SAP tiene liberado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que podrían explotarse para lograr la ejecución de código arbitrario en los sistemas afectados.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2019-17571 (Puntuación CVSS: 9,8) – Una vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO)
• CVE-2026-27685 (Puntuación CVSS: 9,1): una vulnerabilidad de deserialización insegura en la administración de SAP NetWeaver Enterprise Portal

«La aplicación utiliza un artefacto obsoleto de Apache Log4j 1.2.17 que es vulnerable a CVE-2019-17571», la empresa de seguridad SAP Onapsis dicho. «Permite que un atacante sin privilegios ejecute código arbitrario de forma remota en el servidor, lo que provoca un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación».

CVE-2026-27685, por otro lado, se debe a una validación faltante o insuficiente durante la deserialización del contenido cargado, lo que podría permitir a un atacante cargar contenido malicioso o que no es de confianza.

«Sólo el hecho de que un atacante requiera altos privilegios para un exploit exitoso evita que la vulnerabilidad sea etiquetada con una puntuación CVSS de 10», añadió Onapsis.

La divulgación se produce cuando Microsoft envió parches para 84 vulnerabilidades en todos los productos, incluidas docenas de fallas de escalada de privilegios y ejecución remota de código.

El martes, Adobe también anunció parches para 80 vulnerabilidadescuatro de los cuales son fallas críticas que afectan a Adobe Commerce y Magento Open Source y que podrían resultar en una escalada de privilegios y la elusión de funciones de seguridad. Por otra parte, solucionó cinco vulnerabilidades críticas en Adobe Illustrator que podrían allanar el camino para la ejecución de código arbitrario.

Por otra parte, Hewlett Packard Enterprise solucionó cinco deficiencias en Aruba Networking AOS-CX. La más grave de las fallas es CVE-2026-23813 (puntuación CVSS: 9,8), una omisión de autenticación que afecta a la interfaz de administración.

«Se ha identificado una vulnerabilidad en la interfaz de administración basada en web de los conmutadores AOS-CX que podría permitir que un actor remoto no autenticado eluda los controles de autenticación existentes», HPE dicho. «En algunos casos, esto podría permitir restablecer la contraseña de administrador».

«La explotación de esta vulnerabilidad de Aruba potencialmente brinda a los atacantes un control total de los dispositivos de red AOS-CX y la capacidad de comprometer un sistema completo sin ser detectado», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.

«Un compromiso exitoso podría provocar la interrupción de las comunicaciones de red o la erosión de la integridad de los servicios comerciales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red se están volviendo más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, pone a las organizaciones en un riesgo significativo».

Parches de software de otros proveedores

Otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Brazo
• Atlassiano
• Bosco
• Broadcom (incluido VMware)
• Canon
• cisco
• bóveda común
• Sistemas Dassault
• Dell
• Devoluciones
• drupal
• Elástico
• F5
• Fortinet
• Fortra
• Software Foxit
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Reloj Google Pixel
• Sistema operativo Google Wear
• Grafana
• Energía Hitachi
• mielwell
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• IBM
• Intel
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitsubishi Electrico
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• n8n
• Nvidia
• Redes de Palo Alto
• QNAP
• Qualcomm
• Ricoh
• Samsung
• Electricidad Schneider
• Servicio ahora
• siemens
• Vientos solares
• Splunk
• Sinología
• TP-Link
• Tendencia Micro
• GuardiaGuardia
• Digital occidental
• Zoomy
• Zyxel

Meta dijo el miércoles que deshabilitó más de 150.000 cuentas asociadas con centros de estafa en el sudeste asiático como parte de un esfuerzo coordinado en asociación con autoridades de Tailandia, Estados Unidos, Reino Unido, Canadá, Corea, Japón, Singapur, Filipinas, Australia, Nueva Zelanda e Indonesia.

El esfuerzo también condujo a 21 arrestos realizados por la Policía Real Tailandesa, dijo la compañía. La acción se basa en una iniciativa piloto en diciembre de 2025 que resultó en que Meta eliminara 59.000 cuentas, páginas y grupos de sus plataformas y seis órdenes de arresto.

«Las estafas en línea se han vuelto significativamente más sofisticadas e industrializadas en los últimos años, con redes criminales a menudo basadas en el Sudeste Asiático en países como Camboya, Myanmar y Laos ejecutando lo que equivalen a operaciones comerciales a gran escala», Meta dicho en un comunicado. «Estas operaciones causan un daño real: alteran vidas, destruyen la confianza y están diseñadas deliberadamente para evitar la detección y la interrupción».

Al mismo tiempo, Meta dijo que es anunciando una serie de herramientas nuevas para proteger a las personas cuando se detectan señales de alerta relacionadas con estafas –

• Nuevas advertencias en Facebook cuando los usuarios reciben cuentas sospechosas.
• Alertar a los usuarios cuando reciben solicitudes sospechosas de vinculación de dispositivos de WhatsApp engañándolos para que escaneen un código QR que vincularía el dispositivo del estafador a su cuenta.
• Detección de estafas avanzada ampliada en Messenger que solicita a los usuarios que compartan mensajes de chat recientes para una revisión de estafas de IA cuando una conversación con un nuevo contacto muestra patrones de estafa comunes, como ofertas de trabajo sospechosas.

El gigante de las redes sociales dijo que eliminó más de 159 millones de anuncios fraudulentos por violar sus políticas en 2025, y que eliminó 10,9 millones de cuentas en Facebook e Instagram asociadas con centros de estafas criminales. Además, la compañía ha anunciado planes para ampliar la verificación de los anunciantes en un intento de reforzar la transparencia y limitar los esfuerzos de los malos actores para tergiversar la identidad de los anunciantes.

El desarrollo se produce cuando el gobierno del Reino Unido lanzó un nuevo Centro contra el crimen en línea para combatir el cibercrimen, incluidos aquellos impulsados ​​por el aumento de compuestos fraudulentos que operan en el sudeste asiático, África occidental, Europa del Este, India y China, reuniendo a especialistas del gobierno, la policía, agencias de inteligencia, bancos, redes móviles y grandes empresas de tecnología.

Se espera que la unidad de disrupción inicie operaciones el próximo mes. También describe planes para implementar inteligencia artificial (IA) para detectar patrones de fraude emergentes, detener más rápidamente transferencias bancarias sospechosas y utilizar «chatbots que buscan estafas» para engañar a los estafadores y recopilar inteligencia.

«Con el respaldo de más de £30 millones en fondos, el centro identificará las cuentas, sitios web y números de teléfono de los que dependen los grupos del crimen organizado y los cerrará a gran escala, bloqueando mensajes de texto fraudulentos, congelando cuentas criminales, eliminando cuentas fraudulentas de redes sociales e interrumpiendo las operaciones en origen», dijo el gobierno del Reino Unido. dicho.

Microsoft lanzó el martes parches para un conjunto de 84 nuevas vulnerabilidades de seguridad afectando a varios componentes de software, incluidos dos que han sido catalogados como de conocimiento público.

De estos, ocho están clasificados como Críticos y 76 como Importantes en cuanto a su gravedad. Cuarenta y seis de las vulnerabilidades parcheadas se relacionan con la escalada de privilegios, seguidas de 18 de ejecución remota de código, 10 de divulgación de información, cuatro de suplantación de identidad, cuatro de denegación de servicio y dos fallas de omisión de funciones de seguridad.

Las correcciones se suman a 10 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de febrero de 2026.

Los dos días cero divulgados públicamente son CVE-2026-26127 (Puntuación CVSS: 7,5), una vulnerabilidad de denegación de servicio en .NET, y CVE-2026-21262 (Puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios en SQL Server.

La vulnerabilidad con la puntuación CVSS más alta en la actualización de este mes es una falla crítica de ejecución remota de código en el Programa de precios de dispositivos de Microsoft. CVE-2026-21536 (Puntuación CVSS: 9,8), según Microsoft, se ha mitigado por completo y no se requiere ninguna acción por parte de los usuarios. A la plataforma autónoma de descubrimiento de vulnerabilidades XBOW, impulsada por inteligencia artificial (IA), se le atribuye el mérito de descubrir e informar el problema.

«Este mes, más de la mitad (55%) de todos los CVE de Patch Tuesday fueron errores de escalada de privilegios, y de ellos, seis fueron clasificados como más probables de explotación en el componente de gráficos de Windows, la infraestructura de accesibilidad de Windows, el kernel de Windows, el servidor SMB de Windows y Winlogon», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«Sabemos que estos errores suelen ser utilizados por actores de amenazas como parte de una actividad posterior al compromiso, una vez que ingresan a los sistemas a través de otros medios (ingeniería social, explotación de otra vulnerabilidad)».

La falla de escalada de privilegios de Winlogon (CVE-2026-25187puntuación CVSS: 7,8), en particular, aprovecha la resolución inadecuada de enlaces para obtener privilegios del SISTEMA. El investigador de Google Project Zero, James Forshaw, ha sido reconocido por informar sobre la vulnerabilidad.

«La falla permite a un atacante autenticado localmente con privilegios bajos explotar una condición de seguimiento de enlace en el proceso Winlogon y escalar a privilegios del SISTEMA», dijo Jacob Ashdown, ingeniero de ciberseguridad de Immersive. «La vulnerabilidad no requiere interacción del usuario y tiene una baja complejidad de ataque, lo que la convierte en un objetivo sencillo una vez que un atacante logra afianzarse».

Otra vulnerabilidad a destacar es CVE-2026-26118 (Puntuación CVSS: 8,8), un error de falsificación de solicitudes del lado del servidor en el servidor Azure Model Context Protocol (MCP) que podría permitir a un atacante autorizado elevar los privilegios en una red.

«Un atacante podría aprovechar este problema enviando entradas especialmente diseñadas a una herramienta de servidor Azure Model Context Protocol (MCP) que acepte parámetros proporcionados por el usuario», dijo Microsoft.

«Si el atacante puede interactuar con el agente respaldado por MCP, puede enviar una URL maliciosa en lugar de un identificador de recurso normal de Azure. Luego, el servidor MCP envía una solicitud saliente a esa URL y, al hacerlo, puede incluir su token de identidad administrado. Esto permite al atacante capturar ese token sin requerir acceso administrativo».

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los permisos asociados con la identidad administrada del servidor MCP. Luego, el atacante podría aprovechar este comportamiento para acceder o realizar acciones en cualquier recurso al que la identidad administrada esté autorizada a acceder.

Entre los errores de gravedad crítica resueltos por Microsoft se encuentra una falla de divulgación de información en Excel. Seguimiento como CVE-2026-26144 (puntuación CVSS de 7,5), se ha descrito como un caso de secuencias de comandos entre sitios que se produce como resultado de una neutralización inadecuada de la entrada durante la generación de la página web.

El fabricante de Windows dijo que un atacante que explotara la deficiencia podría causar que el modo Copilot Agent extraiga datos como parte de un ataque sin clic.

«Las vulnerabilidades de divulgación de información son especialmente peligrosas en entornos corporativos donde los archivos Excel a menudo contienen datos financieros, propiedad intelectual o registros operativos», dijo Alex Vovk, director ejecutivo y cofundador de Action1, en un comunicado.

«Si son explotados, los atacantes podrían extraer silenciosamente información confidencial de los sistemas internos sin activar alertas obvias. Las organizaciones que utilizan funciones de productividad asistidas por IA pueden enfrentar una mayor exposición, ya que los agentes automatizados podrían transmitir involuntariamente datos confidenciales fuera de los límites corporativos».

Los parches llegan cuando Microsoft dijo que está cambiando el comportamiento predeterminado de Windows Autopatch al permitir actualizaciones de seguridad con parches activos para ayudar a proteger los dispositivos a un ritmo más rápido.

«Este cambio en el comportamiento predeterminado llega a todos los dispositivos elegibles en Microsoft Intune y a aquellos que acceden al servicio a través de Microsoft Graph API a partir de la actualización de seguridad de Windows de mayo de 2026», Redmond dicho. «Aplicar correcciones de seguridad sin esperar a que se reinicie puede hacer que las organizaciones alcancen un 90% de cumplimiento en la mitad del tiempo, mientras usted mantiene el control».

Un actor de amenazas conocido como UNC6426 claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el año pasado para violar completamente el entorno de nube de una víctima en un lapso de 72 horas.

El ataque comenzó con el robo del token GitHub de un desarrollador, que luego el actor de la amenaza utilizó para obtener acceso no autorizado a la nube y robar datos.

«El actor de amenazas, UNC6426, luego utilizó este acceso para abusar de la confianza de GitHub-to-AWS OpenID Connect (OIDC) y crear una nueva función de administrador en el entorno de la nube», Google dicho en su Informe Cloud Threat Horizons para el primer semestre de 2026. «Abusaron de esta función para exfiltrar archivos de los depósitos del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) del cliente y realizaron la destrucción de datos en sus entornos de producción en la nube».

El ataque a la cadena de suministro dirigido al paquete nx npm tuvo lugar en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable pull_request_target, un ataque tipo referido como Solicitud de Pwn – para obtener privilegios elevados y acceder a datos confidenciales, incluido un GITHUB_TOKEN, y, en última instancia, enviar versiones troyanizadas del paquete al registro npm.

Se descubrió que los paquetes incorporaban un script de postinstalación que, a su vez, lanzaba un Ladrón de credenciales de JavaScript llamado QUIETVAULT para desviar variables de entorno, información del sistema y tokens valiosos, incluidos los tokens de acceso personal (PAT) de GitHub, utilizando como arma una herramienta de modelo de lenguaje grande (LLM) ya instalada en el punto final para realizar la búsqueda. Los datos se cargaron en un repositorio público de GitHub llamado «/s1ngularity-repository-1».

Google dijo que un empleado de la organización víctima ejecutó una aplicación de edición de código que usaba el complemento Nx Console, lo que provocó una actualización en el proceso y resultó en la ejecución de QUIETVAULT.

Se dice que UNC6426 inició actividades de reconocimiento dentro del entorno GitHub del cliente utilizando el PAT robado dos días después del compromiso inicial utilizando una herramienta legítima de código abierto llamada Corriente del Norte para extraer secretos de entornos CI/CD, filtrando las credenciales de una cuenta de servicio de GitHub.

Posteriormente, los atacantes aprovecharon esta cuenta de servicio y utilizaron el parámetro «–aws-role» de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol «Actions-CloudFormation» y, en última instancia, permitirles obtener un punto de apoyo en el entorno AWS de la víctima.

«La función comprometida Github-Actions-CloudFormation era demasiado permisiva», dijo Google. «UNC6426 utilizó este permiso para implementar una nueva pila de AWS con capacidades [«CAPABILITY_NAMED_IAM»,»CAPABILITY_IAM»]. El único propósito de esta pila era crear una nueva función de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. UNC6426 pasó con éxito de un token robado a permisos completos de administrador de AWS en menos de 72 horas».

Armado con los nuevos roles de administrador, el actor de amenazas llevó a cabo una serie de acciones, incluida la enumeración y el acceso a objetos dentro de los depósitos de S3, la finalización de instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado de claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la víctima pasaron a llamarse «/s1ngularity-repository-[randomcharacters]» y hecho público.

Para contrarrestar tales amenazas, se recomienda utilizar administradores de paquetes que impidan scripts posteriores a la instalación o herramientas de sandboxing, aplicar el principio de privilegio mínimo (PoLP) a las cuentas de servicio de CI/CD y roles vinculados a OIDC, aplicar PAT detalladas con ventanas de vencimiento cortas y permisos de repositorio específicos, eliminar privilegios permanentes para acciones de alto riesgo como la creación de roles de administrador, monitorear actividades anómalas de IAM e implementar controles sólidos para detectar riesgos de Shadow AI.

El incidente destaca un caso de lo que Socket ha descrito como un abuso de la cadena de suministro asistido por IA, donde la ejecución se descarga a agentes de IA que ya tienen acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas del desarrollador.

«La intención maliciosa se expresa en mensajes en lenguaje natural en lugar de devoluciones de llamadas de red explícitas o puntos finales codificados, lo que complica los enfoques de detección convencionales», dijo la firma de seguridad de la cadena de suministro de software. dicho. «A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, también amplían la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance».

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados», afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho. «En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

«Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «soporte» y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.

Luego, el actor de la amenaza siguió comprobando periódicamente para asegurarse de que el dispositivo fuera accesible, una acción consistente con un corredor de acceso inicial (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.

«La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», dijo SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un acceso más profundo. Después de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento lateral adicional.

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor de amenazas descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware Java, lanzado mediante carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y la sección de registro del SISTEMA a un servidor externo («172.67.196[.]232») sobre el puerto 443.

«Si bien es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la recolección de credenciales y la contención del incidente», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware».

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tráfico malicioso.

El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas ubicadas en los EE. UU., según el equipo de Black Lotus Labs en Lumen. Se ha detectado un número menor de infecciones en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.

«KadNap emplea una versión personalizada del Kademlia Tabla hash distribuida (DHT), que se utiliza para ocultar la dirección IP de su infraestructura dentro de un sistema peer-to-peer para evadir el monitoreo de red tradicional», la empresa de ciberseguridad dicho en un informe compartido con The Hacker News.

Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse con un servidor de comando y control (C2), haciéndolo resistente a los esfuerzos de detección e interrupción.

Una vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger («doppelganger[.]shop»), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelgänger, según su sitio web, afirma ofrecer servidores proxy residentes en más de 50 países que brindan «100% de anonimato». Se dice que el servicio se lanzó en mayo/junio de 2025.

A pesar del enfoque en los enrutadores Asus, se descubrió que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.

El elemento central del ataque es un script de shell («aic.sh») que se descarga del servidor C2 («212.104.141[.]140»), que es responsable de iniciar el proceso de reclutamiento de la víctima en la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a «.asusrouter» y ejecutarlo.

Una vez que se establece la persistencia, el script extrae un archivo ELF malicioso, le cambia el nombre a «kad» y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.

KadNap también está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve como base para crear un hash que se utiliza para localizar a otros pares en la red descentralizada para recibir comandos o descargar archivos adicionales.

Los archivos, fwr.sh y /tmp/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP estándar para Secure Shell (SSH), en el dispositivo infectado y extraer una lista de combinaciones de dirección IP:puerto C2 para conectarse.

«En resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicación robustos que son difíciles de interrumpir, ocultándose en el ruido del tráfico legítimo entre pares», dijo Lumen.

Un análisis más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se está categorizando según el tipo y modelo de dispositivo.

El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelgänger están siendo abusados ​​por actores de amenazas en la naturaleza. «Ha habido un problema ya que estos Asus (y otros dispositivos) a veces también están coinfectados con otro malware: es complicado decir quién es exactamente responsable de una actividad maliciosa específica», dijo la compañía.

Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos que están al final de su vida útil y ya no son compatibles.

«La botnet KadNap se destaca entre otras que admiten servidores proxy anónimos en el uso de una red peer-to-peer para el control descentralizado», concluyó Lumen. «Su intención es clara: evitar la detección y dificultar la protección de los defensores».

Surge una nueva amenaza para Linux ClipXDaemon

La divulgación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a través del marco de post-explotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.

Organizado íntegramente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y wayland evitar sesiones, mientras simultáneamente monitorea el portapapeles cada 200 milisegundos y sustituye direcciones de criptomonedas con billeteras controladas por atacantes. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.

La decisión de evitar la ejecución en sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de visualización coloca controles adicionales, como requerir interacción explícita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecución.

«ClipXDaemon se diferencia fundamentalmente del malware tradicional de Linux. No contiene lógica de comando y control (C2), no realiza balizas y no requiere tareas remotas», dijo la compañía. dicho. «En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas en tiempo real con direcciones controladas por el atacante».

El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28 Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.

Las dos familias de malware se utilizan desde abril de 2024, ESET dicho en un nuevo informe compartido con The Hacker News.

APT28, también rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor de estado-nación afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, GRU.

El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en código SLIMAGENT que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado públicamente por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.

SLIMAGENT, según la empresa eslovaca de ciberseguridad, tiene sus raíces en XAgent, otro implante utilizado por APT28 en la década de 2010 para facilitar el control remoto y la exfiltración de datos. Esto se basa en similitudes de código descubiertas entre SLIMAGENT y muestras previamente desconocidas implementadas en ataques dirigidos a entidades gubernamentales en dos países europeos ya en 2018.

Se evalúa que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 se originaron en XAgent, y el análisis de ESET descubrió superposiciones en el registro de teclas entre SLIMAGENT y un Muestra de XAgent detectado en estado salvaje a finales de 2014.

«SLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicación, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente», dijo ESET. «El keylogger XAgent también produce registros HTML utilizando el mismo esquema de color».

También se implementa en conexión con SLIMAGENT otra puerta trasera conocida como BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio legítimo de almacenamiento en la nube Icedrive para comando y control (C2).

Comparación de código entre SLIMAGENT (izquierda) y XAgent (derecha)

Un aspecto digno de mención del malware es que utiliza una técnica de ofuscación distintiva conocida como predicado opacoque también se encuentra en XTunnel (también conocido como X-Tunnel), un herramienta de giro y recorrido de red utilizado por APT28 en el hackeo del Comité Nacional Demócrata (DNC) de 2016. La herramienta proporciona un túnel seguro a un servidor C2 externo.

«El uso compartido de esta rara técnica de ofuscación, combinada con su colocación con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL es parte del arsenal personalizado de Sednit», añadió ESET.

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de post-explotación .NET de código abierto que ha sido «fuertemente» modificado para soportar el espionaje a largo plazo y para implementar un nuevo protocolo de red basado en la nube que abusa del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 usaba pCloud (en 2023) y Koofr (en 2024-2025).

«Estas adaptaciones muestran que los desarrolladores de Sednit adquirieron una profunda experiencia en Covenant, un implante cuyo desarrollo oficial cesó en abril de 2021 y es posible que los defensores lo hayan considerado no utilizado», dijo ESET. «Esta sorprendente elección operativa parece haber dado sus frutos: Sednit ha confiado con éxito en Covenant durante varios años, particularmente contra objetivos seleccionados en Ucrania.»

Esta no es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix reveló que APT28 implementó Graphite, una puerta trasera que empleaba OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional e individuos del sector de defensa en Asia occidental.

No se puede controlar cuándo cae la próxima vulnerabilidad crítica. Puede controlar qué parte de su entorno está expuesto cuando lo hace. El problema es que la mayoría de los equipos tienen más exposición a Internet de lo que creen. del intruso El Jefe de Seguridad profundiza en por qué sucede esto y cómo los equipos pueden gestionarlo deliberadamente.

El tiempo de explotación se está reduciendo

Cuanto mayor y menos controlada sea su superficie de ataque, más oportunidades existirán de explotación. Y la ventana para actuar en consecuencia se está reduciendo rápidamente. Para las vulnerabilidades más graves, la divulgación para la explotación puede durar tan solo 24 a 48 horas. Reloj de día cero proyectos cuyo tiempo de explotación será de solo unos minutos para 2028.

No es mucho tiempo si se considera lo que debe suceder antes de implementar un parche: ejecutar análisis, esperar resultados, generar tickets, acordar prioridades, implementar y verificar la solución. Si la divulgación llega fuera de horario, lleva aún más tiempo.

En muchos casos, los sistemas vulnerables no necesitan estar conectados a Internet en primer lugar. Con visibilidad de la superficie de ataque, los equipos pueden reducir la exposición innecesaria desde el principio y evitar la confusión cuando surge una nueva vulnerabilidad.

Cuando un día cero cae en sábado

Shell de herramientas era una vulnerabilidad de ejecución remota de código no autenticado en Microsoft SharePoint. Si un atacante pudiera alcanzarlo, podría ejecutar código en su servidor y, como SharePoint está conectado a Active Directory, comenzaría en una parte altamente confidencial de su entorno.

Se trataba de un día cero, lo que significa que los atacantes lo estaban explotando antes de que estuviera disponible un parche. Microsoft lo reveló un sábado y confirmó que grupos patrocinados por el estado chino lo habían estado explotando durante hasta dos semanas antes. Cuando la mayoría de los equipos se enteraron, los atacantes oportunistas buscaban instancias expuestas y las explotaban a escala.

La investigación de Intruder encontró miles de instancias de SharePoint de acceso público en el momento de la divulgación, a pesar de que SharePoint no necesita estar conectado a Internet. Cada una de esas exposiciones fue innecesaria y cada servidor sin parches fue una puerta abierta.

Por qué se pasan por alto las exposiciones

Entonces, ¿por qué los equipos de seguridad suelen pasar por alto las exposiciones?

En un análisis externo típico, los hallazgos informativos se encuentran debajo de cientos de críticas, altibajos y altibajos. Pero esa información puede incluir detecciones que representen un riesgo de exposición real, como:

• Un servidor SharePoint expuesto
• Una base de datos expuesta a Internet, como MySQL o Postgres.
• Otros protocolos, que normalmente deberían reservarse para la red interna, como RDP y SNMP

Aquí hay un ejemplo real de cómo se ve:

En términos de escaneo de vulnerabilidades, a veces tiene sentido clasificarlos como informativos. Si el escáner se encuentra en la misma subred privada que los objetivos, un servicio expuesto podría realmente ser de bajo riesgo. Pero cuando ese mismo servicio está expuesto a Internet, conlleva un riesgo real incluso sin una vulnerabilidad conocida asociada. Todavía.

El peligro es que los informes de análisis tradicionales tratan ambos casos de la misma manera, por lo que los riesgos reales se escapan de las lagunas.

¿Qué implica realmente la reducción proactiva de la superficie de ataque?

Hay tres elementos clave para que la reducción de la superficie de ataque funcione en la práctica.

1. Descubrimiento de activos: defina su superficie de ataque

Antes de poder reducir su superficie de ataque, necesita una imagen clara de lo que posee y de lo que es accesible externamente. Eso comienza con la identificación de la TI en la sombra: sistemas que su organización posee u opera pero que actualmente no está escaneando ni monitoreando.

Cerrar esa brecha es importante y hay tres elementos clave que recomendamos implementar:

1. Integración con sus proveedores de nube y DNS para que cuando se cree una nueva infraestructura, se recoja y analice automáticamente. Esta es un área donde los defensores tienen una ventaja genuina: puedes integrarte directamente con tus propios entornos, los atacantes no.
2. Usando la enumeración de subdominios para mostrar hosts accesibles externamente que no están en su inventario. Esto es importante especialmente después de adquisiciones, en las que es posible que esté heredando una infraestructura de la que aún no tiene visibilidad.
3. Identificación de infraestructura alojada con proveedores de nube más pequeños y desconocidos. Es posible que tenga una política de seguridad que obligue a los equipos de desarrollo a utilizar solo su proveedor de nube principal, pero debe verificar que se sigan las prácticas.

Vea una inmersión profunda en estas técnicas:

. Trate la exposición como riesgo

El siguiente paso es tratar la exposición de la superficie de ataque como una categoría de riesgo en sí misma.

Eso requiere un capacidad de detección que identifica qué hallazgos informativos representan una exposición y asigna la gravedad adecuada. Una instancia de SharePoint expuesta, por ejemplo, podría razonablemente tratarse como un problema de riesgo medio.

También significa crear espacio para este trabajo en como priorizas. Si los esfuerzos estratégicos como la reducción de la superficie de ataque siempre compiten con los parches urgentes, siempre perderán. Eso podría significar reservar tiempo cada trimestre para revisar y reducir la exposición, o asignar una propiedad clara para que alguien sea responsable de ello, no sólo cuando ocurre una crisis, sino de forma rutinaria.

3. Monitoreo continuo

La reducción de la superficie de ataque no es un ejercicio de una sola vez. La exposición cambia constantemente (se edita una regla de firewall, se implementa un nuevo servicio, se olvida un subdominio) y su equipo necesita detectar esos cambios rápidamente.

Los análisis de vulnerabilidades tardan en completarse y, por lo general, no es posible ejecutar análisis completos diariamente. Escaneo diario de puertos es una mejor opción. Es liviano, rápido y significa que puede detectar servicios recientemente expuestos a medida que aparecen. Si alguien edita una regla de firewall y accidentalmente expone Escritorio remoto, usted se enterará el día en que sucede, no en el siguiente análisis programado, que podría realizarse hasta un mes después.

Menos servicios expuestos, menos sorpresas

Cuando los servicios innecesarios no se exponen en primer lugar, es mucho menos probable que queden atrapados en la explotación masiva que sigue a una divulgación crítica. Eso significa menos sorpresas, menos luchas urgentes y más tiempo para responder deliberadamente cuando surgen nuevas vulnerabilidades.

Intruder automatiza este proceso, desde descubrir TI en la sombra y monitorear nuevas exposiciones, hasta alertar a su equipo en el momento en que algo cambia, para que su equipo de seguridad pueda anticiparse a la exposición en lugar de reaccionar ante ella.

Si quieres ver lo que está expuesto en tu entorno, reservar una demostración de Intruder.

Los investigadores de ciberseguridad han revelado nueve vulnerabilidades entre inquilinos en Google Looker Studio que podrían haber permitido a los atacantes ejecutar consultas SQL arbitrarias en las bases de datos de las víctimas y filtrar datos confidenciales dentro de los entornos de Google Cloud de las organizaciones.

Las deficiencias han sido nombradas colectivamente. Looker con fugas por Tenable. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. Tras la divulgación responsable en junio de 2025, Google solucionó los problemas.

La lista de fallas de seguridad es la siguiente:

«Las vulnerabilidades rompieron supuestos de diseño fundamentales, revelaron una nueva clase de ataque y podrían haber permitido a los atacantes filtrar, insertar y eliminar datos en los servicios de las víctimas y en el entorno de Google Cloud», dijo la investigadora de seguridad Liv Matan. dicho en un informe compartido con The Hacker News.

«Estas vulnerabilidades expusieron datos confidenciales en los entornos de Google Cloud Platform (GCP), afectando potencialmente a cualquier organización que utilice Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage y casi cualquier otro conector de datos de Looker Studio».

La explotación exitosa de las fallas entre inquilinos podría permitir a los actores de amenazas obtener acceso a conjuntos de datos y proyectos completos en diferentes inquilinos de la nube.

Los atacantes podrían buscar informes públicos de Looker Studio u obtener acceso a informes privados que utilicen estos conectores (por ejemplo, BigQuery) y tomar el control de las bases de datos, permitiéndoles ejecutar consultas SQL arbitrarias en todo el proyecto GCP del propietario.

Alternativamente, una víctima crea un informe como público o lo comparte con un destinatario específico y utiliza una fuente de datos conectada a JDBC, como PostgreSQL. En este escenario, el atacante puede aprovechar una falla lógica en la función de copia de informes que permite clonar informes conservando las credenciales del propietario original, lo que le permite eliminar o modificar tablas.

Otra ruta de alto impacto detallada por la compañía de ciberseguridad implicó la exfiltración de datos con un solo clic, donde compartir un informe especialmente diseñado obliga al navegador de la víctima a ejecutar código malicioso que contacta un proyecto controlado por un atacante para reconstruir bases de datos completas a partir de registros.

«Las vulnerabilidades rompieron la promesa fundamental de que un ‘espectador’ nunca debería poder controlar los datos que está viendo», dijo Matan, y agregó que «podrían haber permitido a los atacantes filtrar o modificar datos en los servicios de Google como BigQuery y Google Sheets».

La Inteligencia Artificial (IA) ya no es sólo una herramienta con la que hablamos; es una herramienta que hace cosas para nosotros. estos se llaman Agentes de IA. Pueden enviar correos electrónicos, mover datos e incluso administrar software por su cuenta.

Pero hay un problema. Si bien estos agentes agilizan el trabajo, también abren una nueva «puerta trasera» para los piratas informáticos.

El problema: «El empleado invisible»

Piense en un agente de IA como un empleado nuevo que tiene las llaves de todas las oficinas de su edificio pero no tiene una etiqueta con su nombre.

Como estos agentes actúan por su cuenta, a menudo tienen acceso a información confidencial que nadie está mirando. Los piratas informáticos se han dado cuenta de esto. Ya no necesitan descifrar su contraseña, solo necesitan engañar a su agente de IA para que haga el trabajo por ellos.

Si su empresa utiliza IA para automatizar tareas, podría estar en riesgo. Las herramientas de seguridad tradicionales se crearon para proteger a los humanos, no a los «trabajadores digitales».

En nuestro próximo seminario web, Más allá del modelo: la superficie de ataque ampliada de los agentes de IARahul Parwani, jefe de producto de seguridad de IA en ariadesglosará exactamente cómo los piratas informáticos se dirigen a estos agentes y, lo que es más importante, cómo puede detenerlos.

Lo que aprenderás

• La «materia oscura» de la identidad: Por qué los agentes de IA suelen ser invisibles para su equipo de seguridad y cómo encontrarlos.
• Cómo se engaña a los agentes: Descubra cómo una simple «mala idea» oculta en un documento puede hacer que un agente de IA filtre los secretos de su empresa.
• El plan de seguridad: Pasos sencillos para brindarles a sus agentes de IA el poder que necesitan sin darles el «Modo Dios» sobre sus datos.

¿Quién debería asistir?

Si es un líder empresarial, un profesional de TI o cualquier persona responsable de mantener seguros los datos de la empresa, esta sesión es para usted. No es necesario ser un experto en codificación para comprender estos riesgos.

No permita que su IA se convierta en su mayor agujero de seguridad.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.