El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.
Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.
«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».
Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.
Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).
En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.
«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».
El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.
¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
En septiembre de 2025, Antrópico revelado que un actor de amenazas patrocinado por el estado utilizó un agente de codificación de IA para ejecutar una campaña autónoma de ciberespionaje contra 30 objetivos globales. La IA manejó entre el 80 y el 90 % de las operaciones tácticas por sí sola, realizando reconocimientos, escribiendo códigos de explotación e intentando movimientos laterales a la velocidad de la máquina.
Este incidente es preocupante, pero hay un escenario que debería preocupar aún más a los equipos de seguridad: un atacante que no necesita recorrer la cadena de destrucción en absoluto, porque ha comprometido a un agente de IA que ya vive dentro de su entorno. Uno que ya tenga el acceso, los permisos y una razón legítima para moverse por sus sistemas todos los días.
Un marco creado para las amenazas humanas
La cadena de destrucción cibernética tradicional supone que los atacantes deben ganarse cada centímetro de acceso. es un modelo desarrollado por Lockheed Martin en 2011 para describir cómo los adversarios pasan del compromiso inicial a su objetivo final, y ha dado forma a cómo los equipos de seguridad piensan sobre la detección desde entonces.
La lógica es simple: los atacantes deben completar una secuencia de pasos y los defensores pueden interrumpir la cadena en cualquier punto. Cada etapa por la que tiene que pasar un atacante es otra oportunidad para atraparlo.
Una intrusión típica pasa por distintas etapas:
Acceso inicial (explotación de una vulnerabilidad, etc.)
Persistencia sin activar alertas
Reconocimiento para comprender el entorno.
Movimiento lateral para alcanzar datos valiosos
Escalada de privilegios cuando el acceso no es suficiente
Exfiltración evitando controles DLP
Cada etapa crea oportunidades de detección: la seguridad de los terminales puede detectar la carga útil inicial, el monitoreo de la red puede detectar movimientos laterales inusuales, los sistemas de identidad pueden señalar una escalada de privilegios y las correlaciones SIEM pueden vincular comportamientos anómalos en todos los sistemas. Cuantos más pasos dé un atacante, más posibilidades habrá de tropezar con un cable.
Esta es la razón por la que los actores de amenazas avanzadas como LUCR-3 y APT29 invierten mucho en sigilo, pasando semanas viviendo de la tierra y mezclándose con el tráfico normal. Incluso entonces, dejan artefactos: ubicaciones de inicio de sesión inusuales, patrones de acceso extraños, ligeras desviaciones del comportamiento inicial. Estos artefactos son exactamente para lo que están diseñados los sistemas de detección modernos.
El problema aquí, sin embargo, es que los agentes de IA realmente no siguen este manual.
Lo que ya tiene un agente de IA
Los agentes de IA operan de manera fundamentalmente diferente a los usuarios humanos. Funcionan en todos los sistemas, mueven datos entre aplicaciones y se ejecutan continuamente. Si se ve comprometido, un atacante evita toda la cadena de eliminación: el propio agente se convierte en la cadena de eliminación.
Piense en a qué suele tener acceso un agente de IA. Su historial de actividad es un mapa perfecto de qué datos existen y dónde residen. Probablemente extrae de Salesforce, ingresa a Slack, se sincroniza con Google Drive y actualiza ServiceNow como parte de su flujo de trabajo normal. Se le otorgaron amplios permisos durante la implementación, a menudo acceso a nivel de administrador en múltiples aplicaciones, y ya mueve datos entre sistemas como parte de su trabajo.
Un atacante que compromete a ese agente lo hereda todo al instante. Obtienen el mapa, el acceso, los permisos y una razón legítima para mover datos. ¿Cada etapa de la cadena de destrucción que los equipos de seguridad han pasado años aprendiendo a detectar? El agente los omite todos de forma predeterminada.
Aproximadamente el 12% de las habilidades en su mercado público eran maliciosas. Una vulnerabilidad crítica de RCE permitió un compromiso con un solo clic. Más de 21.000 casos fueron expuestos públicamente. Pero la parte más aterradora era a qué podía acceder un agente comprometido una vez conectado a Slack y Google Workspace: mensajes, archivos, correos electrónicos y documentos, con memoria persistente entre sesiones.
El principal problema es que las herramientas de seguridad están diseñadas para detectar comportamientos anormales. Cuando un atacante aprovecha el flujo de trabajo existente de un agente de IA, todo parece normal. El agente accede a los sistemas a los que siempre accede, mueve los datos que siempre mueve y opera en los momentos en que siempre opera.
Esta es la brecha de detección a la que se enfrentan los equipos de seguridad.
Cómo Reco cierra la brecha de visibilidad
La defensa contra agentes de IA comprometidos comienza con saber qué agentes están operando en su entorno, a qué se conectan y qué permisos tienen. La mayoría de las organizaciones no tienen un inventario de los agentes de IA que tocan su ecosistema SaaS. Este es exactamente el tipo de problema para el que Reco fue creado.
Descubra todos los agentes de IA en juego
Agentic AI Security de Reco descubre cada agente de IA, función de IA integrada e integración de IA de terceros en su entorno SaaS, incluidas las herramientas de IA en la sombra conectadas sin la aprobación de TI.
Figura 1: Inventario de agentes de IA de Reco, que muestra los agentes descubiertos y sus conexiones con GitHub.
Alcance de acceso al mapa y radio de explosión
Para cada agente, Reco asigna a qué aplicaciones SaaS se conecta, qué permisos tiene y a qué datos puede acceder. recoco Visualización de SaaS a SaaS muestra exactamente cómo los agentes se integran en su ecosistema de aplicaciones, mostrando combinaciones tóxicas en las que los agentes de IA unen sistemas a través de integraciones MCP, OAuth o API, creando desgloses de permisos que ningún propietario de la aplicación autorizaría.
Figura 2: Gráfico de conocimiento de Reco que muestra una combinación tóxica entre Slack y Cursor a través de MCP.
Marcar objetivos y hacer cumplir el privilegio mínimo
Reco identifica qué agentes representan su mayor exposición al evaluar el alcance del permiso, el acceso entre sistemas y la sensibilidad de los datos. Los agentes asociados a riesgos emergentes se etiquetan automáticamente. Desde allí, Reco le ayuda a acceder al tamaño adecuado a través de gobernanza de identidad y accesolimitando directamente lo que un atacante puede hacer si un agente se ve comprometido.
Figura 3: Verificaciones de postura de la IA de Reco con puntuaciones de seguridad y hallazgos de cumplimiento de IAM.
Detectar actividad anómala del agente
recoco motor de detección de amenazas aplica un análisis de comportamiento centrado en la identidad a los agentes de IA de la misma manera que lo hace con las identidades humanas, distinguiendo la automatización normal de las desviaciones sospechosas en tiempo real.
Figura 4: Una alerta de Reco que señala una conexión ChatGPT no autorizada a SharePoint.
Lo que esto significa para su equipo
La cadena de destrucción tradicional suponía que los atacantes tenían que luchar por cada centímetro de acceso. Los agentes de IA cambian por completo esa suposición.
Un agente comprometido puede brindarle a un atacante acceso legítimo, un mapa perfecto del entorno, amplios permisos y cobertura incorporada para el movimiento de datos, sin un solo paso que parezca una intrusión.
Los equipos de seguridad que todavía se centran exclusivamente en detectar el comportamiento de los atacantes humanos se lo perderán. Los atacantes aprovecharán los flujos de trabajo existentes de sus agentes de IA, invisibles en el ruido de las operaciones normales.
Tarde o temprano, un agente de IA en su entorno será el objetivo. La visibilidad es la diferencia entre detectarlo temprano y descubrirlo durante la respuesta al incidente. Reco le brinda esa visibilidad, en todo su ecosistema SaaS, en minutos.
¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
TeamPCP, el actor de amenazas detrás de los recientes compromisos de Trivy y KICS, ahora ha comprometido un popular paquete de Python llamado litelmoimpulsando dos versiones maliciosas que contienen un recolector de credenciales, un conjunto de herramientas de movimiento lateral de Kubernetes y una puerta trasera persistente.
Múltiples proveedores de seguridad, incluidos Laboratorios Endor y JFrogreveló que las versiones 1.82.7 y 1.82.8 de Litellm eran publicado el 24 de marzo de 2026, probablemente debido a la uso del paquete de Trivy en su flujo de trabajo CI/CD. Desde entonces, ambas versiones con puerta trasera se han eliminado de PyPI.
«La carga útil es un ataque de tres etapas: un recolector de credenciales que barre claves SSH, credenciales de nube, secretos de Kubernetes, billeteras de criptomonedas y archivos .env; un conjunto de herramientas de movimiento lateral de Kubernetes que implementa pods privilegiados en cada nodo; y una puerta trasera persistente systemd (sysmon.service) que sondea ‘checkmarx[.]zona/sin procesar’ para binarios adicionales», dijo el investigador de Endor Labs, Kiran Raj.
Como se observó en casos anteriores, los datos recopilados se extraen como un archivo cifrado («tpcp.tar.gz») a un dominio de comando y control llamado «models.litellm».[.]nube» a través de una solicitud HTTPS POST.
En el caso de 1.82.7, el código malicioso está incrustado en el archivo «litellm/proxy/proxy_server.py», y la inyección se realiza durante o después del proceso de creación de la rueda. El código está diseñado para ejecutarse en el momento de la importación del módulo, de modo que cualquier proceso que importe «litellm.proxy.proxy_server» active la carga útil sin requerir ninguna interacción del usuario.
La siguiente iteración del paquete agrega un «vector más agresivo» al incorporar un «litellm_init.pth» malicioso en la raíz de la rueda, lo que hace que la lógica se ejecute automáticamente en cada inicio de proceso Python en el entorno, no solo cuando se importa litellm.
Otro aspecto que hace que 1.82.8 sea más peligroso es el hecho de que el iniciador .pth genera un proceso secundario de Python a través de subproceso.Popenque permite que la carga útil se ejecute en segundo plano.
«Los archivos Python .pth colocados en los paquetes del sitio son procesados automáticamente por site.py al iniciar el intérprete», dijo Endor Labs. «El archivo contiene una sola línea que importa un subproceso e inicia un proceso Python independiente para decodificar y ejecutar la misma carga útil Base64».
La carga útil se decodifica en un orquestador que descomprime un recolector de credenciales y un cuentagotas de persistencia. El recolector también aprovecha el token de la cuenta de servicio de Kubernetes (si está presente) para enumerar todos los nodos del clúster e implementar un pod privilegiado en cada uno de ellos. La vaina entonces chroots en el sistema de archivos del host e instala el cuentagotas de persistencia como un servicio de usuario systemd en cada nodo.
El servicio systemd está configurado para iniciar un script de Python («~/.config/sysmon/sysmon.py»), el mismo nombre utilizado en el compromiso Trivy, que llega a «checkmarx[.]zona/raw» cada 50 minutos para obtener una URL que apunte a la carga útil de la siguiente etapa. Si la URL contiene youtube[.]com, el script aborta la ejecución, un patrón de interrupción común a todos los incidentes observados hasta ahora.
«Es casi seguro que esta campaña no ha terminado», dijo Endor Labs. «TeamPCP ha demostrado un patrón consistente: cada entorno comprometido genera credenciales que desbloquean el siguiente objetivo. El giro de CI/CD (ejecutores de GitHub Actions) a producción (paquetes PyPI que se ejecutan en clústeres de Kubernetes) es una escalada deliberada».
Con el último desarrollo, TeamPCP ha emprendido una incesante campaña de ataque a la cadena de suministro que ha generado cinco ecosistemas, incluidos GitHub Actions, Docker Hub, npm, Open VSX y PyPI, para expandir su huella de objetivos y poner cada vez más sistemas bajo su control.
«TeamPCP está intensificando una campaña coordinada dirigida a herramientas de seguridad e infraestructura de desarrollo de código abierto, y ahora se está atribuyendo abiertamente el mérito de múltiples ataques posteriores en todos los ecosistemas», Socket dicho. «Esta es una operación sostenida que apunta a puntos de alto apalancamiento en la cadena de suministro de software».
en un mensaje al corriente En su canal de Telegram, TeamPCP dijo: «Estas empresas fueron creadas para proteger sus cadenas de suministro, pero ni siquiera pueden proteger las suyas propias, el estado de la investigación de seguridad moderna es una broma, como resultado, estaremos por mucho tiempo robando terrabytes». [sic] de secretos comerciales con nuestros nuevos socios».
«El efecto bola de nieve de esto será enorme, ya nos estamos asociando con otros equipos para perpetuar el caos, muchas de sus herramientas de seguridad favoritas y proyectos de código abierto serán atacados en los próximos meses, así que estén atentos», dijo el actor de amenazas. agregado.
Se recomienda a los usuarios que realicen las siguientes acciones para contener la amenaza:
Audite todos los entornos para las versiones 1.82.7 o 1.82.8 de Litellm y, si los encuentra, vuelva a una versión limpia.
Aislar los huéspedes afectados
Verifique la presencia de pods no autorizados en los clústeres de Kubernetes
Revise los registros de red para ver el tráfico de salida a «models.litellm[.]nube» y «checkmarx[.]zona»
Eliminar los mecanismos de persistencia.
Audite las canalizaciones de CI/CD para detectar el uso de herramientas como Trivy y KICS durante las ventanas de compromiso.
Revocar y rotar todas las credenciales expuestas
«La cadena de suministro de código abierto se está derrumbando sobre sí misma», dijo Gal Nagli, jefe de exposición a amenazas en Wiz, propiedad de Google. dicho en una publicación en X. «Trivy se ve comprometido → LiteLLM se ve comprometido → las credenciales de decenas de miles de entornos terminan en manos de atacantes → y esas credenciales conducen al siguiente compromiso. Estamos atrapados en un bucle».
Se ha observado una campaña de publicidad maliciosa a gran escala activa desde enero de 2026 dirigida a personas con sede en EE. UU. que buscan documentos relacionados con impuestos para servir a instaladores fraudulentos de ConnectWise ScreenConnect que colocan una herramienta llamada HwAudKiller para cegar los programas de seguridad utilizando la técnica «traiga su propio controlador vulnerable» (BYOVD).
«La campaña abusa de Google Ads para ofrecer instaladores maliciosos de ScreenConnect (ConnectWise Control), y en última instancia entrega un asesino BYOVD EDR que coloca un controlador de kernel para cegar las herramientas de seguridad antes de comprometerlas aún más», Anna Pham, investigadora de Huntress. dicho en un informe publicado la semana pasada.
El proveedor de ciberseguridad dijo que identificó más de 60 casos de sesiones maliciosas de ScreenConnect vinculadas a la campaña. La cadena de ataques se destaca por un par de razones. A diferencia de campañas recientes destacadas por Microsoft que aprovechan señuelos con temas impositivos, la actividad recientemente señalada emplea servicios de encubrimiento comerciales para evitar la detección por escáneres de seguridad y abusa de un controlador de audio de Huawei previamente no documentado para desarmar las soluciones de seguridad.
Los objetivos exactos de la campaña no están claros actualmente; sin embargo, en un caso, se dice que el actor de amenazas aprovechó el acceso para implementar el asesino de detección y respuesta de endpoints (EDR) y luego volcar las credenciales de la memoria de proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), además de usar herramientas como NetExec para reconocimiento de redes y movimiento lateral.
Estas tácticas, según Huntress, se alinean con el comportamiento previo al ransomware o del corredor de acceso inicial, lo que sugiere que el actor de la amenaza busca implementar ransomware o monetizar el acceso vendiéndolo a otros actores criminales.
El ataque comienza cuando los usuarios buscan términos como «formulario fiscal W2» o «formulario fiscal W-9 2026» en motores de búsqueda como Google, engañándolos para que hagan clic en resultados de búsqueda patrocinados que dirigen a los usuarios a sitios falsos como «bringetax[.]com/humu/» para activar la entrega del instalador de ScreenConnect.
Esto se logra generando una huella digital del visitante del sitio y enviándola al backend de Adspect, que luego determina la respuesta adecuada. Además de Adspect, el «index.php» de la página de inicio presenta una segunda capa de encubrimiento impulsada por JustCloakIt (JCI) en el lado del servidor.
«Los dos servicios de encubrimiento están apilados en el mismo index.php: el filtrado del lado del servidor de JCI se ejecuta primero, mientras que Adspect proporciona huellas dactilares de JavaScript del lado del cliente como segunda capa», explicó Pham.
Las páginas web conducen a la distribución de instaladores de ScreenConnect, que luego se utilizan para implementar múltiples instancias de prueba en el host comprometido. También se ha descubierto que el actor de amenazas elimina herramientas adicionales de administración y monitoreo remoto (RMM), como FleetDeck Agent, para lograr redundancia y garantizar un acceso remoto persistente.
La sesión de ScreenConnect se aprovecha para colocar un cifrador de varias etapas que actúa como conducto para un asesino de EDR con nombre en código HwAudKiller que utiliza la técnica BYOVD para finalizar procesos asociados con Microsoft Defender, Kaspersky y SentinelOne. El controlador vulnerable utilizado en el ataque es «HWAuidoOs2Ec.sys», un controlador de kernel de Huawei legítimo y firmado diseñado para hardware de audio de portátiles.
«El controlador finaliza el proceso de destino desde el modo kernel, evitando cualquier protección del modo de usuario en la que se basan los productos de seguridad. Debido a que el controlador está firmado legítimamente por Huawei, Windows lo carga sin quejas a pesar de Driver Signature Enforcement (DSE)», señaló Huntress.
El criptocriptador, por su parte, intenta evadir la detección asignando 2 GB de memoria, llenándola con ceros y luego liberándola, lo que provoca que los motores antivirus y emuladores fallen debido a la alta asignación de recursos.
Actualmente no se sabe quién está detrás de la campaña, pero un directorio abierto expuesto en la infraestructura controlada por el actor de amenazas ha revelado una página falsa de actualización de Chrome que contiene código JavaScript con comentarios en ruso. Esto alude a un desarrollador de habla rusa en posesión de un conjunto de herramientas de ingeniería social para la distribución de malware.
«Esta campaña ilustra cómo las herramientas basadas en productos básicos han reducido la barrera para ataques sofisticados», dijo Pham. «El actor de la amenaza no necesitaba exploits personalizados ni capacidades de estado-nación, combinaron servicios de encubrimiento disponibles comercialmente (Adspect y JustCloakIt), instancias ScreenConnect de nivel gratuito, un cifrador disponible en el mercado y un controlador Huawei firmado con una debilidad explotable para construir una cadena de eliminación de extremo a extremo que va desde una búsqueda en Google hasta la terminación EDR en modo kernel».
«Un patrón consistente entre los hosts comprometidos fue el rápido apilamiento de múltiples herramientas de acceso remoto. Después de que se estableció el relé ScreenConnect inicial, el actor de amenazas implementó instancias de prueba adicionales de ScreenConnect en el mismo punto final, a veces dos o tres en cuestión de horas, y herramientas RMM de respaldo como FleetDeck».
Una campaña de phishing en curso se dirige a entornos corporativos de habla francesa con currículums falsos que conducen al despliegue de mineros de criptomonedas y ladrones de información.
«La campaña utiliza archivos VBScript altamente ofuscados disfrazados de documentos de currículum vitae, entregados a través de correos electrónicos de phishing», dijeron los investigadores de Securonix Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee. dicho en un informe compartido con The Hacker News.
«Una vez ejecutado, el malware implementa un conjunto de herramientas multipropósito que combina el robo de credenciales, la exfiltración de datos y la minería de criptomonedas Monero para una máxima monetización».
La actividad ha sido nombrada en código. FAUX#ELEVAR por la empresa de ciberseguridad. La campaña se destaca por el abuso de infraestructura y servicios legítimos, como Dropbox para la preparación de cargas útiles, sitios marroquíes de WordPress para alojar la configuración de comando y control (C2) y el correo.[.]ru Infraestructura SMTP para extraer credenciales de navegador y archivos de escritorio robados.
Este es un ejemplo de un ataque estilo vivir de la tierra que eleva el nivel sobre cómo los atacantes pueden engañar a los mecanismos de defensa y colarse en el sistema del objetivo sin llamar mucho la atención.
El archivo dropper inicial es un Visual Basic Script (VBScript) que, al abrirse, muestra un mensaje de error falso en francés, engañando a los destinatarios del mensaje haciéndoles pensar que el archivo está dañado. Sin embargo, lo que sucede detrás de escena es que el script muy ofuscado ejecuta una serie de comprobaciones para evadir los entornos sandbox y entra en un bucle persistente de Control de cuentas de usuario (UAC) que solicita a los usuarios que lo ejecuten con privilegios de administrador.
En particular, de las 224.471 líneas del script, sólo 266 líneas contienen código ejecutable real. El resto del guión está lleno de comentarios basura con frases aleatorias en inglés, lo que aumenta el tamaño del archivo a 9,7 MB.
«El malware también utiliza una puerta de unión a un dominio mediante WMI [Windows Management Instrumentation]asegurando que las cargas útiles sólo se entreguen en máquinas empresariales y que los sistemas domésticos independientes queden excluidos por completo», dijeron los investigadores.
Tan pronto como el dropper obtiene privilegios administrativos, no pierde tiempo en deshabilitar los controles de seguridad y encubrir sus huellas configurando rutas de exclusión de Microsoft Defender para todas las letras de unidades principales (de C a I), deshabilitando UAC mediante un cambio en el Registro de Windows y eliminándose a sí mismo.
El dropper también es responsable de recuperar dos archivos 7-Zip separados protegidos con contraseña alojados en Dropbox:
gmail2.7z, que contiene varios ejecutables para robar datos y extraer criptomonedas
gmail_ma.7z, que contiene utilidades para persistencia y limpieza
Entre las herramientas utilizadas para facilitar el robo de credenciales se encuentra un componente que aprovecha el proyecto ChromElevator para extraer datos confidenciales de los navegadores basados en Chromium eludiendo las protecciones de cifrado vinculado a aplicaciones (ABE). Algunas de las otras herramientas incluyen:
mozilla.vbs, un malware VBScript para robar el perfil y las credenciales de Mozilla Firefox
wall.vbs, una carga útil de VBScript para la exfiltración de archivos de escritorio
mservice.exe, un minero de criptomonedas XMRig que se lanza después de recuperar la configuración de minería de un sitio de WordPress marroquí comprometido
WinRing0x64.sys, un controlador legítimo del kernel de Windows que se utiliza para desbloquear todo el potencial de minería de la CPU
RuntimeHost.exe, un componente troyano persistente que modifica las reglas del Firewall de Windows y se comunica periódicamente con un servidor C2
Los únicos datos del navegador se extraen mediante dos correos separados.[.]cuentas de remitente ru («olga.aitsaid@mail.ru» y «3pw5nd9neeyn@mail.ru») que comparten la misma contraseña a través de SMTP con otra dirección de correo electrónico operada por el actor de la amenaza («vladimirprolitovitch@duck.com»).
Una vez que se completan las actividades de robo de credenciales y exfiltración, la cadena de ataque inicia una limpieza agresiva de todas las herramientas caídas en un intento por minimizar la huella forense, dejando atrás solo al minero y al troyano.
«La campaña FAUX#ELEVATE demuestra una operación de ataque de múltiples etapas bien organizada que combina varias técnicas notables en una sola cadena de infección», dijo Securonix.
«Lo que hace que esta campaña sea particularmente peligrosa para los equipos de seguridad empresarial es la velocidad de ejecución, la cadena de infección completa se completa en aproximadamente 25 segundos desde la ejecución inicial de VBS hasta la exfiltración de credenciales, y el objetivo selectivo de las máquinas unidas al dominio, lo que garantiza que cada host comprometido proporcione el máximo valor a través del robo de credenciales corporativas y el secuestro persistente de recursos».
Otros dos flujos de trabajo de GitHub Actions se han convertido en los últimos en verse comprometidos por malware de robo de credenciales por parte de un actor de amenazas conocido como TeamPCP, la operación cibercriminal nativa de la nube que también está detrás del ataque a la cadena de suministro de Trivy.
Los flujos de trabajo, ambos mantenidos por la empresa de seguridad de la cadena de suministro Checkmarx, se enumeran a continuación:
La empresa de seguridad en la nube Sysdig dijo que observó un ladrón de credenciales idéntico al utilizado en las operaciones de TeamPCP dirigidas al escáner de vulnerabilidad Trivy de Aqua Security y sus acciones GitHub asociadas, aproximadamente cuatro días después de la violación del 19 de marzo de 2026. El compromiso de la cadena de suministro de Try se rastrea bajo el identificador CVE. CVE-2026-33634 (Puntuación CVSS: 9,4).
«Esto sugiere que las credenciales robadas del compromiso Trivy se utilizaron para envenenar acciones adicionales en los repositorios afectados», Sysdig dicho.
El ladrón, conocido como «ladrón de nubes de TeamPCP», está diseñado para robar credenciales y secretos relacionados con claves SSH, Git, Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Kubernetes, Docker, archivos .env, bases de datos y VPN, junto con configuraciones de CI/CD, datos de billeteras de criptomonedas y URL de webhook de Slack y Discord.
Como en el caso de Trivy, se ha descubierto que los actores de amenazas fuerzan la inserción de etiquetas en confirmaciones maliciosas que contienen la carga útil del ladrón («setup.sh»). Los datos robados se exfiltran al dominio «checkmarx[.]zona» (dirección IP: 83.142.209[.]11:443) en forma de archivo cifrado («tpcp.tar.gz»).
La nueva versión crea un repositorio «docs-tpcp» utilizando el GITHUB_TOKEN de la víctima para preparar los datos robados como método de respaldo si falla la filtración al servidor. En el incidente de Trivy, los actores de amenazas utilizaron en su lugar el nombre del repositorio «tpcp-docs».
«El uso de dominios typosquat específicos del proveedor para cada acción envenenada es una técnica de engaño deliberada», dijo Sysdig. «Un analista que revise los registros de CI/CD vería que el tráfico se dirige a lo que parece ser el dominio del propio proveedor de la acción, lo que reduce la probabilidad de detección manual».
El hecho de que la función principal del ladrón sea recolectar credenciales de la memoria del corredor de CI permite a los operadores extraer tokens de acceso personal (PAT) de GitHub y otros secretos cuando se ejecuta una acción Trivy comprometida en un flujo de trabajo. Para empeorar las cosas, si esos tokens tienen acceso de escritura a repositorios que también usan acciones Checkmarx, el atacante puede utilizarlos como arma para enviar código malicioso.
Esto, a su vez, abre la puerta a un compromiso en cascada en la cadena de suministro, donde una acción envenenada captura secretos que se utilizan para facilitar el envenenamiento de otras acciones.
«La carga útil, el esquema de cifrado y la convención de nomenclatura tpcp.tar.gz idénticos confirman que se trata del mismo actor de amenazas que amplía su alcance más allá del compromiso inicial de Trivy», señaló Sysdig. «La revisión del código y el escaneo de dependencias fallaron aquí porque el código malicioso se inyectó en una acción confiable en la fuente».
Según Wiz, el ataque parece haberse llevado a cabo mediante el compromiso de la cuenta de servicio «cx-plugins-releases», y los atacantes también publicar versiones troyanizadas del «resultados-ast» (versión 2.53.0) y «asistencia-cx-dev» (versión 1.7.0) Abra las extensiones VSX. Las versiones de VS Code Marketplace no se ven afectadas.
Una vez activada la extensión, la carga maliciosa comprueba si la víctima tiene credenciales para al menos un proveedor de servicios en la nube, como GitHub, AWS, Google Cloud y Microsoft Azure. Si se detecta alguna credencial, procede a buscar una carga útil de la siguiente etapa del mismo dominio («checkmarx[.]zona»).
«La carga útil intenta la ejecución a través de npx, bunx, pnpx o Yarn dlx. Esto cubre los principales administradores de paquetes de JavaScript», afirman los investigadores de Wiz, Rami McCarthy, James Haughom y Benjamin Read. dicho. «El paquete recuperado contiene un completo ladrón de credenciales. Las credenciales recolectadas luego se cifran, utilizando las claves como en otras partes de esta campaña, y se exfiltran a ‘checkmarx[.]zona/vsx’ como tpcp.tar.gz.»
«En sistemas que no son CI, el malware instala la persistencia a través de un servicio de usuario systemd. El script de persistencia sondea https://checkmarx[.]zona/raw cada 50 minutos para cargas útiles adicionales, con un interruptor de apagado que cancela si la respuesta contiene «youtube». Actualmente, el enlace redirige a The Show Must Go On de Queen».
Para mitigar la amenaza, se recomienda a los usuarios que realicen las siguientes acciones con efecto inmediato:
Rote todos los secretos, tokens y credenciales de la nube a los que tuvieron acceso los ejecutores de CI durante la ventana afectada.
Auditar la ejecución del flujo de trabajo de GitHub Actions para cualquier referencia a tpcp.tar.gz, scan.aquasecurity[.]org o checkmarx[.]zona en registros de corredor.
Busque en la organización de GitHub repositorios llamados «tpcp-docs» o «docs-tpcp», que indican una exfiltración exitosa a través del mecanismo de reserva.
Fije acciones de GitHub para confirmar SHA por completo en lugar de etiquetas de versión, ya que las etiquetas se pueden forzar.
Supervise las conexiones de red salientes desde los ejecutores de CI a dominios sospechosos.
Restrinja el servicio de metadatos de instancia (IMDS) de los contenedores del ejecutor de CI mediante IMDSv2.
En los días posteriores a la infracción inicial, los actores de TeamPCP enviaron imágenes maliciosas de Docker de Trivy que contenían el mismo ladrón y secuestraron la organización GitHub «aquasec-com» de la compañía para manipular docenas de repositorios internos.
También se les ha observado apuntando a clústeres de Kubernetes con un script de shell malicioso que borra todas las máquinas cuando detecta sistemas que coinciden con la zona horaria y la ubicación iraní, lo que destaca una nueva escalada del modus operandi del grupo.
Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes npm maliciosos diseñados para robar billeteras de criptomonedas y datos confidenciales.
ReversingLabs está rastreando la actividad como Fantasma campaña. La lista de paquetes identificados, todos publicados por un usuario llamado mikilanjillo, se encuentra a continuación:
reaccionar-rendimiento-suite
reaccionar-estado-optimizador-núcleo
reaccionar-rápido-utilsa
ai-fast-auto-trader
pkgnewfefame1
clonador-copia-carbon-mac
coinbase-escritorio-sdk
«Los paquetes en sí son phishing para la contraseña sudo con la que se ejecuta la última etapa, y están tratando de ocultar su funcionalidad real y evitar la detección de una manera sofisticada: mostrando registros de instalación de npm falsos», Lucija Valentić, investigadora de amenazas de software en ReversingLabs, dicho en un informe compartido con The Hacker News.
Las bibliotecas Node.js identificadas, además de afirmar falsamente que descargan paquetes adicionales, insertan retrasos aleatorios para dar la impresión de que el proceso de instalación está en marcha. En un momento durante este paso, se alerta al usuario de que la instalación se está ejecutando con un error debido a que faltan permisos de escritura en «/usr/local/lib/node_modules», que es la ubicación predeterminada para los paquetes Node.js instalados globalmente en sistemas Linux y macOS.
También le indica a la víctima que ingrese su contraseña de root o administrador para continuar con la instalación. Si ingresan la contraseña, el malware recupera silenciosamente el descargador de la siguiente etapa, que luego se comunica con un canal de Telegram para obtener la URL de la carga útil final y la clave necesaria para descifrarla.
El ataque culmina con la implementación de un troyano de acceso remoto que es capaz de recopilar datos, apuntar a billeteras de criptomonedas y esperar más instrucciones de un servidor externo.
ReversingLabs dijo que las actividades compartidas se superponen con un grupo de actividades documentado por JFrog con el nombre de GhostClaw a principios de este mes, aunque actualmente no se sabe si es trabajo del mismo actor de amenazas o de una campaña completamente nueva.
GhostClaw utiliza repositorios de GitHub y flujos de trabajo de IA para ofrecer macOS Stealer
Jamf Threat Labs, en un análisis publicado la semana pasada, dijo que la campaña GhostClaw utiliza repositorios de GitHub y flujos de trabajo de desarrollo asistidos por inteligencia artificial (IA) para entregar cargas útiles de robo de credenciales en macOS.
«Estos repositorios se hacen pasar por herramientas legítimas, incluidos robots comerciales, SDK y utilidades para desarrolladores, y están diseñados para parecer creíbles a primera vista», dijo el investigador de seguridad Thijs Xhaflaire. dicho. «Varios de los repositorios identificados han acumulado un compromiso significativo, en algunos casos superando los cientos de estrellas, lo que refuerza aún más su legitimidad percibida».
En esta campaña, los repositorios se llenan inicialmente con código benigno o parcialmente funcional y se dejan sin cambios durante un período prolongado para generar confianza entre los usuarios antes de introducir componentes maliciosos. Específicamente, los repositorios cuentan con un archivo README que guía a los desarrolladores a ejecutar un script de shell como parte del paso de instalación.
Una variante de estos repositorios presenta un archivo SKILL.md, dirigido principalmente a flujos de trabajo orientados a Al con el pretexto de instalar habilidades externas a través de agentes de IA como OpenClaw. Independientemente del método utilizado, el script de shell inicia un proceso de infección de varias etapas que finaliza con la implementación de un ladrón. La secuencia completa de acciones es la siguiente:
Identifica la arquitectura del host y la versión de macOS, verifica si Node.js ya está presente e instala una versión compatible si es necesario. La instalación se realiza en un directorio controlado por el usuario para evitar generar señales de alerta.
Invoca «node scripts/setup.js» y «node scripts/postinstall.js», lo que provoca que la ejecución pase a cargas útiles de JavaScript, lo que le permite robar credenciales del sistema, entregar el malware GhostLoader contactando a un servidor de comando y control (C2) y eliminar rastros de actividad maliciosa limpiando la Terminal.
El script también viene con una variable de entorno llamada «GHOST_PASSWORD_ONLY», que, cuando se establece en cero, presenta un flujo de instalación interactivo completo, completo con indicadores de progreso y mensajes para el usuario. Si se establece en 1, el script inicia una ruta de ejecución simplificada centrada principalmente en la recopilación de credenciales sin ningún elemento adicional de la interfaz de usuario.
Curiosamente, al menos en algunos casos, el script «postinstall.js» muestra un mensaje de éxito benigno, indicando que la instalación fue exitosa y que los usuarios pueden configurar la biblioteca en sus proyectos ejecutando el comando «npx reaccionar-state-optimizer».
Según un informe de la compañía de seguridad en la nube Panther el mes pasado, «react-state-optimizer» es uno de varios otros paquetes npm publicados por «mikilanjillo», lo que indica que los dos grupos de actividad son uno y el mismo.
reaccionar-consulta-core-utils
optimizador de estado de reacción
reaccionar-rápido-utils
reaccionar-rendimiento-suite
ai-fast-auto-trader
clonador-copia-carbon-mac
clonador-copias-carbon-mac
pkgnewfefame
barra oscura
«Los paquetes contienen un ‘asistente de configuración’ CLI que engaña a los desarrolladores para que ingresen su contraseña sudo para realizar ‘optimizaciones del sistema’», dijo la investigadora de seguridad Alessandra Rizzo. «La contraseña capturada luego se pasa a una carga útil integral de ladrón de credenciales que recopila credenciales del navegador, billeteras de criptomonedas, claves SSH, configuraciones de proveedores de nube y tokens de herramientas de desarrollador».
«Los datos robados se enrutan a bots de Telegram específicos de los socios en función de un identificador de campaña integrado en cada cargador, con credenciales almacenadas en el contrato inteligente de BSC y actualizadas sin modificar el malware en sí».
El paquete npm inicial captura las credenciales y recupera la configuración de un canal de Telegram o de una página Teletype.in que está disfrazada de documentación de blockchain para implementar el ladrón. Según Panther, el malware implementa un modelo de ingresos dual, donde el ingreso principal proviene del robo de credenciales transmitido a través de canales asociados de Telegram, y el ingreso secundario proviene de redirecciones de URL de afiliados almacenadas en un contrato inteligente de Binance Smart Chain (BSC) separado.
«Esta campaña destaca un cambio continuo en el arte de los atacantes, donde los métodos de distribución se extienden más allá de los registros de paquetes tradicionales hacia plataformas como GitHub y flujos de trabajo de desarrollo emergentes asistidos por IA», dijo Jamf. «Al aprovechar ecosistemas confiables y prácticas de instalación estándar, los atacantes pueden introducir código malicioso en entornos con mínima fricción».
On February 25, 2026, Gartner published its inaugural Market Guide for Guardian Agents, marking an important milestone for this emerging category. For those unfamiliar with the various Gartner report types, “a Market Guide defines a market and explains what clients can expect it to do in the short term. With the focus on early, more chaotic markets, a Market Guide does not rate or position vendors within the market, but rather more commonly outlines attributes of representative vendors that are providing offerings in the market to give further insight into the market itself.”
And if Guardian Agent is an unfamiliar term, Gartner defines it quite simply. “Guardian agents supervise AI agents, helping ensure agent actions align with goals and boundaries.” Enterprise security and identity leaders can request a limited distribution copy of the Gartner Market Guide for Guardian Agents.
Learning 1: Why Guardian Agent technology is important
Nearly 70% of enterprises already run AI agents (any system that can answer and act) in production.
Another 23% are planning deployments in 2026.
Two-thirds are building them in-house.
However, in the market guide, Gartner asserts that this fast enterprise adoption is outpacing traditional governance controls. This raises the risk that “as AI agents become more autonomous and embedded in critical workflows, the risks of operational failure and noncompliance escalate.”
We concur, having read about the recent cloud provider outages stemming from autonomous AI agent actions, which do not surprise us. What we see across early adoption is that, even more so than traditional service accounts, AI agent deployment creates more identity dark matter- the invisible and unmanaged layer of identity. It includes the local credentials authentication that may be offered. The never-expiring tokens that are easily forgotten. Full permission access is granted, regardless of the user or job. And more.
Not only that, as we shared in our piece on “Lazy LLMs,” AI agents are, by design, shortcut seekers; always looking for the most efficient path to return a satisfactory outcome to each prompt. However, in doing so, they often exploit identity dark matter- orphan, dormant accounts or loose tokens, usually with local clear-text credentials and excessive privileges- that allow them to reach the “end of job,” regardless of whether they should have been allowed to do so. This is how unintended or unimaginable incidents arise.
As if that weren’t enough business risk, we note that the 2026 CrowdStrike Global Threat Report goes one step further, sharing that “Adversaries are also actively exploiting AI systems themselves, injecting malicious prompts into GenAI tools at more than 90 organizations and abusing AI development platforms.”
To learn more about how AI agents both expand what we call “Identity Dark Matter” and even exploit it themselves, check out our previous article in The Hacker News.
Learning 2: Core capabilities of Guardian Agents
So, having established the need for AI agent supervision, the next question for us becomes how, technically, to address that need. This is where, in our opinion, Gartner is extremely valuable- looking across the market and vendors to understand what is possible and winnowing it down to what’s most valuable, given the problem to be solved.
The market guide outlines mandatory features in 3 core areas:
AI Visibility and Traceability: Can you see and follow the actions of each AI agent?
Continuous Assurance and Evaluation: How do you retain confidence that agents remain secure from compromise and compliant in action?
Runtime Inspection and Enforcement: “ensure that AI agents’ actions and outputs match defined intentions, goals, and governance policies, preventing unintended behaviors.”
There are 9 detailed features across these core areas detailed in the market guide. Many of these have helped shape many of the 5 principles we believe underpin secure (and productive) use of AI agents.
Pair AI Agents with Human Sponsors: It is our belief that every agent should not only be identified and monitored, but also tied to an accountable human operator.
Dynamic, Context-Aware Access: We believe AI agents should not hold standing, permanent privileges. Their entitlements should be time-bound, session-aware, and limited to least privilege.
Visibility and Auditability: In our view, visibility isn’t just “we logged it.” You need to tie actions to data reach: what the agent accessed, what it changed, what it exported, and whether that action touched regulated or sensitive datasets.
Governance at Enterprise Scale: In our minds, AI agent adoption should extend across both new and legacy systems within a single, consistent governance fabric, so that security, compliance, and infrastructure teams are not working in silos.
Commitment to Good IAM Hygiene: As with all identities, authentication flows, authorization permissions, and implemented controls, strong hygiene- on the application server as well as the MCP server- is critical to keep every user within the proper bounds.
Learning 3: Different vendor approaches to Guardian AI
That said, even when vendors try to address the same Guardian Agent requirements, they often solve the problem using very different architectural models.
Gartner outlines six emerging delivery and integration approaches, which, for adopters, matter more than they may first appear. These are not just packaging choices. They determine where control lives, how much visibility you actually get, how enforceable the policy is, and how much of your agent estate will fall outside coverage.
Here is our quick take on each model:
Standalone Oversight Platforms are typically the easiest place to start. They collect logs, telemetry, and events into one place and can provide meaningful posture visibility, auditability, and analysis. But many of these platforms still lean more toward observation than intervention. That is useful, but it is not the same as control. If your AI risk posture depends on stopping bad actions before they happen, visibility alone will not be enough.
AI/MCP Gateways are the most intuitive model:put a control point in the middle and force agent traffic through it. That can create a powerful centralized layer for monitoring and policy enforcement across multiple agents. But it only works if traffic actually goes through that layer. In practice, gateways can become both a bottleneck and a false comfort. If teams bypass them, or if agent interactions happen outside the governed path, visibility breaks down quickly.
Embedded or In-Line Run-Time Modules sit closer to execution, inside the agent platform, an AI management platform, or an LLM proxy. That makes them appealing because they are often easier to turn on and can act with more immediacy. The downside is that they are usually platform-bound. They govern the environment they live in, not the broader enterprise. For adopters, that means great local control, but weak enterprise-wide consistency if your agents span multiple stacks.
Orchestration Layer Extensions are attractive in environments where orchestration already acts as the operating layer for multi-agent workflows. They can add policy, visibility, and oversight at the workflow level. But they also assume orchestration is where meaningful control should sit. That is only true if the organization actually runs its agents through a common orchestration layer. Many will not. So for adopters, this model is powerful in the right architecture and irrelevant in the wrong one.
Hybrid Edge – Cloud Models are where things start to get more realistic. As Gartner notes, these are becoming more important as agent ecosystems become more endpoint-centric. This model spreads oversight between local execution environments and cloud analysis, which can reduce latency and improve runtime relevance. For adopters, the value is clear: it avoids over-centralizing everything in one choke point. But it also raises the complexity bar. Distributed governance is stronger in theory, but harder to implement well.
Coordination Mechanisms standards, APIs, and hooks are less a deployment model than the connective tissue between them. And today, that tissue is immature. Gartner is explicit that integration across AI agent platforms remains difficult because standard interfaces are still lacking. That means adopters should be careful not to mistake “supports standards” for “works seamlessly in production.” The coordination layer is necessary, but it is not yet mature enough to be treated as solved.
Regardless of technical approach, Gartner gives clear guidance about the need for something more than the governance of individual AI agents built into a single cloud provider, identity tool, or AI platform. Specifically, they call out the following:
“A neutral, trusted guardian agent layer with multiple guardian agents performing separate but integrated oversight functions enforces routing across all providers. Thus, the guardian agent acts as the missing universal enforcement mechanism.”
Learning 4: Guardian Agents Will Become an Independent Layer of Enterprise Control
Perhaps the most important long-term takeaway for us from the Market Guide is that Guardian Agents will not simply be another feature embedded in AI platforms. As we read it, Gartner is quite explicit: “enterprises will require independent guardian agent layers that operate across clouds, platforms, identity systems, and data environments.”
Why? Because AI agents themselves do not live in one place.
Agents interact with APIs, applications, data repositories, infrastructure, and even other agents across multiple environments. A cloud provider may be able to supervise agents running inside its own ecosystem, but once those agents call tools, delegate tasks, or operate across providers, no single platform can enforce governance alone.
That is why we believe Gartner argues that organizations will increasingly deploy enterprise-owned guardian agent layers that sit above individual platforms and supervise agents across the full enterprise environment.
In other words, governance cannot live only inside the platforms that create or host AI agents. It needs to live above them.
Put simply: the future of agent governance will not be platform-native supervision. It will be enterprise-owned oversight. And the organizations that adopt that architecture early will be far better positioned to scale agentic AI safely, without introducing a new generation of invisible automation risk across their infrastructure, data, and identities.
Learning 5: There is Still Time, But Not Forever
For all of the excitement about AI agents and the big brand news stories about them replacing jobs, the Guardian Agent market is still early. According to Gartner, “Today, guardian agent deployments are mainly prototypes or pilots, although advanced organizations are already using early versions of them to supervise AI agents.”
But it’s coming fast. They note that “the guardian agent market — encompassing technologies for the oversight, security, and governance of autonomous AI agents — is entering a phase of accelerated growth, underpinned by the rapid adoption of agentic AI across industries.”
Frankly, we would make a similar statement about the Agentic market overall. Yes, we have implemented AI agents within Orchid- the company and the product. But organizations, ourselves included, are just scratching the surface of what’s possible. Have individual employees started using their own personal AI agents? Yes. Do many technology vendors offer built-in AI agents, beyond the simple chatbot? Yes. Have some of the earliest adopters implemented a corporate standard platform to augment or replace jobs? Yes (but said with some skeptical hesitation).
However, as the saying goes, it’s too late to bar the door after the horse is out of the barn. Orchid Security recommends that you ensure AI agent visibility sooner rather than later, and for sure, establish the same identity and access management guardrails and governance required for human users are indeed in place to similarly guide their AI companions, before the horse is out of the barn.
The Bottom Line (We Will Say it Again)
AI agents are here. They are already changing how enterprises operate.
The challenge is not whether to use them, but how to govern them.
Safe adoption of AI agents requires applying the same principles that identity practitioners know well, least privilege, lifecycle management, and auditability, to a new class of non-human identities that follow this protocol.
If identity dark matter is the sum of what we can’t see or control, then unmanaged AI agents may become its fastest-growing source, if left unchecked. The organizations that act now to bring them into the light will be the ones who can move quickly with AI without sacrificing trust, compliance, or security. That’s why Orchid Security is building identity infrastructure to eliminate dark matter, and make Agent AI adoption safe to deploy at enterprise scale.
Request the limited availability Gartner Market Guide for Guardian Agents to come to your own learnings about AI agents and their guardians.
Found this article interesting? This article is a contributed piece from one of our valued partners. Follow us on Google News, Twitter and LinkedIn to read more exclusive content we post.
La ciberseguridad ha cambiado rápidamente. Los roles son más especializados y las herramientas son más avanzadas. Sobre el papel, esto debería hacer que las organizaciones sean más seguras. Pero en la práctica, muchos equipos luchan con los mismos problemas básicos que enfrentaron hace años: prioridades de riesgo poco claras, decisiones de herramientas desalineadas y dificultad para explicar los problemas de seguridad en términos que la empresa entienda.
Estos desafíos no suelen surgir de la falta de esfuerzo. Surgen de algo más sutil, una pérdida gradual de comprensión fundamental a medida que se acelera la especialización. La especialización en sí misma no es el problema. La falta de contexto lo es. Cuando los equipos de seguridad no tienen una comprensión compartida de cómo encajan el negocio, los sistemas y los riesgos, incluso una ejecución técnica sólida comienza a fallar. Con el tiempo, esa brecha aparece en la forma en que se diseñan los programas, se eligen las herramientas y se manejan los incidentes. Desafortunadamente, he visto este patrón repetidamente cuando ayudo con incidentes y programas de seguridad en organizaciones de todos los tamaños.
La especialización sin contexto reduce el panorama de riesgos
La ciberseguridad es inusual por la rapidez con la que los profesionales pueden especializarse. En muchas profesiones, la formación básica amplia es lo primero. Aprende cómo funciona el sistema antes de centrarse en una sola parte del mismo. Consideremos, por ejemplo, que uno se convierte en médico antes de convertirse en cirujano especializado. En seguridad, a menudo ocurre al revés. Las personas pasan directamente a funciones específicas, como seguridad en la nube, ingeniería de detección, análisis forense o IAM, con una exposición limitada a cómo encaja el entorno más amplio. Con el tiempo, esto crea equipos que son altamente capaces dentro de sus dominios pero desconectados del panorama de riesgo más amplio.
El desafío resultante es la falta de visibilidad de un extremo a otro. Cuando solo se ve una parte del entorno, resulta más difícil razonar sobre cómo se mueven las amenazas, cómo interactúan los controles o por qué ciertos riesgos son más importantes que otros. El riesgo deja de ser algo que se comprende de manera integral y se convierte en algo que sólo se ve a través del estrecho lente de su función. Aquí es donde fracasan muchas conversaciones sobre seguridad. Se plantea un problema de seguridad, pero no está relacionado con el funcionamiento real de la organización. Sin esa conexión, la preocupación suena abstracta. No logra resonar, no porque carezca de importancia, sino porque carece de contexto.
Cuando las herramientas reemplazan la comprensión, los programas se desvían
Otro patrón que aparece repetidamente es cómo las decisiones de seguridad se centran en productos en lugar de procesos. Se pregunta a los equipos por qué necesitan una herramienta y la respuesta se centra en las características o tendencias de la industria en lugar del riesgo específico que aborda dentro de la organización. Cuando una herramienta no puede vincularse al riesgo organizacional, generalmente significa que el problema subyacente no se ha definido claramente. La seguridad se convierte en algo que se compra en lugar de algo que se diseña.
Un programa de seguridad funcional comienza con la empresa. ¿Por qué existe la organización? ¿Para qué misión cumple? ¿Qué sistemas y datos son esenciales para esa misión? Sin respuestas claras a esas preguntas, es imposible saber qué es lo que realmente es necesario proteger. Los atacantes lo entienden bien. Para alterar un negocio, deben identificar qué es lo más importante y dónde se sentirá el impacto. Los defensores que carecen de esa misma claridad siempre están reaccionando. Están respondiendo a alertas y vulnerabilidades sin un claro sentido de prioridad. El conocimiento fundamental ayuda a prevenir esa deriva. Permite a los equipos trabajar desde la misión hasta los activos y el riesgo, en lugar de hacerlo desde la herramienta hasta la alerta y la remediación.
La detección, la respuesta y la prevención dependen de conocer lo «normal»
Muchas fallas de seguridad se deben a un problema simple: los equipos no saben cómo es lo normal en sus propios entornos. La detección se vuelve difícil cuando no se comprende bien el comportamiento esperado. La respuesta se ralentiza cuando las preguntas básicas sobre sistemas, usuarios y flujos de datos no pueden responderse rápidamente. La prevención se convierte en conjeturas cuando los incidentes pasados no se pueden explicar ni aprender con claridad.
Este no es un problema de herramientas. Es un problema de familiaridad. Conocer sus sistemas, su red y cómo opera su organización día a día es fundamental. Es lo que permite que las anomalías se destaquen y que las investigaciones avancen con confianza. Cuando los equipos se saltan este trabajo, se ven obligados a desarrollar esta comprensión durante los incidentes, cuando la presión es mayor y los errores son más costosos. Las capacidades avanzadas sólo funcionan cuando se basan en una comprensión básica adecuada.
Domine sus habilidades fundamentales en SANS Security West 2026
La ciberseguridad moderna depende de la especialización. Eso no va a cambiar. Lo que sí es necesario cambiar es la suposición de que la especialización por sí sola es suficiente. Las habilidades fundamentales permiten a los equipos especializados razonar sobre los riesgos, comunicarse claramente con la empresa y tomar decisiones que se mantengan bajo presión. Crean un contexto compartido, que a menudo es lo que falta cuando los programas fallan, las herramientas se acumulan o los incidentes se estancan.
A medida que los entornos se vuelven más complejos, esa comprensión compartida se convierte en un requisito, no en algo agradable de tener. Este mes de mayo estaré presentando SEC401: Conceptos básicos de seguridad: red, punto final y nube en Seguridad SANS Oeste 2026 para equipos y profesionales que desean fortalecer esas bases y aplicar sus habilidades especializadas con un contexto más claro en todos los programas de seguridad modernos.
¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
Citrix ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, incluida una falla crítica que podría explotarse para filtrar datos confidenciales de la aplicación.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-3055 (Puntuación CVSS: 9,3) – Validación de entrada insuficiente que provoca una lectura excesiva de la memoria
CVE-2026-4368 (Puntuación CVSS: 7,7) – Condición de carrera que provoca una confusión en la sesión del usuario
Empresa de ciberseguridad Rapid7 dicho que CVE-2026-3055 se refiere a una lectura fuera de límites que podría ser explotada por atacantes remotos no autenticados para filtrar información potencialmente confidencial de la memoria del dispositivo.
Sin embargo, para que la explotación sea exitosa, el dispositivo Citrix ADC o Citrix Gateway debe estar configurado como proveedor de identidad SAML (SAML IDP), lo que significa que las configuraciones predeterminadas no se ven afectadas. Para determinar si el dispositivo se ha configurado como perfil IDP SAML, Citrix insta a los clientes a inspeccionar su configuración de NetScaler para ver la cadena especificada: «agregar autenticación samlIdPProfile .*».
CVE-2026-4368, por otro lado, requiere que el dispositivo esté configurado como una puerta de enlace (es decir, SSL VPN, ICA Proxy, CVPN y RDP Proxy) o una autenticación, autorización y contabilidad (aaa) servidor. Los clientes pueden verificar la configuración de NetScaler para determinar si sus dispositivos se han configurado como cualquiera de los nodos:
Las vulnerabilidades afectan a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para una protección óptima.
Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, las fallas de seguridad en los dispositivos NetScaler han sido explotadas repetidamente por actores de amenazas (CVE-2023-4966, también conocido como Citrix Bleed, CVE-2025-5777, también conocido como Citrix Bleed 2, CVE-2025-6543 y CVE-2025-7775), lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias.
«CVE-2026-3055 permite a atacantes no autenticados filtrar y leer memoria sensible de implementaciones de NetScaler ADC. Si suena familiar, es porque lo es: esta vulnerabilidad suena sospechosamente similar a Citrix Bleed y Citrix Bleed 2, que continúan representando un evento traumático para muchos», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.
«Los NetScalers son soluciones críticas que han sido objeto continuamente de acceso inicial a entornos empresariales. Si bien el aviso acaba de publicarse, los defensores deben actuar rápidamente. Cualquiera que ejecute versiones afectadas debe aplicar parches urgentemente. Es muy probable que se produzca una explotación inminente».
