OAuth

admin Noticias, Trending apunta basado China con CYBERDEFENSA.MX europeos gobiernos OAuth Phishing PlugX TA416 vinculado

TA416 vinculado a China apunta a gobiernos europeos con phishing basado en PlugX y OAuth – CYBERDEFENSA.MX

Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos años de ataques mínimos en la región.

La campaña ha sido atribuida a TA416un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.

«Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas ante la Unión Europea y la OTAN en una variedad de países europeos», dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho.

«A lo largo de este período, TA416 alteró regularmente su cadena de infección, incluido el abuso de las páginas de desafío de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, además de actualizar con frecuencia su carga útil personalizada de PlugX».

También se ha observado que TA416 orquesta múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.

Vale la pena mencionar aquí que TA416 también comparte superposiciones técnicas históricas con otro grupo conocido como Mustang Panda (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en común ambos es el uso de carga lateral de DLL para iniciar el malware.

El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.

«Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electrónico fue abierto por el objetivo previsto», dijo Proofpoint.

Se descubrió que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web legítimo de Microsoft. OAuth punto final de autorización que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en última instancia, implementa PlugX.

El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

En febrero de 2026 se observaron más mejoras en la cadena de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.

«Cuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila automáticamente», dijeron los investigadores. «En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga lateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX a través de la cadena de carga lateral de DLL típica del grupo».

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. También se sabe que la puerta trasera establece un canal de comunicación cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antianálisis para evitar la detección.

PlugX acepta cinco comandos diferentes:

0x00000002para capturar información del sistema
0x00001005para desinstalar el malware
0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de espera
0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
0x00007002para abrir un shell de comando inverso

«El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, después de dos años de centrarse en el Sudeste Asiático y Mongolia, es consistente con un renovado enfoque de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN», dijo Proofpoint.

«Además, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del grupo probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo largo de este período, el grupo ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, abuso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada».

La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del nexo chino han evolucionado desde una actividad estratégicamente alineada en la década de 2010 hasta intrusiones altamente adaptables y centradas en la identidad con la intención de establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.

Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener acceso inicial.

«En un caso notable, el actor había comprometido completamente el entorno y había establecido persistencia, sólo para resurgir en el entorno más de 600 días después», Darktrace dicho. «La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor».

admin Noticias, Trending abuso afecta cinco códigos del dispositivos más Microsoft OAuth organizaciones países Phishing través

El phishing de códigos de dispositivos afecta a más de 340 organizaciones de Microsoft 365 en cinco países a través del abuso de OAuth

Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
El servicio responde con un código de dispositivo.
El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

162.220.234[.]41
162.220.234[.]66
162.220.232[.]57
162.220.232[.]99
162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

admin Noticias, Trending CYBERDEFENSA.MX EDR Hack Killer OAuth Phishing Platform Signal Trap ZIP Zombie

OAuth Trap, EDR Killer, Signal Phishing, Zombie ZIP, AI Platform Hack & More – CYBERDEFENSA.MX

Another Thursday, another pile of weird security stuff that somehow happened in just seven days. Some of it is clever. Some of it is lazy. A few bits fall into that uncomfortable category of “yeah… this is probably going to show up in real incidents sooner than we’d like.”

The pattern this week feels familiar in a slightly annoying way. Old tricks are getting polished. New research shows how flimsy certain assumptions really are. A couple of things that make you stop mid-scroll and think, “wait… people are actually pulling this off?”

There’s also the usual mix of strange corners of the ecosystem doing strange things — infrastructure behaving a little too professionally for comfort, tools showing up where they absolutely shouldn’t, and a few cases where the weakest link is still just… people clicking stuff they probably shouldn’t.

Anyway. If you’ve got five minutes and a mild curiosity about what attackers, researchers, and the broader internet gremlins were up to lately, this week’s ThreatsDay Bulletin on The Hacker News has the quick hits. Scroll on.

OAuth consent abuse

Cloud security firm Wiz has warned of the dangers posed by malicious OAuth applications, highlighting how «consent fatigue» could open the door for attackers to gain access to a victim’s sensitive data by giving their malicious apps a legitimate-looking name. By accepting the permissions requested by a rogue OAuth application, the user is «adding» the attacker’s app into their company’s tenant. «Once ‘Accept’ is clicked, the sign-in process is complete,» Wiz said. «But instead of going to a normal landing page, the access token is sent to the attacker’s Redirect URL. With that token, the attacker now has access to the user’s files or emails without ever needing to know their password.» The Google-owned company also said it detected a large-scale campaign active in early 2025 that involved 19 distinct OAuth applications impersonating well-known brands such as Adobe, DocuSign, and OneDrive, and targeted multiple organizations. Details of the activity were documented by Proofpoint in August 2025.
Messaging account takeover

Russian-linked hackers are trying to break into the Signal and WhatsApp accounts of government officials, journalists, and military personnel globally with an aim to get unauthorized access – not by breaking encryption, but by simply tricking people into handing over the security verification codes or PINs. «The most frequently observed method used by the Russian hackers is to masquerade as a Signal Support chatbot in order to induce their targets to divulge their codes,» the Netherlands Defence Intelligence and Security Service (MIVD) and the General Intelligence and Security Service (AIVD) said. «The hackers can then use these codes to take over the user’s account. Another method used by the Russian actors takes advantage of the ‘linked devices’ function within Signal and WhatsApp.» It’s worth noting that a similar warning was issued by Germany last month. «These attacks were executed via sophisticated phishing campaigns, designed to trick users into sharing information – SMS codes and/or Signal PIN – to gain access to users’ accounts,» Signal said. Google warned last year that Signal’s widespread use among Ukrainian soldiers, politicians, and journalists had made it a frequent target for Russian espionage operations.
Cloud breach via software flaws

Google has revealed that threat actors are increasingly exploiting vulnerabilities in third-party software to breach cloud environments. «The window between vulnerability disclosure and mass exploitation collapsed by an order of magnitude, from weeks to days,» the tech giant’s cloud division said. «While software-based exploits increased, initial access by threat actors using misconfiguration, which accounted for 29.4% of incidents in the first half of 2025, dropped to 21% in H2 2025. Similarly, exposed sensitive UI or APIs continued a downward trend, falling from 11.8% in H1 to 4.9% in H2. This decline suggests that automated guardrails are making identity and configuration errors harder to exploit and that threat actors are being driven toward more sophisticated and costly vectors that specifically target software vulnerabilities to gain a foothold.» In most attacks investigated by Google, the actor’s objective was silent exfiltration of high volumes of data without immediate extortion and long-term persistence.
Microcontroller debug bypass

New research from Quarkslab has found that it’s possible to bypass the 16-byte password protection required for debug access on several variants of the RH850 microcontroller family using voltage fault injection in under one minute. «Voltage glitching technique is performed by underpowering or overpowering the chip for a controlled amount of time to alter its behavior,» the security company said. «The crowbar attack is a specific type of voltage glitch where the power supply is shorted to the ground instead of injecting a specific voltage, using a MOSFET, for example.»
Solar Spider suspects arrested

Two Nigerian nationals have been arrested by authorities in the Indian state of Uttar Pradesh for their alleged involvement in an e-crime operation known as Solar Spider. The suspects are believed to have been planning to siphon large amounts of money by leveraging security flaws in Indian cooperative banking systems. According to a report from The420.in, the individuals have been identified as Okechukwu Imeka and Chinedu Okafor. The duo is suspected to be part of an international fraud syndicate involved in targeting financial institutions. Solar Spider has a history of targeting banking systems across India and the Middle East, often through spear-phishing campaigns. In a report published in July 2025, Tata Communications revealed that threat actors leverage their initial access to steal credentials, tamper with NEFT/RTGS transactions, and focus on Structured Financial Messaging System (SFMS) and Host-to-Host (H2H) infrastructures. The group is also known for deploying a sophisticated attack framework dubbed JSOutProx since at least 2019.
PlugX malware campaign

Check Point has disclosed targeted campaigns against entities in Qatar using conflict-related content as lures to deliver malware families like PlugX and Cobalt Strike. The attack chain uses Windows shortcut (LNK) files contained within ZIP archives, which, when opened, cause it to download a next-stage payload from a compromised server. The payload then displays the decoy document while using DLL side-loading to deploy PlugX. The activity, detected on March 1, 2026, has been attributed to Mustang Panda (aka Camaro Dragon). A second attack has been observed using a password-protected archive to execute a previously undocumented Rust loader that’s responsible for deploying Cobalt Strike using DLL side-loading. «This loader exploits DLL hijacking of nvdaHelperRemote.dll, a component of the open-source screen reader NVDA. Abuse of this component has previously been observed in only a limited number of Chinese-nexus campaigns, including China-aligned activity associated with a campaign delivering Voldemort backdoor, as well as a wave of attacks targeting the Philippines and Myanmar back in 2025,» Check Point said. While this attack is assessed as China-aligned, it has not been attributed to a specific threat actor. «The attackers leveraged the ongoing war in the Middle East to make their lures more credible and engaging, demonstrating the ability to rapidly adapt to major developments and breaking news,» the company said.
Teen DDoS kit sellers

Polish police have referred seven suspected minor cybercriminals to family court over an alleged scheme to sell distributed denial-of-service (DDoS) kits online. The suspects, aged between 12 and 16 at the time of the alleged offenses, face charges related to selling DDoS tools as part of a profit-driven scheme designed to target popular websites, including auction and sales portals, IT domains, hosting services, and accommodation booking sites. «Using the tools they administer, popular websites such as auction and sales portals, IT domains, hosting services, and accommodation booking services were attacked,» Poland’s Central Bureau for Combating Cybercrime (CBZC) said.
Phishing-resistant Windows login

Microsoft is rolling out passkey support for Microsoft Entra on Windows devices, adding phishing-resistant passwordless authentication via Windows Hello. «We’re introducing Microsoft Entra passkeys on Windows to enable phishing-resistant sign-in to Entra-protected resources. This update allows users to create device-bound passkeys stored in the Windows Hello container and authenticate using Windows Hello methods (face, fingerprint, or PIN),» Microsoft said. «It also expands passwordless authentication to Windows devices that aren’t Entra-joined or registered, helping organizations strengthen security and reduce reliance on passwords.»
Sysmon built into Windows

Microsoft has natively integrated System Monitor (Sysmon) functionality directly into Windows 11 and Windows Server 2025 as an optional built-in feature as of Windows 11’s March feature update (KB5079473). It’s disabled by default. The company announced the integration in November 2025. «You no longer need to package it dynamically; you can simply enable it programmatically via PowerShell,» Nick Carroll, cyber incident response manager at Nightwing, said. «Coupled with Microsoft’s simultaneous announcement that Windows Intune will enable ‘hotpatching’ by default in May 2026, this drastically lowers the barrier to entry for deep endpoint visibility and represents a massive operational win for network defenders.»
Canada phishing campaign

An active phishing campaign is targeting Canadian residents (and possibly present in other countries) using fraudulent domains impersonating trusted institutions, including the Government of British Columbia and Hydro-Québec, with the goal of collecting personal information and credit card details, Flare said. The hosting infrastructure behind this campaign is linked to RouterHosting LLC (aka Cloudzy), a provider that was publicly accused in 2023 of supplying services to at least 17 state-sponsored hacking groups from countries including Iran, China, Russia, and North Korea.
Private link safety in chats

Meta has detailed the workings of Advanced Browsing Protection (ABP) in Messenger, which protects the privacy of the links clicked on within chats while still warning people about malicious links. «In its standard setting, Safe Browsing uses on-device models to analyze malicious links shared in chats,» the company said. «But we’ve extended this further with an advanced setting called Advanced Browsing Protection (ABP) that leverages a continually updated watchlist of millions more potentially malicious websites.» ABP leverages an approach called private information retrieval (PIR) to implement a privacy-preserving «URL-matching» scheme between the client’s query and the server hosting the database, along with Oblivious HTTP, AMD SEV-SNP, and Path ORAM for added privacy guarantees.
BlackSanta EDR killer

A sophisticated attack campaign targeting HR departments and job recruiters has combined social engineering with advanced evasion techniques to stealthily compromise systems by avoiding analysis environments and leveraging a specialized module designed to kill antivirus and endpoint detection software. The attack begins with a resume-themed ISO file delivered likely through spam or phishing emails, which then drops next-stage payloads, including a DLL that’s launched via DLL side-loading to gather basic system information, initiate communication with a remote server, run sandbox checks, employ geographic filtering to avoid running in restricted regions, and drop additional payloads, such as BlackSanta EDR that employs legitimate but vulnerable kernel drivers to impair system defenses, a known tactic referred to as Bring Your Own Vulnerable Driver (BYOVD). «Rather than functioning as a simple auxiliary payload, BlackSanta acts as a dedicated defense-neutralization module that programmatically identifies and interferes with protection and monitoring processes prior to the deployment of follow-on stages,» Aryaka said. «By targeting endpoint security engines alongside telemetry and logging agents, it directly reduces alert generation, limits behavioral logging, and weakens investigative visibility on compromised hosts.» It’s currently not known what the follow-on payloads are or how widespread the campaign is. Phishing campaigns don’t just target HR teams, but also impersonate them in attacks. «Impersonating HR provides many benefits to threat actors. Tasks from HR are typically mandatory, so HR emails carry authority,» Cofense said. «Legitimate HR tasks can also have strict deadlines, which a threat actor can use to impose urgency. Finally, regular HR tasks are expected by employees.»
ZIP evasion technique

A new technique dubbed Zombie ZIP allows attackers to conceal payloads in specially crafted compressed files that can bypass security tools. «Malformed ZIP headers can cause antivirus and endpoint detection and response software (EDR) to produce false negatives,» the CERT Coordination Center (CERT/CC) said. «Despite the presence of malformed headers, some extraction software is still able to decompress the ZIP archive, allowing potentially malicious payloads to run upon file decompression.» The vulnerability, tracked as CVE-2026-0866, has been codenamed Zombie Zip by researcher Christopher Aziz, who discovered it. The technique was demonstrated by Bombadil Systems security researcher Chris Aziz.
AI agent breaches platform

Researchers at autonomous offensive security startup CodeWall said their AI agent hacked McKinsey’s internal AI platform Lili and gained full read and write access to the chatbot platform in just two hours. This enabled access to the entire production database, including 46.5 million chat messages about strategy, mergers and acquisitions, and client engagements, all in plaintext, along with 728,000 files containing confidential client data, 57,800 user accounts, and 95 system prompts controlling the AI’s behavior. The development is an indicator that agentic AI tools are becoming more effective for conducting cyber attacks. The agent said it found over 200 endpoints that were totally exposed, out of which 22 were unprotected. One of these endpoints, which wrote user search queries to the database, suffered from an SQL injection that could have made it possible to access sensitive data and rewrite the system prompts silently. McKinsey has since addressed the problem. There is no evidence that the issue was exploited in the wild.
Teams social engineering malware

Hackers have contacted employees at financial and healthcare organizations over Microsoft Teams to trick them into granting remote access through Quick Assist and deploy a new piece of malware called A0Backdoor. The modus operandi, which aligns with the playbook of Storm-1811 (aka STAC5777 or Blitz Brigantine), employs social engineering to gain the employee’s trust by first flooding their inbox with spam and then contacting them over Teams, pretending to be the company’s IT staff and offering assistance with the problem. To obtain access to the target machine, the threat actor instructs the user to start a Quick Assist remote session, which is used to deploy a malicious toolset that includes digitally signed MSI packages, some of which were hosted on Microsoft cloud storage tied to personal accounts. The installers serve as a conduit for launching a DLL that, in turn, decrypts and runs shellcode responsible for running anti-analysis checks and dropping A0Backdoor, which establishes contact to a remote server using DNS tunnelling to receive commands. The activity has been active since at least August 2025 through late February 2026.
Industrialized disinformation network

The Russian influence operation known as Doppelgänger has been described as industrialized and prioritizing infrastructure resilience, scalability, and operational continuity over short-term visibility. «Rather than functioning as a loose collection of spoofed websites or transient propaganda outlets, the network exhibits the hallmarks of a coordinated, professionally managed influence apparatus,» DomainTools said. «At its core, the ecosystem relies on systematic media brand impersonation executed at scale.» Campaigns mounted as part of the operation exhibit deliberate geographic micro-targeting across European Union member states and the U.S.
Pentagon AI dispute

Anthropic has filed a lawsuit to block the Pentagon from placing it on a national security blocklist, stating the supply chain risk designation was unlawful and violated its free speech and due process rights. The development comes after the Pentagon formally branded the artificial intelligence (AI) company a supply chain risk after it refused to remove guardrails against using its technology for autonomous weapons or domestic surveillance. In its own statement, Anthropic said «we had been having productive conversations with the Department of War over the last several days, both about ways we could serve the Department that adhere to our two narrow exceptions, and ways for us to ensure a smooth transition if that is not possible.» However, the Pentagon said there is no active negotiation happening with Anthropic. It also reiterated that the department «does not do and will not do domestic mass surveillance.» The development follows OpenAI’s own deal with the U.S. Department of Defense, with CEO Sam Altman stating the defense contract would include protections against the same red lines that Anthropic had insisted on. The company has since amended its contract to ensure «the AI system shall not be intentionally used for domestic surveillance of U.S. persons and nationals.» Anthropic’s CEO Dario Amodei has called OpenAI’s messaging «safety theater» and «straight up lies.»
GitHub SEO malware

A new information stealer campaign distributing BoryptGrab is leveraging a network of more than 100 public GitHub repositories that claim to offer software tools for free, using search engine optimization (SEO) keywords to lure victims. The multi-stage infection chain begins when a ZIP file is downloaded from a fake GitHub download page. BoryptGrab can harvest browser data, cryptocurrency wallet information, and system information. It’s also capable of capturing screenshots, collecting common files, and extracting Telegram information, Discord tokens, and passwords. Also delivered as part of the attack is a backdoor called TunnesshClient that establishes a reverse SSH tunnel to communicate with the attacker and acts as a SOCKS5 proxy. The earliest ZIP file dates back to late 2025. Certain iterations of the campaign have been found to deliver Vidar Stealer or a Golang downloader dubbed HeaconLoad, which then downloads and runs additional payloads.
RAT campaign against India

The Pakistan-aligned threat actor known as Transparent Tribe has been attributed to a fresh set of attacks targeting Indian government entities to infect systems with a RAT that enables remote command execution, process monitoring and termination, remote program execution, file upload/download, file enumeration, screenshot capture, and live screen monitoring capabilities. «The campaign primarily relies on social engineering techniques, distributing a malicious ZIP archive disguised as examination-related documents to persuade recipients to interact with the files,» CYFIRMA said. «Upon extraction, the archive delivers deceptive shortcut files along with a macro-enabled PowerPoint add-in, which collectively initiate the infection chain. The threat actors employ multiple layers of obfuscation and redundant execution mechanisms to enhance the probability of successful compromise while reducing the likelihood of user suspicion.»
Signed phishing malware

Microsoft is warning of multiple phishing campaigns using workplace meeting lures, PDF attachments, and abuse of legitimate binaries to deliver signed malware. The activity, observed in February 2026, has not been attributed to a specific threat actor or group. «Phishing emails directed users to download malicious executables masquerading as legitimate software,» the company said. «The files were digitally signed using an Extended Validation (EV) certificate issued to TrustConnect Software PTY LTD. Once executed, the applications installed remote monitoring and management (RMM) tools that enabled the attacker to establish persistent access on compromised systems.» Some of the deployed RMM tools include ScreenConnect, Tactical RMM, and MeshAgent. The use of the TrustConnect branding was disclosed by Proofpoint last week. Furthermore, the deployment of multiple RMM frameworks within a single intrusion indicates a deliberate strategy to ensure continuous access and ensure operational resilience even if one access mechanism is detected or removed. «These campaigns demonstrate how familiar branding and trusted digital signatures can be abused to bypass user suspicion and gain an initial foothold in enterprise environments,» Microsoft added.
TikTok allowed in Canada

Following a national security review of TikTok, Canada’s Minister of Industry, Mélanie Joly, said the company can keep its business operational. «TikTok will implement enhanced protection for Canadians’ personal information, including new security gateways and privacy-enhancing technologies to control access to Canadian user data in order to reduce the risk of unauthorized or prohibited access,» the government said. «TikTok will implement enhanced protections for minors.» The development marks a complete 180 from a 2024 decision, when it was ordered to shut down its operations, citing unspecified «national security risks.» However, that order was paused in early 2025.
Vulnerabilities rise 12%

Flashpoint said it catalogued 44,509 vulnerability disclosures in 2025, a 12% increase year-over-year (YoY). Of those, 466 were confirmed as exploited in the wild. Nearly 33%, or 14,593 vulnerabilities, had publicly available exploit code. Ransomware attacks also increased 53% YoY in 2025, with 8,835 total attacks recorded. The top RaaS groups by attack volume in 2025 were Qilin at 1,213 attacks, Akira at 1,044, Cl0p at 529, Safepay at 452, and Play at 395. Manufacturing was the most targeted industry with 1,564 attacks, followed by technology at 987 and healthcare at 905. The U.S. accounted for approximately 53% of named victim organizations.
Botnet exploiting 174 flaws

The RondoDox DDoS botnet has been found to implement 174 different exploits between May 25, 2025, and February 16, 2026, peaking at 15,000 exploitation attempts in a single day between December 2025 and January 2026. It’s believed that the threat actors are using compromised residential IP addresses as hosting infrastructure. «The operators of RondoDox have been using a shotgun approach, where they send multiple exploits to the same endpoint, hoping for one to work,» Bitsight said. Of the 174 different vulnerabilities, 15 have a public proof-of-concept (PoC), but no CVE, and 11 do not have PoC code at all. RondoDox is notable for its fast addition of recently disclosed vulnerabilities, in some cases incorporating the PoC even before the CVE was published (e.g., CVE-2025-62593).
Memory-only keylogger attack

Phishing emails bearing purchase order lures are being used to distribute an executable within RAR archives. Once launched, the binary extracts and runs VIP Keylogger in memory without touching the disk. «This keylogger captures either browser cookies, logins, credit card details, autofills, visited URLs, downloads, or top sites from the appropriate files in each of the application’s designated folders,» K7 Labs said. It’s also capable of targeting a wide range of web browsers, stealing the email accounts from Outlook, Foxmail, Thunderbird, and Postbox, and collecting Discord tokens.
Cloudflare-shielded phishing

A new Microsoft 365 credential harvesting campaign has been observed abusing Cloudflare’s services to delay detection and risk profiling. The gatekeeping is designed to ensure the visitor is a real target and not a security scanner or bot. «The campaign implemented multiple anti-detection techniques, including the use of CloudFlare human verification, hardcoded IP block lists, user agent checks, and multiple sites and redirects,» DomainTools said.

Some of the stuff in this week’s list feels a little too practical. Not big flashy hacks — just simple tricks used in the right place at the right time. The kind of things that make defenders sigh because… yeah, that’ll probably work.

There’s also a bit of the usual theme: tools and features doing exactly what they were designed to do… just not for the people who built them. Add some creative thinking, and suddenly normal workflows start looking like attack paths.

Anyway — quick reads, strange ideas, and a few reminders that security problems rarely disappear… they just change shape. Scroll on.

admin Noticias, Trending abuso advierte CYBERDEFENSA.MX entrega gubernamentales malware Microsoft OAuth objetivos redireccionamiento

Microsoft advierte que el abuso de redireccionamiento de OAuth entrega malware a objetivos gubernamentales – CYBERDEFENSA.MX

Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

Noticias, Trending

BKA identifica a los líderes REvil detrás de 130 ataques de ransomware alemanes – CYBERDEFENSA.MX

abril 6, 2026

Noticias, Trending

Hack de deriva por valor de 285 millones de dólares se remonta a una operación de ingeniería social de seis meses en la RPDC – CYBERDEFENSA.MX

abril 5, 2026

Fortinet parchea CVE-2026-35616 explotado activamente en FortiClient EMS – CYBERDEFENSA.MX

Noticias, Trending

Microsoft detalla shells web PHP controlados por cookies que persisten a través de Cron en servidores Linux – CYBERDEFENSA.MX

abril 3, 2026

Noticias, Trending

Por qué el riesgo de terceros es la mayor brecha en la postura de seguridad de sus clientes – CYBERDEFENSA.MX

abril 3, 2026

Noticias, Trending

UNC1069 La ingeniería social del mantenedor de Axios provocó un ataque a la cadena de suministro de npm – CYBERDEFENSA.MX

abril 3, 2026

Breaking News

TA416 vinculado a China apunta a gobiernos europeos con phishing basado en PlugX y OAuth – CYBERDEFENSA.MX

El phishing de códigos de dispositivos afecta a más de 340 organizaciones de Microsoft 365 en cinco países a través del abuso de OAuth

OAuth Trap, EDR Killer, Signal Phishing, Zombie ZIP, AI Platform Hack & More – CYBERDEFENSA.MX

Microsoft advierte que el abuso de redireccionamiento de OAuth entrega malware a objetivos gubernamentales – CYBERDEFENSA.MX

BKA identifica a los líderes REvil detrás de 130 ataques de ransomware alemanes – CYBERDEFENSA.MX

Hack de deriva por valor de 285 millones de dólares se remonta a una operación de ingeniería social de seis meses en la RPDC – CYBERDEFENSA.MX

Fortinet parchea CVE-2026-35616 explotado activamente en FortiClient EMS – CYBERDEFENSA.MX

36 paquetes npm maliciosos explotaron Redis y PostgreSQL para implementar implantes persistentes – CYBERDEFENSA.MX

Wyden advierte al jefe del Seguro Social: la base de datos de votantes de Trump es una «descarada supresión de votantes»

TA416 vinculado a China apunta a gobiernos europeos con phishing basado en PlugX y OAuth – CYBERDEFENSA.MX

La propuesta de presupuesto de Trump recortaría cientos de millones más de CISA

Microsoft detalla shells web PHP controlados por cookies que persisten a través de Cron en servidores Linux – CYBERDEFENSA.MX

Por qué el riesgo de terceros es la mayor brecha en la postura de seguridad de sus clientes – CYBERDEFENSA.MX

UNC1069 La ingeniería social del mantenedor de Axios provocó un ataque a la cadena de suministro de npm – CYBERDEFENSA.MX

Or Check Our Popuplar Categories...

Tag Archives: OAuth