Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».

Los actores de amenazas están explotando una falla de seguridad de máxima gravedad en fluiruna plataforma de inteligencia artificial (IA) de código abierto, según nuevos hallazgos de VulnCheck.

La vulnerabilidad en cuestión es CVE-2025-59528 (Puntuación CVSS: 10.0), una vulnerabilidad de inyección de código que podría resultar en la ejecución remota de código.

«El nodo CustomMCP permite a los usuarios ingresar ajustes de configuración para conectarse a un servidor MCP (Protocolo de contexto modelo) externo», Flowise dicho en un aviso publicado en septiembre de 2025. «Este nodo analiza la cadena mcpServerConfig proporcionada por el usuario para crear la configuración del servidor MCP. Sin embargo, durante este proceso, ejecuta código JavaScript sin ninguna validación de seguridad».

Flowise señaló que la explotación exitosa de la vulnerabilidad puede permitir el acceso a módulos peligrosos como child_process (ejecución de comandos) y fs (sistema de archivos), ya que se ejecuta con privilegios completos de tiempo de ejecución de Node.js.

Dicho de otra manera, un actor de amenazas que utiliza la falla como arma puede ejecutar código JavaScript arbitrario en el servidor Flowise, lo que compromete todo el sistema, el acceso al sistema de archivos, la ejecución de comandos y la filtración de datos confidenciales.

«Como sólo se requiere un token API, esto plantea un riesgo de seguridad extremo para la continuidad del negocio y los datos de los clientes», añadió Flowise. Le dio crédito a Kim SooHyun por descubrir e informar la falla. El problema se solucionó en la versión 3.0.6 del paquete npm.

Según los detalles compartidos por VulnCheck, la actividad de explotación de la vulnerabilidad se originó en una única dirección IP de Starlink. CVE-2025-59528 es el tercer defecto de Flowise con explotación salvaje después CVE-2025-8943 (Puntuación CVSS: 9,8), un comando del sistema operativo, ejecución remota de código, y CVE-2025-26319 (Puntuación CVSS: 8,9), una carga de archivo arbitraria.

«Este es un error de gravedad crítica en una popular plataforma de inteligencia artificial utilizada por varias grandes corporaciones», dijo a The Hacker News Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado.

«Esta vulnerabilidad específica ha sido pública durante más de seis meses, lo que significa que los defensores han tenido tiempo para priorizar y parchear la vulnerabilidad. La superficie de ataque de Internet de más de 12.000 instancias expuestas hace que los intentos de exploración y explotación activos que estamos viendo sean más serios, ya que significa que los atacantes tienen muchos objetivos para reconocer y explotar de manera oportunista».

Fortinet lanzó una actualización de software de emergencia durante el fin de semana para abordar una vulnerabilidad explotada activamente en FortiClient EMS, una herramienta de administración de terminales para dispositivos de clientes.

La vulnerabilidad de día cero CVE-2026-35616 – tiene una calificación CVSS de 9,8 y se agregó a la Agencia de Seguridad de Infraestructura y Ciberseguridad catálogo de vulnerabilidades explotadas conocidas Lunes.

Fortinet dijo un sábado aviso de seguridad que ha visto la vulnerabilidad siendo explotada activamente en la naturaleza. La compañía emitió una revisión y planea lanzar una actualización de software más completa más adelante, aunque esa actualización aún no está disponible.

El proveedor de seguridad no dijo cuándo ocurrió el primer exploit conocido ni cuántas instancias ya se han visto afectadas.

Se observó por primera vez a atacantes desconocidos intentando explotar la vulnerabilidad el 31 de marzo, dijo a CyberScoop Benjamin Harris, fundador y director ejecutivo de watchTowr.

«Los intentos de explotación y las investigaciones fueron inicialmente limitados, lo que refleja el deseo típico de los atacantes de intentar evitar el uso de un día cero desde el descubrimiento y la observación», añadió. «A partir del 6 de abril, dada la atención y Fortinet emitiendo una revisión, la explotación ha aumentado, lo que indica un creciente interés de los atacantes y probablemente un objetivo más amplio».

Escaneos de Shadowserver encontrados casi 2.000 casos expuestos públicamente de FortiClient EMS el domingo. No está claro cuántas de esas instancias ejecutan versiones vulnerables del software.

El día cero recientemente descubierto comparte similitudes con CVE-2026-21643otro defecto no autenticado de FortiClient EMS que Fortinet revelado 6 de febrero. El vendedor y autoridades cibernéticas La semana pasada advirtió que CVE-2026-21643 había sido explotado en estado salvaje.

Los investigadores aún tienen que encontrar un vínculo significativo entre las vulnerabilidades o atribuir los ataques a actores de amenazas conocidos, pero ambos defectos fueron explotados activamente en un corto período de tiempo y ambos permiten a los atacantes ejecutar código de forma remota.

«Las soluciones de Fortinet son objetivos populares para los actores de amenazas en general, por lo que la explotación no es necesariamente sorprendente», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

CISA ha añadido 10 defectos de Fortinet a su catálogo de vulnerabilidades explotadas conocidas desde principios de 2025.

Si bien no existe un parche completo para CVE-2026-35616, Harris le dio crédito a Fortinet por lanzar una revisión durante un fin de semana festivo, y agregó que refleja la urgencia con la que la compañía está tratando el asunto.

«El momento en el que se intensifica la explotación salvaje de este día cero probablemente no sea una coincidencia», afirmó. «Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

Un portavoz de Fortinet dijo que los esfuerzos de respuesta y remediación están en curso y que la compañía se está comunicando directamente con los clientes para asesorarlos sobre las acciones necesarias.

«El mejor momento para aplicar la revisión fue ayer», dijo Harris. «El segundo mejor momento es ahora».

Google el jueves liberado actualizaciones de seguridad para su navegador web Chrome para abordar 21 vulnerabilidades, incluida una falla de día cero que, según dijo, ha sido explotada en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-5281 (Puntuación CVSS: N/A), se refiere a un error de uso después de la liberación en Amaneceruna implementación de código abierto y multiplataforma del estándar WebGPU.

«El uso después de la liberación en Dawn en Google Chrome antes de 146.0.7680.178 permitió a un atacante remoto que había comprometido el proceso de renderizado ejecutar código arbitrario a través de una página HTML diseñada», según una descripción de la falla en la Base de datos nacional de vulnerabilidad (NVD) del NIST.

Como es habitual en estas alertas, Google no proporcionó más detalles sobre cómo se está explotando la deficiencia y quién puede estar detrás del esfuerzo. Por lo general, esto se hace para garantizar que la mayoría de los usuarios estén actualizados con una solución y evitar que otros actores se unan al tren de la explotación.

«Google es consciente de que existe un exploit para CVE-2026-5281», reconoció la empresa.

El desarrollo llega apenas después de que Google enviara correcciones para dos fallas de alta gravedad (CVE-2026-3909 y CVE-2026-3910) que fueron explotadas como de día cero. En febrero, el gigante tecnológico también abordó un error de uso después de la liberación activamente explotado en el componente CSS de Chrome (CVE-2026-2441). En total, Google ha parcheado un total de cuatro días cero de Chrome activamente armados desde principios de año.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.177/178 para Windows y Apple macOS, y 146.0.7680.177 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Punto de prueba tiene revelado detalles de una campaña de correo electrónico dirigida en la que actores de amenazas con vínculos con Rusia están aprovechando el kit de explotación DarkSword recientemente revelado para apuntar a dispositivos iOS.

La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido como TA446, que también es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.

El grupo de hackers es conocido por sus campañas de phishing dirigidas a recopilar credenciales de objetivos de interés. Sin embargo, los ataques organizados por el actor de amenazas durante el año pasado se dirigieron a las cuentas de WhatsApp de las víctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.

La última actividad, destacada por Punto de prueba y Malforsimplica el uso de correos electrónicos falsos de «invitación a discusión» que suplantan al Atlantic Council para facilitar la entrega de GHOSTBLADE, un malware de minería de datos, a través del kit de explotación DarkSword. Los correos electrónicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios de correo electrónico era Leonid Vólkovun destacado político de la oposición rusa y director político de la Fundación Anticorrupción.

Se dice que un análisis automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF señuelo benigno, probablemente debido al filtrado del lado del servidor implementado para llevar solo a los navegadores de iPhone al kit de exploits.

«No hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la adopción del kit de explotación DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS», dijo Proofpoint.

La firma de seguridad empresarial también señaló que el volumen de correos electrónicos del actor de amenazas ha sido «significativamente mayor» en las últimas dos semanas, y agregó que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a través de archivos ZIP protegidos con contraseña.

El uso de DarkSword por parte del grupo también ha sido corroborado por el hecho de que un cargador DarkSword subido a VirusTotal se ha encontrado que hace referencia a «escofiringbijou[.]com«, un dominio de segunda etapa atribuido al actor de la amenaza.

Un escaneo de URL[.]el resultado io tiene reveló que el dominio controlado por TA446 ha servido al kit de explotación DarkSword, incluido el redirector inicial, el cargador de explotación, la ejecución remota de código y los componentes de omisión del Código de autenticación de puntero (PAC). Sin embargo, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.

Se sospecha que el TA446 está reutilizando el kit de exploits DarkSword para la recolección de credenciales y de inteligencia, y Proofpoint señaló que el objetivo observado en la campaña de correo electrónico fue «mucho más amplio de lo habitual» e incluyó al gobierno, grupos de expertos, entidades de educación superior, financieras y legales.

Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas esté aprovechando la nueva capacidad que ofrece DarkSword como parte de una campaña oportunista contra un conjunto de objetivos más amplio.

El desarrollo se produce cuando Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar la actualización para bloquear la amenaza. Este paso inusual indica que la empresa lo está tratando como una amenaza lo suficientemente amplia que requiere la atención inmediata de los usuarios.

La advertencia de Apple también coincide con la filtración de una nueva versión de DarkSword en GitHub, lo que genera preocupaciones de que podrían democratizar el acceso a exploits de estados-nación, cambiando fundamentalmente el panorama de amenazas móviles.

Justin Albrecht, investigador principal de Lookout, dijo que la versión filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje avanzado de iOS, convirtiéndolo en malware básico.

«DarkSword refuta la creencia común de que los iPhone son inmunes a las amenazas cibernéticas y que los ataques móviles avanzados sólo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de alto rango», añadió Albrecht.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

• Indicadores relacionados con archivos –
  • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
  • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
• Indicadores relacionados con registros –
  • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
  • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
  • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
• Otros TTP observados incluyen:
  • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
  • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
  • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
    • /var/sam/www/webtop/renderer/apm_css.php3
    • /var/sam/www/webtop/renderer/full_wt.php3
    • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

El problema afecta a las siguientes versiones:

• 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
• 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
• 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
• 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».

El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

• CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
• CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
• CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
• CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

• UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
• Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»

Los investigadores han descubierto un segundo caso de presuntos piratas informáticos rusos que reutilizaron exploits de iOS que se cree que fueron creados originalmente en nombre del gobierno de los EE. UU., lo que señala lo que dicen que son varias tendencias premonitorias.

iVerificar, Estar atento y Google colaboraron en la investigación publicada el miércoles, una continuación de revelaciones anteriores sobre un kit de explotación similar, Coruña. Si bien el segundo kit, denominado DarkSword, también estaba dirigido a usuarios en Ucrania, la escala es significativa: iVerify estimó que hasta 270 millones de usuarios de iPhone podrían ser susceptibles, mientras que Lookout le dijo a CyberScoop que aproximadamente el 15% de todos los dispositivos iOS actualmente en uso ejecutan iOS 18 o versiones anteriores y podrían ser vulnerables al kit de explotación.

La investigación revela una serie de nuevos detalles, así como patrones interesantes:

• Mientras que los piratas informáticos rusos y chinos utilizaron Coruña con fines de lucro, hay indicios de que DarkSword podría servir tanto para fines financieros como de vigilancia, y/o podría usarse para infligir daño.
• Lookout observó que alguien utilizó un modelo de lenguaje grande para personalizar tanto Coruña como DarkSword.
• El descubrimiento de DarkSword refuerza las preocupaciones anteriores sobre un mercado secundario de exploits, dijeron Lookout e iVerify.
• DarkSword es la segunda campaña «masiva» de iOS descubierta este mes, siendo la primera conocida Coruña.
• Ambos kits sugieren que los ciberataques están migrando hacia los teléfonos móviles, ya que representan una mayor porción del tráfico de Internet, dijo a CyberScoop Rocky Cole, cofundador y director de operaciones de iVerify.
• Google también descubrió que DarkSword se utilizó contra objetivos en Arabia Saudita, Turquía y Malasia.

DarkSword puede filtrar contraseñas guardadas, billeteras criptográficas, mensajes de texto y más, según descubrieron los investigadores. Los atacantes están aprovechando el kit de explotación comprometiendo primero el WebKit de Apple y luego usando WebGPU como punto de pivote para escapar de la zona de pruebas, según Justin Albrecht, director global de inteligencia de amenazas móviles de Lookout.

Lo que no está tan claro es quién, exactamente, está detrás del kit de exploits, además de los vínculos con Rusia. Cole dijo que DarkSword está alojado en la misma infraestructura de comando y control que Coruña, pero es un kit completamente separado creado por personas completamente diferentes. Google ha atribuido las campañas a un grupo al que rastrea como UNC6353, al que describe como un grupo de espionaje respaldado por Rusia, así como UNC6748 y el proveedor turco de vigilancia comercial PARS Defense.

Los motivos de los atacantes también son un poco opacos, mezclando lo que parecen ser tanto espionaje como objetivos financieros. Albrecht señaló que hay un precedente para esto: los grupos de amenazas rusos han atacado las criptomonedas en Ucrania antes, en particular con Infamous Chisel, un kit de explotación de Android implementado por Sandworm.

«Probablemente estén bien financiados y bien conectados, pero se ha confirmado que están robando criptomonedas. Definitivamente hay una motivación financiera», dijo Albrecht a CyberScoop. «Ahora, creo que la gran pregunta es, dependiendo de quién sea el grupo, ¿la motivación financiera en esto es simplemente hacer daño a los ucranianos o es robar criptomonedas?»

Rusia ha estado bajo duras sanciones durante mucho tiempo y está empezando a tener problemas presupuestarios debido a la guerra en curso en Ucrania, señaló. «¿Por qué no empezar a financiar sus operaciones con fondos robados? No estaría fuera de la norma, aunque sería un cambio potencial en sus TTP para las APT rusas en general», dijo Albrecht.

El kit podría ser útil para alguien que intente hacer un análisis de “patrones de vida”, dijo Cole, y por lo tanto útil para fines de vigilancia e inteligencia.

Dijo que un proveedor comercial de software espía podría haber fabricado el kit sin ningún público objetivo en mente, de ahí su calidad de “navaja suiza”. La principal preocupación para Cole es que aparentemente hay un mercado creciente para este tipo de herramientas, y la gente puede sentirse adormecida con una falsa sensación de seguridad acerca de que los iPhone no son vulnerables.

A pesar de la sofisticación de los exploits en sí, los actores de amenazas detrás de DarkSword pueden no tener mucha experiencia, dijo Albrecht. Ninguno de los códigos JavaScript o HTML estaba ofuscado de ninguna manera, y el componente del lado del servidor estaba etiquetado como “Receptor de archivos Dark Sword”, una seguridad operativa deficiente para un actor de amenazas ruso experimentado.

“Yo esperaría que sus experimentados actores de amenazas rusos, sus APT29 del mundo, tuvieran mejores OPSEC”, dijo Albrecht.

Uno de los hallazgos más inusuales de la investigación es la clara presencia de código generado por modelos de lenguaje de gran tamaño. El componente del lado del servidor de DarkSword, por ejemplo, incluye signos reveladores de código generado por IA, completo con notas detalladas y comentarios característicos del resultado LLM. Es un desarrollo que efectivamente reduce la barrera de entrada para el despliegue de exploits móviles avanzados, incluso entre actores patrocinados por el estado, dijo Albrecht.

Los tres equipos de investigación han estado en contacto con Apple sobre los hallazgos, según Albrecht, y es probable que Google haya estado en contacto más cercano desde que comenzaron a investigar la amenaza a fines de 2025. En su blog, Google dijo que informó a Apple de las vulnerabilidades utilizadas en DarkSword a fines de 2025, y que todas las vulnerabilidades fueron reparadas con el lanzamiento de iOS 26.3, aunque la mayoría fueron parcheadas antes.