Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados», afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho. «En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

«Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «soporte» y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.

Luego, el actor de la amenaza siguió comprobando periódicamente para asegurarse de que el dispositivo fuera accesible, una acción consistente con un corredor de acceso inicial (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.

«La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», dijo SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un acceso más profundo. Después de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento lateral adicional.

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor de amenazas descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware Java, lanzado mediante carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y la sección de registro del SISTEMA a un servidor externo («172.67.196[.]232») sobre el puerto 443.

«Si bien es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la recolección de credenciales y la contención del incidente», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware».

Investigadores de ciberseguridad han descubierto un paquete npm malicioso que se hace pasar por un instalador de OpenClaw para implementar un troyano de acceso remoto (RAT) y robar datos confidenciales de hosts comprometidos.

El paquete, llamado «@openclaw-ai/openclawai,» fue subido al registro por un usuario llamado «openclaw-ai» el 3 de marzo de 2026. Se ha descargado 178 veces hasta la fecha. La biblioteca todavía está disponible para descargar en el momento de escribir este artículo.

JFrog, que descubrió el paquete, dijo que está diseñado para robar credenciales del sistema, datos del navegador, billeteras criptográficas, claves SSH, bases de datos de Apple Keychain e historial de iMessage, así como para instalar un RAT persistente con capacidades de acceso remoto, proxy SOCKS5 y clonación de sesiones de navegador en vivo.

«El ataque se destaca por su amplia recopilación de datos, su uso de ingeniería social para obtener la contraseña del sistema de la víctima y la sofisticación de su persistencia y C2. [command-and-control] infraestructura», dijo el investigador de seguridad Meitar Palas dicho. «Internamente, el malware se identifica como GhostLoader».

La lógica maliciosa se activa mediante un gancho postinstalación, que reinstala el paquete globalmente usando el comando: «npm i -g @openclaw-ai/openclawai». Una vez completada la instalación, el binario de OpenClaw apunta a «scripts/setup.js» mediante la propiedad «bin» en el archivo «package.json».

Vale la pena señalar que el «papelera«El campo se utiliza para definir archivos ejecutables que deben agregarse a la RUTA del usuario durante la instalación del paquete. Esto, a su vez, convierte el paquete en una herramienta de línea de comandos accesible globalmente.

El archivo «setup.js» sirve como cuentagotas de primera etapa que, al ejecutarse, muestra una convincente interfaz de línea de comandos falsa con barras de progreso animadas para dar la impresión de que OpenClaw se está instalando en el host. Una vez completado el supuesto paso de instalación, el script muestra un mensaje de autorización falso del llavero iCloud, solicitando a los usuarios que ingresen su contraseña del sistema.

Simultáneamente, el script recupera una carga útil JavaScript cifrada de segunda etapa del servidor C2 («trackpipe[.]dev»), que luego se decodifica, se escribe en un archivo temporal y se genera como un proceso secundario separado para continuar ejecutándose en segundo plano. El archivo temporal se elimina después de 60 segundos para cubrir los rastros de la actividad.

«Si no se puede acceder al directorio de Safari (no hay acceso completo al disco), el script muestra un cuadro de diálogo de AppleScript que insta al usuario a otorgar FDA a la Terminal, completo con instrucciones paso a paso y un botón que abre Preferencias del Sistema directamente», explicó JFrog. «Esto permite que la carga útil de la segunda etapa robe notas de Apple, iMessage, historial de Safari y datos de correo».

La segunda etapa de JavaScript, que cuenta con alrededor de 11,700 líneas, es un ladrón de información completo y un marco RAT que es capaz de persistencia, recopilación de datos, descifrado del navegador, comunicación C2, un proxy SOCKS5 y clonación en vivo del navegador. También está equipado para robar una amplia gama de datos.

• Llavero macOS, incluidas las bases de datos login.keychain-db local y todas las bases de datos de llavero iCloud
• Credenciales, cookies, tarjetas de crédito y datos de autocompletar de todos los navegadores basados ​​en Chromium, como Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, Yandex y Comet.
• Datos de aplicaciones de billetera de escritorio y extensiones de navegador
• Frases iniciales de billetera de criptomonedas
• Claves SSH
• Credenciales de desarrollador y de nube para AWS, Microsoft Azure, Google Cloud, Kubernetes, Docker y GitHub
• Configuraciones de agentes de inteligencia artificial (IA), y
• Datos protegidos por la FDA, incluidas Apple Notes, historial de iMessage, historial de navegación de Safari, configuraciones de cuentas de correo e información de cuentas de Apple

En la etapa final, los datos recopilados se comprimen en un archivo tar.gz y se filtran a través de múltiples canales, incluso directamente al servidor C2, Telegram Bot API y GoFile.io.

Es más, el malware entra en un modo demonio persistente que le permite monitorear el contenido del portapapeles cada tres segundos y transmitir cualquier dato que coincida con uno de los nueve patrones predefinidos correspondientes a claves privadas. clave WIFclave privada SOL, clave privada RSA, dirección BTC, dirección Ethereum, clave AWS, clave OpenAI y clave Strike.

Otras características incluyen controlar los procesos en ejecución, escanear los chats entrantes de iMessage en tiempo real y ejecutar comandos enviados desde el servidor C2 para ejecutar un comando de shell arbitrario, abrir una URL en el navegador predeterminado de la víctima, descargar cargas útiles adicionales, cargar archivos, iniciar/detener un proxy SOCKS5, enumerar los navegadores disponibles, clonar un perfil de navegador e iniciarlo en modo sin cabeza, detener la clonación del navegador, autodestruirse y actualizarse.

La función de clonación del navegador es particularmente peligrosa ya que inicia una instancia de Chromium sin cabeza con el perfil del navegador existente que contiene cookies, datos de inicio de sesión y de historial. Esto le brinda al atacante una sesión de navegador completamente autenticada sin necesidad de acceder a credenciales.

«El paquete @openclaw-ai/openclawai combina ingeniería social, entrega de carga útil cifrada, amplia recopilación de datos y una RAT persistente en un único paquete npm», dijo JFrog.

«El instalador de CLI falso y pulido y el mensaje de Llavero son lo suficientemente convincentes como para extraer contraseñas del sistema de desarrolladores cautelosos, y una vez capturadas, esas credenciales desbloquean el descifrado de Llavero de macOS y la extracción de credenciales del navegador que de otro modo serían bloqueadas por protecciones a nivel de sistema operativo».

Las organizaciones suelen implementar la autenticación multifactor (MFA) y suponen que las contraseñas robadas ya no son suficientes para acceder a los sistemas. En entornos Windows, esa suposición suele ser errónea. Los atacantes siguen comprometiendo las redes todos los días utilizando credenciales válidas. La cuestión no es la ayuda macrofinanciera en sí, sino la cobertura.

Se aplica a través de un proveedor de identidad (IdP) como Microsoft Entra ID, Okta o Google Workspace. MFA funciona bien para aplicaciones en la nube e inicios de sesión federados. Pero muchos inicios de sesión de Windows dependen únicamente de rutas de autenticación de Active Directory (AD) que nunca activan mensajes de MFA. Para reducir el riesgo basado en credenciales, los equipos de seguridad deben comprender dónde ocurre la autenticación de Windows fuera de su pila de identidades.

Siete rutas de autenticación de Windows en las que confían los atacantes

1. Inicio de sesión interactivo de Windows (local o unido a un dominio)

Cuando un usuario inicia sesión directamente en una estación de trabajo o servidor de Windows, la autenticación normalmente la maneja AD (a través de Kerberos o NTLM), no mediante un IdP en la nube.

En entornos híbridosincluso si Entra ID aplica MFA para aplicaciones en la nube, los controladores de dominio locales validan los inicios de sesión tradicionales de Windows en sistemas unidos a un dominio. A menos que se implemente Windows Hello for Business, tarjetas inteligentes u otro mecanismo MFA integrado, no hay ningún factor adicional en ese flujo.

Si un atacante obtiene la contraseña de un usuario (o hash NTLM), puede autenticarse en una máquina unida a un dominio sin activar las políticas MFA que protegen las aplicaciones de software como servicio o el inicio de sesión único federado. Desde la perspectiva del controlador de dominio, esta es una solicitud de autenticación estándar.

Herramientas como Acceso seguro a Specops son clave para limitar el riesgo de abuso de credenciales en estos escenarios. Al aplicar MFA para el inicio de sesión de Windows, así como para las conexiones VPN y de Protocolo de escritorio remoto (RDP), esta herramienta dificulta que los atacantes obtengan acceso no autorizado a su red. Esto se extiende incluso a los inicios de sesión fuera de línea, que están protegidos con autenticación con contraseña de un solo uso.

Acceso seguro a Specops

2. Acceso RDP directo que evita el acceso condicional

RDP es uno de los métodos de acceso más específicos en entornos Windows. Incluso cuando RDP no está expuesto a Internet, los atacantes suelen llegar a través de movimiento lateral después del compromiso inicial. Una sesión RDP directa a un servidor no pasa automáticamente por los controles MFA basados ​​en la nube, lo que significa que el inicio de sesión puede depender únicamente de la credencial AD subyacente.

3. Autenticación NTLM

NTLM es un protocolo de autenticación heredado que, a pesar de estar en desuso a favor del protocolo Kerberos, más seguro, todavía existe por razones de compatibilidad. También es un vector de ataque común porque admite técnicas como pass-the-hash.

En los ataques pass-the-hash, el atacante no necesita la contraseña en texto plano; en su lugar, utilizan el hash NTLM para autenticarse. Ministerio de Asuntos Exteriores no ayuda si el sistema acepta el hash como prueba de identidad.

NTLM también puede aparecer en flujos de autenticación internos que las organizaciones tal vez no monitoreen activamente; sólo un incidente o una auditoría lo revelará a los equipos de seguridad.

4. Abuso de tickets de Kerberos

Kerberos es el protocolo de autenticación principal para AD. En lugar de robar contraseñas directamente, Los atacantes roban tickets de Kerberos. desde la memoria o generar tickets falsificados después de comprometer cuentas privilegiadas. Esto permite técnicas como:

• Pase el boleto
• Boleto Dorado
• Boleto de Plata

Estos ataques permiten el acceso a largo plazo y el movimiento lateral y también reducen la necesidad de inicios de sesión repetidos, lo que reduce las posibilidades de detección. Estos ataques pueden persistir incluso después de restablecer la contraseña si el compromiso subyacente no se aborda por completo.

5. Cuentas de administrador local y reutilización de credenciales

Las organizaciones todavía dependen de cuentas de administrador local para tareas de soporte y recuperación del sistema. Si las contraseñas de administrador local se reutilizan en todos los puntos finales, los atacantes pueden escalar un compromiso hacia un acceso amplio.

Las cuentas de administrador local generalmente se autentican directamente en el punto final, evitando por completo los controles de MFA. No se aplican las políticas de acceso condicional de Entra ID. Ésta es una de las razones por las que el volcado de credenciales sigue siendo tan eficaz en entornos Windows.

6. Autenticación y movimiento lateral del Bloque de mensajes del servidor (SMB)

SMB se utiliza para compartir archivos y acceder remotamente a recursos de Windows. También es una de las rutas de movimiento lateral más confiables una vez que un atacante tiene credenciales válidas. Los atacantes suelen utilizar SMB para acceder a recursos compartidos administrativos como C$ o para interactuar con sistemas de forma remota utilizando credenciales válidas.

Si la autenticación SMB se trata como tráfico interno, rara vez se aplica MFA en esta capa. Si el atacante tiene credenciales válidas, puede usar SMB para moverse rápidamente entre sistemas.

7. Cuentas de servicio que nunca activan MFA

cuentas de servicio existen para ejecutar tareas programadas, aplicaciones, integraciones y servicios del sistema. Suelen tener credenciales estables, amplios permisos y una larga vida útil.

En muchas organizaciones, las contraseñas de las cuentas de servicio no caducan y rara vez se controlan. También son difíciles de proteger con MFA porque la autenticación está automatizada. Con frecuencia, estas cuentas se utilizan en aplicaciones heredadas que no pueden admitir controles de autenticación modernos.

Esta es una de las razones por las que los atacantes apuntan credenciales de soporte técnico y acceso de administrador de endpoints en las primeras etapas de una intrusión.

Cómo cerrar las brechas de autenticación de Windows

Los equipos de seguridad deben tratar la autenticación de Windows como su propia superficie de seguridad. Hay varias medidas prácticas que los equipos de seguridad pueden tomar para reducir la exposición:

1. Aplicar políticas de contraseñas más seguras en AD

Se debe aplicar una política de contraseñas segura frases de contraseña más largas de 15 o más caracteres. Las frases de contraseña son más fáciles de recordar para los usuarios y más difíciles de descifrar para los atacantes. Las políticas sólidas también deberían impedir la reutilización de contraseñas y bloquear patrones débiles que los atacantes puedan adivinar.

2. Bloquear continuamente las contraseñas comprometidas

El robo de credenciales no siempre es el resultado de ataques de fuerza bruta. Miles de millones de contraseñas ya están disponibles en conjuntos de datos violados para que los atacantes las reutilicen. ataques de credenciales. El bloqueo de contraseñas comprometidas en el momento de su creación reduce la posibilidad de que los usuarios establezcan credenciales que los atacantes ya tienen.

3. Reducir la exposición a protocolos de autenticación heredados

Siempre que sea posible, las organizaciones deben restringir o eliminar la autenticación NTLM. Los equipos de seguridad deben fijarse el objetivo de comprender dónde existe NTLM, reducirlo cuando sea posible y reforzar los controles cuando no se pueda eliminar.

4. Audite las cuentas de servicio y reduzca la pérdida de privilegios

Trate las cuentas de servicio como identidades de alto riesgo. Las organizaciones deben inventariarlos, reducir privilegios innecesariosrotar credenciales y eliminar cuentas que ya no sean necesarias. Si una cuenta de servicio tiene permisos a nivel de dominio, la organización debe asumir que será el objetivo.

Cómo puede ayudar Specops

Las políticas de contraseñas sólidas y las comprobaciones proactivas de credenciales comprometidas conocidas son dos de las formas más efectivas de reducir el riesgo de ataques basados ​​en credenciales. Política de contraseñas de Specops ayuda aplicando controles de contraseña flexibles que van más allá de lo que está disponible de forma nativa en Microsoft.

Política de contraseñas de Specops

Es Protección de contraseña violada La función verifica continuamente las contraseñas de Active Directory con una base de datos de más de 5,4 mil millones de credenciales expuestas, avisándole rápidamente si se descubre que la contraseña de un usuario está en riesgo. Si está interesado en ver cómo Specops puede ayudar a su organización, hable con un experto o reservar una demostración para ver nuestras soluciones en acción.

Una operación conjunta de aplicación de la ley ha sido desmantelada Base de fugasuno de los foros en línea más grandes del mundo para que los ciberdelincuentes compren y vendan datos robados y herramientas de cibercrimen.

El foro LeakBase, según el Departamento de Justicia de EE. UU. (DoJ), tenía más de 142.000 miembros y más de 215.000 mensajes entre miembros en diciembre de 2025. Aquellos que intentaban acceder al sitio web del foro («base de fugas[.]la«) ahora son recibidos con un cartel de incautación que dice que fue confiscado por la Oficina Federal de Investigaciones (FBI) de Estados Unidos como parte de un esfuerzo internacional de aplicación de la ley.

«Todo el contenido del foro, incluidas las cuentas de los usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP, se ha protegido y conservado con fines probatorios», se lee en el cartel.

Disponible en inglés y accesible a través de clearnet, LeakBase ofreció bases de datos pirateadasincluidos cientos de millones de credenciales de cuentas e información financiera, como números de tarjetas de crédito y débito, información de ruta y cuenta bancaria, nombres de usuario y contraseñas asociadas, de las que se podría abusar para facilitar la apropiación de cuentas.

Según un informe Publicado por Flare en abril de 2023, LeakBase prohibía explícitamente a los usuarios vender o publicar bases de datos rusas, probablemente en un intento de evitar el escrutinio. El foro ha estado activo desde junio de 2021.

LeakBase es uno de los alias de Chucky, que también se conoce con los apodos Chuckies y Sqlrip en varios foros clandestinos. Por SOCRadarel actor de amenazas tiene un historial de compartir vastas colecciones de bases de datos, que a menudo contienen información confidencial de entidades globales.

Es más, SpyCloud reveló A principios del mes pasado, el foro había estado inactivo durante unos días y Chucky estaba buscando un nuevo proveedor de alojamiento. Algunos de los otros administradores y moderadores conocidos de LeakBase incluyen BloodyMery, OrderCheck y TSR.

Como parte del ejercicio de interrupción denominado Operación Fuga que tuvo lugar los días 3 y 4 de marzo de 2026, las autoridades ejecutaron órdenes de registro, realizaron arrestos y realizaron entrevistas en los EE. UU., Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

En un anuncio coordinado, Europol dicho LeakBase se especializó en la venta de registros de ladrones, que contienen archivos de credenciales recopiladas mediante malware de ladrones de información. La información podría utilizarse como arma para realizar apropiaciones de cuentas, fraudes y otras intrusiones cibernéticas.

La agencia dijo que se llevaron a cabo alrededor de 100 acciones coercitivas en todo el mundo, incluida la adopción de medidas no especificadas contra 37 de los usuarios más activos de las plataformas.

«El FBI, Europol y agencias policiales de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios». dicho Brett Leatherman, subdirector de la División Cibernética del FBI.