Un tribunal federal de Indiana condenó a un ciberdelincuente ruso a 81 meses de prisión por cargos relacionados con su papel como intermediario de acceso inicial para grupos de ransomware.

Aleksei Volkov, de 26 años, de San Petersburgo, Rusia, se declaró culpable en noviembre de 2025 de seis cargos federales derivados de su trabajo con el grupo de ransomware Yanluowang y otras organizaciones cibercriminales entre julio de 2021 y noviembre de 2022. Fue arrestado en Roma y posteriormente extraditado a Estados Unidos.

Volkov, también conocido como “chubaka.kor”, operaba como intermediario de acceso inicial, una función especializada en la que identificaba y explotaba vulnerabilidades en redes corporativas y vendía ese acceso a operadores de ransomware. La función se ha vuelto cada vez más común en el ecosistema de ransomware, lo que permite a los delincuentes beneficiarse de los ataques sin implementar malware directamente ni ejecutar demandas de extorsión.

Según documentos judiciales, Volkov facilitó docenas de ataques que resultaron en más de 9 millones de dólares en pérdidas confirmadas para las víctimas y más de 24 millones de dólares en pérdidas previstas. Los fiscales identificaron siete empresas estadounidenses específicas que fueron objeto de ataques durante el período de 16 meses, entre ellas una empresa de ingeniería y un banco. Dos víctimas pagaron un total de 1,5 millones de dólares en pagos de rescate.

El grupo de ransomware Yanluowang empleó tácticas que van más allá del simple cifrado de datos. Las víctimas informaron haber recibido llamadas telefónicas de acoso y haber experimentado ataques distribuidos de denegación de servicio después de que les robaron sus datos, lo que representa una evolución en la forma en que los operadores de ransomware aplican presión a los objetivos.

Volkov recibió una compensación a través de tarifas fijas por proporcionar acceso a la red o porcentajes de los pagos de rescate cobrados a las víctimas. Cuando las víctimas se negaron a pagar, los conspiradores publicaron datos robados en sitios web de filtración diseñados para avergonzar a las empresas y potencialmente alentar a futuras víctimas a cumplir con las demandas.

Su declaración de culpabilidad cubrió cargos presentados en dos jurisdicciones separadas que luego se consolidaron, incluida la transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso, robo de identidad agravado, conspiración para cometer fraude informático y conspiración para cometer lavado de dinero.

Como parte de su sentencia, Volkov debe pagar una restitución total a las víctimas, incluidos al menos 9,1 millones de dólares a empresas identificadas, y confiscar el equipo utilizado en sus actividades delictivas.

Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

La ciberseguridad está entrando en “una nueva fase” a medida que las herramientas de inteligencia artificial han madurado y han dado a los defensores de TI mucho menos tiempo para responder a los ciberataques y otras amenazas, según un nuevo informe publicado el lunes.

El informeescrito por el contratista federal Booz Allen Hamilton, concluye que los actores de amenazas han adoptado la IA más rápidamente que los gobiernos y las empresas privadas la adoptaron para la ciberdefensa.

Señala múltiples incidentes en los últimos dos años, como ataques llevados a cabo con la ayuda de Claude de Anthropic, que muestran que tanto los ciberdelincuentes como los grupos de piratería patrocinados por el estado se están moviendo y escalando más rápido que nunca.

Brad Medairy, vicepresidente ejecutivo y líder de la práctica de negocios cibernéticos de Booz Allen, dijo a CyberScoop que una de las mayores ventajas que los LLM han brindado a los atacantes es la capacidad de identificar lugares donde las ventanas están «ligeramente abiertas» (debilidades oscuras en un sistema como una vulnerabilidad perimetral) y luego usar rápidamente un exploit para establecer persistencia.

«Si tienes una vulnerabilidad en tu perímetro y el adversario se mete dentro del muro, en ese momento se moverá a la velocidad de la máquina», dijo.

El informe de Booz Allen sostiene que la mayoría de las operaciones defensivas de ciberseguridad, por el contrario, todavía dependen de procesos más lentos y orientados a los humanos que pueden tener dificultades para mantener ese ritmo más rápido.

Por ejemplo, cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad agrega un CVE a su lista de vulnerabilidades explotadas conocidas, los defensores tienen plazos de 15 días para implementar un parche. Eso sería insuficiente para algo como HexStrike, un marco de seguridad de inteligencia artificial de código abierto popular entre los ciberdelincuentes que explotó “miles” de productos Citrix Netscaler en menos de 10 minutos utilizando un único CVE crítico.

Booz Allen Hamilton vende herramientas de ciberseguridad de IA, pero las conclusiones principales del informe coinciden con lo que dicen otros expertos en ciberseguridad independientes y externos, a saber, que los grandes modelos lingüísticos han sido de gran ayuda para los ciberdelincuentes y los Estados-nación.

El informe describe dos modelos generales que tienen los actores maliciosos para utilizar la IA.

En uno, se convierte en un amplificador para sus operaciones de piratería individuales. Este enfoque utiliza LLM para agregar velocidad y escala a lo que los piratas informáticos ya están haciendo, mientras mantiene al ser humano informado sobre las decisiones clave. Con este enfoque, «un solo operador que utilice herramientas agentes puede ejecutar acciones de reconocimiento, explotación y seguimiento en docenas de objetivos a la vez».

El otro modelo, llamado “orquestación”, se parece más a la codificación de vibraciones, conectando el LLM a herramientas de seguridad ofensivas, apuntándolo a un objetivo y estableciendo los límites y parámetros del agente.

Medairy dijo que es probable que la regulación y las políticas en torno a la IA sigan rezagadas con respecto a su desarrollo, lo que obligará a los funcionarios de ciberseguridad a tomar decisiones difíciles sobre el cambio a defensas automatizadas y asistidas por IA para mantenerse al día. En este escenario, las organizaciones planificarían y ejecutarían ejercicios teóricos con anticipación para determinar cómo sus agentes de IA deberían responder a un ataque en curso, qué límites o parámetros establecer y qué activos priorizar.

Pero existen riesgos reales al traspasar funciones cibernéticas o de TI críticas a un sistema de inteligencia artificial. Amazon tiene tratado con múltiples interrupciones relacionadas con cambios de software realizados de forma automatizada a través de IA, y recientemente requirió que sus ingenieros senior aprobaran personalmente cualquier cambio de código asistido por IA.

Medairy reconoció los riesgos, pero señaló que “el adversario obtiene un voto” y ya ha tomado medidas para explotar los sistemas de inteligencia artificial para la seguridad ofensiva, por lo que los defensores tendrán que reevaluar cómo es la “tolerancia aceptable al riesgo” cuando se trata de defensa a la velocidad de la máquina.

«Creo que nos veremos obligados a salir de nuestra zona de confort y realmente adoptar parte de esta remediación más automatizada mucho más rápido de lo que probablemente nos sentimos cómodos», dijo.

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tráfico malicioso.

El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas ubicadas en los EE. UU., según el equipo de Black Lotus Labs en Lumen. Se ha detectado un número menor de infecciones en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.

«KadNap emplea una versión personalizada del Kademlia Tabla hash distribuida (DHT), que se utiliza para ocultar la dirección IP de su infraestructura dentro de un sistema peer-to-peer para evadir el monitoreo de red tradicional», la empresa de ciberseguridad dicho en un informe compartido con The Hacker News.

Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse con un servidor de comando y control (C2), haciéndolo resistente a los esfuerzos de detección e interrupción.

Una vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger («doppelganger[.]shop»), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelgänger, según su sitio web, afirma ofrecer servidores proxy residentes en más de 50 países que brindan «100% de anonimato». Se dice que el servicio se lanzó en mayo/junio de 2025.

A pesar del enfoque en los enrutadores Asus, se descubrió que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.

El elemento central del ataque es un script de shell («aic.sh») que se descarga del servidor C2 («212.104.141[.]140»), que es responsable de iniciar el proceso de reclutamiento de la víctima en la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a «.asusrouter» y ejecutarlo.

Una vez que se establece la persistencia, el script extrae un archivo ELF malicioso, le cambia el nombre a «kad» y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.

KadNap también está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve como base para crear un hash que se utiliza para localizar a otros pares en la red descentralizada para recibir comandos o descargar archivos adicionales.

Los archivos, fwr.sh y /tmp/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP estándar para Secure Shell (SSH), en el dispositivo infectado y extraer una lista de combinaciones de dirección IP:puerto C2 para conectarse.

«En resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicación robustos que son difíciles de interrumpir, ocultándose en el ruido del tráfico legítimo entre pares», dijo Lumen.

Un análisis más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se está categorizando según el tipo y modelo de dispositivo.

El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelgänger están siendo abusados ​​por actores de amenazas en la naturaleza. «Ha habido un problema ya que estos Asus (y otros dispositivos) a veces también están coinfectados con otro malware: es complicado decir quién es exactamente responsable de una actividad maliciosa específica», dijo la compañía.

Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos que están al final de su vida útil y ya no son compatibles.

«La botnet KadNap se destaca entre otras que admiten servidores proxy anónimos en el uso de una red peer-to-peer para el control descentralizado», concluyó Lumen. «Su intención es clara: evitar la detección y dificultar la protección de los defensores».

Surge una nueva amenaza para Linux ClipXDaemon

La divulgación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a través del marco de post-explotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.

Organizado íntegramente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y wayland evitar sesiones, mientras simultáneamente monitorea el portapapeles cada 200 milisegundos y sustituye direcciones de criptomonedas con billeteras controladas por atacantes. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.

La decisión de evitar la ejecución en sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de visualización coloca controles adicionales, como requerir interacción explícita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecución.

«ClipXDaemon se diferencia fundamentalmente del malware tradicional de Linux. No contiene lógica de comando y control (C2), no realiza balizas y no requiere tareas remotas», dijo la compañía. dicho. «En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas en tiempo real con direcciones controladas por el atacante».

La Fundación Shadowserver ha reveló que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.

De estos, 401 instancias están ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.

La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.

«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», FreePBX dicho en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco».

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el módulo de almacén de archivos a la última versión.

Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.

Fuente: La Fundación Shadowserver

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.

«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la compañía de ciberseguridad.

Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.

Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.

Los ataques a la nube se mueven rápido, más rápido que la mayoría de los equipos de respuesta a incidentes.

En los centros de datos, las investigaciones tuvieron tiempo. Los equipos podrían recopilar imágenes de disco, revisar registros y crear cronogramas a lo largo de días. En la nube, la infraestructura dura poco. Una instancia comprometida puede desaparecer en minutos. Las identidades rotan. Los registros caducan. La evidencia puede desaparecer incluso antes de que comience el análisis.

Análisis forense de la nube es fundamentalmente diferente de la medicina forense tradicional. Si las investigaciones todavía se basan en la unión manual de registros, los atacantes ya tienen la ventaja.

Regístrese: vea la ciencia forense contextual en acción ➜

Por qué falla la respuesta tradicional a incidentes en la nube

La mayoría de los equipos enfrentan el mismo problema: alertas sin contexto.

Es posible que detecte una llamada API sospechosa, un nuevo inicio de sesión de identidad o un acceso inusual a datos, pero la ruta de ataque completa sigue sin estar clara en todo el entorno.

Los atacantes utilizan esta brecha de visibilidad para moverse lateralmente, escalar privilegios y alcanzar activos críticos antes de que los socorristas puedan conectar la actividad.

Para investigar las infracciones de la nube de forma eficaz, son esenciales tres capacidades:

• Visibilidad a nivel de host: Vea lo que ocurrió dentro de las cargas de trabajo, no solo la actividad del plano de control.
• Mapeo de contexto: Comprenda cómo se conectan las identidades, las cargas de trabajo y los activos de datos.
• Captura de evidencia automatizada: Si la recopilación de pruebas comienza manualmente, comienza demasiado tarde.

Cómo se ve la ciencia forense de la nube moderna

En esta sesión de seminario web, usted vea cómo funciona la ciencia forense automatizada y consciente del contexto en investigaciones reales. En lugar de recopilar evidencia fragmentada, los incidentes se reconstruyen utilizando señales correlacionadas, como telemetría de carga de trabajo, actividad de identidad, operaciones API, movimiento de red y relaciones de activos.

Esto permite a los equipos reconstruir cronogramas de ataque completos en minutos, con un contexto ambiental completo.

Las investigaciones en la nube a menudo se estancan porque la evidencia se encuentra en sistemas desconectados. Los registros de identidad residen en una consola, la telemetría de cargas de trabajo en otra y las señales de red en otros lugares. Los analistas deben cambiar de herramienta solo para validar una única alerta, lo que ralentiza la respuesta y aumenta la posibilidad de pasar por alto el movimiento del atacante.

La ciencia forense de la nube moderna consolida estas señales en una capa de investigación unificada. Al correlacionar las acciones de identidad, el comportamiento de la carga de trabajo y la actividad del plano de control, los equipos obtienen una visibilidad clara de cómo se desarrolló una intrusión, no solo dónde se activaron las alertas.

Las investigaciones pasan de la revisión reactiva de registros a la reconstrucción estructurada de ataques. Los analistas pueden rastrear secuencias de acceso, movimiento e impacto con el contexto adjunto a cada paso.

El resultado es un alcance más rápido, una atribución más clara de las acciones de los atacantes y decisiones de reparación más seguras, sin depender de herramientas fragmentadas ni retrasos en la recopilación de pruebas.

Regístrese para el seminario web ➜

Únete a la sesión para ver cómo la ciencia forense sensible al contexto hace que las infracciones en la nube sean completamente visibles.