Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

Una operación policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompañante que esclavizó a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala.

«SocksEscort infectó los enrutadores de Internet domésticos y de pequeñas empresas con malware», dijo el Departamento de Justicia de EE. UU. (DoJ) dicho. «El malware permitió a SocksEscort dirigir el tráfico de Internet a través de los enrutadores infectados. SocksEscort vendió este acceso a sus clientes».

CalcetinesEscort («socksescort[.]com») habría ofrecido vender acceso a alrededor de 369.000 direcciones IP diferentes en 163 países desde el verano de 2020, y el servicio enumeraba casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en los EE. UU.

En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer «IP residenciales estáticas con ancho de banda ilimitado» y que pueden evitar las listas de bloqueo de spam. Anunciaba más de 35.900 proxies de 102 países, y un conjunto de 30 proxies costaba 15 dólares al mes. Un paquete para 5.000 representantes costaba 200 dólares al mes.

El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tráfico de Internet a través de dispositivos comprometidos sin el conocimiento de la víctima, ofreciéndoles una forma de mezclarse y dificultar la diferenciación del tráfico malicioso de la actividad legítima al ocultar sus verdaderas direcciones IP y ubicaciones.

Algunas de las víctimas que fueron defraudadas como parte de esquemas llevados a cabo utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que vivía en Nueva York y fue defraudado con $1 millón en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 dólares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 dólares.

En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en código es Operación Relámpago, involucró a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, los Países Bajos, Rumania y los EE. UU. El ejercicio de interrupción resultó en la eliminación de 34 dominios y 23 servidores ubicados en siete países. Se han congelado un total de 3,5 millones de dólares en criptomonedas.

«Estos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribución de material de abuso sexual infantil (CSAM)», Europol dicho. «Los dispositivos comprometidos fueron infectados a través de una vulnerabilidad en los módems residenciales de una marca específica».

«Para acceder al servicio de proxy, los clientes tenían que utilizar una plataforma de pago que permitía comprar el servicio de forma anónima utilizando criptomonedas. Se estima que esta plataforma de pago recibió más de 5 millones de euros de los clientes del servicio de proxy».

SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados públicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que está activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.

Además de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon está equipado para establecer un shell remoto para un servidor controlado por un atacante y actuar como un cargador descargando y ejecutando cargas útiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.

«La gran mayoría de los dispositivos observados infectados con el malware AVrecon son enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) infectados mediante vulnerabilidades críticas como la ejecución remota de código (RCE) y la inyección de comandos», dijo la Oficina Federal de Investigaciones de EE. UU. dicho en una alerta. «El malware AVrecon está escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM».

Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualización incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que está codificada para ejecutarla al iniciar el dispositivo. El firmware modificado también desactiva las funciones de actualización y actualización del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.

«Esta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta únicamente por dispositivos periféricos comprometidos», dijo el equipo de Black Lotus Labs. dicho. «Durante los últimos años, SocksEscort mantuvo un tamaño promedio de aproximadamente 20.000 víctimas distintas por semana, con comunicaciones enrutadas a través de un promedio de 15 nodos de comando y control (C2)».

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

Autoridades de 14 países cerrar LeakBaseconfiscó sus dominios y arrestó a varias personas presuntamente involucradas en el mercado del delito cibernético por datos robados y herramientas de piratería, dijo el miércoles el Departamento de Justicia.

LeakBase tenía más de 142.000 miembros, lo que lo sitúa entre los foros para ciberdelincuentes más grandes del mundo. El sitio, que estaba disponible en la web abierta, contenía un archivo masivo de bases de datos pirateadas que incluía cientos de millones de credenciales de cuentas, dijeron los funcionarios.

Según los funcionarios, las bases de datos robadas, que incluían datos de corporaciones e individuos estadounidenses, estaban vinculadas a muchos ataques de alto perfil. Los datos incautados por las autoridades revelaron un tesoro de números de tarjetas de crédito y débito, información de rutas y cuentas bancarias, credenciales para apropiaciones de cuentas, registros comerciales confidenciales e información de identificación personal.

«El FBI, Europol y agencias de aplicación de la ley de todo el mundo ejecutaron un desmantelamiento de LeakBase, una de las plataformas cibercriminales en línea más grandes, confiscando cuentas de usuarios, publicaciones, detalles de crédito, mensajes privados y registros de IP con fines probatorios», dijo Brett Leatherman, subdirector de la división cibernética del FBI, en un comunicado.

Las agencias policiales involucradas en la operación de derribo coordinada globalmente, que comenzó el martes, ejecutaron órdenes de registro, realizaron arrestos y entrevistaron a personas en Estados Unidos, Australia, Bélgica, Polonia, Portugal, Rumania, España y el Reino Unido.

Las autoridades no nombraron de inmediato a ningún sospechoso, pero parte de la actividad ocurrió en San Diego y Provo, Utah. Los funcionarios dijeron que las oficinas de campo del FBI en San Diego y Salt Lake City, que está investigando el caso, participaron en la operación a nivel nacional. El Departamento de Policía de Provo también estuvo involucrado.

“Ocultarse detrás de una pantalla no protege a los ciberdelincuentes de la responsabilidad”, afirmó en un comunicado Robert Bohls, agente especial a cargo de la oficina de campo del FBI en Salt Lake City.

Las autoridades identificaron a varios usuarios que creían que estaban operando de forma anónima al apoderarse de la base de datos del foro.

«Esta operación internacional demuestra la fuerza de nuestras alianzas globales y nuestro compromiso compartido para alterar las plataformas que facilitan el robo de datos y la victimización de personas y organizaciones inocentes en todo el mundo», añadió Bohls. «Juntos, continuaremos identificando, desmantelando y responsabilizando a quienes buscan sacar provecho del cibercrimen, sin importar dónde operen».

Europol, que organizó la operación coordinada en La Haya, describió a LeakBase como “uneje central en el ecosistema del cibercrimen» que se especializaba en bases de datos filtradas y registros de ladrones. El sitio en inglés, que ha estado activo desde 2021, contenía más de 32.000 publicaciones y más de 215.000 mensajes privados.

Las autoridades participaron colectivamente en alrededor de 100 acciones de cumplimiento a nivel mundial y tomaron medidas contra 37 de los usuarios más activos de la plataforma el martes, según Europol.

La fase de interrupción técnica comenzó el miércoles y el El sitio ahora muestra una página de incautación.. Funcionarios de Canadá, Alemania, Grecia, Kosovo, Malasia y Países Bajos también apoyan la investigación.

«Junto con nuestros socios, estamos enviando el mensaje de que ningún delincuente es verdaderamente anónimo en línea y eliminando un punto fácil de acceso a información robada sobre empresas e individuos estadounidenses», dijo Leatherman. «El FBI seguirá defendiendo la patria desmantelando los servicios clave que utilizan los ciberdelincuentes para facilitar sus ataques».

El actor de amenazas detrás de la campaña asistida por inteligencia artificial (IA) recientemente revelada dirigida a los dispositivos Fortinet FortiGate aprovechó una plataforma de prueba de seguridad nativa de IA de código abierto llamada CyberStrikeAI para ejecutar los ataques.

Los nuevos hallazgos provienen del equipo Cymru, que detectó su uso tras un análisis de la dirección IP («212.11.64[.]250») que fue utilizado por el presunto actor de amenazas de habla rusa para realizar escaneos masivos automatizados en busca de dispositivos vulnerables.

CyberStrikeAI es una «herramienta de seguridad ofensiva (OST) de inteligencia artificial (IA) de código abierto desarrollada por un desarrollador con sede en China que consideramos que tiene algunos vínculos con el gobierno chino», dijo el investigador de seguridad Will Thomas (alias @BushidoToken) dicho.

Los detalles de la actividad impulsada por la IA salieron a la luz el mes pasado cuando Amazon Threat Intelligence dijo que detectó que un atacante desconocido apuntaba sistemáticamente a dispositivos FortiGate utilizando servicios de inteligencia artificial (IA) generativa como Anthropic Claude y DeepSeek, comprometiendo más de 600 dispositivos en 55 países.

Según el descripción En su repositorio de GitHub, CyberStrikeAI está construido en Go e integra más de 100 herramientas de seguridad para permitir el descubrimiento de vulnerabilidades, el análisis de la cadena de ataques, la recuperación de conocimientos y la visualización de resultados. Lo mantiene un desarrollador chino que utiliza el alias en línea Ed1s0nZ.

Team Cymru dijo que observó 21 direcciones IP únicas ejecutando CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, con servidores alojados principalmente en China, Singapur y Hong Kong. Se han detectado servidores adicionales relacionados con la herramienta en EE. UU., Japón y Suiza.

La cuenta Ed1s0nZ, además de albergar CyberStrikeAI, ha publicado varias otras herramientas que demuestran su interés en la explotación y el jailbreak de los modelos de IA.

• herramienta de marca de agua, para agregar marcas de agua digitales invisibles a los documentos.
• banana_blackmail, un ransomware basado en Golang,
• PrivHunterAI, una herramienta basada en Golang que utiliza modelos Kimi, DeepSeek y GPT para detectar vulnerabilidades de escalada de privilegios.
• ChatGPTJailbreak, que contiene un archivo README.md con indicaciones para hacer jailbreak a OpenAI ChatGPT engañándolo para que ingrese al modo Do Anything Now (DAN) o pidiéndole que actúe como ChatGPT con el modo de desarrollador habilitado.
• InfiltrateX, un escáner basado en Golang para detectar vulnerabilidades de escalada de privilegios.
• VigilantEye, una herramienta basada en Golang que monitorea la divulgación de información confidencial, como números de teléfono y números de tarjetas de identificación, en bases de datos. Está configurado para enviar una alerta a través de un bot de WeChat Work si se detecta una posible violación de datos.

«Además, las actividades de Ed1s0nZ en GitHub indican que interactúan con organizaciones que apoyan operaciones cibernéticas potencialmente patrocinadas por el gobierno chino», dijo Thomas. «Esto incluye empresas del sector privado chino que tienen vínculos conocidos con el Ministerio de Seguridad del Estado (MSS) chino».

Una de esas empresas que el desarrollador tiene interactuado con es Conocidosec 404un proveedor de seguridad chino que sufrió una fuga importante de más de 12.000 documentos internos a finales del año pasado, exponiendo los datos de los empleados de la empresa, la clientela gubernamental, las herramientas de piratería, grandes volúmenes de datos robados, como registros de llamadas de Corea del Sur e información relacionada con las organizaciones de infraestructura crítica de Taiwán, y el funcionamiento interno de las operaciones cibernéticas en curso dirigidas a otros países.

«Aparentemente, KnownSec parecía ser simplemente otra empresa de seguridad, pero esto es sólo una verdad a medias», DomainTools anotado en un análisis publicado en enero, describiéndolo como un «contratista cibernético alineado con el estado» capaz de apoyar la seguridad nacional, la inteligencia y los objetivos militares de China.

«En realidad, […] tiene una organización en la sombra que trabaja para el EPL, el MSS y los órganos del estado de seguridad chino. Esta filtración expone a una empresa que opera mucho más allá del papel de un proveedor típico de ciberseguridad. Herramientas como ZoomEye y Critical Infrastructure Target Library brindan a China un sistema de reconocimiento global que cataloga millones de IP, dominios y organizaciones extranjeras mapeadas por sector, geografía y valor estratégico».

También se ha observado que Ed1s0nZ realiza modificaciones activas en un archivo README.md ubicado en un repositorio del mismo nombre. eliminando referencias a ellos haber sido honrados con el Premio de Contribución de Nivel 2 a la Base de Datos Nacional de Vulnerabilidad de Seguridad de la Información de China (CNNVD). El desarrollador también ha afirmado que «todo lo que se comparte aquí es puramente para investigación y aprendizaje».

De acuerdo a investigación Publicado por Bitsight el mes pasado, China mantiene dos bases de datos de vulnerabilidades diferentes: CNNVD y la Base de datos nacional de vulnerabilidades de China (CNVD). Mientras que la CNNVD está supervisada por el Ministerio de Seguridad del Estado, la CNVD está controlada por la CNCERT. Los hallazgos anteriores de Recorded Future han reveló que CNNVD tarda más en publicar vulnerabilidades con puntuaciones CVSS más altas que vulnerabilidades con puntuaciones más bajas.

«El reciente intento del desarrollador de eliminar las referencias al CNNVD de su perfil de GitHub apunta a un esfuerzo activo para ocultar estos vínculos estatales, probablemente para proteger la viabilidad operativa de la herramienta a medida que crece su popularidad», dijo Thomas. «La adopción de CyberStrikeAI está a punto de acelerarse, lo que representa una evolución preocupante en la proliferación de herramientas de seguridad ofensivas mejoradas por IA».