El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña que se ha dirigido a gobiernos e instituciones sanitarias municipales, principalmente clínicas y hospitales de emergencia, para entregar malware capaz de robar datos confidenciales de navegadores web basados ​​en Chromium y WhatsApp.

La actividad, que se observó entre marzo y abril de 2026, se ha atribuido a un grupo de amenazas denominado UAC-0247. Los orígenes de la campaña se desconocen actualmente.

Según CERT-UA, el punto de partida de la cadena de ataque es un mensaje de correo electrónico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web legítimo comprometido a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio falso creado con la ayuda de herramientas de inteligencia artificial (IA).

Independientemente de cuál sea el sitio, el objetivo es descargar y ejecutar un archivo de acceso directo de Windows (LNK), que luego ejecuta una aplicación HTML remota (HTA) usando la utilidad nativa de Windows, «mshta.exe». El archivo HTA, por su parte, muestra una forma de señuelo para desviar la atención de la víctima, al mismo tiempo que recupera un binario responsable de inyectar código shell en un proceso legítimo (por ejemplo, «runtimeBroker.exe»).

«Al mismo tiempo, las campañas recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y la carga útil final se comprime y cifra adicionalmente», dijo CERT-UA.

Uno de los etapas es una herramienta llamada TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexión TCP con un servidor de administración para recibir comandos para su ejecución en el host usando «cmd.exe».

También se descarga en la máquina infectada una familia de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, actualizar automáticamente la configuración y obtener la dirección IP actual del servidor de administración de un canal de Telegram, y recurrir a mecanismos alternativos para determinar la dirección de comando y control (C2).

Desarrollado con C#, AGINGFLY está diseñado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas útiles adicionales.

Una investigación de alrededor de una docena de incidentes ha revelado que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados ​​en Chromium. Estose logra mediante la implementación de varias herramientas de código abierto, como las que se enumeran a continuación:

• ChromElevator, un programa diseñado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chromium y recopilar cookies y contraseñas guardadas
• ZAPiXDESKuna herramienta de extracción forense para descifrar bases de datos locales para WhatsApp Web
• ÓxidoScanun escáner de red
• Ligolo-Ng, una utilidad ligera para establecer túneles a partir de conexiones TCP/TLS inversas
• Cinceluna herramienta para tunelizar el tráfico de red a través de TCP/UDP
• XMRig, un minero de criptomonedas

La agencia dijo que hay evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania también podrían haber sido atacados como parte de la campaña. Esto se basa en la distribución de archivos ZIP maliciosos a través de Signal que están diseñados para eliminar AGINGFLY mediante la técnica de carga lateral de DLL.

Para mitigar el riesgo asociado con la amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, junto con utilidades legítimas como «mshta.exe», «powershell.exe» y «wscript.exe».

Según ReliaQuest, un pequeño grupo de antiguos afiliados de Black Basta ha atacado a más de 100 empleados en docenas de organizaciones para invadir los sistemas de red y potencial robo de datos, implementación de ransomware y extorsión.

La campaña de ingeniería social, que implica bombardeos masivos de correos electrónicos y suplantación de la mesa de ayuda de Microsoft Teams, aumentó el mes pasado y se remonta al menos a mayo de 2025, dijo ReliaQuest en un informe el martes.

Los atacantes se han dirigido principalmente a los altos directivos para obtener un acceso altamente privilegiado. «Aproximadamente tres cuartas partes de los usuarios objetivo eran ejecutivos, directores, gerentes o roles similares de alto valor», dijeron a CyberScoop por correo electrónico los investigadores que trabajaron en el informe.

Los ciberdelincuentes involucrados en Black Basta, una rama de Conti, se dispersaron después de que los registros de chat internos del grupo de amenazas se filtraran en línea en febrero de 2025, proporcionando a los investigadores de amenazas y a las autoridades detalles clave sobre las operaciones del grupo.

La policía alemana identificó públicamente en enero a Oleg Evgenievich Nefedov, un ciudadano ruso, como el presunto líder de Black Basta. Nefedov, un hombre de 35 años que posteriormente fue incluido en las listas de los más buscados Europol y Interpolsupuestamente formó y dirigió Black Basta desde 2022, dijeron las autoridades.

Se le acusa de extorsionar a más de 100 empresas en Alemania y alrededor de 600 países más en todo el mundo.

ReliaQuest dijo que la campaña observada recientemente comparte muchas similitudes con la actividad anterior de Black Basta y sigue el mismo manual (herramientas, orientación y estilo de ejecución) asociado con el otrora prolífico grupo de ransomware.

«Eso incluye el uso repetido de herramientas de acceso remoto, una fuerte concentración en sectores históricamente favorecidos por Black Basta y un nivel de velocidad y coordinación que sugiere que los operadores experimentados están basándose en un manual que ya saben que funciona», dijeron los investigadores.

«Tenemos cuidado de no tratar ningún artefacto en particular como prueba definitiva, pero en conjunto, las similitudes son lo suficientemente fuertes como para evaluar que es muy probable que estén involucrados antiguos afiliados u operadores estrechamente alineados», agregaron los investigadores de ReliaQuest.

El sitio de filtración de datos de Black Basta se cerró poco después de que se filtraran sus chats internos el año pasado, pero los ciberdelincuentes no capturados generalmente se dispersan y se unen a nuevos grupos después de un desmantelamiento o disolución. Los cazadores de amenazas advirtieron que los ex miembros todavía estaban apuntando activamente a víctimas adicionales a principios de este año.

ReliaQuest publicó su informe, que incluye indicadores de compromiso, después de observar un aumento particularmente pronunciado en la actividad en marzo, señalando que el objetivo del grupo se centraba más en los empleados de alto nivel.

«Los operadores se están moviendo muy rápidamente, con partes del flujo de trabajo volviéndose más automatizadas o altamente optimizadas, lo que hace que la campaña sea más fácil de escalar y más difícil para los defensores interrumpirla antes de que se establezca el acceso remoto», dijeron los investigadores.

Los cinco principales sectores objetivo de los recientes ataques al estilo Black Basta incluyen la manufactura, los servicios profesionales, las finanzas y seguros, la construcción y la tecnología, según ReliaQuest.

Los atacantes suelen bombardear a los empleados objetivo con cientos de correos electrónicos en cuestión de minutos y luego contactan a los usuarios objetivo, haciéndose pasar por el soporte de TI a través de mensajes directos en Microsoft Teams o una llamada telefónica. ReliaQuest dijo que ha observado que algunos atacantes logran acceso remoto minutos después de la primera señal de una bomba de correo electrónico.

Los investigadores no dijeron cuántas organizaciones han sido invadidas con éxito como resultado de esta campaña hasta el momento.

Si bien la extorsión parece ser el objetivo más probable, ReliaQuest advirtió que no se debe asumir que cada ataque resulta en cifrado de ransomware.

«Según lo que hemos observado, la cadena de intrusión está diseñada para obtener acceso rápidamente, comprender el entorno y crear opciones para la monetización posterior», dijeron los investigadores. «Eso podría conducir al robo de datos, la extorsión sin cifrado o la implementación de ransomware, dependiendo de la víctima y la oportunidad».

Los investigadores de ciberseguridad han señalado otra evolución más de la actual gusano de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de desarrollo integrados (IDE) en la máquina de un desarrollador.

La técnica ha sido descubierta en una extensión Open VSX llamada «specstudio.code-wakatime-actividad-rastreador«, que se hace pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para descargar.

«La extensión […] envía un binario nativo compilado por Zig junto con su código JavaScript», dijo el investigador de Aikido Security, Ilyas Makari. dicho en un análisis publicado esta semana.

«Esta no es la primera vez que GlassWorm recurre al uso código compilado nativo en extensiones. Sin embargo, en lugar de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido dropper GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema».

La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, salvo por un cambio introducido en una función llamada «activate()». La extensión instala un binario llamado «win.node» en sistemas Windows y «mac.node», un binario Mach-O universal si el sistema ejecuta Apple macOS.

Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno limitado de JavaScript con acceso completo a nivel del sistema operativo.

Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf.

Luego, el binario descarga una extensión maliciosa de VS Code (.VSIX) desde un sitio controlado por el atacante. cuenta GitHub. La extensión, llamada «floktokbok.autoimport», se hace pasar por «esteoteatos.autoimport,» una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.

En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un gotero que evita la ejecución en sistemas rusos, se comunica con la cadena de bloques de Solana para buscar el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.

Se recomienda a los usuarios que hayan instalado «specstudio.code-wakatime-activity-tracker» o «floktokbok.autoimport» que asuman un compromiso y roten todos los secretos.

Según los hallazgos de Accede ahora, Estar atentoy PYME.

Dos de los objetivos incluían a destacados periodistas egipcios y críticos del gobierno, Mostafa Al-A’sar y Ahmed Eltantawy, quienes fueron los destinatarios de una serie de ataques de phishing que buscaban comprometer sus cuentas de Apple y Google en octubre de 2023 y enero de 2024 dirigiéndolos a páginas falsas que los engañaban para que ingresaran sus credenciales y códigos de autenticación de dos factores (2FA).

«Los ataques se llevaron a cabo entre 2023 y 2024, y ambos objetivos son destacados críticos del gobierno egipcio que anteriormente se enfrentaron a prisión política; uno de ellos fue atacado anteriormente con software espía», dijo la línea de ayuda de seguridad digital de Access Now.

También se destacó como parte de estos esfuerzos a un periodista libanés anónimo, que recibió mensajes de phishing en mayo de 2025 a través de la aplicación Apple Messages y WhatsApp que contenían enlaces maliciosos que, al hacer clic, engañaban a los usuarios para que ingresaran las credenciales de su cuenta como parte de un supuesto paso de verificación de Apple.

«La campaña de phishing incluyó ataques persistentes a través de iMessage/Apple Messenger y la aplicación WhatsApp. […] haciéndose pasar por Apple Support», dijo SMEX, una organización sin fines de lucro de derechos digitales en la región de Asia Occidental y África del Norte (WANA). «Si bien el enfoque principal de esta campaña parece ser los servicios de Apple, la evidencia sugiere que otras plataformas de mensajería, a saber, Telegram y Signal, también fueron atacadas».

En el caso de Al-A’sar, el ataque de phishing dirigido a comprometer su cuenta de Google comenzó con un mensaje en LinkedIn de un personaje títere llamado «Haifa Kareem», quien se acercó a él con una oportunidad de trabajo. Después de que el periodista compartiera su número de móvil y dirección de correo electrónico con el usuario de LinkedIn, recibió un correo electrónico de este último el 24 de enero de 2024, indicándole que se uniera a una llamada de Zoom haciendo clic en un enlace acortado con Rebrandly.

Se considera que la URL es un ataque de phishing basado en el consentimiento que aprovecha OAuth 2.0 de Google para otorgar al atacante acceso no autorizado a la cuenta de la víctima a través de una aplicación web maliciosa llamada «en-account.info».

«A diferencia del ataque anterior, donde el atacante se hizo pasar por un inicio de sesión de una cuenta de Apple y utilizó un dominio falso, este ataque emplea el consentimiento de OAuth para aprovechar los activos legítimos de Google para engañar a los objetivos para que proporcionen sus credenciales», dijo Access Now.

«Si el usuario objetivo no ha iniciado sesión en Google, se le solicita que ingrese sus credenciales (nombre de usuario y contraseña). Más comúnmente, si el usuario ya inició sesión, se le solicita que otorgue permiso a una aplicación que controla el atacante, utilizando una función de inicio de sesión de terceros que es familiar para la mayoría de los usuarios de Google».

Algunos de los dominios utilizados en estos ataques de phishing se enumeran a continuación:

• signin-apple.com-en-uk[.]co
• id-apple.com-es[.]yo
• facetime.com-en[.]yo
• Secure-signal.com-en[.]yo
• telegram.com-es[.]yo
• verificar-apple.com-ae[.]neto
• unirse-facetime.com-ae[.]neto
• android.com-ae[.]neto
• cifrado-plug-in-signal.com-ae[.]neto

Curiosamente, el uso del dominio «com-ae[.]net» se superpone con una campaña de software espía para Android que la empresa eslovaca de ciberseguridad ESET documentó en octubre de 2025, destacando el uso de sitios web engañosos que se hacen pasar por Signal, ToTok y Botim para implementar ProSpy y ToSpy para objetivos no especificados en los Emiratos Árabes Unidos

Específicamente, el dominio «encryption-plug-in-signal.com-ae[.]net» se utilizó como vector de acceso inicial para ProSpy afirmando ser un complemento de cifrado inexistente para Signal. El software espía viene equipado con capacidades para filtrar datos confidenciales como contactos, mensajes SMS, metadatos del dispositivo y archivos locales.

Al final, ninguna de las cuentas de los periodistas egipcios fue infiltrada. Sin embargo, SMEX reveló que el ataque inicial dirigido al periodista libanés el 19 de mayo de 2025 comprometió completamente su cuenta de Apple y resultó en la adición de un dispositivo virtual a la cuenta para obtener acceso persistente a los datos de la víctima. La segunda oleada de ataques no tuvo éxito.

Si bien no hay evidencia de que los tres periodistas hayan sido atacados con software espía, la evidencia muestra que los actores de amenazas pueden usar los métodos y la infraestructura asociados con los ataques para entregar cargas útiles maliciosas y filtrar datos confidenciales.

«Esto sugiere que la operación que identificamos puede ser parte de un esfuerzo de vigilancia regional más amplio destinado a monitorear las comunicaciones y recopilar datos personales», dijo Access Now.

Lookout, en su propio análisis de estas campañas, atribuyó los esfuerzos dispares a una operación de piratería a sueldo con vínculos con Bitter, un grupo de amenazas que se considera encargado de los esfuerzos de recopilación de inteligencia en interés del gobierno indio. La campaña de espionaje ha estado operativa desde al menos 2022.

Según los dominios de phishing observados y los señuelos del malware ProSpy, la campaña probablemente se haya dirigido a víctimas en Bahrein, los Emiratos Árabes Unidos, Arabia Saudita, el Reino Unido, Egipto y potencialmente los EE. UU., o ex alumnos de universidades estadounidenses, lo que indica que los ataques van más allá de los miembros de la sociedad civil egipcia y libanesa.

«La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo», dijo la compañía de ciberseguridad.

Los vínculos de la campaña con Bitter provienen de conexiones de infraestructura entre «com-ae[.]neto» y «youtubepremiumapp[.]com«un dominio marcado por ciclo y Meta en agosto de 2022 vinculado a Bitter en relación con un esfuerzo de espionaje que utilizó sitios falsos que imitaban servicios confiables como YouTube, Signal, Telegram y WhatsApp para distribuir un malware de Android denominado Dracarys.

El análisis de Lookout también ha descubierto similitudes entre Dracarys y ProSpy, a pesar de que este último se desarrolló años después utilizando Kotlin en lugar de Java. «Ambas familias usan la lógica de los trabajadores para manejar las tareas y nombran las clases de trabajadores de manera similar. También usan comandos C2 numerados», agregó la compañía. «Mientras ProSpy exfiltra datos a los terminales del servidor que comienzan con ‘v3’, Dracarys exfiltra datos a los terminales del servidor que comienzan con ‘r3’».

A pesar de estas conexiones, lo que hace que la campaña sea inusual es que Bitter nunca ha sido atribuido a campañas de espionaje dirigidas a miembros de la sociedad civil. Esto ha planteado dos posibilidades: o es el trabajo de una operación de piratería a sueldo con vínculos con Bitter o el propio actor de la amenaza está detrás de esto, en cuyo caso podría indicar una expansión de su alcance de ataque.

«No sabemos si esto representa una expansión del papel de Bitter, o si es una indicación de superposición entre Bitter y un grupo desconocido de hackers a sueldo», añadió Lookout. «Lo que sí sabemos es que el malware móvil sigue siendo un medio principal para espiar a la sociedad civil, ya sea adquirido a través de un proveedor de vigilancia comercial, subcontratado a una organización de piratería contratada o implementado directamente por un estado nación».

Una aparente campaña de piratería informática por parte de un grupo con presuntas conexiones con el gobierno indio se dirigió a periodistas y activistas de Medio Oriente y África del Norte utilizando software espía, dijeron tres organizaciones colaboradoras en informes publicados el miércoles.

Los ataques compartieron infraestructura que apuntaba al grupo de amenaza avanzada persistente conocido como Bitter, que con mayor frecuencia apunta a sectores gubernamentales, militares, diplomáticos y de infraestructura crítica en todo el sur de Asia, según las conclusiones de investigadores de Access Now, Lookout y SMEX.

Cada grupo asumió una pieza diferente del rompecabezas:

• Accede ahora recibió llamadas a su línea de ayuda que lo llevaron a examinar una campaña de phishing en 2023 y 2024. Se comunicó con Lookout para obtener soporte técnico sobre el malware que encontró.
• Estar atento atribuyó el malware a Bitter y concluyó que probablemente se trataba de una campaña de hackeo a sueldo, utilizando el software espía Android ProSpy.
• PYME El año pasado se sumergió en una campaña de phishing dirigida a un destacado periodista libanés y colaboró ​​con Access Now para descubrir una infraestructura compartida entre las campañas.

Una de las víctimas, el periodista independiente egipcio Mostafa Al-A'sar, dijo que se puso en contacto con Access Now después de recibir un enlace sospechoso de alguien con quien había estado hablando sobre un puesto de trabajo. Se mostró escéptico porque su teléfono había sido atacado antes, cuando fue arrestado en Egipto en 2018.

La lección para los periodistas y los grupos de la sociedad civil es que la ciberseguridad “no es un lujo”, afirmó.

«Me siento amenazado», dijo Al-A'sar, y aunque vivía en el exilio, siente que «todavía me siguen. También me sentí preocupado por mi familia, mis amigos, mis fuentes».

La investigación combinada encontró una campaña más amplia que solo las víctimas originales.

“Nuestros hallazgos conjuntos exponen una campaña de espionaje que ha estado operativa desde al menos 2022 hasta el día de hoy, dirigida principalmente a miembros de la sociedad civil y potencialmente a funcionarios gubernamentales en el Medio Oriente”, escribió Lookout. «La operación presenta una combinación de phishing dirigido dirigido a través de cuentas falsas de redes sociales y aplicaciones de mensajería que aprovechan esfuerzos persistentes de ingeniería social, lo que puede resultar en la entrega de software espía de Android dependiendo del dispositivo del objetivo».

El Comité para la Protección de los Periodistas condenó la campaña.

«Espiar a periodistas es a menudo el primer paso en un patrón más amplio de intimidación, amenazas y ataques», dijo la directora regional del grupo, Sara Qudah. «Estas acciones ponen en peligro no sólo la seguridad personal de los periodistas, sino también sus fuentes y su capacidad para hacer su trabajo. Las autoridades de la región deben dejar de utilizar tecnología y recursos financieros como armas para vigilar a los periodistas».

Access Now dijo que no tenía suficiente información para atribuir quién estaba detrás de los ataques que identificó.

ESET publicó por primera vez una investigación sobre el malware ProSpy el año pasado, después de descubrir que estaba dirigido a residentes de los Emiratos Árabes Unidos.

El actor de amenazas ruso conocido como APT28 (también conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campaña de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en código. PRISMEX.

«PRISMEX combina esteganografía avanzada, secuestro del modelo de objetos componentes (COM) y abuso legítimo de servicios en la nube para comando y control», afirman los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. dicho en un informe técnico. Se cree que la campaña está activa desde al menos septiembre de 2025.

La actividad se ha centrado en varios sectores de Ucrania, incluidos los órganos ejecutivos centrales, la hidrometeorología, la defensa y los servicios de emergencia, así como la logística ferroviaria (Polonia), marítima y de transporte (Rumania, Eslovenia, Turquía), y socios de apoyo logístico involucrados en iniciativas de municiones (Eslovaquia, República Checa), y socios militares y de la OTAN.

La campaña se destaca por la rápida utilización como arma de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de interés, y la preparación de la infraestructura se observó el 12 de enero de 2026, exactamente dos semanas antes de que la primera se revelara públicamente.

A finales de febrero de 2025, Akamai también reveló que APT28 pudo haber convertido a CVE-2026-21513 en un arma como un día cero basado en un exploit de acceso directo de Microsoft (LNK) que se cargó en VirusTotal el 30 de enero de 2026, mucho antes de que el fabricante de Windows lanzara una solución como parte de su actualización del martes de parches el 10 de febrero de 2026.

Este patrón de explotación de día cero indica que el actor de la amenaza tenía conocimiento avanzado de las vulnerabilidades antes de que Microsoft las revelara.

Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio «wellnesscaremed[.]com.» Este punto en común, combinado con el momento de los dos exploits, ha planteado la posibilidad de que los actores de la amenaza estén encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada cadena de ataque de dos etapas.

«La primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas útiles sin advertencias para el usuario», teorizó Trend Micro.

Los ataques culminan con el despliegue de cualquiera de los dos MiniDoor, un ladrón de correo electrónico de Outlook, o una colección de componentes de malware interconectados conocidos colectivamente como PRISMEX, llamado así por el uso de una técnica esteganográfica para ocultar cargas útiles dentro de archivos de imágenes. Estos incluyen –

• PrismexHojaun dropper malicioso de Excel con macros VBA que extrae cargas útiles incrustadas en el archivo mediante esteganografía, establece persistencia a través de secuestro de COMy muestra un documento señuelo relacionado con las listas de inventario de drones y los precios de los drones después de habilitar las macros.
• PrismexDropun cuentagotas nativo que prepara el entorno para una explotación posterior y utiliza tareas programadas y secuestro de DLL COM para lograr persistencia.
• Cargador Prismex (también conocido como PixyNetLoader), una DLL proxy que extrae la carga útil .NET de la siguiente etapa dispersa en la estructura de archivos de una imagen PNG («SplashScreen.png») utilizando un algoritmo personalizado «Bit Plane Round Robin» y lo ejecuta completamente en la memoria.
• PrismexStagerun implante COVENANT Grunt que abusa del almacenamiento en la nube Filen.io para C2.

Vale la pena mencionar aquí que algunos aspectos de la campaña fueron documentados previamente por Zscaler ThreatLabz bajo el nombre de Operación Neusploit.

El uso de COVENANT por parte de APT28, un marco de comando y control (C2) de código abierto, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025. Se considera que PrismexStager es una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), una puerta trasera de Microsoft Outlook implementada por el grupo de hackers a finales de 2025.

En al menos un incidente ocurrido en octubre de 2025, se descubrió que la carga útil COVENANT Grunt no solo facilitaba la recopilación de información, sino que también ejecutaba un comando de limpieza destructivo que borra todos los archivos del directorio «%USERPROFILE%». Esta doble capacidad da peso a la hipótesis de que estas campañas podrían diseñarse tanto para el espionaje como para el sabotaje.

«Esta operación demuestra que Pawn Storm sigue siendo uno de los grupos de intrusión más agresivos alineados con Rusia», afirmó Trend Micro. «El patrón de objetivos revela una intención estratégica de comprometer la cadena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la OTAN».

«El enfoque estratégico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio hacia una interrupción operativa que puede presagiar actividades más destructivas».

El actor de amenazas vinculado a Rusia conocido como APT28 (también conocido como Forest Blizzard) ha sido vinculado a una nueva campaña que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuración para convertirlos en infraestructura maliciosa bajo su control como parte de una campaña de ciberespionaje desde al menos mayo de 2025.

La campaña de explotación a gran escala ha sido nombre en clave FrostArmada por Black Lotus Labs de Lumen, con Microsoft describiendo como un esfuerzo por explotar dispositivos de Internet vulnerables en hogares y pequeñas oficinas (SOHO) para secuestrar el tráfico DNS y permitir la recopilación pasiva de datos de red.

«Su técnica modificó la configuración de DNS en los enrutadores comprometidos para secuestrar el tráfico de la red local para capturar y exfiltrar las credenciales de autenticación», dijo Black Lotus Labs en un informe compartido con The Hacker News.

«Cuando un usuario solicitó dominios específicos, el actor redirigió el tráfico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permitió un ataque casi invisible que no requirió interacción por parte del usuario final».

La infraestructura asociada con la campaña ha sido interrumpida y desconectada como parte de una operación conjunta en colaboración con el Departamento de Justicia de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.

Se estima que la actividad comenzó en mayo de 2025 con una capacidad limitada, seguida de una explotación generalizada de enrutadores y una redirección de DNS a partir de principios de agosto. En su punto máximo en diciembre de 2025, se encontraron más de 18.000 direcciones IP únicas de no menos de 120 países comunicándose con la infraestructura APT28.

Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nube y correo electrónico en países del norte de África, Centroamérica, el sudeste asiático y Europa.

El equipo de Microsoft Threat Intelligence, en su análisis de la campaña, atribuyó la actividad a APT28 y su subgrupo rastreado como Storm-2754. El gigante tecnológico dijo que identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.

«Para los actores de los estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y un reconocimiento a escala persistente y pasivo», dijo Redmond. «Al comprometer los dispositivos de borde que están aguas arriba de objetivos más grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales».

La actividad de secuestro de DNS también ha facilitado los ataques AitM que hicieron posible facilitar el robo de contraseñas, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electrónico, poniendo a las organizaciones en riesgo de sufrir un compromiso más amplio.

El desarrollo marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escala para admitir conexiones AiTM de Transport Layer Security (TLS) después de explotar dispositivos de borde, agregó Microsoft.

En un nivel alto, la cadena de ataque implica que APT28 obtenga acceso administrativo remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguración maliciosa hace que los dispositivos envíen sus solicitudes de DNS a servidores controlados por actores.

Esto, a su vez, hace que el servidor DNS malicioso resuelva las búsquedas de DNS para aplicaciones de correo electrónico o páginas de inicio de sesión. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios engañando a las víctimas para que se conecten a una infraestructura maliciosa.

Algunos de estos dominios están asociados con Microsoft Outlook en la web. Microsoft dijo que también identificó actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en África.

«Se cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran grupo de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la cadena de explotación para clasificar a las víctimas de probable valor de inteligencia», dijo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) dicho.

Se dice que APT28 aprovechó los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224 (Puntuación CVSS: 6,5), una vulnerabilidad de omisión de autenticación que podría usarse para extraer credenciales almacenadas a través de solicitudes HTTP GET especialmente diseñadas.

Se ha descubierto que un segundo grupo de servidores recibe solicitudes de DNS a través de enrutadores comprometidos y posteriormente las reenvía a servidores remotos propiedad de los actores. También se considera que este grupo ha participado en operaciones interactivas dirigidas a un pequeño número de enrutadores MikroTik ubicados en Ucrania.

«El secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar recopilación de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de recopilar espionaje contra objetivos de inteligencia prioritarios», dijo Microsoft.

«Aunque sólo hemos observado que Forest Blizzard utiliza su campaña de secuestro de DNS para recopilar información, un atacante podría utilizar una posición AiTM para obtener resultados adicionales, como la implementación de malware o la denegación de servicio».

Se ha observado una campaña activa dirigida a instancias expuestas a Internet que ejecutan ComfyUI, una popular plataforma de difusión estable, para incluirlas en una botnet proxy y de minería de criptomonedas.

«Un escáner Python especialmente diseñado barre continuamente los principales rangos de IP de la nube en busca de objetivos vulnerables, instalando automáticamente nodos maliciosos a través de ComfyUI-Manager si no hay ningún nodo explotable presente», dijo el investigador de seguridad de Censys, Mark Ellzey. dicho en un informe publicado el lunes.

La actividad de ataque, en esencia, busca sistemáticamente instancias expuestas de ComfyUI y explota una configuración incorrecta que permite la ejecución remota de código en implementaciones no autenticadas a través de nodos personalizados.

Tras una explotación exitosa, los hosts comprometidos se agregan a una operación de criptominería que extrae Monero a través de XMRig y Conflux a través de lolMiner, así como a una botnet Hysteria V2. Ambos se administran de forma centralizada a través de un panel de comando y control (C2) basado en Flask.

Los datos de las plataformas de gestión de superficies de ataque muestran que hay más de 1000 instancias de ComfyUI de acceso público. Si bien no es un número enorme, es suficiente para que un actor de amenazas ejecute campañas oportunistas para obtener ganancias financieras.

Censys dijo que descubrió la campaña el mes pasado después de identificar un directorio abierto en 77.110.96[.]200una dirección IP asociada con un proveedor de servicios de hosting a prueba de balas, Aeza Group. Se dice que el directorio contenía un conjunto de herramientas no documentadas previamente para llevar a cabo los ataques.

Esto incluye dos herramientas de reconocimiento para enumerar las instancias de ComfyUI expuestas en la infraestructura de la nube, identificar aquellas que tienen instalado ComfyUI-Manager y seleccionar aquellas que son susceptibles al exploit de ejecución de código.

Uno de los dos scripts de Python del escáner también funciona como un marco de explotación que utiliza los nodos personalizados de ComfyUI como arma para lograr la ejecución del código. Esta técnica, algunos aspectos de los cuales fueron documentado por Snyk en diciembre de 2024, aprovecha el hecho de que algunos nodos personalizados aceptan código Python sin formato como entrada y lo ejecutan directamente sin requerir ninguna autenticación.

Como resultado, un atacante puede escanear instancias expuestas de ComfyUI en busca de familias de nodos personalizados específicos que admitan la ejecución de código arbitrario, convirtiendo efectivamente el servicio en un canal para entregar cargas útiles de Python controladas por el atacante. Algunas de las familias de nodos personalizados que el ataque busca particularmente se enumeran a continuación:

• Vova75Rus/ComfyUI-Shell-Executor
• filliptm/ComfyUI_Fill-Nodes
• seanlynch/srl-nodos
• ruiqutech/ComfyUI-RuiquNodes

«Si ninguno de los nodos objetivo está presente, el escáner comprueba si ComfyUI-Manager está instalado», dijo Censys. «Si está disponible, instala él mismo un paquete de nodo vulnerable y luego vuelve a intentar la explotación».

Vale la pena señalar que «ComfyUI-Shell-Executor» es un paquete malicioso creado por el atacante para recuperar un script de shell de la siguiente etapa («ghost.sh») de la dirección IP antes mencionada. Una vez que se obtiene la ejecución del código, el escáner elimina la evidencia del exploit borrando el historial de mensajes de ComfyUI.

Una versión más nueva del escáner también incorpora mecanismos de persistencia que hacen que el script de shell se descargue cada seis horas y que el flujo de trabajo del exploit se vuelva a ejecutar cada vez que se inicia ComfyUI.

El script de shell, por su parte, desactiva el historial de shell, elimina a los mineros competidores, inicia el proceso de minería y utiliza el gancho LD_PRELOAD para ocultar un proceso de vigilancia que garantiza que el proceso de minería se recupere en caso de que finalice.

Además, el programa minero se copia en varias ubicaciones, de modo que incluso si se borra el directorio de instalación principal, se puede iniciar desde una de las ubicaciones alternativas. Un tercer mecanismo que utiliza el malware para garantizar la persistencia es el uso del «chattr +i«comando para bloquear los archivos binarios del minero y evitar que sean eliminados, modificados o renombrados, incluso por el usuario root.

«También hay un código dedicado dirigido a un competidor específico, ‘Hisana’ (al que se hace referencia en todo el código), que parece ser otra botnet de minería», explicó Censys. «En lugar de simplemente matarlo, ghost.sh sobrescribe su configuración para redirigir la producción minera de Hisana a su propia dirección de billetera, luego ocupa el puerto C2 de Hisana (10808) con un oyente Python ficticio para que Hisana no pueda reiniciarse».

Los hosts infectados se controlan mediante un panel C2 basado en Flask, que permite al operador enviar instrucciones o implementar cargas útiles adicionales, incluido un script de shell que instala Hysteria V2 con el objetivo probable de vender nodos comprometidos como servidores proxy.

Un análisis más detallado del historial de comandos de shell del atacante ha revelado un intento de inicio de sesión SSH como root en la dirección IP. 120.241.40[.]237que se ha relacionado con un campaña de gusanos en curso dirigido a servidores de bases de datos Redis expuestos.

«Gran parte de las herramientas en este repositorio parecen ensambladas apresuradamente, y las tácticas y técnicas generales podrían sugerir inicialmente una actividad poco sofisticada», dijo Censys. «Específicamente, el operador identifica instancias expuestas de ComfyUI que ejecutan nodos personalizados, determina cuáles de esos nodos exponen una funcionalidad insegura y luego los utiliza como vía para la ejecución remota de código».

«La infraestructura a la que accede el operador respalda aún más la idea de que esta actividad es parte de una campaña más amplia centrada en descubrir y explotar servicios expuestos, seguida del despliegue de herramientas personalizadas para persistencia, escaneo o monetización».

El descubrimiento coincide con la aparición de múltiples campañas de botnets en las últimas semanas.

• Explotación de vulnerabilidades de inyección de comandos en enrutadores n8n (CVE-2025-68613) y Tenda AC1206 (CVE-2025-7544) a agregarlos a una botnet basada en Mirai conocida como Zerobot.
• Explotación de vulnerabilidades en Apache ActiveMQ (CVE-2023-46604), Metabase (CVE-2023-38646) y React Server Components (CVE-2025-55182 también conocido como React2Shell) para entregar Kinsing, un malware persistente utilizado para la minería de criptomonedas y el lanzamiento de ataques de denegación de servicio distribuido (DDoS).
• Explotación de una supuesta vulnerabilidad de día cero en el almacenamiento conectado en red (NAS) de fnOS para atacar sistemas expuestos a Internet e implantarlos con un malware DDoS llamado netdragon. «NetDragon establece una interfaz de puerta trasera HTTP en los dispositivos comprometidos, lo que permite a los atacantes acceder y controlar de forma remota los sistemas infectados», dijo QiAnXin XLab. «Altera el archivo ‘hosts’ para secuestrar los dominios oficiales de actualización del sistema Feiniu NAS, evitando efectivamente que los dispositivos obtengan actualizaciones del sistema y parches de seguridad».
• Ampliación de la lista de exploits de RondoDox a 174 vulnerabilidades diferentes, al tiempo que se cambia la metodología de ataque de un «enfoque directo» a fallas más específicas y recientes que tienen más probabilidades de provocar infecciones.
• Explotación de vulnerabilidades de seguridad conocidas implementar una nueva variante de Condi, un malware de Linux que convierte los dispositivos Linux comprometidos en robots capaces de realizar ataques DDoS. El binario hace referencia a una cadena «QTXBOT», que indica el nombre de la versión bifurcada o el nombre del proyecto interno.
• Ataques de fuerza bruta contra servidores SSH para lanzar un minero XMRig y generar ingresos ilícitos en criptomonedas como parte de una operación activa de criptojacking llamada Mónaco. También se han identificado contraseñas SSH débiles. utilizados como vías de ataque para implementar malware que establece persistencia, mata a los mineros competidores, se conecta a un servidor externo y realiza un escaneo ZMap para propagar el malware en forma de gusano a otros hosts vulnerables.

«La actividad de botnets ha aumentado durante el último año, y Spauhaus observó aumentos del 26 % y del 24 % en los dos períodos de seis meses de enero a junio de 2025 y de julio a diciembre de 2025, respectivamente», Pulsedive dicho.

«Este aumento está asociado con la aparición de bots y nodos en los Estados Unidos. El aumento también se debe a la disponibilidad de código fuente para botnets como Mirai. Las ramas y variantes de Mirai son responsables de algunos de los mayores ataques DDoS por volumen».

Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.

La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.

«La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos», dijo la empresa israelí de ciberseguridad. dicho. «También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita».

Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.

La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.

Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.

Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.

«El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor», dijo Check Point. «El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente».

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.

Irán revive las operaciones clave de Pay2

La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.

La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.

Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.

«Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedió», Halcyon dicho.

Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.

«La muestra se basa en la configuración, requiere privilegios de nivel raíz para su ejecución y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial», Ilia Kulmin, investigadora de Morphisec dicho en un informe publicado el mes pasado.

«Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios».

En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.

«Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos», dijo la empresa de ciberseguridad. dicho. «El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado».

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña de phishing en la que se suplantó la propia agencia de ciberseguridad para distribuir una herramienta de administración remota conocida como AGEWHEEZE.

Como parte de los ataques, los actores de amenazas, rastreados como UAC-0255envió correos electrónicos el 26 y 27 de marzo de 2026, haciéndose pasar por CERT-UA para distribuir un archivo ZIP protegido con contraseña alojado en Files.fm e instó a los destinatarios a instalar el «software especializado».

Los objetivos de la campaña incluyeron organizaciones estatales, centros médicos, empresas de seguridad, instituciones educativas, instituciones financieras y empresas de desarrollo de software. Algunos de los correos electrónicos fueron enviados desde la dirección de correo electrónico «incidents@cert-ua[.]tecnología.»

El archivo ZIP («CERT_UA_protection_tool.zip») está diseñado para descargar malware empaquetado como software de seguridad de la agencia. El malware, según CERT-UA, es un troyano de acceso remoto con nombre en código AGEWHEEZE.

AGEWHEEZE, un malware basado en Go, se comunica con un servidor externo («54.36.237[.]92») sobre WebSockets y admite una amplia gama de comandos para ejecutar comandos, realizar operaciones con archivos, modificar el portapapeles, emular el mouse y el teclado, tomar capturas de pantalla y administrar procesos y servicios. También crea persistencia mediante el uso de una tarea programada, modificando el Registro de Windows o agregándose al directorio de Inicio.

Se considera que el ataque no tuvo éxito en gran medida. «No se identificaron más que unos pocos dispositivos personales infectados pertenecientes a empleados de instituciones educativas de diversas formas de propiedad», dijo la agencia. «Los especialistas del equipo brindaron la asistencia metodológica y práctica necesaria».

Un análisis del sitio web falso «cert-ua»[.]tech» ha revelado que probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), y el código fuente HTML también incluye un comentario: «С Любовью, КИБЕР СЕРП», que significa «Con amor, CYBER SERP».

En publicaciones en Telegram, Cyber ​​Serp afirma que son «operadores cibernéticos de Ucrania». El canal Telegram fue creado en noviembre de 2025 y cuenta con más de 700 suscriptores.

El actor de amenazas también dijo que los correos electrónicos de phishing se enviaron a 1 millón de ucras.[.]buzones de correo netos como parte de la campaña, y que más de 200.000 dispositivos han sido comprometidos. «No somos bandidos: el ciudadano ucraniano medio nunca sufrirá como resultado de nuestras acciones», afirmó. dicho en una publicación.

El mes pasado, Cyber ​​Serp asumió la responsabilidad por una presunta violación de la empresa ucraniana de ciberseguridad Cipher, afirmando que obtuvo un volcado completo de los servidores, incluida una base de datos de clientes y el código fuente de su línea de productos CIPS, entre otros.

En un comunicado en su sitio web, Cipher admitido que los atacantes comprometieron las credenciales de un empleado de una de sus empresas de tecnología pero dijeron que su infraestructura estaba funcionando normalmente. El usuario infectado tuvo acceso a un único proyecto, que no contenía datos confidenciales, añadió.