Una serie de vulnerabilidades críticas que afectan a los productos de Adobe, Fortinet, Microsoft y SAP han ocupado un lugar central en los lanzamientos del martes de parches de abril.

Encabezando la lista se encuentra una vulnerabilidad de inyección SQL que afecta a SAP Business Planning and Consolidation y SAP Business Warehouse (CVE-2026-27681puntuación CVSS: 9,9) que podría dar lugar a la ejecución de comandos arbitrarios de la base de datos.

«El programa ABAP vulnerable permite a un usuario con pocos privilegios cargar un archivo con sentencias SQL arbitrarias que luego se ejecutarán», Onapsis dicho en un aviso.

En un posible escenario de ataque, un mal actor podría abusar de la funcionalidad relacionada con la carga afectada para ejecutar SQL malicioso contra almacenes de datos BW/BPC, extraer datos confidenciales y eliminar o corromper el contenido de la base de datos.

«Las cifras de planificación manipuladas, los informes rotos o los datos de consolidación eliminados pueden socavar los procesos cerrados, los informes ejecutivos y la planificación operativa», Pathlock dicho. «En las manos equivocadas, este problema también crea un camino creíble hacia el robo sigiloso de datos y la interrupción abierta del negocio».

Otra vulnerabilidad de seguridad que merece una mención es la ejecución remota de código de gravedad crítica en Adobe Acrobat Reader (CVE-2026-34621, puntuación CVSS: 8,6) que ha sido objeto de explotación activa en la naturaleza.

Dicho esto, hay muchas incógnitas en este momento. No está claro cuántas personas se han visto afectadas por la campaña de piratería. Tampoco hay información sobre quién está detrás de la actividad, quién está siendo atacado y cuáles podrían ser sus motivos.

También parcheado por Adobe son cinco fallas críticas en las versiones 2025 y 2023 de ColdFusion que, si se explota con éxito, podría provocar la ejecución de código arbitrario, denegación de servicio de la aplicación, lectura arbitraria del sistema de archivos y omisión de funciones de seguridad.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-34619 (Puntuación CVSS: 7,7): una vulnerabilidad de recorrido de ruta que conduce a la omisión de una característica de seguridad
• CVE-2026-27304 (Puntuación CVSS: 9,3): una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario
• CVE-2026-27305 (Puntuación CVSS: 8,6): una vulnerabilidad de recorrido de ruta que conduce a una lectura arbitraria del sistema de archivos
• CVE-2026-27282 (Puntuación CVSS: 7,5) – Una vulnerabilidad de validación de entrada incorrecta que conduce a la omisión de la función de seguridad
• CVE-2026-27306 (Puntuación CVSS: 8,4): una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario

También se han publicado correcciones para dos vulnerabilidades críticas de FortiSandbox que podrían provocar la omisión de autenticación y la ejecución de código:

• CVE-2026-39813 (Puntuación CVSS: 9.1): una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir que un atacante no autenticado omita la autenticación a través de solicitudes HTTP especialmente diseñadas. (Corregido en las versiones 4.4.9 y 5.0.6)
• CVE-2026-39808 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección de comandos del sistema operativo en FortiSandbox que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP diseñadas. (Corregido en la versión 4.4.9)

El desarrollo se produce cuando Microsoft abordó la asombrosa cantidad de 169 defectos de seguridad, incluida una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) que podría permitir a un atacante ver información confidencial. La compañía dijo que está siendo explotado activamente, aunque no hay información sobre la explotación salvaje asociada con el error.

«Los servicios de SharePoint, especialmente aquellos utilizados como almacenes de documentos internos, pueden ser un tesoro para los actores de amenazas que buscan robar datos, especialmente datos que pueden aprovecharse para forzar pagos de rescate utilizando técnicas de doble extorsión, amenazando con revelar los datos robados si no se realiza el pago», dijo Kev Breen, director senior de investigación de amenazas de Immersive.

«Una preocupación secundaria es que los actores de amenazas con acceso a los servicios de SharePoint podrían desplegar documentos armados o reemplazar documentos legítimos con versiones infectadas que les permitirían propagarse a otros hosts o víctimas que se mueven lateralmente por toda la organización».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Manzana
• ASUS
• aveva
• Broadcom (incluido VMware)
• Canon
• cisco
• citrix
• CODESYS
• Enlace D
• Sistemas Dassault
• Dell
• Devoluciones
• dormakaba
• drupal
• Elástico
• F5
• Fortinet
• Software Foxit
• FUJIFILM
• gigabyte
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Grafana
• Energía Hitachi
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• Huawei
• IBM
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitel
• Mitsubishi Electrico
• MongoDB
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• NETGEAR
• Nodo.js
• Nvidia
• propia nube
• Redes de Palo Alto
• Contacto Fénix
• Software de progreso
• QNAP
• Qualcomm
• Automatización Rockwell
• Alboroto inalámbrico
• Samsung
• Electricidad Schneider
• siemens
• SonicWall
• Splunk
• Marco de primavera
• supermicro
• Sinología
• TP-Link
• GuardiaGuardiay
• Xiaomi

Microsoft lanzó el martes actualizaciones para abordar un récord 169 fallos de seguridad en toda su cartera de productos, incluida una vulnerabilidad que ha sido explotada activamente en la naturaleza.

De estas 169 vulnerabilidades, 157 están clasificadas como importantes, ocho están clasificadas como críticas, tres están clasificadas como moderadas y una está clasificada como de gravedad baja. Noventa y tres de las fallas se clasifican como escalada de privilegios, seguidas de 21 vulnerabilidades de divulgación de información, 21 de ejecución remota de código, 14 de omisión de funciones de seguridad, 10 de suplantación de identidad y nueve de denegación de servicio.

También se incluyen entre las 169 fallas cuatro CVE no emitidos por Microsoft que afectan a AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) y Git para Windows (CVE-2026-32631). Las actualizaciones se suman a 78 vulnerabilidades que se han solucionado en su navegador Edge basado en Chromium desde la actualización que se lanzó el mes pasado.

El lanzamiento lo convierte en el segundo martes de parches más grande de la historia, un poco por debajo del récord establecido en octubre de 2025, cuando Microsoft solucionó 183 fallas de seguridad masivas. «A este ritmo, 2026 está en camino de afirmar que más de 1000 CVE Patch Tuesday al año es la norma», dijo Satnam Narang, ingeniero senior de investigación de Tenable.

«No sólo eso, sino que los errores de elevación de privilegios continúan dominando el ciclo del martes de parches durante los últimos ocho meses, representando un récord del 57% de todos los CVE parcheados en abril, mientras que las vulnerabilidades de ejecución remota de código (RCE) han caído a sólo el 12%, empatadas con las vulnerabilidades de divulgación de información este mes».

La vulnerabilidad que ha sido objeto de explotación activa es CVE-2026-32201 (Puntuación CVSS: 6,5), una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server.

«La validación de entrada inadecuada en Microsoft Office SharePoint permite que un atacante no autorizado realice suplantación de identidad en una red», dijo Microsoft en un aviso. «Un atacante que explotara con éxito la vulnerabilidad podría ver información confidencial (Confidencialidad), realizar cambios en la información revelada (Integridad), pero no puede limitar el acceso al recurso (Disponibilidad)».

Aunque la vulnerabilidad se descubrió internamente, actualmente no se sabe cómo se está explotando, quién puede estar detrás de la actividad y la escala de dichos esfuerzos.

«Esta vulnerabilidad de día cero en Microsoft SharePoint Server es causada por una validación de entrada incorrecta, lo que permite a los atacantes falsificar contenidos o interfaces confiables a través de una red», dijo Mike Walters, presidente y cofundador de Action1.

«Al explotar esta falla, un atacante puede manipular cómo se presenta la información a los usuarios, potencialmente engañándolos para que confíen en contenido malicioso. Si bien el impacto directo sobre los datos es limitado, la capacidad de engañar a los usuarios hace que esta sea una herramienta poderosa para ataques más amplios».

La explotación activa de CVE-2026-32201 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar a las vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien la deficiencia antes del 28 de abril de 2026.

Otra vulnerabilidad a destacar es una falla de escalada de privilegios en Microsoft Defender (CVE-2026-33825puntuación CVSS: 7,8), que se marcó como de conocimiento público en el momento de su publicación. Según Redmond, la vulnerabilidad podría permitir a un atacante autorizado elevar los privilegios localmente aprovechando la falta de controles de acceso granular adecuados de Defender.

Microsoft señaló que no se requiere ninguna acción del usuario para instalar la actualización para CVE-2026-33825, ya que la plataforma se actualiza con frecuencia de forma predeterminada. Los sistemas que han desactivado Microsoft Defender no se encuentran en un estado explotable.

Una de las vulnerabilidades más graves es un caso de ejecución remota de código que afecta las extensiones del servicio de intercambio de claves de Internet (IKE) de Windows. CVE-2026-33824el defecto de seguridad tiene una puntuación CVSS de 9,8 sobre 10,0.

«La explotación requiere que un atacante envíe paquetes especialmente diseñados a una máquina Windows con IKE v2 habilitado, lo que podría permitir la ejecución remota de código», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado.

«Las vulnerabilidades que conducen a RCE no autenticado contra activos modernos de Windows son relativamente raras, o veríamos más vulnerabilidades que se pueden propagar a través de Internet. Sin embargo, dado que IKE proporciona servicios de negociación de túneles seguros, por ejemplo, para VPN, está necesariamente expuesto a redes que no son de confianza y es accesible en un contexto de autorización previa».

Walters señaló que la falla de seguridad representa una seria amenaza para los entornos empresariales, particularmente aquellos que dependen de VPN o IPsec para comunicaciones seguras. La explotación exitosa de la vulnerabilidad podría comprometer completamente el sistema, permitiendo a los delincuentes robar datos confidenciales, interrumpir operaciones o moverse lateralmente a través de la red.

«La falta de interacción requerida por parte del usuario hace que esto sea especialmente peligroso para los sistemas conectados a Internet. Su baja complejidad de ataque y su impacto total en el sistema lo convierten en un candidato ideal para una rápida militarización», añadió Walters. «Los sistemas conectados a Internet que ejecutan servicios IKEv2 están particularmente en riesgo, y retrasar la implementación de parches aumenta la exposición a posibles ataques generalizados».

Microsoft abordó 165 vulnerabilidades que afectan a sus diversos productos y sistemas subyacentes, incluida una vulnerabilidad explotada activamente en Microsoft Office SharePoint, en el informe de este mes. Actualización del martes de parches.

«Según mis cálculos, este es el segundo lanzamiento mensual más grande en la historia de Microsoft», escribió Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Microsoft no explicó por qué su lote mensual de parches creció tanto este mes, pero Childs señaló que muchos programas de vulnerabilidad están experimentando un aumento significativo en los envíos encontrados por herramientas de inteligencia artificial. «Para nosotros, nuestra tasa de llegada esencialmente se ha triplicado, lo que hace que la clasificación sea un desafío, por decir lo menos», añadió.

La vulnerabilidad de día cero CVE-2026-32201 – tiene una calificación CVSS de 6,5 y permite a los atacantes ver información confidencial y realizar cambios en la información divulgada. Microsoft dijo que el defecto de validación de entrada incorrecta en Microsoft Office SharePoint permite a atacantes no autenticados realizar suplantación de identidad en una red.

La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió el día cero a su catálogo de vulnerabilidades explotadas conocidas poco después de la divulgación de Microsoft.

Microsoft también abordó una vulnerabilidad de alta gravedad: CVE-2026-33825 – eso se conoció públicamente en el momento de la publicación. El proveedor dijo que es más probable que el defecto en Microsoft Defender sea explotado y podría permitir a atacantes no autorizados elevar los privilegios localmente.

«Lo que comienza como un punto de apoyo puede convertirse rápidamente en un dominio total del sistema», dijo Jack Bicer, director de investigación de vulnerabilidades en Action1, en una publicación de blog sobre la vulnerabilidad.

«Una vez explotado, permite un control total sobre los puntos finales, lo que permite la filtración de datos, la desactivación de herramientas de seguridad y el movimiento lateral a través de las redes», dijo Bicer.

El código de prueba de concepto para explotar el defecto está disponible públicamente, lo que aumenta la probabilidad de explotación en la naturaleza, añadió.

Microsoft reveló dos vulnerabilidades críticas este mes: CVE-2026-33824 afectando la extensión IKE de Windows y CVE-2026-26149 que afecta a Microsoft Power Apps, pero designó ambos defectos como menos propensos a ser explotados.

Según Microsoft, más de las tres cuartas partes de las vulnerabilidades reveladas este mes tienen menos probabilidades de ser explotadas. Mientras tanto, la empresa designó 19 vulnerabilidades como con mayor probabilidad de ser explotadas.

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado media docena de fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-21643 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección SQL en Fortinet FortiClient EMS que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.
• CVE-2020-9715 (Puntuación CVSS: 7,8): una vulnerabilidad de uso después de la liberación en Adobe Acrobat Reader que podría provocar la ejecución remota de código.
• CVE-2023-36424 (Puntuación CVSS: 7,8): una vulnerabilidad de lectura fuera de límites en el controlador del sistema de archivos de registro común de Microsoft Windows que podría provocar una escalada de privilegios.
• CVE-2023-21529 (Puntuación CVSS: 8,8): una deserialización de datos que no son de confianza en Microsoft Exchange Server que podría permitir a un atacante autenticado lograr la ejecución remota de código.
• CVE-2025-60710 (Puntuación CVSS: 7,8): una resolución de enlace incorrecta antes de la vulnerabilidad de acceso a archivos en el proceso de host para tareas de Windows que podría permitir a un atacante autorizado elevar privilegios localmente.
• CVE-2012-1854 (Puntuación CVSS: 7,8): una vulnerabilidad de carga de biblioteca insegura en Microsoft Visual Basic para Aplicaciones (VBA) que podría provocar la ejecución remota de código.

La adición de CVE-2026-21643 al catálogo KEV se produce después de que Defused Cyber ​​dijera que detectó intentos de explotación dirigidos a la falla desde el 24 de marzo de 2026. La semana pasada, Microsoft reveló que un actor de amenazas al que rastrea como Storm-1175 ha estado utilizando CVE-2023-21529 como arma en ataques para entregar ransomware Medusa.

En cuanto a CVE-2012-1854, el fabricante de Windowsadmitido en un aviso publicado en julio de 2012 que tiene conocimiento de «ataques limitados y dirigidos» que intentan abusar de la vulnerabilidad. Actualmente se desconoce la naturaleza exacta de los ataques.

Actualmente no hay informes públicos que hagan referencia a la explotación de las tres vulnerabilidades restantes. A la luz de los ataques activos, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 27 de abril de 2026.

Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.

La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.

«La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos», dijo la empresa israelí de ciberseguridad. dicho. «También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita».

Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.

La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.

Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.

Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.

«El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor», dijo Check Point. «El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente».

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.

Irán revive las operaciones clave de Pay2

La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.

La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.

Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.

«Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedió», Halcyon dicho.

Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.

«La muestra se basa en la configuración, requiere privilegios de nivel raíz para su ejecución y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial», Ilia Kulmin, investigadora de Morphisec dicho en un informe publicado el mes pasado.

«Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios».

En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.

«Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos», dijo la empresa de ciberseguridad. dicho. «El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado».

Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
• Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
• Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».

Microsoft llama la atención sobre una nueva campaña que ha aprovechado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).

La actividad, que comenzó a finales de febrero de 2026, aprovecha estos scripts para iniciar una cadena de infección de varias etapas para establecer persistencia y permitir el acceso remoto. Actualmente no se sabe qué señuelos utilizan los actores de amenazas para engañar a los usuarios para que ejecuten los scripts.

«La campaña se basa en una combinación de ingeniería social y técnicas de vida de la tierra», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «Utiliza utilidades de Windows renombradas para integrarse en la actividad normal del sistema, recupera cargas útiles de servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema».

El uso de herramientas legítimas y plataformas confiables es una combinación mortal, ya que permite a los actores de amenazas integrarse en la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.

La actividad comienza cuando los atacantes distribuyen archivos VBS maliciosos a través de mensajes de WhatsApp que, cuando se ejecutan, crean carpetas ocultas en «C:\ProgramData» y eliminan versiones renombradas de utilidades legítimas de Windows como «curl.exe» (rebautizada como «netapi.dll») y «bitsadmin.exe» (rebautizada como «sc.exe»).

Al lograr un punto de apoyo inicial, los atacantes pretenden establecer persistencia y escalar privilegios, y en última instancia instalan paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 utilizando los archivos binarios renombrados.

«Una vez que las cargas útiles secundarias están en su lugar, el malware comienza a alterar la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema», dijo Redmond. «Intenta continuamente iniciar cmd.exe con privilegios elevados, reintentando hasta que la elevación de UAC se logra o el proceso finaliza por la fuerza, modificando las entradas del registro en HKLM\Software\Microsoft\Win e incorporando mecanismos de persistencia para garantizar que la infección sobreviva a los reinicios del sistema».

Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin la interacción del usuario mediante una combinación de manipulación del Registro con técnicas de omisión de UAC y, en última instancia, implementar instaladores MSI no firmados. Esto incluye herramientas legítimas como AnyDesk que brindan a los atacantes acceso remoto persistente, lo que les permite extraer datos o implementar más malware.

«Esta campaña demuestra una cadena de infección sofisticada que combina ingeniería social (entrega de WhatsApp), técnicas sigilosas (herramientas legítimas renombradas, atributos ocultos) y alojamiento de carga útil basado en la nube», dijo Microsoft.

Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

Microsoft ha advertido sobre nuevas campañas que están aprovechando la próxima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware.

Las campañas de correo electrónico aprovechan la urgencia y la urgencia de los correos electrónicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de nómina, recordatorios de presentación y solicitudes de profesionales de impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos, escaneen códigos QR o interactúen con enlaces sospechosos.

«Muchas campañas se dirigen a personas para el robo de datos personales y financieros, pero otras se dirigen específicamente a contadores y otros profesionales que manejan documentos confidenciales, tienen acceso a datos financieros y están acostumbrados a recibir correos electrónicos relacionados con impuestos durante este período», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research. dicho en un informe publicado la semana pasada.

Si bien algunos de estos esfuerzos dirigen a los usuarios a páginas incompletas diseñadas a través de plataformas de phishing como servicio (PhaaS), otros resultan en la implementación de herramientas legítimas de administración y monitoreo remoto (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, que permiten a los atacantes obtener acceso persistente a los dispositivos comprometidos.

Los detalles de algunas de las campañas se encuentran a continuación:

• Uso de señuelos de contadores públicos certificados (CPA) para entregar páginas de phishing asociadas con el kit Energy365 PhaaS para capturar el correo electrónico y la contraseña de las víctimas. Se estima que el kit de phishing Energy365 envía cientos de miles de correos electrónicos maliciosos diariamente.
• Uso de códigos QR y señuelos W2 para dirigirse a aproximadamente 100 organizaciones, principalmente en las industrias de fabricación, venta minorista y atención médica ubicadas en los EE. UU., para dirigir a los usuarios a páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365 y creadas utilizando la plataforma PhaaS SneakyLog (también conocida como Kratos) para desviar sus credenciales y códigos de autenticación de dos factores (2FA).
• Usar dominios con temas fiscales para su uso en campañas de phishing que engañan a los usuarios para que hagan clic en enlaces falsos con el pretexto de acceder a formularios de impuestos actualizados, solo para distribuir ScreenConnect.
• Hacerse pasar por el Servicio de Impuestos Internos (IRS) con un señuelo de criptomonedas dirigido específicamente al sector de la educación superior en los EE. UU., indicando a los destinatarios que descargaran un «Formulario de impuestos sobre criptomonedas 1099» accediendo a un dominio malicioso («irs-doc[.]com» o «gov-irs216[.]net») para entregar ScreenConnect o SimpleHelp.
• Dirigido a contadores y organizaciones relacionadas, solicitando ayuda para declarar sus impuestos mediante el envío de un enlace malicioso que conduce a la instalación de Datto.

Microsoft dijo que también observó una campaña de phishing a gran escala el 10 de febrero de 2026, en la que más de 29.000 usuarios de 10.000 organizaciones se vieron afectados. Alrededor del 95% de los objetivos estaban ubicados en EE.UU., abarcando industrias como servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%).

«Los correos electrónicos se hacían pasar por el IRS, alegando que se habían presentado declaraciones de impuestos potencialmente irregulares con el Número de identificación de presentación electrónica (EFIN) del destinatario. Los destinatarios recibieron instrucciones de revisar estas declaraciones descargando un ‘Visor de transcripciones del IRS’ supuestamente legítimo», dijo el gigante tecnológico.

Los correos electrónicos, que se enviaron a través de Amazon Simple Email Service (SES), contenían un botón «Descargar IRS Transcript View 5.1» que, al hacer clic, redirigía a los usuarios a smartvault.[.]im, un dominio que se hace pasar por SmartVault, una conocida plataforma de gestión e intercambio de documentos.

El sitio de phishing confió en Cloudflare para mantener a raya a los bots y los escáneres automatizados, garantizando así que solo los usuarios humanos reciban la carga útil principal: un ScreenConnect empaquetado maliciosamente que otorga a los atacantes acceso remoto a sus sistemas y facilita el robo de datos, la recolección de credenciales y otras actividades posteriores a la explotación.

Para mantenerse a salvo de estos ataques, se recomienda a las organizaciones que apliquen 2FA a todos los usuarios, implementen políticas de acceso condicional, monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados, y eviten que los usuarios accedan a dominios maliciosos.

El desarrollo coincide con el descubrimiento de varias campañas que arrojan malware de acceso remoto o realizan robo de datos.

• Usando páginas falsas de Google Meet y Zoom para atraer a los usuarios a videollamadas fraudulentas que, en última instancia, entregar software de acceso remoto como Teramind, una plataforma legítima de seguimiento de empleados, mediante una actualización de software falsa.
• Usando un sitio web fraudulento que aprovecha la marca Avast para engañar a los usuarios de habla francesa para que entreguen los datos completos de su tarjeta de crédito como parte de una estafa de reembolso.
• Usando un sitio web mal escrito haciéndose pasar por el portal oficial de descarga de Telegram («telegrgam[.]com») para distribuir instaladores troyanizados que, además de eliminar un instalador legítimo de Telegram, ejecutan una DLL responsable de lanzar una carga útil en la memoria. Luego, el malware inicia la comunicación con su infraestructura de comando y control para recibir instrucciones, descargar componentes actualizados y mantener un acceso persistente.
• Abusar Notificaciones de alerta de Microsoft Azure Monitor para enviar correos electrónicos de phishing con devolución de llamadas que utilizan facturas y señuelos de pagos no autorizados. «Los atacantes crean reglas de alerta maliciosas de Azure Monitor, incorporando contenido fraudulento en la descripción de la alerta, incluidos detalles de facturación falsos y números de teléfono de soporte controlados por el atacante», dijo LevelBlue. «Luego, las víctimas se agregan al grupo de acción vinculado a la regla de alerta, lo que hace que Azure envíe el mensaje de phishing desde la dirección del remitente legítimo azure-noreply@microsoft.com».
• Usando señuelos con temas de citas en correos electrónicos de phishing para entregar un cuentagotas de JavaScript que se conecta a un servidor externo para descargar un script de PowerShell, que inicia la aplicación confiable de Microsoft «Aspnet_compiler.exe» e inyecta en ella una carga útil XWorm 7.1 mediante una inyección de DLL reflectante. El malware actualizado viene con un componente desarrollado en .NET diseñado para brindar sigilo y persistencia. También se han utilizado solicitudes similares de cotización de señuelos para desencadenar una cadena de infección Remcos RAT sin archivos.
• Usar correos electrónicos de phishing y tácticas de ClickFix para entregar NetSupport rata y obtener acceso no autorizado al sistema, filtrar datos e implementar malware adicional.
• Usando URI de redireccionamiento de registro de aplicaciones de Microsoft («iniciar sesión.microsoftonline[.]com») en correos electrónicos de phishing para abusar de las relaciones de confianza y evitar los filtros de spam de correo electrónico para redirigir a los usuarios a sitios web de phishing que capturan las credenciales de las víctimas y los códigos 2FA.
• Abusar de lo legítimo Servicios de reescritura de URL de Avanan, Barracuda, Bitdefender, Cisco, INKY, Mimecast, Proofpoint, Sophos y Trend Micro para ocultar URL maliciosas en correos electrónicos de phishing evade la detección. «Los actores de amenazas han adoptado cada vez más la redirección encadenada de múltiples proveedores en sus campañas de phishing», dijo LevelBlue. «La actividad anterior normalmente dependía de un único servicio de reescritura, pero las campañas más nuevas acumulan múltiples capas de enlaces ya reescritos. Este anidamiento hace que sea significativamente más difícil para las plataformas de seguridad reconstruir la ruta de redireccionamiento completa e identificar el destino malicioso final».
• Usando archivos ZIP maliciosos haciéndose pasar por una amplia gama de software, incluidos generadores de imágenes de inteligencia artificial (IA), herramientas de cambio de voz, utilidades de negociación del mercado de valores, modificaciones de juegos, VPN y emuladores, para entregar Salat Stealer o MeshAgent, junto con un minero de criptomonedas. La campaña se ha dirigido específicamente a usuarios de EE. UU., Reino Unido, India, Brasil, Francia, Canadá y Australia.
• Usando señuelos de invitación digitales enviado a través de correos electrónicos de phishing para desviar a los usuarios a una página CAPTCHA falsa de Cloudflare que entrega un VBScript, que luego ejecuta código PowerShell para recuperar un cargador .NET evasivo denominado SILENTCONNECT desde Google Drive para eventualmente entregar ScreenConnect.

Los hallazgos se producen tras un aumento en la adopción de RMM por parte de los actores de amenazas, y el abuso de dichas herramientas aumentó un 277% año tras año, según un informe reciente publicado por Huntress.

«Como estas herramientas son utilizadas por departamentos de TI legítimos, normalmente se pasan por alto y se consideran ‘confiables’ en la mayoría de los entornos corporativos», dijeron los investigadores de Elastic Security Labs, Daniel Stepanic y Salim Bitam. «Las organizaciones deben permanecer alerta y auditar sus entornos para detectar el uso no autorizado de RMM».

Las entidades ucranianas se han convertido en el objetivo de una nueva campaña probablemente orquestada por actores de amenazas vinculados a Rusia, según un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.

La campaña, observado en febrero de 2026, se ha evaluado que comparte superposiciones con una campaña anterior montada por Laundry Bear (también conocido como UAC-0190 o Void Blizzard) dirigida a las fuerzas de defensa ucranianas con una familia de malware conocida como PLUGGYAPE.

La actividad de ataque «emplea varios señuelos con temas judiciales y de caridad para implementar una puerta trasera basada en JavaScript que se ejecuta a través del navegador Edge», dijo la compañía de ciberseguridad. nombre en clave TALADROel malware es capaz de cargar y descargar archivos, aprovechar el micrófono y capturar imágenes a través de la cámara web aprovechando las funciones del navegador web.

Se han identificado dos versiones diferentes de la campaña, y la primera iteración se detectó a principios de febrero mediante el uso de un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en la carpeta temporal, que luego carga un script remoto alojado en Pastefy, un servicio de pegado legítimo.

Para establecer la persistencia, los archivos LNK se copian a la carpeta de inicio de Windows para que se inicien automáticamente después de reiniciar el sistema. Luego, la cadena de ataque muestra una URL que contiene señuelos relacionados con la instalación de Starlink o una organización benéfica ucraniana llamada Come Back Alive Foundation.

El archivo HTML finalmente se ejecuta a través del navegador Microsoft Edge en modo sin cabezaque luego carga el script ofuscado remoto alojado en Pastefy.

El navegador se ejecuta con parámetros adicionales como –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true y –disable-user-media-security, lo que le otorga acceso al sistema de archivos local, así como a la cámara, el micrófono y la captura de pantalla sin requerir ninguna interacción del usuario.

Básicamente, el artefacto funciona como una puerta trasera liviana para facilitar el acceso al sistema de archivos y capturar audio del micrófono, video de la cámara e imágenes de la pantalla del dispositivo a través del navegador. También genera una huella digital del dispositivo utilizando una técnica llamada huellas digitales en lienzo cuando se ejecuta por primera vez y utiliza Pastefy como solucionador de caídas muertas para recuperar una URL de WebSocket utilizada para comunicaciones de comando y control (C2).

El malware transmite los datos de las huellas dactilares del dispositivo junto con el país de la víctima, que se determina a partir de la zona horaria de la máquina. Comprueba específicamente si las zonas horarias corresponden a Reino Unido, Rusia, Alemania, Francia, China, Japón, Estados Unidos, Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. Si ese no es el caso, por defecto será EE.UU.

La segunda versión de la campaña, detectada a finales de febrero de 2026, evita los archivos LNK para los módulos del Panel de control de Windows, manteniendo la secuencia de infección prácticamente intacta. Otro cambio notable tiene que ver con la propia puerta trasera, que ahora se ha actualizado para permitir la enumeración recursiva de archivos, la carga de archivos por lotes y la descarga de archivos arbitrarios.

«Por razones de seguridad, JavaScript no permite la descarga remota de archivos», dijo LAB52. «Es por eso que los atacantes usan el Chrome DevTools Protocol (CDP), un protocolo interno de los navegadores basados ​​en Chromium que sólo se puede usar cuando el parámetro –remote-debugging-port está habilitado».

Se cree que la puerta trasera aún se encuentra en las etapas iniciales de desarrollo. Se observó que una variante temprana del malware detectada en la naturaleza el 28 de enero de 2026 simplemente se comunicaba con el dominio «gnome».[.]com» en lugar de descargar la carga útil principal de Pastefy.

«Uno de los aspectos más notables es el uso del navegador para implementar una puerta trasera, lo que sugiere que los atacantes están explorando nuevas formas de evadir la detección», dijo el proveedor de seguridad español.

«El navegador es ventajoso para este tipo de actividad porque es un proceso común y generalmente no sospechoso, ofrece capacidades extendidas accesibles a través de parámetros de depuración que permiten acciones inseguras como la descarga de archivos remotos, y proporciona acceso legítimo a recursos confidenciales como el micrófono, la cámara o la grabación de pantalla sin activar alertas inmediatas».