La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-2441 (Puntuación CVSS: 8,8): una vulnerabilidad de uso después de la liberación en Google Chrome que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
• CVE-2024-7694 (Puntuación CVSS: 7,2) – Un vulnerabilidad de carga de archivos arbitrarios en TeamT5 ThreatSonar Anti-Ransomware versiones 3.4.5 y anteriores que podrían permitir a un atacante cargar archivos maliciosos y lograr la ejecución arbitraria de comandos del sistema en el servidor.
• CVE-2020-7796 (Puntuación CVSS: 9,8): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante enviar una solicitud HTTP diseñada a un host remoto y obtener acceso no autorizado a información confidencial.
• CVE-2008-0015 (Puntuación CVSS: 8,8): una vulnerabilidad de desbordamiento de búfer basada en pila en el control ActiveX de vídeo de Microsoft Windows que podría permitir a un atacante lograr la ejecución remota de código mediante la configuración de una página web especialmente diseñada.

La adición de CVE-2026-2441 al catálogo KEV se produce días después de que Google reconociera que «existe un exploit para CVE-2026-2441 en la naturaleza». Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma, pero dicha información generalmente se retiene hasta que la mayoría de los usuarios se actualizan con una solución para evitar que otros actores de amenazas se unan al tren de la explotación.

En cuanto a CVE-2020-7796, un informe publicado por la firma de inteligencia sobre amenazas GreyNoise en marzo de 2025 reveló que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2020-7796, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

«Cuando un usuario visita una página web que contiene un exploit detectado como Exploit:JS/CVE-2008-0015, puede conectarse a un servidor remoto y descargar otro malware», Microsoft notas en su enciclopedia de amenazas. También dijo que tiene conocimiento de casos en los que el exploit se utiliza para descargar y ejecutar perroun gusano que se propaga a través de unidades extraíbles.

El gusano viene con capacidades para recuperar y ejecutar binarios adicionales, sobrescribir ciertos archivos del sistema, finalizar una larga lista de procesos relacionados con la seguridad e incluso reemplazar el archivo Hosts de Windows en un intento de evitar que los usuarios accedan a sitios web asociados con programas de seguridad.

Actualmente no está claro cómo se explota la vulnerabilidad TeamT5 ThreatSonar Anti-Ransomware. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 10 de marzo de 2026 para una protección óptima.

Actualizar

en un publicación de seguimiento Publicado el 22 de febrero de 2026, TeamT5 dijo que la vulnerabilidad se relaciona con un problema identificado en 2024 y que desde entonces todos los clientes afectados han migrado desde versiones vulnerables de su producto ThreatSonar Anti-Ransomware.

La compañía de seguridad taiwanesa dijo que desde entonces ha mejorado su ciclo de vida de desarrollo de software seguro y sus controles de seguridad de productos, así como procesos estandarizados de respuesta a incidentes internos y gestión de vulnerabilidades.

(La historia se actualizó después de la publicación para incluir detalles de TeamT5).

Los ataques a la nube se mueven rápido, más rápido que la mayoría de los equipos de respuesta a incidentes.

En los centros de datos, las investigaciones tuvieron tiempo. Los equipos podrían recopilar imágenes de disco, revisar registros y crear cronogramas a lo largo de días. En la nube, la infraestructura dura poco. Una instancia comprometida puede desaparecer en minutos. Las identidades rotan. Los registros caducan. La evidencia puede desaparecer incluso antes de que comience el análisis.

Análisis forense de la nube es fundamentalmente diferente de la medicina forense tradicional. Si las investigaciones todavía se basan en la unión manual de registros, los atacantes ya tienen la ventaja.

Regístrese: vea la ciencia forense contextual en acción ➜

Por qué falla la respuesta tradicional a incidentes en la nube

La mayoría de los equipos enfrentan el mismo problema: alertas sin contexto.

Es posible que detecte una llamada API sospechosa, un nuevo inicio de sesión de identidad o un acceso inusual a datos, pero la ruta de ataque completa sigue sin estar clara en todo el entorno.

Los atacantes utilizan esta brecha de visibilidad para moverse lateralmente, escalar privilegios y alcanzar activos críticos antes de que los socorristas puedan conectar la actividad.

Para investigar las infracciones de la nube de forma eficaz, son esenciales tres capacidades:

• Visibilidad a nivel de host: Vea lo que ocurrió dentro de las cargas de trabajo, no solo la actividad del plano de control.
• Mapeo de contexto: Comprenda cómo se conectan las identidades, las cargas de trabajo y los activos de datos.
• Captura de evidencia automatizada: Si la recopilación de pruebas comienza manualmente, comienza demasiado tarde.

Cómo se ve la ciencia forense de la nube moderna

En esta sesión de seminario web, usted vea cómo funciona la ciencia forense automatizada y consciente del contexto en investigaciones reales. En lugar de recopilar evidencia fragmentada, los incidentes se reconstruyen utilizando señales correlacionadas, como telemetría de carga de trabajo, actividad de identidad, operaciones API, movimiento de red y relaciones de activos.

Esto permite a los equipos reconstruir cronogramas de ataque completos en minutos, con un contexto ambiental completo.

Las investigaciones en la nube a menudo se estancan porque la evidencia se encuentra en sistemas desconectados. Los registros de identidad residen en una consola, la telemetría de cargas de trabajo en otra y las señales de red en otros lugares. Los analistas deben cambiar de herramienta solo para validar una única alerta, lo que ralentiza la respuesta y aumenta la posibilidad de pasar por alto el movimiento del atacante.

La ciencia forense de la nube moderna consolida estas señales en una capa de investigación unificada. Al correlacionar las acciones de identidad, el comportamiento de la carga de trabajo y la actividad del plano de control, los equipos obtienen una visibilidad clara de cómo se desarrolló una intrusión, no solo dónde se activaron las alertas.

Las investigaciones pasan de la revisión reactiva de registros a la reconstrucción estructurada de ataques. Los analistas pueden rastrear secuencias de acceso, movimiento e impacto con el contexto adjunto a cada paso.

El resultado es un alcance más rápido, una atribución más clara de las acciones de los atacantes y decisiones de reparación más seguras, sin depender de herramientas fragmentadas ni retrasos en la recopilación de pruebas.

Regístrese para el seminario web ➜

Únete a la sesión para ver cómo la ciencia forense sensible al contexto hace que las infracciones en la nube sean completamente visibles.

Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web o las capacidades de recuperación de URL pueden convertirse en retransmisiones sigilosas de comando y control (C2), una técnica que podría permitir a los atacantes mezclarse con las comunicaciones empresariales legítimas y evadir la detección.

El método de ataque, que se ha demostrado contra Microsoft Copilot y xAI Grok, lleva el nombre en código IA como proxy C2 por Punto de control.

Aprovecha «el acceso web anónimo combinado con navegación y mensajes de resúmenes», dijo la compañía de ciberseguridad. «El mismo mecanismo también puede permitir operaciones de malware asistidas por IA, incluida la generación de flujos de trabajo de reconocimiento, secuencias de comandos de las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una intrusión».

El desarrollo señala otra evolución importante en la forma en que los actores de amenazas podrían abusar de los sistemas de inteligencia artificial, no solo para escalar o acelerar diferentes fases del ciclo de ciberataque, sino también aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información recopilada del host comprometido y evadir la detección.

Las herramientas de IA ya actúan como multiplicador de fuerza para los adversarioslo que les permite delegar pasos clave en sus campañas, ya sea para realizar reconocimientos, escaneo de vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código o desarrollar malware. Pero la IA como proxy C2 va un paso más allá.

Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por el atacante y devolver respuestas a través de sus interfaces web, transformándolo esencialmente en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.

En particular, todo esto funciona sin requerir una clave API o una cuenta registrada, lo que hace que los enfoques tradicionales como la revocación de clave o la suspensión de cuenta sean inútiles.

Visto de otra manera, este enfoque no es diferente de las campañas de ataque que han convertido en armas servicios confiables para la distribución de malware y C2. También se le conoce como vivir en sitios confiables (LOTS).

Sin embargo, para que todo esto suceda, existe un requisito previo clave: el actor de la amenaza ya debe haber comprometido una máquina por algún otro medio e instalado malware, que luego utiliza Copilot o Grok como canal C2 mediante indicaciones especialmente diseñadas que hacen que el agente de IA se comunique con la infraestructura controlada por el atacante y pase la respuesta que contiene el comando que se ejecutará en el host al malware.

Check Point también señaló que un atacante podría ir más allá de la generación de comandos para utilizar el agente de IA para diseñar una estrategia de evasión y determinar el siguiente curso de acción pasando detalles sobre el sistema y validando si vale la pena explotarlo.

«Una vez que los servicios de IA puedan usarse como una capa de transporte sigilosa, la misma interfaz también puede transmitir indicaciones y resultados de modelos que actúan como un motor de decisión externo, un trampolín hacia los implantes impulsados ​​por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.

La divulgación se produce semanas después de que la Unidad 42 de Palo Alto Networks demostrara una novedosa técnica de ataque en la que una página web aparentemente inocua se puede convertir en un sitio de phishing mediante el uso de llamadas API del lado del cliente a servicios confiables de modelo de lenguaje grande (LLM) para generar JavaScript malicioso dinámicamente en tiempo real.

El método es similar al reensamblaje de la última milla (LMR), que implica contrabandear malware a través de la red a través de canales no monitoreados como WebRTC y WebSocket, e insertarlos directamente en el navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.

«Los atacantes podrían utilizar indicaciones cuidadosamente diseñadas para eludir las barreras de seguridad de la IA, engañando al LLM para que devuelva fragmentos de código malicioso», afirman los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher. dicho. «Estos fragmentos se devuelven a través de la API del servicio LLM, luego se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución, lo que da como resultado una página de phishing completamente funcional».

Según nuevos hallazgos de Kaspersky, una nueva puerta trasera de Android que está integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar de forma remota su comportamiento.

El proveedor ruso de ciberseguridad dijo que descubrió la puerta trasera, denominada Keenaduen el firmware de dispositivos asociados con varias marcas, incluido Alldocube, y el compromiso se produce durante la fase de compilación del firmware. Keenadu se detectó en el firmware Alldocube iPlay 50 mini Pro que data del 18 de agosto de 2023. En todos los casos, la puerta trasera está integrada en el firmware de la tableta y los archivos de firmware llevan firmas digitales válidas. Los nombres de los otros proveedores no fueron revelados.

«En varios casos, el firmware comprometido se entregó con una actualización OTA», dijo el investigador de seguridad Dmitry Kalinin. dicho en un análisis exhaustivo publicado hoy. «Una copia de la puerta trasera se carga en el espacio de direcciones de cada aplicación al iniciarse. El malware es un cargador de múltiples etapas que otorga a sus operadores la capacidad ilimitada de controlar el dispositivo de la víctima de forma remota».

Algunas de las cargas útiles recuperadas por Keenadu le permiten secuestrar el motor de búsqueda en el navegador, monetizar nuevas instalaciones de aplicaciones e interactuar sigilosamente con elementos publicitarios. Una de las cargas útiles se encontró integrada en varias aplicaciones independientes distribuidas a través de repositorios de terceros, así como en mercados de aplicaciones oficiales como Google Play y Xiaomi GetApps.

Los datos de telemetría sugieren que 13.715 usuarios en todo el mundo han encontrado Keenadu o sus módulos, y la mayoría de los usuarios atacados por el malware se encuentran en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Keenadu fue revelado por primera vez por Kaspersky a finales de diciembre de 2025, describiéndolo como una puerta trasera en libandroid_runtime.so, una biblioteca compartida crítica en el sistema operativo Android que se carga durante el arranque. Una vez que está activo en un dispositivo infectado, se inyecta en el Cigoto proceso, un comportamiento también observado en otro malware de Android llamado Triada.

El malware se invoca mediante una llamada de función agregada a libandroid_runtime.so, después de lo cual verifica si se está ejecutando dentro de aplicaciones del sistema que pertenecen a los servicios de Google o a operadores de telefonía celular como Sprint o T-Mobile. Si es así, se aborta la ejecución. También tiene un interruptor de apagado para finalizarse si encuentra archivos con ciertos nombres en los directorios del sistema.

«A continuación, el troyano comprueba si se está ejecutando dentro del proceso system_server», dijo Kalinin. «Este proceso controla todo el sistema y posee privilegios máximos; lo inicia el proceso Zygote cuando se inicia».

Si esta verificación es verdadera, el malware procede a crear una instancia de la clase AKServer. De lo contrario, crea una instancia de la clase AKClient. El componente AKServer contiene la lógica central y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicación iniciada en el dispositivo y sirve como puente para interactuar con AKServer.

Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicación específica a la que se dirige. AKServer también expone otra interfaz que los módulos maliciosos descargados dentro de los contextos de otras aplicaciones pueden usar para otorgar o revocar permisos hacia/desde una aplicación arbitraria en el dispositivo, obtener la ubicación actual y extraer información del dispositivo.

El componente AKServer también está diseñado para ejecutar una serie de comprobaciones que hacen que el malware finalice si el idioma de la interfaz es chino y el dispositivo está ubicado dentro de una zona horaria china, o si Google Play Store o los servicios de Google Play no están en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la dirección C2 y envía metadatos del dispositivo en formato cifrado al servidor.

En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre las cargas útiles. Sin embargo, en lo que parece ser un intento de complicar el análisis y evadir la detección, un control adicional integrado en la puerta trasera impide que el servidor C2 entregue cargas útiles hasta que hayan transcurrido 2,5 meses desde el registro inicial.

«El servidor del atacante entrega información sobre las cargas útiles como una matriz de objetos», explicó Kaspersky. «Cada objeto contiene un enlace de descarga para la carga útil, su hash MD5, nombres de paquetes de aplicaciones de destino, nombres de procesos de destino y otros metadatos. En particular, los atacantes eligieron Alibaba Cloud como su proveedor de CDN».

Algunos de los módulos maliciosos identificados se enumeran a continuación:

• Cargador Keenaduque apunta a tiendas en línea populares como Amazon, Shein y Temu para entregar cargas útiles no especificadas. Sin embargo, se sospecha que permiten agregar artículos al carrito de compras de las aplicaciones sin el conocimiento de la víctima.
• Cargador de clicque se inyecta en YouTube, Facebook, Google Digital Wellbeing y el iniciador del sistema Android para entregar cargas útiles que pueden interactuar con elementos publicitarios en sitios web de juegos, recetas y noticias.
• módulo de Google Chromeque apunta al navegador Chrome para secuestrar solicitudes de búsqueda y redirigirlas a un motor de búsqueda diferente. Sin embargo, vale la pena señalar que el intento de secuestro puede fallar si la víctima selecciona una opción de las sugerencias de autocompletar según las palabras clave ingresadas en la barra de direcciones.
• nuevo clickerque está integrado en el selector de fondos de pantalla del sistema y utiliza aprendizaje automático y WebRTC para interactuar con elementos publicitarios. El mismo componente fue denominado en código Phantom por Doctor Web en un análisis publicado el mes pasado.
• Instalar monetizaciónque está integrado en el iniciador del sistema y monetiza las instalaciones de aplicaciones engañando a las plataformas publicitarias haciéndoles creer que una aplicación se instaló desde un anuncio publicitario legítimo.
• Módulo de Google Playque recupera el ID de publicidad de Google Ads y lo almacena bajo la clave «S_GA_ID3» para que otros módulos lo utilicen probablemente para identificar de forma única a una víctima.

Kaspersky dijo que también identificó otros vectores de distribución de Keenadu, incluso mediante la incorporación del cargador Keenadu en varias aplicaciones del sistema, como el servicio de reconocimiento facial y el iniciador del sistema, en el firmware de varios dispositivos. Esta táctica se observó en otro malware de Android conocido como Dwphon, que se integró en las aplicaciones del sistema responsables de las actualizaciones OTA.

Un segundo método se refiere a un artefacto del cargador Keenadu que está diseñado para operar dentro de un sistema donde el proceso system_server ya había sido comprometido por una puerta trasera preinstalada diferente que comparte similitudes con BADBOX. Eso no es todo. También se ha descubierto que Keenadu se propaga a través de aplicaciones troyanizadas para cámaras inteligentes en Google Play.

Los nombres de las aplicaciones, que fueron publicadas por un desarrollador llamado Hangzhou Denghong Technology Co., Ltd., son los siguientes:

• Eoolii (com.taismart.global): más de 100.000 descargas
• Ziicam (com.ziicam.aws) – 100,00+ descargas
• Eyeplus-Tu hogar en tus ojos (com.closeli.eyeplus) – Más de 100.000 descargas

Si bien estas aplicaciones ya no están disponibles para descargar desde Google Play, el desarrollador ha publicado el mismo conjunto de aplicaciones a la App Store de Apple también. Cuando se le contactó para hacer comentarios, Kaspersky dijo a The Hacker News que las versiones de iOS de las aplicaciones no incluyen la funcionalidad maliciosa. Esto da crédito a la opinión predominante de que Keenadu está diseñado principalmente para tabletas Android.

Dado que BADBOX actúa como vector de distribución para Keenadu en algunos casos, un análisis más detallado también ha descubierto conexiones de infraestructura entre Triada y BADBOX, lo que indica que estas botnets están interactuando entre sí. En marzo de 2025, HUMAN dijo que identificó superposiciones entre BADBOX y Vo1d, un malware de Android dirigido a cajas de TV de otras marcas basadas en Android.

El descubrimiento de Keenadu es preocupante por dos razones principales:

• Dado que el malware está integrado en libandroid_runtime.so, opera dentro del contexto de cada aplicación del dispositivo. Esto le permite obtener acceso encubierto a todos los datos y hacer que el sandboxing de aplicaciones de Android sea ineficaz.
• La capacidad del malware para eludir los permisos utilizados para controlar los privilegios de las aplicaciones dentro del sistema operativo lo convierte en una puerta trasera que otorga a los atacantes acceso y control ilimitados sobre el dispositivo comprometido.

«Los desarrolladores de puertas traseras preinstaladas en el firmware de los dispositivos Android siempre se han destacado por su alto nivel de experiencia», concluyó Kaspersky. «Esto sigue siendo cierto para Keenadu: los creadores del malware tienen un profundo conocimiento de la arquitectura de Android, el proceso de inicio de la aplicación y los principios básicos de seguridad del sistema operativo».

«Keenadu es una plataforma de malware compleja y de gran escala que proporciona a los atacantes un control ilimitado sobre el dispositivo de la víctima. Aunque actualmente hemos demostrado que la puerta trasera se utiliza principalmente para varios tipos de fraude publicitario, no descartamos que en el futuro el malware pueda seguir los pasos de Triada y comenzar a robar credenciales».

Actualizar

Tras la publicación de la historia, Google confirmó a The Hacker News que las tres aplicaciones maliciosas identificadas han sido eliminadas de Google Play, instando a los usuarios a asegurarse de que sus dispositivos tengan la certificación Play Protect. La declaración completa del portavoz de Google se reproduce textualmente a continuación:

Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Proteger Google Playque está activado de forma predeterminada en dispositivos Android con Servicios de Google Play. Google Play Protect puede advertir a los usuarios y deshabilitar aplicaciones que se sabe que exhiben un comportamiento asociado a Keenadu, incluso cuando esas aplicaciones provienen de fuentes externas a Play. Como mejor práctica de seguridad, recomendamos a los usuarios asegurarse de que su dispositivo esté Certificado Play Protect.

Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.

La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.

La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.

«Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente», Cisco dicho En un aviso, agregar el actor de amenazas podría aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.

La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:

• Implementación local
• Nube SD-WAN alojada en Cisco
• Nube SD-WAN alojada en Cisco: administrada por Cisco
• Nube SD-WAN alojada en Cisco: entorno FedRAMP

Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El especialista en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el apodo. UAT-8616describiendo el clúster como un «actor de amenazas cibernéticas altamente sofisticado».

La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:

• Antes de la versión 20.91: migre a una versión fija.
• Versión 20.9 – 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)
• Versión 20.111 – 20.12.6.1
• Versión 20.12.5 – 20.12.5.3
• Versión 20.12.6 – 20.12.6.1
• Versión 20.131 – 20.15.4.2
• Versión 20.141 – 20.15.4.2
• Versión 20.15 – 20.15.4.2
• Versión 20.161 – 20.18.2.1
• Versión 20.18 – 20.18.2.1

«Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos», advirtió Cisco.

La compañía también recomendó a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «Clave pública aceptada para vmanage-admin» de direcciones IP desconocidas o no autorizadas. También se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).

Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.

«La vulnerabilidad permitió a un actor cibernético malicioso crear un par deshonesto unido al plano de gestión de red, o plano de control, de la SD-WAN de una organización», dijo ASD-ACSC. «El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gestión y control».

Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de actualización incorporado para realizar una degradación de la versión del software y escalarla al usuario raíz mediante la explotación. CVE-2022-20775 (Puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y luego restaurar el software a la versión que se estaba ejecutando originalmente.

Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:

• Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
• Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
• Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN dentro del plano de administración.
• Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en «/var/log», el historial de comandos y el historial de conexiones de red.

«El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar tanto CVE-2022-20775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones dentro de las próximas 24 horas.

Para comprobar si hay una degradación de la versión y eventos de reinicio inesperados, CISA recomienda analizando los siguientes registros –

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

CISA también ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WANcomo parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.

Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Además, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por último, las agencias deberán presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.

Una «campaña coordinada dirigida a desarrolladores» utiliza repositorios maliciosos disfrazados de evaluaciones técnicas y proyectos Next.js legítimos para engañar a las víctimas para que los ejecuten y establezcan un acceso persistente a las máquinas comprometidas.

«La actividad se alinea con un grupo más amplio de amenazas que utilizan señuelos con temas laborales para integrarse en los flujos de trabajo rutinarios de los desarrolladores y aumentar la probabilidad de ejecución de código», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado esta semana.

El gigante tecnológico dijo que la campaña se caracteriza por el uso de múltiples puntos de entrada que conducen al mismo resultado, donde el JavaScript controlado por el atacante se recupera en tiempo de ejecución y se ejecuta para facilitar el comando y control (C2).

Los ataques se basan en que los actores de amenazas establezcan repositorios falsos en plataformas de desarrolladores confiables como Bitbucket, usando nombres como «Cryptan-Platform-MVP1» para engañar a los desarrolladores que buscan trabajos para que se ejecuten como parte de un proceso de evaluación.

Un análisis más profundo de los repositorios identificados ha descubierto tres rutas de ejecución distintas que, si bien se activan de diferentes maneras, tienen el objetivo final de ejecutar un JavaScript controlado por el atacante directamente en la memoria:

• Ejecución del espacio de trabajo de Visual Studio Codedonde los proyectos de Microsoft Visual Studio Code (VS Code) con configuración de automatización del espacio de trabajo se utilizan para ejecutar código malicioso recuperado de un dominio Vercel tan pronto como el desarrollador abre y confía en el proyecto. Esto implica el uso de runOn: «folderOpen» para configurar la tarea.
• Ejecución en tiempo de compilación durante el desarrollo de aplicacionesdonde se ejecuta manualmente el servidor de desarrollo a través de «npm ejecutar desarrollador» es suficiente para activar la ejecución de código malicioso incrustado en bibliotecas de JavaScript modificadas que se hacen pasar por jquery.min.js, lo que hace que busque un cargador de JavaScript alojado en Vercel. Luego, Node.js ejecuta la carga útil recuperada en la memoria.
• Ejecución de inicio del servidor mediante exfiltración del entorno y ejecución dinámica de código remotodonde el inicio del backend de la aplicación provoca que se ejecute una lógica de carga maliciosa oculta dentro de un módulo de backend o un archivo de ruta. El cargador transmite el entorno del proceso al servidor externo y ejecuta JavaScript recibido como respuesta en la memoria dentro del proceso del servidor Node.js.

Microsoft señaló que los tres métodos conducen a la misma carga útil de JavaScript que es responsable de crear perfiles del host y sondear periódicamente un punto final de registro para obtener un identificador «instanceId» único. Este identificador se proporciona posteriormente en encuestas de seguimiento para correlacionar la actividad.

También es capaz de ejecutar JavaScript proporcionado por el servidor en la memoria, lo que en última instancia allana el camino para un controlador de segunda etapa que convierte el punto de apoyo inicial en una vía de acceso persistente para recibir tareas contactando a un servidor C2 diferente y ejecutándolas en la memoria para minimizar dejar rastros en el disco.

Descripción general de la cadena de ataque

«El controlador mantiene la estabilidad y la continuidad de la sesión, publica telemetría de errores en un punto final de informes e incluye lógica de reintento para mayor resistencia», dijo Microsoft. «También rastrea los procesos generados y puede detener la actividad administrada y salir limpiamente cuando se le indique. Más allá de la ejecución de código bajo demanda, la Etapa 2 admite el descubrimiento y la exfiltración impulsados ​​por el operador».

Si bien el fabricante de Windows no atribuyó la actividad a un actor de amenaza específico, el uso de tareas de VS Code y dominios de Vercel para organizar malware es una táctica que ha sido adoptada por piratas informáticos vinculados a Corea del Norte asociados con una campaña de larga duración conocida como Contagious Interview.

El objetivo final de estos esfuerzos es obtener la capacidad de distribuir malware a los sistemas de los desarrolladores, que a menudo contienen datos confidenciales, como código fuente, secretos y credenciales, que pueden brindar oportunidades para profundizar en la red de destino.

Usar las esencias de GitHub en VS Code task.json en lugar de las URL de Vercel

En un informe publicado el miércoles, Abstract Security dicho ha observado un cambio en las tácticas de los actores de amenazas, en particular un aumento en los servidores de preparación alternativos utilizados en los comandos de tareas de VS Code en lugar de las URL de Vercel. Esto incluye el uso de scripts alojados en GitHub gists («gist.githubusercontent[.]com») para descargar y ejecutar cargas útiles de la siguiente etapa. Un enfoque alternativo emplea acortadores de URL como short[.]gy para ocultar las URL de Vercel.

La compañía de ciberseguridad dijo que también identificó un paquete npm malicioso vinculado a la campaña denominada «eslint-validator» que recupera y ejecuta una carga útil ofuscada desde una URL de Google Drive. La carga útil en cuestión es un conocido malware de JavaScript denominado BeaverTail.

Además, se ha descubierto que una tarea maliciosa de VS Code integrada en un repositorio de GitHub inicia una cadena de infección exclusiva de Windows que ejecuta un script por lotes para descargar el tiempo de ejecución de Node.js en el host (si no existe) y aprovecha el programa certutil para analizar un bloque de código contenido en el script. Luego, el script decodificado se ejecuta con el tiempo de ejecución de Node.js obtenido previamente para implementar un malware de Python protegido con PyArmor.

La empresa de ciberseguridad Red Asgard, que también ha sido extensamente rastreando el campaña, dicho Los actores de amenazas han aprovechado proyectos de código VS diseñados que utilizan el disparador runOn: «folderOpen» para implementar malware que, a su vez, consulta la cadena de bloques Polygon para recuperar JavaScript almacenado dentro de un contrato NFT para mejorar la resiliencia. La carga útil final es un ladrón de información que recopila credenciales y datos de navegadores web, billeteras de criptomonedas y administradores de contraseñas.

Distribución de la infraestructura de prueba utilizada por los actores de amenazas norcoreanos en 2025

«Esta campaña dirigida a desarrolladores muestra cómo un ‘proyecto de entrevista’ con tema de reclutamiento puede convertirse rápidamente en un camino confiable hacia la ejecución remota de código al integrarse en flujos de trabajo rutinarios de desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un backend», concluyó Microsoft.

Para contrarrestar la amenaza, la compañía recomienda que las organizaciones endurezcan los límites de confianza del flujo de trabajo de los desarrolladores, apliquen una autenticación sólida y un acceso condicional, mantengan una estricta higiene de las credenciales, apliquen el principio de privilegio mínimo a las cuentas de los desarrolladores y creen identidades, y separe la infraestructura de construcción cuando sea posible.

El desarrollo se produce cuando GitLab dijo que prohibió 131 cuentas únicas que participaban en la distribución de proyectos de código malicioso vinculados a la campaña Contagious Interview y el esquema fraudulento de trabajadores de TI conocido como Wagemole.

«Los actores de amenazas normalmente se originaban en VPN de consumidores cuando interactuaban con GitLab.com para distribuir malware; sin embargo, también se originaban de forma intermitente en infraestructuras VPS dedicadas y probablemente en direcciones IP de granjas de portátiles», Oliver Smith de GitLab. dicho. «Los actores de amenazas crearon cuentas utilizando direcciones de correo electrónico de Gmail en casi el 90% de los casos».

En más del 80% de los casos, según la plataforma de desarrollo de software, se dice que los actores de amenazas aprovecharon al menos seis servicios legítimos para alojar cargas útiles de malware, incluidos JSON Keeper, Mocki, npoint.io, Render, Railway.app y Vercel. Entre ellos, Vercel fue el más utilizado, y los actores de amenazas confiaron en la plataforma de desarrollo web no menos de 49 veces en 2025.

«En diciembre, observamos un grupo de proyectos que ejecutaban malware a través de tareas de VS Code, ya sea canalizando contenido remoto a un shell nativo o ejecutando un script personalizado para decodificar malware a partir de datos binarios en un archivo de fuente falso», agregó Smith, corroborando los hallazgos de Microsoft antes mencionados.

Organigrama evaluado de la célula de trabajadores de TI de Corea del Norte

GitLab también descubrió un proyecto privado «casi con certeza» controlado por un ciudadano norcoreano que administra una célula de trabajadores de TI de Corea del Norte que contenía registros financieros y de personal detallados que mostraban ganancias de más de $ 1,64 millones entre el primer trimestre de 2022 y el tercer trimestre de 2025. El proyecto incluía más de 120 hojas de cálculo, presentaciones y documentos que rastreaban el desempeño de los ingresos trimestrales de los miembros individuales del equipo.

«Los registros demuestran que estas operaciones funcionan como empresas estructuradas con objetivos y procedimientos operativos definidos y una estrecha supervisión jerárquica», señaló GitLab. «La capacidad demostrada de esta célula para cultivar facilitadores a nivel mundial proporciona un alto grado de resiliencia operativa y flexibilidad en el lavado de dinero».

Una cuenta de GitHub asociada con un trabajador de TI de Corea del Norte

En un informe publicado a principios de este mes, Okta dijo que la «gran mayoría» de las entrevistas con trabajadores de TI no avanzan hacia una segunda entrevista u oferta de trabajo, pero señaló que están «aprendiendo de sus errores» y que un gran número de ellos buscan trabajo por contrato temporal como desarrolladores de software contratados por empresas de terceros para aprovechar el hecho de que es poco probable que apliquen verificaciones de antecedentes rigurosas.

«Sin embargo, algunos actores parecen ser más competentes a la hora de crear personajes y pasar entrevistas de proyección», afirma. agregado. Está en juego una especie de selección natural del trabajador de TI. Los actores más exitosos son muy prolíficos y programaron cientos de entrevistas cada uno.»

Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso descubierto en la Galería NuGet, que se hace pasar por una biblioteca de la empresa de servicios financieros Stripe en un intento de apuntar al sector financiero.

El paquete, cuyo nombre en código es StripeApi.Net, intenta hacerse pasar por raya.netuna biblioteca legítima de Stripe que cuenta con más de 75 millones de descargas. Fue subido por un usuario llamado StripePayments el 16 de febrero de 2026. El paquete ya no está disponible.

«La página NuGet para el paquete malicioso está configurada para parecerse lo más posible al paquete oficial Stripe.net», ReversingLabs Petar Kirhmajer dicho. «Utiliza el mismo ícono que el paquete legítimo y contiene un archivo Léame casi idéntico, solo intercambia las referencias a ‘Stripe.net’ para que diga ‘Stripe-net’».

En un esfuerzo adicional por dar credibilidad al paquete con errores tipográficos, se dice que el actor de amenazas detrás de la campaña infló artificialmente el recuento de descargas a más de 180.000. Pero en un giro interesante, las descargas se dividieron en 506 versiones, y cada versión registró unas 300 descargas en promedio.

El paquete replica algunas de las funciones del paquete Stripe legítimo, pero también modifica ciertos métodos críticos para recopilar y transferir datos confidenciales, incluido el token API de Stripe del usuario, al actor de la amenaza. Dado que el resto de las bases de código siguen siendo completamente funcionales, es poco probable que atraiga sospechas de desarrolladores desprevenidos que puedan haberlo descargado sin darse cuenta.

ReversingLabs dijo que descubrió e informó sobre el paquete «relativamente pronto» después de su lanzamiento inicial, lo que provocó que lo tomaran antes de que pudiera causar daños graves.

La empresa de seguridad de la cadena de suministro de software también señaló que la actividad marca un cambio con respecto a campañas anteriores que aprovecharon paquetes NuGet falsos para apuntar al ecosistema de criptomonedas y facilitar el robo de claves de billetera.

«Los desarrolladores que por error descarguen e integren una biblioteca con errores tipográficos como StripeAPI.net aún tendrán sus aplicaciones compiladas exitosamente y funcionarán según lo previsto», dijo Kirhmajer. «Los pagos se procesarían normalmente y, desde la perspectiva del desarrollador, nada parecería roto. Sin embargo, en el fondo, actores maliciosos copian y filtran en secreto datos confidenciales».

Introducción: Róbalo hoy, rómpelo en una década La evolución digital es imparable y, aunque el ritmo puede variar, las cosas tienden a encajar más temprano que tarde. Esto, por supuesto, también se aplica a los adversarios. El aumento del ransomware y la ciberextorsión generó financiación para un ecosistema criminal complejo y altamente profesional. La era de la nube trajo la disponibilidad general de

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.

Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada «propsys.dll» o «batmeter.dll».

La carga útil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable legítimo de Windows (por ejemplo, «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica denominada Carga lateral de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados ​​en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de ganchos de modo de usuario en NTDLL.dll.

Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

«Si bien el malware UAT-10027 comparte superposiciones técnicas con el Grupo Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.

«Sin embargo, […] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativodestacando las superposiciones en la victimología del UAT-10027 con la de otros APT norcoreanos».

Nothing here looks dramatic at first glance. That’s the point. Many of this week’s threats begin with something ordinary, like an ad, a meeting invite, or a software update.

Behind the scenes, the tactics are sharper. Access happens faster. Control is established sooner. Cleanup becomes harder.

Here is a quick look at the signals worth paying attention to.

These stories may seem separate, but they point in the same direction. Speed is increasing. Deception is improving. And attackers are finding new ways to blend into everyday activity.

The warning signs are there for those who look closely. Small gaps, delayed patches, misplaced trust, and rushed clicks still make the biggest difference.

Staying aware of these shifts is no longer optional. The details change each week. The pressure does not.