Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

• Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
• Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
• Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
• Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
• Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
• ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
• Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompañante que esclavizó a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala.

«SocksEscort infectó los enrutadores de Internet domésticos y de pequeñas empresas con malware», dijo el Departamento de Justicia de EE. UU. (DoJ) dicho. «El malware permitió a SocksEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SocksEscort vendió este acceso a sus clientes».

CalcetinesEscort («socksescort[.]com») habría ofrecido vender acceso a alrededor de 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio enumeraba casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en los EE. UU.

En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y que pueden evitar las listas de bloqueo de spam. Anunciaba más de 35.900 proxies de 102 países, y un conjunto de 30 proxies costaba 15 dólares al mes. Un paquete para 5.000 representantes costaba 200 dólares al mes.

El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y dificultar la diferenciación del tráfico malicioso de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.

Algunas de las víctimas que fueron defraudadas como parte de esquemas llevados a cabo utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado con $1 millón en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 dólares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 dólares.

En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en código es Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El ejercicio de interrupción resultó en la eliminación de 34 dominios y 23 servidores ubicados en siete países. Se han congelado un total de 3,5 millones de dólares en criptomonedas.

«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», Europol dicho. «Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en los módems residenciales de una marca específica».

«Para acceder al servicio de proxy, los clientes tenían que utilizar una plataforma de pago que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de los clientes del servicio de proxy».

SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.

Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon está equipado para establecer un shell remoto para un servidor controlado por un atacante y actuar como un cargador descargando y ejecutando cargas útiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.

«La gran mayoría de los dispositivos observados infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de EE. UU. dicho en una alerta. «El malware AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM».

Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y actualización del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.

«Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs. dicho. «Durante los últimos años, SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)».