Google ha anunciado la integración de un analizador de sistema de nombres de dominio (DNS) basado en Rust en el firmware del módem como parte de sus esfuerzos continuos para reforzar la seguridad de los dispositivos Pixel e impulsar el código seguro para la memoria a un nivel más básico.

«El nuevo analizador de DNS basado en Rust reduce significativamente nuestro riesgo de seguridad al mitigar toda una clase de vulnerabilidades en un área de riesgo, al mismo tiempo que sienta las bases para una adopción más amplia de código seguro para la memoria en otras áreas», dijo Jiacheng Lu, ingeniero de software que forma parte del equipo Google Pixel. dicho.

El aumento de seguridad a través de la integración de Rust está disponible para dispositivos Pixel 10, lo que lo convierte en el primer dispositivo Pixel en integrar un lenguaje seguro para la memoria en su módem.

La medida se basa en una serie de iniciativas que el gigante tecnológico ha tomado para proteger el módem de banda base celular contra la explotación. A finales de 2023, destacó el papel que desempeñan los desinfectantes de Clang como Overflow Sanitizer (IntSan) y BoundsSanitizer (BoundSan) para detectar comportamientos indefinidos durante la ejecución del programa.

Un año después, también detalló las diversas medidas de seguridad integradas en el firmware del módem para combatir los exploits 2G y los ataques de banda base que aprovechan las vulnerabilidades de seguridad de la memoria, como los desbordamientos del búfer, para lograr la ejecución remota de código.

Estos avances en seguridad se han complementado con la adopción constante de Rust por parte de Google en Android y firmware de bajo nivel. En noviembre de 2025, la compañía reveló que la cantidad de vulnerabilidades de seguridad de la memoria cayó por debajo del 20% del total de vulnerabilidades descubiertas en el sistema operativo móvil el año pasado.

Google dijo que optó por el protocolo DNS para su implementación de Rust debido al hecho de que sustenta las comunicaciones celulares modernas y que las vulnerabilidades en el sistema pueden exponer a los usuarios a ataques maliciosos cuando se diseña en un lenguaje que no es seguro para la memoria, lo que resulta en accesos a la memoria fuera de límites, como en el caso de CVE-2024-27227.

«Con la evolución de la tecnología celular, las comunicaciones celulares modernas han migrado a redes de datos digitales; en consecuencia, incluso las operaciones básicas como el desvío de llamadas dependen de los servicios DNS», añadió. «La implementación del analizador DNS en Rust ofrece valor al disminuir las superficies de ataque asociadas con la inseguridad de la memoria».

Para ello, Google ha elegido la opción «nogal-proto«caja, un Cliente, servidor y solucionador DNS basado en Rustpara implementar el protocolo y modificarlo para que sea compatible con entornos integrados y sin sistema operativo. Otro componente importante de este cambio es el uso de una herramienta personalizada llamada «roer carga«para resolver y mantener fácilmente más de 30 dependencias introducidas por la caja.

La compañía de Internet también señaló que la caja DNS Rust no está optimizada para su uso en sistemas con memoria limitada, y que una posible optimización del tamaño del código podría lograrse agregando indicadores de características adicionales para garantizar la modularidad y compilar selectivamente solo la funcionalidad requerida.

«Para el analizador de DNS, declaramos la API de análisis de respuesta de DNS en C y luego implementamos la misma API en Rust», dijo Google. «La función Rust devuelve un número entero que representa el código de error. Las respuestas DNS recibidas en la respuesta DNS deben actualizarse a estructuras de datos en memoria que están acopladas con la implementación C original; por lo tanto, utilizamos funciones C existentes para hacerlo. Las funciones C existentes se envían desde la implementación Rust».

Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos años de ataques mínimos en la región.

La campaña ha sido atribuida a TA416un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.

«Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas ante la Unión Europea y la OTAN en una variedad de países europeos», dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho.

«A lo largo de este período, TA416 alteró regularmente su cadena de infección, incluido el abuso de las páginas de desafío de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, además de actualizar con frecuencia su carga útil personalizada de PlugX».

También se ha observado que TA416 orquesta múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.

Vale la pena mencionar aquí que TA416 también comparte superposiciones técnicas históricas con otro grupo conocido como Mustang Panda (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en común ambos es el uso de carga lateral de DLL para iniciar el malware.

El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.

«Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electrónico fue abierto por el objetivo previsto», dijo Proofpoint.

Se descubrió que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web legítimo de Microsoft. OAuth punto final de autorización que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en última instancia, implementa PlugX.

El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

En febrero de 2026 se observaron más mejoras en la cadena de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.

«Cuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila automáticamente», dijeron los investigadores. «En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga lateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX a través de la cadena de carga lateral de DLL típica del grupo».

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. También se sabe que la puerta trasera establece un canal de comunicación cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antianálisis para evitar la detección.

PlugX acepta cinco comandos diferentes:

• 0x00000002para capturar información del sistema
• 0x00001005para desinstalar el malware
• 0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de espera
• 0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
• 0x00007002para abrir un shell de comando inverso

«El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, después de dos años de centrarse en el Sudeste Asiático y Mongolia, es consistente con un renovado enfoque de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN», dijo Proofpoint.

«Además, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del grupo probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo largo de este período, el grupo ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, abuso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada».

La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del nexo chino han evolucionado desde una actividad estratégicamente alineada en la década de 2010 hasta intrusiones altamente adaptables y centradas en la identidad con la intención de establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.

Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener acceso inicial.

«En un caso notable, el actor había comprometido completamente el entorno y había establecido persistencia, sólo para resurgir en el entorno más de 600 días después», Darktrace dicho. «La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor».

Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasileños que está escrito en Rust, lo que marca una desviación significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano.

El malware, que está diseñado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, lleva el nombre en código VENENO por la empresa brasileña de ciberseguridad ZenoX.

Lo que hace que VENON sea notable es que comparte comportamientos que son consistentes con los troyanos bancarios establecidos que apuntan a la región, como Grandoreiro, Mekotio y Coyote, específicamente cuando se trata de características como lógica de superposición bancaria, monitoreo activo de ventanas y un mecanismo de secuestro de acceso directo (LNK).

El malware no se ha atribuido a ningún grupo o campaña documentado previamente. Sin embargo, se descubrió que una versión anterior del artefacto, que data de enero de 2026, expone rutas completas del entorno de desarrollo del autor del malware. Las rutas hacen referencia repetidamente a un nombre de usuario de máquina Windows «byst4» (por ejemplo, «C:\Users\byst4\…»).

«La estructura del código de Rust presenta patrones que sugieren un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en América Latina, pero que utilizó IA generativa para reescribir y expandir estas funcionalidades en Rust, un lenguaje que requiere una experiencia técnica significativa para usarlo con el nivel de sofisticación observado», ZenoX dicho.

VENON se distribuye mediante una sofisticada cadena de infección que utiliza la carga lateral de DLL para iniciar una DLL maliciosa. Se sospecha que la campaña aprovecha estrategias de ingeniería social como ClickFix para engañar a los usuarios para que descarguen un archivo ZIP que contiene las cargas útiles mediante un script de PowerShell.

Una vez que se ejecuta la DLL, realiza nueve técnicas de evasión, incluidas comprobaciones anti-sandbox, llamadas al sistema indirectas, omisión de ETW y omisión de AMSI, antes de iniciar cualquier acción maliciosa. También accede a una URL de Google Cloud Storage para recuperar una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2).

También se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos dirigido exclusivamente a la aplicación bancaria Itaú. Los componentes funcionan reemplazando los accesos directos legítimos del sistema con versiones manipuladas que redirigen a la víctima a una página web bajo el control del actor de la amenaza.

El ataque también admite un paso de desinstalación para deshacer las modificaciones, lo que sugiere que el operador puede controlar remotamente la operación para restaurar los accesos directos a lo que eran originalmente para cubrir las pistas.

En total, el malware bancario está equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales al monitorear el título de la ventana y el dominio activo del navegador, y entra en acción solo cuando cualquiera de las aplicaciones o sitios web objetivo se abre para facilitar el robo de credenciales al ofrecer superposiciones falsas.

La divulgación se produce en medio de campañas en las que actores de amenazas están explotando la ubicuidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de escritorio de la plataforma de mensajería. El ataque se basa en el abuso de chats previamente autenticados para entregar señuelos maliciosos directamente a las víctimas, lo que en última instancia resulta en la implementación de malware bancario como Maverick, Casbaneiro o Astaroth.

«Un solo mensaje de WhatsApp entregado a través de una sesión de SORVEPOTEL secuestrada fue suficiente para atraer a la víctima a una cadena de varias etapas que finalmente resultó en que un implante de Astaroth se ejecutara completamente en la memoria», Blackpoint Cyber dicho.

«La combinación de herramientas de automatización local, controladores de navegador no supervisados ​​y tiempos de ejecución modificables por el usuario crearon un entorno inusualmente permisivo, permitiendo que tanto el gusano como la carga útil final se establecieran con una fricción mínima».

Los actores de amenazas están atrayendo a usuarios desprevenidos para que ejecuten utilidades de juegos troyanizadas que se distribuyen a través de navegadores y plataformas de chat para distribuir un troyano de acceso remoto (RAT).

«Un descargador malicioso organizó un tiempo de ejecución de Java portátil y ejecutó un archivo Java (JAR) malicioso llamado jd-gui.jar», informó el equipo de Microsoft Threat Intelligence. dicho en una publicación en X. «Este descargador usó PowerShell y binarios que viven de la tierra (LOLBins) como cmstp.exe para una ejecución sigilosa».

La cadena de ataque también está diseñada para evadir la detección eliminando el descargador inicial y configurando exclusiones de Microsoft Defender para los componentes RAT.

La persistencia se logra mediante una tarea programada y un script de inicio de Windows llamado «world.vbs», antes de que se implemente la carga útil final en el host comprometido. El malware, según Microsoft, es un «malware multipropósito» que actúa como cargador, ejecutor, descargador y RAT.

Una vez iniciado, se conecta a un servidor externo en «79.110.49[.]15» para comunicaciones de comando y control (C2), lo que le permite filtrar datos y desplegar cargas útiles adicionales.

Como forma de defenderse contra la amenaza, se recomienda a los usuarios que auditen las exclusiones y tareas programadas de Microsoft Defender, eliminen tareas maliciosas y scripts de inicio, aíslen los puntos finales afectados y restablezcan las credenciales de los usuarios activos en hosts comprometidos.

La divulgación se produce cuando BlackFog reveló detalles de una nueva familia de malware RAT para Windows llamada Steaelite que se anunció por primera vez en foros criminales en noviembre de 2025 como el «mejor RAT para Windows» con capacidades «totalmente indetectables» (FUD). Es compatible tanto con Windows 10 como con 11.

A diferencia de otros RAT disponibles en el mercado vendidos a actores criminales, Steaelite agrupa el robo de datos y el ransomware, empaquetándolos en un panel web, con un módulo de ransomware para Android en camino. El panel también incorpora varias herramientas de desarrollador para facilitar el registro de teclas, el chat de cliente a víctima, la búsqueda de archivos, la distribución por USB, la modificación del fondo de pantalla, la omisión de UAC y la funcionalidad de clipper.

Otras características notables incluyen la eliminación de malware de la competencia, la desactivación de Microsoft Defender o la configuración de exclusiones y la instalación de métodos de persistencia.

En cuanto a sus capacidades principales, Steaelite RAT admite ejecución remota de código, administración de archivos, transmisión en vivo, acceso a cámara web y micrófono, administración de procesos, monitoreo del portapapeles, robo de contraseñas, enumeración de programas instalados, seguimiento de ubicación, ejecución de archivos arbitrarios, apertura de URL, ataques DDoS y compilación de carga útil VB.NET.

«La herramienta brinda a los operadores control basado en navegador sobre máquinas Windows infectadas, que cubre la ejecución remota de código, robo de credenciales, vigilancia en vivo, exfiltración de archivos e implementación de ransomware desde un solo panel», dijo la investigadora de seguridad Wendy McCague. dicho.

«Un único actor de amenazas puede explorar archivos, extraer documentos, recopilar credenciales e implementar ransomware desde el mismo panel. Esto permite una doble extorsión completa desde una sola herramienta».

En las últimas semanas, los cazadores de amenazas también han descubierto dos nuevas familias de RAT rastreadas como DesckVB RAT y KazakRAT que permiten un control remoto integral sobre los hosts infectados e incluso implementan capacidades de forma selectiva después del compromiso. Según Ctrl Alt Intel, se sospecha que KazakRAT es obra de un grupo sospechoso de estar afiliado al estado que tiene como objetivo entidades kazajas y afganas como parte de una campaña persistente en curso desde al menos agosto de 2022.