Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con alto valor de inteligencia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI). dicho Viernes.

«La campaña está dirigida a personas de alto valor en inteligencia, incluidos funcionarios actuales y anteriores del gobierno estadounidense, personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel. dicho en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en acceso no autorizado a miles de cuentas individuales. Después de obtener acceso, los actores pueden ver mensajes y listas de contactos, enviar mensajes como víctima y realizar phishing adicional desde una identidad confiable».

CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.

Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).

En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.

«Estos ataques, cuando tienen éxito, pueden permitir que actores maliciosos accedan a historiales de conversaciones o incluso tomen el control de las cuentas de mensajería de sus víctimas y envíen mensajes haciéndose pasar por ellas», C4 dicho.

El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.

Como alertaron recientemente las agencias de ciberseguridad de Alemania y Países Bajos, el ataque implica el adversario se hace pasar por «Soporte de señales» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, el esquema de ingeniería social permite a los actores de amenazas obtener acceso a la cuenta CMA de la víctima.

Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:

• Si la víctima opta por proporcionar el PIN o el código de verificación al actor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el actor de la amenaza no puede acceder a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y enviar mensajes a otros haciéndose pasar por la víctima.
• Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole acceder a todos los mensajes, incluidos los enviados en el pasado. En este escenario, la víctima sigue teniendo acceso a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.

Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartir su Código SMS o PIN de verificación con cualquier personatenga cuidado al recibir mensajes inesperados de contactos desconocidos, verifique los enlaces antes de hacer clic en ellos y revise periódicamente los dispositivos vinculados y elimine aquellos que parezcan sospechosos.

«Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», Signal dicho en una publicación en X a principios de este mes.

«Para ayudar a prevenir esto, recuerde que su código de verificación por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* iniciará contacto a través de mensajes dentro de la aplicación, SMS o redes sociales para solicitar su código de verificación o PIN. Si alguien solicita algún código relacionado con Signal, es una estafa».

Una falla de seguridad crítica que afecta a Langflow ha ser objeto de explotación activa dentro de las 20 horas posteriores a la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas utilizan como arma las vulnerabilidades recientemente publicadas.

El defecto de seguridad, rastreado como CVE-2026-33017 (Puntuación CVSS: 9,3), es un caso de falta de autenticación combinada con inyección de código que podría resultar en la ejecución remota de código.

«El punto final POST /api/v1/build_public_tmp/{flow_id}/flow permite crear flujos públicos sin requerir autenticación», según el aviso de Langflow sobre la falla.

«Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin espacio aislado, lo que resulta en una ejecución remota de código no autenticado».

La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1 incluida. Actualmente ha sido abordado en el versión de desarrollo 1.9.0.dev8.

El investigador de seguridad Aviral Srivastava, quien descubrió e informó la falla el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python arbitrario sin requerir ninguna autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

«CVE-2026-33017 está en /api/v1/build_public_tmp/{flow_id}/flow», Srivastava explicadoy agrega que la causa raíz surge del uso de la misma llamada exec() que CVE-2025-3248 al final de la cadena.

«Este punto final está diseñado para no estar autenticado porque sirve flujos públicos. No se puede simplemente agregar un requisito de autenticación sin romper toda la característica de flujos públicos. La verdadera solución es eliminar por completo el parámetro de datos del punto final público, de modo que los flujos públicos solo puedan ejecutar sus datos de flujo almacenados (del lado del servidor) y nunca aceptar definiciones proporcionadas por el atacante».

Una explotación exitosa podría permitir a un atacante enviar una única solicitud HTTP y obtener la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Con este privilegio implementado, el actor de amenazas puede leer variables de entorno, acceder o modificar archivos para inyectar puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.

Srivastava dijo a The Hacker News que explotar CVE-2026-33017 es «extremadamente fácil» y puede activarse mediante un comando curl armado. Una solicitud HTTP POST con código Python malicioso en la carga útil JSON es suficiente para lograr la ejecución remota inmediata del código, añadió.

La empresa de seguridad en la nube Sysdig dijo que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en estado salvaje dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.

«En ese momento no existía ningún código de prueba de concepto (PoC) público», dijo Sysdig. «Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información filtrada incluía claves y credenciales, que proporcionaban acceso a bases de datos conectadas y un posible compromiso de la cadena de suministro de software».

También se ha observado que los actores de amenazas pasan del escaneo automatizado al aprovechamiento de secuencias de comandos Python personalizadas para extraer datos de «/etc/passwd» y entregar una carga útil de siguiente etapa no especificada alojada en «173.212.205».[.]251:8443.» La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de recolección de credenciales que implica recopilar variables de entorno, enumerar archivos de configuración y bases de datos, y extraer el contenido de los archivos .env.

Esto sugiere una planificación por parte del actor de la amenaza preparando el malware para que se entregue una vez que se identifique un objetivo vulnerable. «Este es un atacante con un conjunto de herramientas de explotación preparado que pasa de la validación de vulnerabilidades al despliegue de carga útil en una sola sesión», señaló Sysdig. Por el momento se desconoce quién está detrás de los ataques.

La ventana de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha visto el tiempo medio de explotación (TTE) reducirse de 771 días en 2018 a solo horas en 2024.

Según Rapid7 Informe sobre el panorama mundial de amenazas 2026el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se redujo de 8,5 días a cinco días durante el año pasado.

«Esta compresión del cronograma plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo», agregó. «Los actores de amenazas están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben reconsiderar completamente sus programas de vulnerabilidad para adaptarse a la realidad».

Se recomienda a los usuarios que actualicen a la última versión parcheada lo antes posible, auditen las variables de entorno y los secretos en cualquier instancia de Langflow expuesta públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas inusuales y restrinjan el acceso a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.

La actividad de exploración dirigida a CVE-2025-3248 y CVE-2026-33017 subraya cómo las cargas de trabajo de IA están aterrizando en el punto de mira de los atacantes debido a su acceso a datos valiosos, su integración dentro de la cadena de suministro de software y sus insuficientes salvaguardias de seguridad.

«CVE-2026-33017 […] demuestra un patrón que se está convirtiendo en la norma y no en la excepción: las vulnerabilidades críticas en herramientas populares de código abierto se convierten en armas a las pocas horas de su divulgación, a menudo antes de que el código PoC público esté disponible», concluyó Sysdig.

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkidy el Mossad como parte de una operación policial autorizada por el tribunal.

En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.

«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. dicho. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».

En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).

El periodista independiente de seguridad Brian Krebs también rastreado el administrador de Kimwolf de Jacob Butler (también conocido como Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.

Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». De acuerdo a krebsel otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.

La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.

«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».

Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.

• AISURU – >200.000 comandos de ataque DDoS
• Kimwolf: >25.000 comandos de ataque DDoS
• JackSkid: >90.000 comandos de ataque DDoS
• Mossad: >1.000 comandos de ataque DDoS

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero distinguido de AWS, dicho en una publicación compartida en LinkedIn.

«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidos decodificadores de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».

Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.

«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados ​​en la nube de alta capacidad», dijo la empresa de infraestructura web. dicho.

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a aplicar parches para dos fallas de seguridad que afectan Suite de colaboración Synacor Zimbra (ZCS) y Microsoft Office SharePointafirmando que han sido explotados activamente en la naturaleza.

Las vulnerabilidades en cuestión son las siguientes:

• CVE-2025-66376 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS, donde los atacantes podrían abusar de las directivas @import de hojas de estilo en cascada (CSS) en un mensaje de correo electrónico HTML. (Corregido en las versiones 10.0.18 y 10.1.13 en noviembre 2025)
• CVE-2026-20963 (Puntuación CVSS: 8,8): una vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint que permite a un atacante no autorizado ejecutar código a través de una red. (Fijado en enero 2026)

Actualmente no hay informes públicos que hagan referencia a la explotación de las fallas antes mencionadas, quién puede estar aprovechándolas y la escala de dichos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches para CVE-2025-66376 antes del 1 de abril de 2026 y para CVE-2026-20963 antes del 23 de marzo de 2026.

La divulgación se produce cuando Amazon reveló que los actores de amenazas asociados con el ransomware Interlock han explotado una falla de seguridad de máxima gravedad que afecta el software de administración de firewall de Cisco (CVE-2026-20131, puntuación CVSS: 10.0) desde el 26 de enero de 2026, más de un mes antes de que se divulgara públicamente.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

El ataque destaca una vez más un patrón persistente de actores de amenazas que apuntan a dispositivos de red perimetrales de diferentes proveedores, incluidos Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 se haya convertido en un arma de día cero muestra que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían otorgarles un acceso elevado.

Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163.

«Aunque todavía no es nada espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar», Golo Mühr, investigador de IBM X-Force dicho en un informe compartido con The Hacker News.

Las operaciones de Hive0163 están impulsadas por la extorsión mediante exfiltración de datos a gran escala y ransomware. El grupo de delitos electrónicos está asociado principalmente con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.

En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotación para mantener el acceso persistente al servidor comprometido durante más de una semana.

El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implementó mediante un constructor, que también estableció la persistencia a través de una tarea programada llamada «Runtime Broker».

Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios también describen el script como un «Cliente de persistencia C2 polimórfico», lo que indica que es parte de un marco de comando y control (C2).

«Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware».

El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a través de «cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.

Se dice que el ataque en sí aprovechó la táctica de ingeniería social ClickFix para engañar a una víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio conocido como Interlock RAT.

Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para establecerse es confiar en corredores de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).

El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permitan iniciar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como Interlock ransomware y Slopoly.

La aparición de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que también incluye VoidLink y PromptSpy, lo que pone de relieve cómo los delincuentes están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.

«La introducción de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», dijo IBM X-Force. «Permite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».

Un hombre de 41 años del sur de Florida está acusado de realizar al menos 10 ataques de ransomware y extorsionar por un total combinado de 75,25 millones de dólares en pagos de rescate mientras trabajaba como negociador de ransomware para DigitalMint.

Cinco de las presuntas víctimas de Angelo John Martino III contrataron a DigitalMint, que asignó a Martino para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, colocándolo en una posición para jugar en ambos lados, como el criminal responsable del ataque y el negociador principal de sus presuntas víctimas, según registros judiciales federales revelados el miércoles.

Martino supuestamente obtuvo una cuenta de afiliado en ALPHV, también conocida como BlackCat, y conspiró con otros exprofesionales de ciberseguridad para irrumpir en las redes de las víctimas, robar y cifrar datos y extorsionar a las empresas para pedir rescates durante un período de seis meses en 2023.

Martino fue un cómplice anónimo en una acusación presentada en noviembre de 2025 contra Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia. Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

Los fiscales acusan a Martino de proporcionar información confidencial sobre negociaciones de ransomware a los co-conspiradores de ALPHV para maximizar el pago del rescate. Su abogado no respondió de inmediato a una solicitud de comentarios.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Goldberg y Martin no fueron nombrados específicamente como co-conspiradores en esos ataques. Los fiscales dijeron anteriormente que solo extorsionaron con éxito un pago financiero de una de sus víctimas por casi 1,3 millones de dólares.

Firma de ciberseguridad que contrató a Martino responde

DigitalMint dijo que suspendieron el acceso de Martino a los sistemas cuando el Departamento de Justicia notificó a la compañía que lo estaban investigando el 3 de abril y lo despidió al día siguiente. La compañía, que no está acusada de ningún conocimiento o participación en los delitos, agregó que no tenía conocimiento de que Martino y Martin ya estuvieran involucrados en esquemas relacionados con ransomware antes de ser contratados.

«Condenamos enérgicamente el comportamiento criminal de estos ex empleados, que violaron nuestros valores, estándares éticos y la ley», dijo el director ejecutivo de DigitalMint, Jonathan Solomon, en una declaración a CyberScoop.

«DigitalMint ha cooperado plenamente con las autoridades desde el principio y no espera más cargos», añadió Solomon. «Si bien ninguna organización puede eliminar por completo el riesgo interno, nos tomamos incidentes como este extremadamente en serio y hemos reforzado las salvaguardas y los controles internos para reducir aún más la probabilidad de conductas similares».

DigitalMint no respondió directamente a las preguntas sobre si reembolsó a sus clientes que supuestamente fueron víctimas de Martino. «No podemos discutir relaciones específicas con clientes o acuerdos de honorarios debido a obligaciones de confidencialidad», dijo un portavoz en un comunicado. «Seguimos comprometidos con nuestros clientes y hemos abordado cualquier asunto comercial directamente con esas partes».

La compañía también se negó a describir las circunstancias bajo las cuales fue contratada y asignó a Martino para llevar a cabo negociaciones de ransomware sobre los ataques que supuestamente cometió. Sin embargo, en una declaración señaló: “Los documentos de acusación no alegan que Martino haya remitido o llevado a estas víctimas a DigitalMint”.

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Las autoridades confiscan alrededor de 12 millones de dólares en activos y fijan una fianza de 500.000 dólares

Martino está acusado de conspiración para interferir con el comercio mediante extorsión y enfrenta hasta 20 años de prisión. Está previsto que se declare culpable el 19 de marzo.

Las autoridades confiscaron casi 9,2 millones de dólares en cinco tipos de criptomonedas de 21 carteras controladas por Martino. Otros artículos incautados a Martino incluyen un Nissan Skyline de 1999, un Polaris RZR de 2024, un remolque de 2023 y una embarcación de 29 pies fabricada en 2023.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares. La casa frente a la bahía fue reportada como la Segunda transacción inmobiliaria más grande de la semana. cuando Martino y su esposa compraron la casa por $1,791 millones en febrero de 2024.

Martino se entregó a los alguaciles estadounidenses en Miami el martes y fue liberado con una fianza de 500.000 dólares. Tiene restringido viajar fuera del Distrito Sur de Florida y tiene prohibido trabajar en la industria de la ciberseguridad.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Dos de las presuntas víctimas de Martino pagaron rescates aún mayores en 2023, según los fiscales, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la empresa de servicios financieros no identificada.

Puede leer los cargos formales que los fiscales presentaron contra Martino a continuación.

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.

La actividad está siendo rastreado por Cisco Talos bajo el apodo UAT-9244describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.

Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (también conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.

Se desconoce el método de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable legítimo «wsprint.exe» para iniciar una DLL maliciosa («BugSplatRc64.dll») que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en sí misma una variante de SparrowDoor), desde al menos noviembre de 2024.

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Además, solo admite un modificador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez iniciado, ejecuta una verificación para asegurarse de que se haya inyectado en «msiexec.exe», después de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.

«El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china».

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

También se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.

Esto se logra mediante un script de shell que coloca dos componentes basados ​​en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.

«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales’».

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de recolección de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.

El kit de phishing basado en suscripcióncual surgió por primera vez en agosto de 2023fue descrita por Europol como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de 120 dólares por 10 días o 350 dólares por acceso a un panel de administración basado en web durante un mes.

El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.

La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.

«Permitió a miles de ciberdelincuentes acceder de forma encubierta al correo electrónico y a cuentas de servicios basados ​​en la nube», Europol dicho. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.

Al caracterizar a Tycoon 2FA como «peligroso», Intel 471 dicho el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.

Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)

Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, notó que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.

Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.

«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», Microsoft dicho.

«También permitió a los actores de amenazas que usaban su servicio establecer persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del usuario. Los códigos MFA se transmitieron posteriormente a través de los servidores proxy de Tycoon 2FA al servicio de autenticación».

El kit también empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para alojar la infraestructura de phishing en Cloudflare.

Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesión.

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso», señaló Proofpoint.

Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores más experimentados.

«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas tomadas tenían habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas».

«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener acceso a cuentas de correo electrónico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas».