Investigadores de ciberseguridad descubrieron una nueva versión del malware SparkCat en Apple App Store y Google Play Store, más de un año después de que se descubriera el troyano dirigido a ambos sistemas operativos móviles. Se ha descubierto que el malware se oculta dentro de aplicaciones aparentemente benignas, como mensajería empresarial y servicios de entrega de alimentos, mientras

La plataforma de mensajería WhatsApp, propiedad de Meta, dijo que alertó a unos 200 usuarios que fueron engañados para que instalaran una versión falsa de su aplicación iOS que estaba infectada con software espía.

Según informes del periódico italiano. La República y agencia de noticias ANSAla gran mayoría de los objetivos se encuentran en Italia. Se evalúa que los actores de amenazas detrás de la actividad utilizaron tácticas de ingeniería social para lograr que los usuarios instalaran software malicioso que imitaba a WhatsApp.

Se cerró la sesión de todos los usuarios afectados y se les recomendó desinstalar las aplicaciones con malware y descargar la aplicación oficial de WhatsApp. WhatsApp no ​​reveló quién fue el objetivo de estos ataques.

El gigante tecnológico dijo que también está tomando medidas contra Asigint, una filial italiana de la empresa de software espía SIO, por supuestamente crear una versión falsificada de WhatsApp.

En su sitio web, la empresa anuncia soluciones para organismos encargados de hacer cumplir la ley, organizaciones gubernamentales y agencias policiales y de inteligencia para monitorear actividades sospechosas, recopilar inteligencia o realizar operaciones encubiertas.

En diciembre de 2025, TechCrunch informó que SIO estaba detrás de un conjunto de aplicaciones maliciosas de Android que se hacían pasar por WhatsApp y otras aplicaciones populares, pero robaban datos privados del dispositivo de un objetivo utilizando una familia de software espía llamada Spyrtacus. Se cree que las aplicaciones fueron utilizadas por un cliente del gobierno para atacar a víctimas desconocidas en Italia.

SIO es una de las muchas empresas italianas que venden herramientas de vigilancia, incluidas Cy4Gate, eSurv, GR Sistemi, Negg, Raxir y RCS Lab, convirtiendo al país en un «centro de software espía«.

A principios del año pasado, WhatsApp alertó a unos 90 usuarios de que habían sido atacados por el software espía de Paragon Solutions conocido como Graphite. Luego, en agosto de 2025, notificó a menos de 200 usuarios que podrían haber sido atacados como parte de una sofisticada campaña que encadenaba vulnerabilidades de día cero en iOS y la aplicación de mensajería.

La noticia se produce poco más de un mes después de que un tribunal griego sentenciado Tal Dilian, fundador del Consorcio Intellexa, y tres asociados, Sara Hamou, Felix Bitzios y Yiannis Lavranos, a prisión por su papel en el uso ilegal del software espía Predator del proveedor para atacar a políticos, líderes empresariales y periodistas del país.

El escándalo de vigilancia de 2022, denominado Predatorgate o Watergate griego, llevó al Parlamento Europeo a iniciar una investigación formal en el uso de tales herramientas. Sin embargo, una nueva ley aprobada ese año legalizó el uso gubernamental bajo condiciones estrictas. En julio de 2024, el Tribunal Supremo griego despejado al servicio de inteligencia estatal y a funcionarios gubernamentales de irregularidades.

«Aún quedan dudas sobre el papel del gobierno griego, que ha negado sistemáticamente haber comprado o utilizado Predator», Amnistía Internacional dicho. «La transparencia es una parte crucial de la rendición de cuentas, al igual que la reparación para las numerosas víctimas de las violaciones de derechos humanos provocadas por el uso ilegal de esta tecnología».

En una declaración compartida con Reuters a finales del mes pasado, Dilian dicho Tiene intención de apelar la decisión y añade: «Creo que una condena sin pruebas no es justicia, podría ser parte de un encubrimiento e incluso un delito».

Italia y Grecia están lejos de ser los únicos países europeos atrapados en el punto de mira de la tecnología de software espía. En enero de 2026, el Tribunal Superior de Justicia de España cerró su investigación sobre el uso de Pegasus del Grupo NSO para espiar a políticos españoles, citando una falta de cooperación de las autoridades israelíes.

El caso se remonta a mayo de 2022, cuando el Gobierno español reveló que el software espía de la empresa israelí se había utilizado para espiar los dispositivos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

Empresas como Intellexa y NSO Group han sostenido constantemente que su tecnología de vigilancia sólo ha sido autorizada a los gobiernos para luchar contra delitos graves y reforzar la seguridad nacional. David Friedman, presidente ejecutivo del grupo NSO dicho «El mundo es un lugar mucho más seguro» cuando las herramientas de la empresa «están en las manos adecuadas y en los países adecuados».

manzana el miercoles expandido la disponibilidad de iOS 18.7.7 y iPadOS 18.7.7 en una gama más amplia de dispositivos para proteger a los usuarios del riesgo que representa un kit de explotación recientemente revelado conocido como DarkSword.

«Habilitamos la disponibilidad de iOS 18.7.7 para más dispositivos el 1 de abril de 2026, por lo que los usuarios con las Actualizaciones automáticas activadas pueden recibir automáticamente importantes protecciones de seguridad contra ataques web llamados DarkSword», dijo la compañía. «Las correcciones asociadas con el exploit DarkSword se enviaron por primera vez en 2025».

La actualización está disponible para los siguientes dispositivos:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (segunda generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (tercera generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos) y iPhone 16e.
• iPad mini (quinta generación – A17 Pro), iPad (séptima generación – A16), iPad Air (tercera – quinta generación), iPad Air de 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (primera generación – M4), iPad Pro de 12,9 pulgadas (tercera – sexta generación) y iPad Pro de 13 pulgadas (M4)

La última actualización tiene como objetivo cubrir dispositivos que tienen la capacidad de actualizarse a iOS 26 pero que aún tienen versiones anteriores. Apple lanzó por primera vez iOS 18.7.7 y iPadOS 18.7.7 el 24 de marzo de 2026, pero solo para iPhone XS, iPhone XS Max, iPhone XR y iPad de séptima generación.

El mes pasado, la compañía también instó a los usuarios a actualizar los dispositivos más antiguos a iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y iPadOS 16.7.15 para solucionar algunos de los exploits que se utilizaron en DarkSword y otro kit de exploits llamado Coruna.

Si bien se sabe que Apple admite correcciones para dispositivos más antiguos dependiendo de la importancia de las vulnerabilidades, la medida para permitir a los usuarios de iOS 18 parchear sus dispositivos sin tener que actualizar a la última versión del sistema operativo marca un cambio inusual para el gigante tecnológico.

en una declaración compartido Con WIRED, un portavoz de Apple dijo que estaba ampliando la actualización a más dispositivos para ayudarlos a mantenerse protegidos. Los usuarios que no tengan habilitada la actualización automática tendrán la opción de actualizar a la última versión parcheada de iOS 18 o iOS 26.

Este raro paso se produce semanas después de que Google Threat Intelligence Group (GTIG), iVerify y Lookout compartieran detalles de un kit de explotación de iOS llamado DarkSword que se ha utilizado en ataques cibernéticos dirigidos a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania desde julio de 2025. El kit es capaz de apuntar a dispositivos iOS y iPadOS que ejecutan versiones entre iOS 18.4 y 18.7.

El ataque se desencadena cuando un usuario que ejecuta un dispositivo vulnerable visita un sitio web legítimo pero comprometido que aloja el código malicioso como parte de lo que se llama un ataque de abrevadero. Una vez lanzados, se ha descubierto que los ataques implementan puertas traseras y un minero de datos para el acceso persistente y el robo de información.

Actualmente no se sabe cómo la herramienta de piratería avanzada llegó a ser compartida por múltiples actores de amenazas. Desde entonces, se filtró una versión más nueva del kit en el sitio de código compartido GitHub, lo que generó preocupaciones de que más actores de amenazas pudieran subirse al tren de la explotación.

El descubrimiento también destaca que el software espía potente para iPhone puede no ser tan raro como se pensaba anteriormente y que podría convertirse en herramientas atractivas para una explotación masiva.

A partir de la semana pasada, Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar las últimas actualizaciones.

Proofpoint y Malfors también revelaron que otro actor de amenazas vinculado a Rusia conocido como COLDRIVER (también conocido como TA446) ha explotado el kit DarkSword para entregar el malware de robo de datos GHOSTBLADE en ataques dirigidos a entidades gubernamentales, grupos de expertos, educación superior, financieras y legales.

«DarkSword roba silenciosamente grandes cantidades de datos de usuario simplemente porque el usuario ahora visitó un sitio web real (pero comprometido)», dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un comunicado compartido con The Hacker News. «Apple al menos ha estado de acuerdo con la evaluación de la comunidad de seguridad de que esto presenta una amenaza clara y presente para los dispositivos que permanecen sin parches en versiones anteriores de iOS, que aproximadamente el 20% de las personas todavía utilizan».

«Dejar expuestos a esos usuarios sería una decisión difícil de defender, especialmente para una empresa que centra su marca en la seguridad y la privacidad. Actualizar parches a versiones anteriores de iOS parece ser lo mínimo que pueden hacer en lugar de proporcionar un marco de seguridad para desarrolladores externos. El hecho es que los parches son demasiado pequeños y demasiado tarde cuando se trata de días 0, y el mercado de exploits está en auge».

Punto de prueba tiene revelado detalles de una campaña de correo electrónico dirigida en la que actores de amenazas con vínculos con Rusia están aprovechando el kit de explotación DarkSword recientemente revelado para apuntar a dispositivos iOS.

La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido como TA446, que también es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.

El grupo de hackers es conocido por sus campañas de phishing dirigidas a recopilar credenciales de objetivos de interés. Sin embargo, los ataques organizados por el actor de amenazas durante el año pasado se dirigieron a las cuentas de WhatsApp de las víctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.

La última actividad, destacada por Punto de prueba y Malforsimplica el uso de correos electrónicos falsos de «invitación a discusión» que suplantan al Atlantic Council para facilitar la entrega de GHOSTBLADE, un malware de minería de datos, a través del kit de explotación DarkSword. Los correos electrónicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios de correo electrónico era Leonid Vólkovun destacado político de la oposición rusa y director político de la Fundación Anticorrupción.

Se dice que un análisis automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF señuelo benigno, probablemente debido al filtrado del lado del servidor implementado para llevar solo a los navegadores de iPhone al kit de exploits.

«No hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la adopción del kit de explotación DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS», dijo Proofpoint.

La firma de seguridad empresarial también señaló que el volumen de correos electrónicos del actor de amenazas ha sido «significativamente mayor» en las últimas dos semanas, y agregó que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a través de archivos ZIP protegidos con contraseña.

El uso de DarkSword por parte del grupo también ha sido corroborado por el hecho de que un cargador DarkSword subido a VirusTotal se ha encontrado que hace referencia a «escofiringbijou[.]com«, un dominio de segunda etapa atribuido al actor de la amenaza.

Un escaneo de URL[.]el resultado io tiene reveló que el dominio controlado por TA446 ha servido al kit de explotación DarkSword, incluido el redirector inicial, el cargador de explotación, la ejecución remota de código y los componentes de omisión del Código de autenticación de puntero (PAC). Sin embargo, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.

Se sospecha que el TA446 está reutilizando el kit de exploits DarkSword para la recolección de credenciales y de inteligencia, y Proofpoint señaló que el objetivo observado en la campaña de correo electrónico fue «mucho más amplio de lo habitual» e incluyó al gobierno, grupos de expertos, entidades de educación superior, financieras y legales.

Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas esté aprovechando la nueva capacidad que ofrece DarkSword como parte de una campaña oportunista contra un conjunto de objetivos más amplio.

El desarrollo se produce cuando Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar la actualización para bloquear la amenaza. Este paso inusual indica que la empresa lo está tratando como una amenaza lo suficientemente amplia que requiere la atención inmediata de los usuarios.

La advertencia de Apple también coincide con la filtración de una nueva versión de DarkSword en GitHub, lo que genera preocupaciones de que podrían democratizar el acceso a exploits de estados-nación, cambiando fundamentalmente el panorama de amenazas móviles.

Justin Albrecht, investigador principal de Lookout, dijo que la versión filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje avanzado de iOS, convirtiéndolo en malware básico.

«DarkSword refuta la creencia común de que los iPhone son inmunes a las amenazas cibernéticas y que los ataques móviles avanzados sólo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de alto rango», añadió Albrecht.

El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

• CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
• CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
• CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
• CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

• UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
• Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»

Los investigadores han descubierto un segundo caso de presuntos piratas informáticos rusos que reutilizaron exploits de iOS que se cree que fueron creados originalmente en nombre del gobierno de los EE. UU., lo que señala lo que dicen que son varias tendencias premonitorias.

iVerificar, Estar atento y Google colaboraron en la investigación publicada el miércoles, una continuación de revelaciones anteriores sobre un kit de explotación similar, Coruña. Si bien el segundo kit, denominado DarkSword, también estaba dirigido a usuarios en Ucrania, la escala es significativa: iVerify estimó que hasta 270 millones de usuarios de iPhone podrían ser susceptibles, mientras que Lookout le dijo a CyberScoop que aproximadamente el 15% de todos los dispositivos iOS actualmente en uso ejecutan iOS 18 o versiones anteriores y podrían ser vulnerables al kit de explotación.

La investigación revela una serie de nuevos detalles, así como patrones interesantes:

• Mientras que los piratas informáticos rusos y chinos utilizaron Coruña con fines de lucro, hay indicios de que DarkSword podría servir tanto para fines financieros como de vigilancia, y/o podría usarse para infligir daño.
• Lookout observó que alguien utilizó un modelo de lenguaje grande para personalizar tanto Coruña como DarkSword.
• El descubrimiento de DarkSword refuerza las preocupaciones anteriores sobre un mercado secundario de exploits, dijeron Lookout e iVerify.
• DarkSword es la segunda campaña «masiva» de iOS descubierta este mes, siendo la primera conocida Coruña.
• Ambos kits sugieren que los ciberataques están migrando hacia los teléfonos móviles, ya que representan una mayor porción del tráfico de Internet, dijo a CyberScoop Rocky Cole, cofundador y director de operaciones de iVerify.
• Google también descubrió que DarkSword se utilizó contra objetivos en Arabia Saudita, Turquía y Malasia.

DarkSword puede filtrar contraseñas guardadas, billeteras criptográficas, mensajes de texto y más, según descubrieron los investigadores. Los atacantes están aprovechando el kit de explotación comprometiendo primero el WebKit de Apple y luego usando WebGPU como punto de pivote para escapar de la zona de pruebas, según Justin Albrecht, director global de inteligencia de amenazas móviles de Lookout.

Lo que no está tan claro es quién, exactamente, está detrás del kit de exploits, además de los vínculos con Rusia. Cole dijo que DarkSword está alojado en la misma infraestructura de comando y control que Coruña, pero es un kit completamente separado creado por personas completamente diferentes. Google ha atribuido las campañas a un grupo al que rastrea como UNC6353, al que describe como un grupo de espionaje respaldado por Rusia, así como UNC6748 y el proveedor turco de vigilancia comercial PARS Defense.

Los motivos de los atacantes también son un poco opacos, mezclando lo que parecen ser tanto espionaje como objetivos financieros. Albrecht señaló que hay un precedente para esto: los grupos de amenazas rusos han atacado las criptomonedas en Ucrania antes, en particular con Infamous Chisel, un kit de explotación de Android implementado por Sandworm.

«Probablemente estén bien financiados y bien conectados, pero se ha confirmado que están robando criptomonedas. Definitivamente hay una motivación financiera», dijo Albrecht a CyberScoop. «Ahora, creo que la gran pregunta es, dependiendo de quién sea el grupo, ¿la motivación financiera en esto es simplemente hacer daño a los ucranianos o es robar criptomonedas?»

Rusia ha estado bajo duras sanciones durante mucho tiempo y está empezando a tener problemas presupuestarios debido a la guerra en curso en Ucrania, señaló. «¿Por qué no empezar a financiar sus operaciones con fondos robados? No estaría fuera de la norma, aunque sería un cambio potencial en sus TTP para las APT rusas en general», dijo Albrecht.

El kit podría ser útil para alguien que intente hacer un análisis de “patrones de vida”, dijo Cole, y por lo tanto útil para fines de vigilancia e inteligencia.

Dijo que un proveedor comercial de software espía podría haber fabricado el kit sin ningún público objetivo en mente, de ahí su calidad de “navaja suiza”. La principal preocupación para Cole es que aparentemente hay un mercado creciente para este tipo de herramientas, y la gente puede sentirse adormecida con una falsa sensación de seguridad acerca de que los iPhone no son vulnerables.

A pesar de la sofisticación de los exploits en sí, los actores de amenazas detrás de DarkSword pueden no tener mucha experiencia, dijo Albrecht. Ninguno de los códigos JavaScript o HTML estaba ofuscado de ninguna manera, y el componente del lado del servidor estaba etiquetado como “Receptor de archivos Dark Sword”, una seguridad operativa deficiente para un actor de amenazas ruso experimentado.

“Yo esperaría que sus experimentados actores de amenazas rusos, sus APT29 del mundo, tuvieran mejores OPSEC”, dijo Albrecht.

Uno de los hallazgos más inusuales de la investigación es la clara presencia de código generado por modelos de lenguaje de gran tamaño. El componente del lado del servidor de DarkSword, por ejemplo, incluye signos reveladores de código generado por IA, completo con notas detalladas y comentarios característicos del resultado LLM. Es un desarrollo que efectivamente reduce la barrera de entrada para el despliegue de exploits móviles avanzados, incluso entre actores patrocinados por el estado, dijo Albrecht.

Los tres equipos de investigación han estado en contacto con Apple sobre los hallazgos, según Albrecht, y es probable que Google haya estado en contacto más cercano desde que comenzaron a investigar la amenaza a fines de 2025. En su blog, Google dijo que informó a Apple de las vulnerabilidades utilizadas en DarkSword a fines de 2025, y que todas las vulnerabilidades fueron reparadas con el lanzamiento de iOS 26.3, aunque la mayoría fueron parcheadas antes.

Apple lanzó el martes su primera ronda de Mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.

La vulnerabilidad, rastreada como CVE-2026-20643 (Puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría aprovecharse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.

La falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.

Manzana notas que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en lugar de publicarlos como parte de actualizaciones de software más grandes.

La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una actualización de software posterior, agrega Apple.

Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para garantizar que se instalen automáticamente, se recomienda mantener activada la opción «Instalar automáticamente».

Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima actualización de software. Visto desde esa perspectiva, la función es análoga a Rapid Security Response, que introducido en iOS 16 como una forma de instalar actualizaciones de seguridad menores.

«Si se aplicó una mejora de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la actualización de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano», señaló Apple en un documento de ayuda.

El desarrollo se produce poco más de un mes después de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código arbitrario.

La semana pasada, el fabricante de iPhone también amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».

Another week in cybersecurity. Another week of «you’ve got to be kidding me.»

Attackers were busy. Defenders were busy. And somewhere in the middle, a whole lot of people had a very bad Monday morning. That’s kind of just how it goes now.

The good news? There were some actual wins this week. Real ones. The kind where the good guys showed up, did the work, and made a dent. It doesn’t always happen, so when it does, it’s worth noting.

The bad news? For every win, there’s a fresh headache waiting right behind it. New tricks, old tricks dressed up in new clothes, and a few things that’ll make you want to go touch grass and never log back in. But you will. We all do. So here’s everything that mattered this week — the wins, the warnings, and the stuff you really shouldn’t ignore.

⚡ Threat of the Week

Tycoon 2FA and LeakBase Operations Dismantled — The infrastructure hosting the Tycoon2FA service, which Europol said was among the largest adversary-in-the-middle (AitM) phishing operations worldwide, has been dismantled by a coalition of security companies and law enforcement agencies. «Taking down infrastructure associated with Tycoon 2FA and identifying the individual allegedly responsible for creating this prolific hacking tool will have a significant impact on overall MFA credential phishing, and hopefully strike a blow to the world’s most prolific AitM phishing-as-a-service,» Proofpoint said in a statement shared with The Hacker News. Phishing kits and PhaaS platforms have become an Achilles’ heel in recent years, streamlining and democratizing phishing attacks for less technically savvy hackers by providing them with a suite of tools to create convincing emails and phishing pages that unsuspecting victims will engage with. For a relatively modest fee, aspiring cybercriminals can subscribe to these services and carry out phishing attacks at scale. In a similar development, authorities also took down LeakBase, one of the world’s largest online forums for cybercriminals to buy and sell stolen data and cybercrime tools. While the disruption is a positive development, it’s known that such takedowns typically create only short-term disruptions, as the ecosystem adapts by migrating to other forums or more resilient distribution channels, like Telegram. 

🔔 Top News

• Anthropic Finds 22 Firefox Vulnerabilities in Firefox — Anthropic said it discovered 22 new security vulnerabilities in the Firefox web browser using its Claude Opus 4.6 large language model (LLM)as part of a security partnership with Mozilla. Of these, 14 have been classified as high, seven have been classified as moderate, and one has been rated low in severity. The issues were addressed in Firefox 148, released late last month. The vulnerabilities were identified over a two-week period in January 2026. The company noted that the cost of identifying vulnerabilities is cheaper than creating an exploit for them, and the model is better at finding issues than at exploiting them.
• Qualcomm Flaw Exploited in the Wild — A high-severity security flaw impacting Qualcomm chips used in Android devices has been exploited in the wild. The vulnerability in question is CVE-2026-21385 (CVSS score: 7.8), a buffer over-read in the Graphics component that could result in memory corruption and arbitrary code execution. There are currently no details on how the vulnerability is being exploited in the wild. However, Google acknowledged in its monthly Android security bulletin that «there are indications that CVE-2026-21385 may be under limited, targeted exploitation.»
• Coruna iOS Exploit Kit Uses 23 Exploits Against Older iOS Devices — Google disclosed details of a new and powerful exploit kit dubbed Coruna (aka CryptoWaters) targeting Apple iPhone models running iOS versions between 13.0 and 17.2.1. The exploit kit featured five full iOS exploit chains and a total of 23 exploits, the company said. What makes it different is that it started with a commercial surveillance vendor in February 2025, got picked up by what seems like a Russian espionage group targeting Ukrainians in July 2025, and ended up in the hands of financially motivated attackers in China going after crypto wallets by the end of the year. Coruna began its life as a surveillance exploit kit, but by the time it reached the Chinese cybercrime gang, it was heavily focused on financial theft. It’s not known how the exploit kit got passed between multiple threat actors of varied motivations. This has raised the possibility of a secondhand market where it’s resold to other threat actors, who end up repurposing them for their own objectives.
• Transparent Tribe Unleases Vibeware Against Indian Entities — In a new attack campaign detected by Bitdefender, the Pakistan-aligned threat actor known as Transparent Tribe has leveraged artificial intelligence (AI)-powered coding tools to vibe-code malware and use them to target the Indian government and its embassies in multiple foreign countries. These tools are written in niche programming languages like Nim, Zig, and Crystal so as to evade detection. «Rather than a breakthrough in technical sophistication, we are seeing a transition toward AI-assisted malware industrialization that allows the actor to flood target environments with disposable, polyglot binaries,» the company said.
• Iranian Hackers Target U.S. Entities Amid Conflict — The Iranian hacking group tracked as MuddyWater (aka Seedworm) targeted several U.S. companies, including banks, airports, non-profit, and the Israeli arm of a software company, as part of a campaign that began in early February 2026, and continued after the joint U.S.-Israel military strikes on Iran towards the end of the month. The development comes against the backdrop of hacktivist-fueled cyber attacks, with wiper campaigns targeting Israeli energy, financial, government, and utilities sectors. «The trajectory is clear: what began as nation-state-level ICS capability in 2012 [with Shamoon wiper] has become, by 2026, something any motivated actor can attempt with free tools and an internet connection,» CloudSEK said in a report last week. «The technical barrier has collapsed. The threat pool has expanded. And the US attack surface has never been larger.» Another targeted campaign has distributed a trojanized version of the Red Alert rocket warning Android app to Israeli users via SMS messages impersonating official Home Front Command communications. Once installed, the malware monitors and abuses the granted permissions to collect sensitive data, including SMS messages, contacts, location data, device accounts, and installed applications. The campaign is believed to be the work of a Hamas-affiliated actor known as Arid Viper. There are currently no details available on the scope of the campaign and whether any of the infections were successful. Acronis said it highlights how trusted emergency services can be weaponized during periods of geopolitical tension using social engineering.

‎️‍🔥 Trending CVEs

New vulnerabilities show up every week, and the window between disclosure and exploitation keeps getting shorter. The flaws below are this week’s most critical — high-severity, widely used software, or already drawing attention from the security community.

Check these first, patch what applies, and don’t wait on the ones marked urgent — CVE-2026-2796 (Mozilla Firefox), CVE-2026-21385 (Qualcomm), CVE-2026-2256 (MS-Agent), CVE-2026-26198 (Ormar), CVE-2026-27966 (langflow), CVE-2025–64712 (Unstructured.io), CVE-2026-24009 (Docling), CVE-2026-23600 (HPE AutoPass License Server), CVE-2026-27636, CVE-2026-28289 (aka Mail2Shell) (FreeScout), CVE-2025-67736 (FreePBX), CVE-2025-34288 (Nagios XI), CVE-2025-14500 (IceWarp), CVE-2026-20079 (Cisco Secure Firewall Management Center), CVE-2025-13476 (Viber app for Android), CVE-2026-3336, CVE-2026-3337, CVE-2026-3338 (Amazon AWS-LC), CVE-2026-25611 (MongoDB), CVE-2026-3536, CVE-2026-3537, CVE-2026-3538 (Google Chrome), CVE-2026-27970 (Angular), CVE-2026-29058 (AVideo) a privilege escalation flaw in IPVanish VPN for macOS (no CVE), and and a remote code execution vulnerability in Ghost CMS (no CVE).

🎥 Cybersecurity Webinars

• Automating Real-World Security Testing to Prove What Actually Works → Running a security test once a year and hoping for the best? That’s not a strategy anymore. This webinar shows you how to continuously test your defenses using real attack techniques — so you actually know what holds up and what quietly breaks when no one’s looking.
• When AI Agents Become Your New Attack Surface → AI tools aren’t just answering questions anymore — they’re browsing the web, hitting APIs, and touching your internal systems. That changes everything about how you think about risk. This webinar breaks down what that means for security, and what you actually need to do before something goes wrong.

📰 Around the Cyber World

• New AirSnitch Attack Shows Wi-Fi Client Isolation May Not Be Enough — A group of academics has developed a new attack called AirSnitch that breaks the encryption that separates Wi-Fi clients. Xin’an Zhou, the lead author of the research paper, told Ars Technica that AirSnitch bypasses worldwide Wi-Fi encryption and that it «might have the potential to enable advanced cyber attacks.» The attack, at its core, leverages three weaknesses in client isolation implementations: (1) It abuses the group key(s) that are shared between all clients in the same Wi-Fi network, (2) It bypasses client isolation by tricking the gateway into forwarding packets to the victim at the IP layer by taking advantage of the fact that many networks only enforce client isolation at the MAC/Ethernet layer, and (3) It allows an adversary to manipulate internal switches and bridges to forward the victim’s uplink and downlink traffic to the adversary. As a result, they enable the attacker to restore AitM capabilities even if client isolation protections exist. «We found that Wi-Fi client isolation can often be bypassed,» Mathy Vanhoef said. «This allows an attacker who can connect to a network, either as a malicious insider or by connecting to a co-located open network, to attack others.»
• Google Tracked 90 Exploited 0-Days in 2025 — Google said it tracked 90 zero-day vulnerabilities exploited in-the-wild in 2025, up from 78 in 2024 and down from 100 in 2023. «Both the raw number (43) and proportion (48%) of vulnerabilities impacting enterprise technologies reached all-time highs, accounting for almost 50% of total zero-days exploited in 2025,» the company said. Of these, vulnerabilities in security and networking appliances made up about half (21) of the enterprise-related zero-days in 2025. Mobile zero-days rebounded from nine in 2024 to 15 in 2025, with commercial surveillance vendors (15, plus likely another three) leading the charge in exploiting zero-day vulnerabilities than state-sponsored cyber espionage groups (12) for the first time. The names of the commercial spyware companies were not disclosed. Microsoft had the largest number of actively exploited flaws at 25, followed by Google (11), Apple (8), Cisco (4), Fortinet (4), Ivanti (3), and Broadcom VMware (3). Memory safety issues accounted for 35% of all exploited zero-day vulnerabilities last year. Financially motivated threat groups, including ransomware gangs, also targeted enterprise technologies and accounted for nine zero-days in 2025, double the five attributed to them in 2024.
• Velvet Tempest Deploys ClickFix Attack — Velvet Tempest (aka DEV-0504) has been observed using a ClickFix lure, followed by hands-on-keyboard activity consistent with Termite ransomware tradecraft. According to a report by Deception.Pro, the attack used the social engineering technique to drop payloads like DonutLoader and CastleRAT. «Follow-on activity included Active Directory reconnaissance (domain trusts, server discovery, user listing) and attempted browser credential harvesting via a PowerShell script downloaded from 143.198.160[.]37,» it said. «Telemetry and infrastructure in this chain align with a modern initial-access playbook: rapid staging, heavy use of living-off-the-land binaries (LOLBins), and long-lived command-and-control (C2) traffic that blends into normal browser noise.» No ransomware was deployed in the attack that took place between February 3 and 16, 2026.
• Ghanaian National Pleads Guilty to Role in $100M Romance Scam — A Ghanaian national pleaded guilty to his role in a massive fraud ring that stole over $100 million from victims across the U.S. through business email compromise attacks and romance scams. 40-year-old Derrick Van Yeboah pleaded guilty to conspiracy to commit wire fraud and agreed to pay more than $10 million in restitution. «Van Yeboah personally perpetrated many of the romance scams by impersonating fake romantic partners in communications with victims,» the U.S. Justice Department said. «Many of the conspiracy’s victims were vulnerable older men and women who were tricked into believing that they were in online romantic relationships with persons who were, in fact, fake identities assumed by members of the conspiracy.» The conspirators, part of a criminal organization primarily based in Ghana, also committed business email compromises to deceive businesses into wiring funds to the enterprise. In total, the scheme stole and laundered more than $100 million from dozens of victims. After stealing the money, the fraud proceeds were laundered to West Africa. The defendant is scheduled to be sentenced in June 2026.
• Taiwan Indicts 62 People for Cyber Scams — Prosecutors in Taipei indicted 62 people and 13 companies for their involvement in cyber scam operations organized throughout Asia by the Prince Group. Chen Zhi, the founder of the Prince Group, was indicted by U.S. prosecutors last year on money laundering charges. Taipei prosecutors said those associated with Prince Group laundered at least $339 million into Taiwan and used the stolen funds to buy 24 properties, 35 vehicles, and other assets amounting to approximately $1.7 million. In all, authorities seized about $174 million in cash and assets. Prince Group «effectively controlled 250 offshore companies in 18 countries, holding 453 domestic and international financial accounts. By creating fictitious transaction contracts between these offshore companies, the group laundered money through foreign exchange channels,» they added.
• Ransomware Actors Use AzCopy — Ransomware operators are ditching the usual tools like Rclone for Microsoft’s own AzCopy, turning a trusted Azure utility into a stealthy data exfiltration mechanism and blending into normal activity. «The adoption of AzCopy and other familiar tools by attackers represents a similar logic to living-off-the-land in the final and most critical phase of an operation: exfiltrating data out of an organization,» Varonis said. «Spinning up an Azure storage account takes minutes and requires only a credit card or compromised credentials. The attacker gains the benefits of Microsoft’s global infrastructure while security teams struggle to distinguish between malicious uploads and legitimate traffic.»
• Threat Actors Exploit Critical Flaw in WPEverest Plugin — Threat actors are exploiting a critical security flaw in WPEverest’s User Registration & Membership plugin (CVE-2026-1492, CVSS score: 9.8) to create rogue administrator accounts. The vulnerability affects all versions of User Registration & Membership through 5.1.2. The issue has been addressed in version 5.1.3. Wordfence said the plugin is susceptible to improper privilege management, which enables the creation of bogus admin accounts. «This is due to the plugin accepting a user-supplied role during membership registration without properly enforcing a server-side allowlist,» it said. «This makes it possible for unauthenticated attackers to create administrator accounts by supplying a role value during membership registration.»
• MuddyWater Evolves Its Tactics — The Iranian hacking group known as MuddyWater has been observed leveraging Shodan and Nuclei to identify potential vulnerable targets, as well as using subfinder and ffuf to perform enumeration of target web applications. The findings come from an analysis of the threat actor’s VPS server hosted in the Netherlands. MuddyWater is also said to be attempting to scan and/or exploit recently disclosed CVEs related to BeyondTrust (CVE-2026-1731), Ivanti (CVE-2026-1281), n8n (CVE-2025-68613), React (CVE-2025-55182), SmarterMail (CVE-2025-52691), Laravel Livewire (CVE-2025-54068), N-Central (CVE-2025-9316), Citrix NetScaler (CVE-2025-5777), Langflow (CVE-2025-34291), and Fortinet (CVE-2024-55591, CVE-2024-23113, CVE-2022-42475), along with SQL injection vulnerabilities in BaSalam and an unspecified Postgres development platform for initial access. One of the custom tools identified in the server is KeyC2, a command-and-control (C2) framework that allows operators to remotely control compromised Windows machines over a custom binary protocol on port 1269 from a Python script. Two C2 tools used by the adversary are PersianC2, which relies on standard HTTP polling to receive commands and files via JSON API endpoints, and ArenaC2, a Python-based program that operates over HTTP POST requests. Also detected is a PowerShell loader that leads to the execution of obfuscated Node.js payloads that appear similar to Tsundere Botnet. The infrastructure is assessed to have been used to target entities in Israel, Egypt, Jordan, the U.A.E., and the U.S. Some aspects of the activity overlap with Operation Olalampo.
• 2,622 Valid Certificates Exposed — A new study undertaken by Google and GitGuardian found over a million unique private keys leaked across GitHub and Docker Hub, out of which 40,000 were mapped to 140,000 real TLS certificates. «As of September 2025, 2,600 of these certificates were valid, with more than 900 actively protecting Fortune 500 companies, healthcare providers, and government agencies,» GitGuardian said. «Our disclosure campaign achieved 97% remediation, but at the cost of 4,300 emails sent, 1,706 entities contacted, 9 bug bounty submissions, countless follow-ups, and days of meticulous attribution work employing multiple OSINT techniques. The high success rate masks the extraordinary effort required to protect organizations that fail to protect themselves.»
• Context7 MCP Server Suffers from ContextCrush — A critical security flaw in Upstash’s Context7 MCP Server, a widely used tool for delivering documentation to AI coding assistants, has been discovered. Dubbed ContextCrush, the vulnerability could allow attackers to inject malicious instructions into AI development tools through a trusted documentation channel. Noma Security, which disclosed details of the flaw, said it’s rooted within the platform’s «Custom Rules» feature, which allows library maintainers to provide AI-specific instructions to help assistants better interpret documentation. «Context7 operates both as the registry, where anyone can publish and manage library documentation, and as the trusted delivery mechanism that pushes content directly into the AI agent’s context,» security researcher Eli Ainhorn said. «The attacker never needs to reach the victim’s machine. Instead, the attacker can plant malicious custom rules in Context7’s registry, and Context7’s infrastructure delivers them through the MCP server to the AI agent running in the developer’s IDE. As agents are execution machines and run whatever is loaded into their context, all the victim’s agent does is execute the attacker’s instructions on the victim’s machine, using its own tool access (Bash, file read/write, network). In this scenario, the agent has no way to distinguish between legitimate documentation and attacker-controlled content because they arrive through the same trusted channel and from the same trusted source.»
• German Court Sentences Key Person Behind Call Center Scam — A German court has sentenced a suspected central figure in the so-called Milton Group call-center fraud network to seven-and-a-half years in prison. Although the court did not publicly name the defendant, court records reviewed by the Organized Crime and Corruption Reporting Project (OCCRP) indicate the person convicted was Mikheil Biniashvili, a citizen of Georgia and Israel. In addition to the prison sentence, the court ordered the confiscation of €2.4 million ($2.8 million) linked to the operation. Between 2017 and 2019, the defendant ran a call-center operation in Albania that used trained agents to persuade victims to invest in fraudulent online trading schemes. The scheme caused losses of about €8 million ($9.4 million) to victims, mostly in German-speaking countries. The operation employed up to 600 people at its peak. Call-center agents allegedly posed as investment advisers, building trust with targets before persuading them to deposit funds into fake trading platforms controlled by the network by promising large investment returns. Biniashvili was arrested in Armenia in 2023 and extradited to Germany in 2024.
• Multiple Flaws in Avira Internet Security — Three vulnerabilities have been disclosed in Avira Internet Security that could allow for arbitrary file deletion (CVE-2026-27748) in the Software Updater component, an insecure deserialization (CVE-2026-27749) in System Speedup, and an arbitrary folder deletion over TOCTOU (CVE-2026-27748) in the Optimizer. «The file delete primitive is useful on its own,» Quarkslab said. «The other two both result in Local Privilege Escalation to SYSTEM.»
• Russian Ransomware Operator Pleads Guilty in U.S. — Evgenii Ptitsyn, a 43-year-old Russian national, has pleaded guilty in a U.S. court to running the Phobos ransomware outfit that targeted more than 1,000 victims globally and extorted ransom payments worth over $39 million. Ptitsyn was extradited from South Korea in November 2024. «Beginning in at least November 2020, Ptitsyn and others conspired to engage in an international computer hacking and extortion scheme that victimized public and private entities through the deployment of Phobos ransomware,» the Justice Department said. «As part of the scheme, Ptitsyn and his co-conspirators developed and offered access to Phobos ransomware to other criminals or ‘affiliates’ to encrypt victims’ data and extort ransom payments from victims. The administrators operated a darknet website to coordinate the sale and distribution of Phobos ransomware to co-conspirators and used online monikers to advertise their services on criminal forums and messaging platforms.» Ptitsyn faces a maximum penalty of 20 years in prison for wire fraud charges.
• Fake Google Security Check Leads to RAT — A bogus website resembling the Google Account security page is being used to deliver a Progressive Web App (PWA) capable of harvesting one-time passcodes and cryptocurrency wallet addresses, and proxying attacker traffic through victims’ browsers. «Disguised as a routine security checkup, it walks victims through a four-step flow that grants the attacker push notification access, the device’s contact list, real-time GPS location, and clipboard contents – all without installing a traditional app,» Malwarebytes said. «For victims who follow every prompt, the site also delivers an Android companion package introducing a native implant that includes a custom keyboard (enabling keystroke capture), accessibility-based screen reading capabilities, and permissions consistent with call log access and microphone recording.»
• Phishing Campaign Abuses Google Infrastructure — A new email phishing campaign is leveraging legitimate Google infrastructure to bypass standard security filters. The activity uses Google Cloud Storage (GCS) to host initial phishing URLs that, when clicked, redirect unsuspecting users to a malicious site designed to capture their financial information or deploy malware. «By hosting the initial link on Google’s servers, the attackers ensure the email passes authentication checks like SPF and DKIM,» security researcher Anurag Gawande said.
• Client-Side Injection Conducts Ad Fraud — A new malicious client-side injection originating from a malicious browser extension impersonating Microsoft Clarity has been found to overwrite referral tokens to redirect affiliate revenue to unknown threat actors. «A browser extension is injecting obfuscated JavaScript from msclairty[.]com, a typosquatted domain impersonating Microsoft Clarity,» c/side’s Simon Wijckmans said. «The domain is not serving analytics. It is delivering an obfuscated JavaScript payload that performs affiliate cookie stuffing, tracking cookie deletion, and Fetch API hijacking inside the visitor’s browser. This prevents a competing tracking service from recording the real traffic source. The attacker does not just want credit for the visit. They actively block other trackers from capturing any attribution data that would conflict with their fraudulent cookie.» The script has affected sites across multiple unrelated sectors, including transportation, SaaS platforms, sports management, and government payment portals. Impacted visitors primarily span Chrome versions 132, 138, and 145, and originate from U.S.-based IP addresses on the East and West coasts.
• Illinois Man Charged with Hacking Snapchat Accounts to Steal Nudes — U.S. prosecutors have charged a 26-year-old Illinois man, Kyle Svara, with conducting a phishing operation that made it possible to break into the Snapchat accounts of approximately 570 women to steal private photos and sell them online. «From at least May 2020 to February 2021, Svara used social engineering and other resources to collect his targets’ emails, phone numbers, and/or Snapchat usernames,» the Justice Department said. «He then used those means of identification to access his targets’ Snapchat accounts, which prompted Snap Inc. to send account security codes to those women. Using anonymized phone numbers, Svara posed as a representative of Snap Inc. and sent more than 4,500 text messages to hundreds of women, requesting those Snapchat access codes.» Svara is alleged to have accessed the Snapchat accounts of at least 59 women without permission to download their nude or semi-nude images and sell them on internet forums.
• Meta Sued Over AI Smart Glasses’ Privacy Concerns — Meta is facing a new class action lawsuit over its AI-powered Ray-Ban Meta glasses, following a report from Swedish newspapers Svenska Dagbladet and Goteborgs-Posten that employees at a Kenya-based subcontractor are reviewing intimate, personal footage filmed from customers’ glasses. Meta said subcontracted workers might sometimes review content captured by its AI smart glasses for the purpose of improving the «experience,» as stated in its Privacy Policy. It also claimed that data is filtered to protect people’s privacy. But the investigation found that this step did not always consistently work. «Unless users choose to share media they’ve captured with Meta or others, that media stays on the user’s device,» Meta told BBC News. «When people share content with Meta AI, we sometimes use contractors to review this data for the purpose of improving people’s experience, as many other companies do.»
• Total Ransomware Payments Stagnated in 2025 — The total ransomware payments in 2025 stagnated, even if the number of attacks increased. According to blockchain analysis firm Chainalysis, total on-chain ransomware payments fell by approximately 8% to $820 million in 2025, even as claimed attacks rose 50%. «While aggregate revenue stagnated, the median ransom payment grew 368% year-over-year to nearly $60,000,» the company said. «The 2025 total is likely to approach or exceed $900 million as we attribute more events and payments, just as our 2024 total grew from our initial $813 million estimate this time last year.» The decline in payment rates from 63% in 2024 to just 29% last year indicates that fewer victims are yielding to attackers’ ransom demands, it added. The development comes amid increased fragmentation of the ransomware ecosystem and threat actors shifting towards more stealthy methods, such as defense evasion and persistence techniques, to prioritize data theft and prolonged, low-noise access.
• Mobile Blockchain Wallet Found Vulnerable to Severe Flaws — An unnamed mobile blockchain wallet app for Android has been found susceptible to two independent severe vulnerabilities, allowing untrusted deep links to trigger sensitive wallet flows and trick users into approving phishing-driven transactions, as well as retain cryptographic private keys from the device despite deleting an account. This meant that an attacker with later device access could re-import the account using its public address and regain full signing authority without re-entering the keys. According to LucidBit Labs, the vulnerabilities have been patched by the developer. «The main strength of crypto wallets lies in their cryptographic foundations,» security researcher Assaf Morag said. «However, when these wallets are implemented as user-facing applications, the overall orchestration of the system becomes just as critical as the cryptography itself. As the saying goes, a system’s security posture is defined by its weakest link. In this case, the two vulnerabilities demonstrate how flaws at the application layer can undermine the entire security model, despite the strength of the underlying cryptography.»
• Kubernetes RCE Via Nodes/Proxy GET Permission — New research has identified an authorization bypass in Kubernetes Role-based access control (RBAC) that allows a service account with nodes/proxy GET permissions to execute commands in any Pod in the cluster. The issue exploits a bug in how Kubernetes API servers handle WebSocket connections. «Nodes/proxy GET allows command execution when using a connection protocol such as WebSockets,» security researcher Graham Helton said. «This is due to the Kubelet making authorization decisions based on the initial WebSocket handshake’s request without verifying CREATE permissions are present for the Kubelet’s /exec endpoint, requiring different permissions depending solely on the connection protocol. The result is anyone with access to a service account assigned nodes/proxy GET that can reach a Node’s Kubelet on port 10250 can send information to the /exec endpoint, executing commands in any Pod, including privileged system Pods, potentially leading to a full cluster compromise.» The Kubernetes project has declined to address the issue, stating its intended behavior. However, it’s expected to release Fine-Grained Kubelet API Authorization (KEP-2862) next month to address the attack. «A targeted patch would require coordinated changes across multiple components with special-case logic,» Edera said. «This is the kind of complexity that could lead to future vulnerabilities. Once KEP-2862 reaches GA and sees adoption, nodes/proxy can be deprecated for monitoring use cases.»
• Other Key Stories on the Radar — The Israeli government is working on the country’s first cybersecurity law, the U.S. National Security Agency (NSA) published Zero Trust Implementation Guidelines (ZIGs) to help organizations safeguard sensitive data, systems, and services against sophisticated cyber threats, Google Project Zero found multiple vulnerabilities that could be used to bypass a new Windows 11 feature called Administrator Protection and obtain admin privileges, threat actors are continuing to abuse Microsoft Teams functionality by leveraging guest invitations and phishing-themed team names to impersonate billing and subscription notifications, and a loader named PhantomVAI has been used in the wild over the past year to deploy other payloads, such as Remcos RAT, XWorm, AsyncRAT, DarkCloud, and SmokeLoader.

🔧 Cybersecurity Tools

• DetectFlow → It is an open-source detection pipeline from SOC Prime that matches streaming log events against Sigma rules in real time — before they ever reach your SIEM. Instead of relying on your SIEM to do the heavy lifting, it tags and enriches events in-flight using Apache Kafka and Flink, then passes the results downstream to wherever you need them. Built on 11 years of detection intelligence, it’s designed for teams who want faster detection, more rule coverage, and less dependency on SIEM-imposed limits.
• ADTrapper → It is an open-source platform that analyzes Windows Active Directory authentication logs and flags threats using 54+ built-in detection rules — covering everything from brute force to AD CS attacks. It runs in Docker, deploys with one command, and supports SharpHound data for deeper AD analysis.

Disclaimer: For research and educational use only. Not security-audited. Review all code before use, test in isolated environments, and ensure compliance with applicable laws.

Conclusion

That’s your week. A lot happened. Some of it was bad, some of it was worse, and a little bit of it was actually good. The scoreboard is messy, like it always is.

Same time next week — and if history is any guide, we’ll have plenty more to talk about. Stay patched, stay skeptical, and maybe don’t click that link.