celulares como única ruta de Internet», escribieron los investigadores de Censys en el informe.

La posible superficie de ataque también se ve amplificada por servicios adicionales expuestos en otros puertos de estos dispositivos, un descubrimiento que Censys advirtió que podría permitir a los atacantes obtener caminos directos a operaciones más allá de la explotación de PLC.

Los investigadores tomaron las huellas digitales de los modelos MicroLogix y CompactLogix expuestos a la última campaña de amenazas y publicaron una lista de los 15 productos más expuestos. Según Censys, muchos de los dispositivos más destacados ejecutan software al final de su vida útil, un riesgo agravante que podría permitir a los atacantes priorizar los dispositivos sin parches al escanearlos.

Los ataques se remontan al menos a marzo, después de la guerra de Estados Unidos e Israel contra Irán, y estaban en marcha mientras otros atacantes respaldados por el gobierno iraní se cobraban otras víctimas, incluidos Stryker y los gobiernos locales.

Los piratas informáticos del gobierno iraní están lanzando ciberataques disruptivos contra la infraestructura energética y hídrica estadounidense, advirtieron “urgentemente” el martes agencias del gobierno estadounidense.

Los piratas informáticos apuntan a dispositivos y sistemas que controlan procesos industriales y han dañado a víctimas en el último mes tras el inicio de los ataques de Estados Unidos e Israel contra Irán, según el alerta conjunta del FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Agencia de Protección Ambiental, el Departamento de Energía y el Comando Cibernético.

“Los actores de amenazas persistentes avanzadas (APT) afiliados a Irán están llevando a cabo actividades de explotación dirigidas a dispositivos de tecnología operativa (OT) conectados a Internet, incluidos controladores lógicos programables (PLC) fabricados por Rockwell Automation/Allen-Bradley”, afirma la alerta. «Esta actividad ha provocado interrupciones de PLC en varios sectores de infraestructura crítica de EE. UU. a través de interacciones maliciosas con el archivo del proyecto y la manipulación de datos en la interfaz hombre-máquina (HMI) y en las pantallas de control de supervisión y adquisición de datos (SCADA)».

agencias gubernamentales de EE. UU. he advertido antes sobre piratas informáticos iraníes que persiguen objetivos similares con métodos similares. La primera advertencia de este tipo se produjo después de que un grupo vinculado al gobierno iraní se atribuyera el mérito de atacar una instalación de agua de Pensilvania a finales de 2023.

Sin embargo, desde marzo de este año, las agencias dijeron que han visto surgir nuevas víctimas de un grupo de amenaza persistente avanzado vinculado a Irán.

«Las agencias autoras identificaron (a través de compromisos con organizaciones de víctimas) un grupo APT afiliado a Irán que interrumpió el funcionamiento de los PLC», se lee en la alerta. «Estos PLC se implementaron en múltiples sectores de infraestructura crítica de EE. UU. (incluidos servicios e instalaciones gubernamentales, WWS y sectores de energía) dentro de una amplia variedad de procesos de automatización industrial. Algunas de las víctimas experimentaron interrupciones operativas y pérdidas financieras».

La campaña anterior comprometió al menos 75 dispositivos, según la alerta.

Las últimas interrupciones incluyen «interactuar maliciosamente con archivos de proyectos y manipular datos mostrados en pantallas HMI y SCADA», según la advertencia de las agencias.

Después de que comenzó el conflicto entre Estados Unidos e Israel con Irán, los piratas informáticos conectados a Teherán se cobraron víctimas, incluida la importante empresa de tecnología médica Stryker, gobiernos locales y más.

El FBI advirtió el mes pasado que piratas informáticos iraníes estaban implementando malware en la aplicación Telegram, aunque esa campaña también es anterior al actual conflicto con Irán.

Se ha observado que actores de amenazas probablemente asociados con la República Popular Democrática de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de múltiples etapas dirigidos a organizaciones en Corea del Sur.

La cadena de ataque, por Laboratorios Fortinet FortiGuardinvolucra archivos de acceso directo de Windows (LNK) ofuscados que actúan como punto de partida para colocar un documento PDF señuelo y un script de PowerShell que prepara el escenario para la siguiente fase del ataque. Se considera que estos archivos LNK se distribuyen a través de correos electrónicos de phishing.

Tan pronto como se descargan las cargas útiles, a la víctima se le muestra el documento PDF, mientras que el script malicioso de PowerShell se ejecuta silenciosamente en segundo plano. El script de PowerShell realiza comprobaciones para resistir el análisis mediante la búsqueda de procesos en ejecución relacionados con máquinas virtuales, depuradores y herramientas forenses. Si se detecta alguno de esos procesos, el script finaliza inmediatamente.

De lo contrario, extrae un script de Visual Basic (VBScript) y configura la persistencia mediante una tarea programada que inicia la carga útil de PowerShell cada 30 minutos en una ventana oculta para evitar la detección. Esto garantiza que el script de PowerShell se ejecute automáticamente después de cada reinicio del sistema.

Luego, el script de PowerShell perfila el host comprometido, guarda el resultado en un archivo de registro y lo extrae a un repositorio de GitHub creado bajo la cuenta «motoralis» utilizando un token de acceso codificado. Algunas de las cuentas de GitHub creadas como parte de la campaña incluyen «God0808RAMA», «Pigresy80», «entire73», «pandora0009» y «brandonleeodd93-blip».

Luego, el script analiza un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales, lo que permite al operador utilizar como arma la confianza asociada con una plataforma como GitHub para integrarse y mantener un control persistente sobre el host infectado.

Fortinet dijo que las versiones anteriores de la campaña se basaban en archivos LNK para difundir familias de malware como Xeno RAT. Vale la pena señalar que el uso de GitHub C2 para distribuir Xeno RAT y su variante MoonPeak fue documentado por ENKI y Trellix el año pasado. Estos ataques fueron atribuidos a un grupo patrocinado por el Estado norcoreano conocido como Kimsuky.

«En lugar de depender de un complejo malware personalizado, el actor de amenazas utiliza herramientas nativas de Windows para su implementación, evasión y persistencia», dijo la investigadora de seguridad Cara Lin. «Al minimizar el uso de archivos PE caídos y aprovechar LolBins, el atacante puede apuntar a una audiencia amplia con una tasa de detección baja».

La divulgación llega como AhnLab detallado una cadena de infección similar basada en LNK de Kimsuky que, en última instancia, resulta en la implementación de una puerta trasera basada en Python.

Los archivos LNK, como antes, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta «C:\windirr» para organizar las cargas útiles, incluido un PDF señuelo y otro archivo LNK que imita un documento de procesador de textos Hangul (HWP). También se implementan cargas útiles intermedias para configurar la persistencia e iniciar un script de PowerShell, que luego usa Dropbox como canal C2 para recuperar un script por lotes.

Luego, el archivo por lotes descarga dos fragmentos de archivos ZIP separados desde un servidor remoto («quickcon[.]store») y los combina para crear un único archivo y extrae de él un programador de tareas XML y una puerta trasera de Python. El programador de tareas se utiliza para iniciar el implante.

El malware basado en Python admite la capacidad de descargar cargas útiles adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones le permiten ejecutar scripts de shell, enumerar directorios, cargar/descargar/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.

Los hallazgos también coinciden con el cambio de ScarCruft de las tradicionales cadenas de ataque basadas en LNK a un dropper basado en HWP OLE para entregar RokRAT, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano, según S2W. Específicamente, el malware está incrustado como un objeto OLE dentro de un documento HWP y se ejecuta mediante carga lateral de DLL.

«A diferencia de cadenas de ataques anteriores que progresaron desde scripts BAT lanzados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recientemente desarrollado para entregar shellcode y la carga útil ROKRAT», dijo la compañía de seguridad de Corea del Sur. dicho.

La Oficina Federal de Policía Criminal de Alemania (también conocida como BKA o Bundeskriminalamt) ha desenmascarado la identidad real de los principales actores de amenazas asociados con el ahora desaparecido REvil (también conocido como Sodinokibi) operación de ransomware como servicio (RaaS).

El actor de amenazas, que se hacía llamar DESCONOCIDOactuó como representante del grupo y anunció el ransomware en junio de 2019 en el foro de cibercrimen XSS. Ahora ha sido identificado como Daniil Maksimovich Shchukinciudadano ruso de 31 años. También utilizó los apodos en línea Oneiilk2, Oneillk2, Oneillk22 y GandCrab.

El desarrollo fue reportado por el periodista independiente de seguridad Brian Krebs.

«Desde principios de 2019 como máximo hasta al menos julio de 2021, la persona buscada, en cooperación con otras personas, actuó como líder de uno de los grupos de ransomware más grandes del mundo, conocido como GandCrab/REvil», dijo BKA. «Los perpetradores exigieron grandes pagos de rescate a cambio de descifrar y no filtrar datos».

También se añade a la lista de buscados Anatoly Sergeevitsch Kravchukun ruso de 43 años nacido en la ciudad ucraniana de Makiivka. Se alega que actuó como desarrollador de REvil durante el mismo período de tiempo.

Se sospecha que Shchukin y Kravchuk han llevado a cabo 130 ataques de ransomware en toda Alemania. De ellos, 25 casos dieron lugar al pago de 1,9 millones de euros (2,19 millones de dólares). Los incidentes provocaron en conjunto daños financieros superiores a 35,4 millones de euros (40,8 millones de dólares).

REVOLVER (también conocido como Water Mare y Gold Southfield) fue uno de los prolíficos grupos de ransomware que contó con empresas como JBS y Kaseya entre sus víctimas. Una evolución de la CangrejoGand ransomware, el grupo de delitos electrónicos se desconectó misteriosamente a mediados de julio de 2021, para resurgir dos meses después.

En octubre de 2021, el grupo dejó de operar y su sitio de filtración de datos se volvió inaccesible como parte de una operación policial. Semanas más tarde, las autoridades policiales rumanas anunciaron el arresto de dos personas por su papel como afiliados de la familia de ransomware REvil.

En una medida poco común, el Servicio Federal de Seguridad (FSB) de Rusia reveló en enero de 2022 que había arrestado a varios miembros pertenecientes a la famosa banda de ransomware REvil y neutralizado sus operaciones. Cuatro de esos miembros fueron enviados a varios años de prisión en octubre de 2024, informó la publicación de noticias rusa Kommersant.

UNKN también desaparecido de los foros de cibercrimen coincidiendo con la operación, lo que llevó a otro usuario, REvil (más tarde rebautizado como 0_neday), a convertirse en la cara pública de las operaciones de la pandilla.

en un entrevista Con Dmitry Smilyanets de Recorded Future en marzo de 2021, UNKN dijo que había estado en el negocio del ransomware desde 2007 y que en un momento tenían hasta 60 afiliados trabajando para el grupo.

«Cuando era niño, hurgaba en los montones de basura y fumaba colillas. Caminé 10 kilómetros de ida a la escuela», dijo. «Llevé la misma ropa durante seis meses. En mi juventud, en un apartamento comunal, no comí durante dos o incluso tres días. Ahora soy millonario».

Una falla de seguridad de alta gravedad en el software de videoconferencia del cliente TrueConf ha sido explotada como un día cero como parte de una campaña dirigida a entidades gubernamentales en el sudeste asiático denominada Verdadero Caos.

La vulnerabilidad en cuestión es CVE-2026-3502 (Puntuación CVSS: 7,8), falta de verificación de integridad al recuperar el código de actualización de la aplicación, lo que permite a un atacante distribuir una actualización manipulada, lo que resulta en la ejecución de código arbitrario. Se ha parcheado en el cliente TrueConf de Windows a partir de versión 8.5.3lanzado a principios de este mes.

«La falla surge del abuso del mecanismo de validación del actualizador de TrueConf, lo que permite a un atacante que controla el servidor TrueConf local distribuir y ejecutar archivos arbitrarios en todos los puntos finales conectados», Check Point dicho en un informe publicado hoy.

En otras palabras, un atacante que logra hacerse con el control del servidor TrueConf local puede sustituir el paquete de actualización por una versión envenenada, que luego es extraída por la aplicación cliente instalada en los terminales de los clientes, debido al hecho de que no aplica una validación adecuada para garantizar que la actualización proporcionada por el servidor no haya sido manipulada.

Se ha descubierto que la campaña TrueChaos utiliza esta falla en el mecanismo de actualización como arma para probablemente implementar el marco de comando y control (C2) de código abierto Havoc en puntos finales vulnerables. La actividad se ha atribuido con moderada confianza a un actor de amenaza del nexo chino.

Los ataques que explotan la vulnerabilidad fueron registrados por primera vez por la empresa de ciberseguridad a principios de 2026, y la confianza implícita que el cliente deposita en el mecanismo de actualización se utilizó como arma para impulsar un instalador fraudulento que, a su vez, aprovecha la carga lateral de DLL para lanzar una puerta trasera de DLL.

También se ha observado que el implante DLL («7z-x64.dll») realiza acciones prácticas en el teclado para realizar reconocimiento, configurar la persistencia y recuperar cargas útiles adicionales («iscsiexe.dll») desde un servidor FTP («47.237.15).[.]197»). El objetivo principal de «iscsiexe.dll» es garantizar la ejecución de un binario benigno («poweriso.exe») que se coloca para cargar la puerta trasera.

Aunque no está claro cuál es el malware exacto de la etapa final entregado como parte del ataque, se evalúa con alta confianza que el objetivo final es implementar el implante Havoc.

Los vínculos de TrueChaos con un actor de amenazas del nexo chino se basan en las tácticas observadas, como el uso de carga lateral de DLL, Alibaba Cloud y Tencent para la infraestructura C2, y el hecho de que la misma víctima fue atacada en el mismo período de tiempo por ShadowPad, una sofisticada puerta trasera ampliamente utilizada por grupos de hackers vinculados a China.

Además de eso, el uso de Havoc se ha atribuido a otro actor de amenazas chino llamado Amaranth-Dragon en intrusiones dirigidas a agencias gubernamentales y policiales en todo el sudeste asiático en 2025.

«La explotación de CVE-2026-3502 no requirió que el atacante comprometiera cada punto final individualmente», dijo Check Point. «En cambio, el atacante abusó de la relación de confianza entre un servidor central TrueConf local y sus clientes. Al reemplazar una actualización legítima por una maliciosa, convirtieron el flujo de actualización normal del producto en un canal de distribución de malware a través de múltiples redes gubernamentales conectadas».

La mayoría de los equipos cuentan con herramientas de seguridad. Las alertas se activan, los paneles se ven limpios, la información sobre amenazas fluye. A primera vista, todo parece estar bajo control.

Pero una pregunta suele quedar sin respuesta: ¿sus defensas realmente detendrían un ataque real?

Ahí es donde las cosas se ponen inestables. Existe un control, por lo que se supone que funciona. Hay una regla de detección activa, por lo que se espera que detecte algo. Pero muy pocos equipos están probando constantemente cómo se mantiene todo esto cuando alguien intenta activamente abrirse paso, paso a paso.

Esta es exactamente la brecha en la que se centra este seminario web.

Resiliencia impulsada por la exposición: automatice las pruebas para validar y mejorar su postura de seguridad Es una sesión práctica basada en una idea: deja de adivinar, empieza a demostrar. En lugar de depender de pruebas o suposiciones ocasionales, muestra cómo validar su postura de seguridad continuamente utilizando el comportamiento real de un atacante.

La sesión explica cómo realizar pruebas de presión tanto de sus controles como de sus procesos, cómo utilizar la inteligencia sobre amenazas para guiar lo que prueba y cómo incorporar esto al SOC cotidiano y a los flujos de trabajo de respuesta a incidentes sin agregar complejidad innecesaria.

También escucharás directamente de Jermain Njemanze y Sebastián Miguelquien explicará cómo funciona esto en la práctica y realizará una demostración en vivo.

Si desea pruebas claras de que sus defensas funcionan, no solo señales de que existen, vale la pena dedicar tiempo a ello. Reserva un asiento y únete a la sesión.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.

Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.

«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».

Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.

El objetivo principal de los ataques era revender el acceso a otros grupos criminales, que lo aprovecharon para esquemas de extorsión mediante ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó el Grupo de ransomware BitPaymer con acceso a su botnet, lo que permitió a la banda de delitos electrónicos infectar a 72 corporaciones estadounidenses. Esto resultó en más de 14,17 millones de dólares en pagos de extorsión.

Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).

En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.

«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».

El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.