Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatización de flujo de trabajo de inteligencia artificial (IA), para facilitar campañas de phishing sofisticadas y entregar cargas útiles maliciosas o dispositivos de huellas dactilares mediante el envío de correos electrónicos automatizados.

«Al aprovechar la infraestructura confiable, estos atacantes evitan los filtros de seguridad tradicionales y convierten las herramientas de productividad en vehículos de entrega para un acceso remoto persistente», afirman los investigadores de Cisco Talos, Sean Gallagher y Omid Mirzaei. dicho en un análisis publicado hoy.

N8n es una plataforma de automatización del flujo de trabajo que permite a los usuarios conectar varias aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas agentes y ejecutar tareas repetitivas basadas en reglas.

Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para aprovechar un servicio administrado alojado en la nube y ejecutar flujos de trabajo de automatización sin tener que configurar su propia infraestructura. Sin embargo, al hacerlo, se crea un dominio personalizado único que sigue el formato: .app.n8n.cloud: desde donde un usuario puede acceder a sus aplicaciones.

La plataforma también admite la capacidad de crear webhooks para recibir datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo después de recibir ciertos datos. Los datos, en este caso, se envían a través de una URL de webhook única.

Según Cisco Talos, son estos webhooks expuestos a URL los que utilizan el mismo *.app.n8n[.]subdominio de la nube: del que se ha abusado en ataques de phishing desde octubre de 2025.

«Un webhook, a menudo denominado ‘API inversa’, permite que una aplicación proporcione información en tiempo real a otra. Estas URL registran una aplicación como un ‘oyente’ para recibir datos, que pueden incluir contenido HTML extraído mediante programación», explicó Talos.

«Cuando la URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo, devolviendo resultados como un flujo de datos HTTP a la aplicación solicitante. Si se accede a la URL por correo electrónico, el navegador del destinatario actúa como la aplicación receptora y procesa la salida como una página web».

Lo que hace que esto sea significativo es que abre una nueva puerta para que los actores de amenazas propaguen malware mientras mantienen una apariencia de legitimidad al dar la impresión de que se originan en un dominio confiable.

Los actores de amenazas no perdieron el tiempo aprovechando el comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el volumen de mensajes de correo electrónico que contienen estas URL en marzo de 2026 fue aproximadamente un 686% mayor que en enero de 2025.

En una campaña observada por Talos, se descubrió que los actores de amenazas incrustaban un enlace de webhook alojado en n8n en correos electrónicos que afirmaban ser un documento compartido. Al hacer clic en el enlace, el usuario accede a una página web que muestra un CAPTCHA que, al finalizar, activa la descarga de una carga útil maliciosa desde un host externo.

«Debido a que todo el proceso está encapsulado dentro del JavaScript del documento HTML, al navegador le parece que la descarga proviene del dominio n8n», señalaron los investigadores.

El objetivo final del ataque es entregar un ejecutable o un instalador MSI que sirva como conducto para versiones modificadas de herramientas legítimas de administración y monitoreo remoto (RMM) como Datto e ITarian Endpoint Management, y utilizarlas para establecer persistencia mediante el establecimiento de una conexión a un servidor de comando y control (C2).

Un segundo caso frecuente se refiere al abuso de n8n para la toma de huellas dactilares. Específicamente, esto implica incrustar en los correos electrónicos una imagen invisible o un píxel de seguimiento alojado en una URL de webhook n8n. Tan pronto como la misiva digital se abre a través de un cliente de correo electrónico, envía automáticamente una solicitud HTTP GET a la URL n8n junto con parámetros de seguimiento, como la dirección de correo electrónico de la víctima, lo que permite a los atacantes identificarla.

«Los mismos flujos de trabajo diseñados para ahorrar horas de trabajo manual a los desarrolladores ahora se están reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales debido a su flexibilidad, facilidad de integración y automatización perfecta», dijo Talos. «A medida que continuamos aprovechando el poder de la automatización de código bajo, es responsabilidad de los equipos de seguridad garantizar que estas plataformas y herramientas sigan siendo activos y no pasivos».

Los actores de amenazas han estado explotando una vulnerabilidad de día cero previamente desconocida en Adobe Reader utilizando documentos PDF creados con fines malintencionados desde al menos diciembre de 2025.

El hallazgo, detallado por Haifei Li de EXPMON, ha sido descrito como un exploit PDF altamente sofisticado. El artefacto («Invoice540.pdf») apareció por primera vez en la plataforma VirusTotal el 28 de noviembre de 2025. A segunda muestra se subió a VirusTotal el 23 de marzo de 2026.

Dado el nombre del documento PDF, es probable que haya un elemento de ingeniería social involucrado, ya que los atacantes atraen a usuarios desprevenidos para que abran los archivos en Adobe Reader. Una vez iniciado, activa automáticamente la ejecución de JavaScript ofuscado para recopilar datos confidenciales y recibir cargas útiles adicionales.

El investigador de seguridad Gi7w0rm, en un X publicacióndijo que los documentos PDF observados contienen señuelos en ruso y se refieren a temas relacionados con eventos actuales relacionados con la industria del petróleo y el gas en Rusia.

«La muestra actúa como un exploit inicial con la capacidad de recopilar y filtrar varios tipos de información, seguido potencialmente por exploits de ejecución remota de código (RCE) y escape de espacio aislado (SBX),» dijo Li.

«Abusa de la vulnerabilidad de día cero/sin parches en Adobe Reader que le permite ejecutar API privilegiadas de Acrobat, y se confirma que funciona en la última versión de Adobe Reader».

También viene con capacidades para exfiltrar la información recopilada a un servidor remoto («169.40.2[.]68:45191») y recibir código JavaScript adicional para ejecutar.

Este mecanismo, argumentó Li, podría usarse para recopilar datos locales, realizar ataques avanzados de huellas dactilares y preparar el escenario para actividades posteriores, incluida la entrega de exploits adicionales para lograr la ejecución de código o zona de pruebas.

Se desconoce la naturaleza exacta de este exploit de siguiente etapa, ya que no se recibió respuesta del servidor. Esto, a su vez, podría implicar que el entorno de prueba local desde el que se emitió la solicitud no cumpliera con los criterios necesarios para recibir la carga útil.

«Sin embargo, esta capacidad de día cero/sin parches para una amplia recolección de información y el potencial para la posterior explotación de RCE/SBX es suficiente para que la comunidad de seguridad permanezca en alerta máxima», dijo Li.

(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más detalles).

Tres hombres americanos fueron sentenciado el viernes por crímenes que cometieron en cumplimiento del vasto plan de Corea del Norte para contratar agentes en empresas estadounidenses, dijo el Departamento de Justicia.

El trío (Audricus Phagnasay, de 25 años, Jason Salazar, de 30 y Alexander Paul Travis, de 35) se declaró culpable en noviembre de conspiración para cometer fraude electrónico al proporcionar identidades estadounidenses a trabajadores remotos de TI de Corea del Norte.

Alojaron en sus hogares computadoras portátiles proporcionadas por empresas estadounidenses e instalaron software de acceso remoto para que pareciera que los agentes norcoreanos estaban trabajando en el país. El grupo también ayudó a trabajadores remotos de TI a pasar la investigación de antecedentes de los empleadores y, en el caso de Travis y Salazar, realizó pruebas de drogas en nombre de los norcoreanos, dijeron los fiscales.

Travis, un miembro en servicio activo del ejército estadounidense en ese momento, recibió alrededor de 51.000 dólares del plan. Fue sentenciado a un año de prisión y se le ordenó perder alrededor de 193.000 dólares.

Phagnasay y Salazar se embolsaron cada uno unos 3.500 y 4.500 dólares, respectivamente, y ambos fueron sentenciados a tres años de libertad condicional y una multa de 2.000 dólares. Un tribunal federal ordenó a Salazar perder unos 410.000 dólares y ordenó a Phagnasay perder casi 682.000 dólares.

«Estos hombres prácticamente dieron las llaves del reino en línea a probables trabajadores norcoreanos de tecnología en el extranjero que buscaban recaudar ingresos ilícitos para el gobierno de Corea del Norte, todo a cambio de lo que les parecía dinero fácil», dijo en un comunicado Margaret Heap, fiscal estadounidense para el Distrito Sur de Georgia.

«Estos esquemas presentan un desafío importante para nuestra seguridad nacional y aplaudimos a nuestros socios de investigación que trabajan para asegurar nuestras fronteras digitales», agregó Heap.

El trío facilitó alrededor de 1,28 millones de dólares en salarios de las empresas estadounidenses víctimas desde septiembre de 2019 hasta noviembre de 2022. Sin embargo, los recortes financieros por su asistencia fueron relativamente bajos.

Las contramedidas de los funcionarios a estos esquemas, que en última instancia blanquean dinero mal habido para el gobierno de Corea del Norte, implican atacar a facilitadores con sede en Estados Unidos que proporcionan identidades falsificadas o robadas y granjas de computadoras portátiles para agentes norcoreanos, y la incautación de criptomonedas vinculadas al robo.

Los avances en materia de aplicación de la ley en ambos frentes se están acumulando, pero los investigadores advierten que la operación de Corea del Norte es de escala masiva y evoluciona constantemente.

Microsoft Threat Intelligence advirtió a principios de este mes que los grupos de amenazas norcoreanos están utilizando herramientas de inteligencia artificial para acelerar y expandir el esquema del país, automatizando y mejorando los esfuerzos a lo largo del ciclo de vida del ataque.

Los atletas profesionales de la NBA y la NFL supuestamente fueron engañados y victimizados por un hombre de Georgia de 34 años. esquema astuto de ingeniería social que corrió haciéndose pasar por una conocida estrella de cine para adultos, dijo el lunes el Departamento de Justicia.

Kwamaine Jerell Ford supuestamente inició y cometió algunos de los delitos mientras estaba encarcelado en una prisión federal por una estafa de phishing generalizada similar que también se dirigió a atletas universitarios y profesionales y artistas musicales a partir de 2015.

“Mientras cumplía condena por robar números de tarjetas de crédito de atletas y celebridades para financiar su estilo de vida, Ford supuestamente incurrió nuevamente en la misma conducta”, dijo en un comunicado Theodore S. Hertzberg, fiscal federal para el Distrito Norte de Georgia.

El presunto reincidente, mientras adoptaba la personalidad de un modelo de películas para adultos, engañó a atletas profesionales para que le proporcionaran sus credenciales de inicio de sesión de iCloud y códigos de autenticación multifactor para esas cuentas con el fin de robar información financiera y de identificación personal para pagar gastos personales.

Ford está acusado de ejecutar más de 2.000 transacciones no autorizadas con tarjetas de débito y crédito de atletas profesionales desde noviembre de 2020 hasta septiembre de 2024, según una acusación abierta. Estuvo bajo custodia federal durante los primeros 14 meses de la conspiración y quedó en libertad condicional por delitos anteriores en enero de 2022.

Los fiscales no nombraron a las víctimas ni divulgaron cuántos atletas supuestamente victimizó Ford durante su último plan, ni cuánto dinero obtuvo a través de la conspiración.

Se declaró inocente el viernes de 22 cargos por delitos que incluyen fraude electrónico, obtención de información de una computadora protegida, fraude de dispositivos de acceso, robo de identidad agravado y tráfico sexual. Ford se encuentra detenido sin derecho a fianza en espera de juicio.

Utilizando la identidad del modelo de películas para adultos, Ford supuestamente atrajo a sus víctimas de alto perfil a comunicarse con él en las redes sociales afirmando falsamente que les enviaría contenido de películas para adultos a través de iCloud.

Cuando un atleta profesional respondió, Ford supuestamente envió mensajes de phishing a la víctima diseñados para parecerse a mensajes de texto legítimos del servicio de atención al cliente de Apple. Los funcionarios dijeron que Ford falsificó cuentas legítimas de servicio al cliente de Apple y se hizo pasar por un representante de atención al cliente de Apple para solicitar los detalles de inicio de sesión de las víctimas a través de mensajes de texto.

Los fiscales dijeron que Ford les dijo a sus víctimas que los mensajes contenían un archivo de video compartido a través de un enlace de iCloud que les exigía responder con un código MFA. Ford supuestamente intentó acceder a las cuentas de iCloud de sus víctimas al mismo tiempo, lo que provocó la entrega de un código MFA al dispositivo de la víctima.

Los atletas profesionales que proporcionaron sus códigos iCloud MFA a Ford finalmente fueron engañados para que le dieran acceso completo a sus cuentas de iCloud, dijeron los funcionarios. Ford supuestamente utilizó ese acceso para robar datos confidenciales, licencias de conducir e información de tarjetas de crédito que utilizó para gastos personales.

Ford también, mientras se hacía pasar por la estrella de cine para adultos, supuestamente victimizó a un modelo de Onlyfans al afirmar que avanzaría en su carrera. Los fiscales dijeron que Ford atrajo a la modelo Onlyfans para que participara y grabara actos sexuales comerciales con atletas profesionales sin su consentimiento.

«Ford claramente no aprendió de su condena anterior por un plan similar. Esta vez, supuestamente intensificó su actividad criminal: robo de identidades y dinero y al mismo tiempo pasó a la coerción y el tráfico sexual», dijo en un comunicado Peter Ellis, agente especial interino a cargo de la oficina del FBI en Atlanta.

Ford supuestamente anunció a la víctima entre los atletas seleccionados, coordinó su viaje para que coincidiera con los lugares conocidos de los atletas y negoció pagos de los atletas por tener relaciones sexuales con la víctima. Los fiscales dijeron que Ford recibió un recorte financiero de esos actos sexuales comerciales, muchos de los cuales la víctima fue obligada a filmar sin el conocimiento de los atletas.

Ford también está acusado de utilizar estos vídeos de la modelo Onlyfans para interactuar con atletas adicionales con falsos pretextos. Cuando el modelo de OnlyFans se resistió a filmar los actos sexuales, Ford supuestamente los obligó a enviarle dinero en lugar de los videos.

En 2019, Ford se declaró culpable de fraude informático. condenado a tres años de prisión y se le ordenó pagar una restitución de casi 700.000 dólares después de que se declarara culpable de fraude informático y robo de identidad agravado. Ese plan, que también duró unos cuatro años, permitió a Ford piratear más de 100 cuentas de Apple pertenecientes a atletas y raperos profesionales de alto perfil.

Ford todavía estaba en prisión por esos crímenes cuando supuestamente estableció un nuevo plan dirigido a víctimas similares en algunas de las mismas plataformas tecnológicas.

Puede leer la acusación a continuación.

Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.

La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.

La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.

«Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente», Cisco dicho En un aviso, agregar el actor de amenazas podría aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.

La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:

• Implementación local
• Nube SD-WAN alojada en Cisco
• Nube SD-WAN alojada en Cisco: administrada por Cisco
• Nube SD-WAN alojada en Cisco: entorno FedRAMP

Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El especialista en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el apodo. UAT-8616describiendo el clúster como un «actor de amenazas cibernéticas altamente sofisticado».

La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:

• Antes de la versión 20.91: migre a una versión fija.
• Versión 20.9 – 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)
• Versión 20.111 – 20.12.6.1
• Versión 20.12.5 – 20.12.5.3
• Versión 20.12.6 – 20.12.6.1
• Versión 20.131 – 20.15.4.2
• Versión 20.141 – 20.15.4.2
• Versión 20.15 – 20.15.4.2
• Versión 20.161 – 20.18.2.1
• Versión 20.18 – 20.18.2.1

«Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos», advirtió Cisco.

La compañía también recomendó a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «Clave pública aceptada para vmanage-admin» de direcciones IP desconocidas o no autorizadas. También se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).

Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.

«La vulnerabilidad permitió a un actor cibernético malicioso crear un par deshonesto unido al plano de gestión de red, o plano de control, de la SD-WAN de una organización», dijo ASD-ACSC. «El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gestión y control».

Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de actualización incorporado para realizar una degradación de la versión del software y escalarla al usuario raíz mediante la explotación. CVE-2022-20775 (Puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y luego restaurar el software a la versión que se estaba ejecutando originalmente.

Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:

• Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
• Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
• Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN dentro del plano de administración.
• Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en «/var/log», el historial de comandos y el historial de conexiones de red.

«El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar tanto CVE-2022-20775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones dentro de las próximas 24 horas.

Para comprobar si hay una degradación de la versión y eventos de reinicio inesperados, CISA recomienda analizando los siguientes registros –

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

CISA también ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WANcomo parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.

Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Además, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por último, las agencias deberán presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.