Google el jueves anunciado un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de un mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado que requiere que todas las aplicaciones de Android estén registradas por desarrolladores verificados para instalarse en dispositivos Android certificados. La medida, añadió, se hizo para detectar a los malos actores más rápidamente y evitar que distribuyan malware.

Esto también incluye escenarios potenciales en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que permitan desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

Sin embargo, el requisitos de registro obligatorios ha sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, quienes dicen que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre privacidad y vigilancia en ausencia de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de sofocar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados con un proceso único que requiere que sigan los pasos a continuación:

• Habilite el modo desarrollador en la configuración del sistema.
• Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
• Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador controle las acciones que está realizando un usuario.
• Espere un período de 24 horas y confirme que realmente están realizando este cambio con autenticación biométrica o PIN del dispositivo.
• Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o por un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente del ecosistema Android, Sameer Samat. citado diciendo a Ars Técnica. «En ese tiempo, probablemente puedas descubrir que tu ser querido no está realmente encarcelado o que tu cuenta bancaria no está realmente bajo ataque».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una tarifa de registro».

Vale la pena señalar que el proceso antes mencionado no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como el flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el mes siguiente.

«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes caminos para satisfacer sus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia con el objetivo de realizar apropiación de dispositivos (DTO) y fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android. Incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.

«Speagle está diseñado para recolectar subrepticiamente información confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre el cliente y el servidor», investigadores de Symantec y Carbon Black. dicho en un informe publicado hoy.

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. El abuso de este software en ataques del mundo real se ha registrado públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una actualización maliciosa impulsada por el software.

Más tarde, en agosto, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee, que se encontró usando una versión troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de mención es que está diseñado para recopilar y filtrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.

«Esto indica un objetivo deliberado, posiblemente para facilitar la recopilación de inteligencia o el espionaje industrial», dijeron los equipos de caza de amenazas propiedad de Broadcom. «En la actualidad, creemos que las hipótesis más probables son que se trata del trabajo de un actor patrocinado por el Estado o de un contratista privado disponible para contratar».

Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que pudo haber sido realizado a través de un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados.

Además, merece una mención el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard legítimo para comando y control (C2) y como punto de exfiltración de datos, sino que también invoca un controlador asociado con el programa para eliminarse del host comprometido.

El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a recopilar y transmitir datos desde la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletar.

Es más, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar/desactivar ciertos tipos de recopilación de datos, así como buscar archivos relacionados con misiles balísticos chinos como Dongfeng-27 (también conocido como DF-27).

«Speagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración», dijeron los investigadores. «Sin duda, su desarrollador se dio cuenta de ataques anteriores a la cadena de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo».

Un nuevo análisis de los asesinos de detección y respuesta de puntos finales (EDR) ha revelado que 54 de ellos aprovechan una técnica conocida como trae tu propio controlador vulnerable (BYOVD) al abusar de un total de 34 controladores vulnerables.

Los programas asesinos de EDR han sido una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detección.

«Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), frecuentemente producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación pase desapercibida de manera confiable puede llevar mucho tiempo», dijo el investigador de ESET Jakub Souček. dicho en un informe compartido con The Hacker News.

«Más importante aún, los cifradores son inherentemente muy ruidosos (ya que inherentemente necesitan modificar una gran cantidad de archivos en un período corto); hacer que dicho malware no sea detectado es bastante desafiante».

Los asesinos de EDR actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los casilleros, manteniendo así estos últimos simples, estables y fáciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los módulos de ransomware y terminación EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.

La mayoría de los asesinos de EDR dependen de conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.

«El objetivo de un Ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Anillo 0″, Bitdefender explica. «En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, ‘trae’ un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida».

Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza del conductor de Microsoft para evadir las defensas, aprovechando el hecho de que el conductor vulnerable es legítimo y está firmado.

Los asesinos de EDR basados ​​en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:

• Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
• Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
• Los ciberdelincuentes comercializan este tipo de herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller también conocido como БафометABYSSWORKER y CardSpaceKiller)

ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que determinadas variantes combinan secuencias de comandos con el modo seguro de Windows.

«Dado que el modo seguro carga sólo un subconjunto mínimo del sistema operativo y las soluciones de seguridad normalmente no están incluidas, el malware tiene una mayor probabilidad de desactivar la protección», señaló la compañía. «Al mismo tiempo, esta actividad es muy ruidosa, ya que requiere un reinicio, lo cual es arriesgado y poco confiable en entornos desconocidos. Por lo tanto, rara vez se ve en la naturaleza».

La tercera categoría de asesinos de EDR son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para finalizar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar al de «coma».

«Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados no sean detectados», dijo ESET. «Más bien, todas las técnicas sofisticadas de evasión de defensa se han trasladado a los componentes del modo de usuario de los asesinos EDR. Esta tendencia es más visible en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección».

Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los controladores comúnmente utilizados indebidamente es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de iniciar el cifrador, una falla en esta etapa significa que el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.

La implicación es que las organizaciones necesitan defensas en capas y estrategias de detección para monitorear, marcar, contener y remediar proactivamente la amenaza en cada etapa del ciclo de vida del ataque.

«Los asesinos de EDR perduran porque son baratos, consistentes y están desacoplados del cifrador: una opción perfecta tanto para los desarrolladores de cifrados, que no necesitan concentrarse en hacer que sus cifrados sean indetectables, como para los afiliados, que poseen una utilidad poderosa y fácil de usar para interrumpir las defensas antes del cifrado», dijo ESET.

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
• TvTApp (com.tvtapps.live) – Carga útil de Perseo
• PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

• notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• parada_vncpara detener la sesión remota.
• inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
• parada_hvncpara detener la sesión remota.
• enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
• claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
• acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
• camisónpara silenciar el audio.
• clic_coordpara realizar un toque en coordenadas de pantalla específicas.
• instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
• inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

Un nuevo kit de exploits para dispositivos Apple iOS diseñado para robar datos confidenciales está siendo utilizado por múltiples actores de amenazas desde al menos noviembre de 2025, según informes de Grupo de inteligencia sobre amenazas de Google (GTIG), iVerificary Estar atento.

Según GTIG, múltiples proveedores de vigilancia comercial y presuntos actores patrocinados por el estado han utilizado el kit de explotación de cadena completa, cuyo nombre en código Espada oscuraen distintas campañas dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.

El descubrimiento de DarkSword lo convierte en el segundo kit de exploits para iOS, después de Coruña, descubierto en el lapso de un mes. El kit está diseñado para iPhones que ejecutan versiones de iOS entre iOS 18.4 y 18.7, y se dice que fue implementado por un presunto grupo de espionaje ruso llamado UNC6353 en ataques dirigidos a usuarios ucranianos.

Vale la pena señalar que UNC6353 también se ha relacionado con el uso de Coruna en ataques dirigidos a ucranianos mediante la inyección del marco JavaScript en sitios web comprometidos.

«DarkSword tiene como objetivo extraer un amplio conjunto de información personal, incluidas credenciales del dispositivo y apunta específicamente a una gran cantidad de aplicaciones de billeteras criptográficas, insinuando un actor de amenazas con motivación financiera», dijo Lookout. «En particular, DarkSword parece adoptar un enfoque de ‘atacar y huir’ al recopilar y exfiltrar los datos específicos del dispositivo en segundos o como máximo minutos, seguido de la limpieza».

Las cadenas de exploits como Coruna y DarkSword están diseñadas para facilitar el acceso completo al dispositivo de la víctima con poca o ninguna interacción por parte del usuario. Los hallazgos muestran una vez más que existe un mercado de segunda mano para exploits que permite a grupos de amenazas con recursos limitados y objetivos no necesariamente alineados con el ciberespionaje adquirir «exploits de primera línea» y utilizarlos para infectar dispositivos móviles.

«El uso de DarkSword y Coruña por parte de una variedad de actores demuestra el riesgo continuo de proliferación de exploits entre actores de diferentes geografías y motivaciones», dijo GTIG.

La cadena de exploits vinculada al kit recién descubierto utiliza seis vulnerabilidades diferentes para implementar tres cargas útiles, de las cuales CVE-2026-20700, CVE-2025-43529 y CVE-2025-14174 fueron explotadas como de día cero, antes de que Apple las parcheara:

• CVE-2025-31277 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en la versión 18.6)
• CVE-2026-20700 – Omisión del código de autenticación de puntero (PAC) en modo usuario en dyld (parcheado en la versión 26.3)
• CVE-2025-43529 – Vulnerabilidad de corrupción de memoria en JavaScriptCore (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-14174 – Vulnerabilidad de corrupción de memoria en ANGLE (parcheada en las versiones 18.7.3 y 26.2)
• CVE-2025-43510 – Vulnerabilidad de gestión de memoria en el kernel de iOS (Parchado en las versiones 18.7.2 y 26.1)
• CVE-2025-43520 – Vulnerabilidad de corrupción de memoria en el kernel de iOS (parcheado en las versiones 18.7.2 y 26.1)

Lookout dijo que descubrió DarkSword después de un análisis de la infraestructura maliciosa asociada con UNC6353, identificando que uno de los dominios comprometidos albergaba un elemento iFrame malicioso que es responsable de cargar un JavaScript en los dispositivos que visitan el sitio y determinar si el objetivo debe ser enrutado a la cadena de exploits de iOS. Actualmente se desconoce el método exacto mediante el cual se infectan los sitios web.

Lo que hizo que esto fuera notable fue que JavaScript buscaba específicamente dispositivos iOS con versiones entre 18.4 y 18.6.2, a diferencia de Coruña, que apuntaba a versiones anteriores de iOS desde 13.0 hasta 17.2.1.

«DarkSword es una cadena completa de exploits y un ladrón de información escrito en JavaScript», explicó Lookout. «Aprovecha múltiples vulnerabilidades para establecer una ejecución de código privilegiada para acceder a información confidencial y extraerla del dispositivo».

Como es el caso de Coruña, la cadena de ataque comienza cuando un usuario visita a través de Safari una página web que incrusta el iFrame que contiene JavaScript. Una vez lanzado, DarkSword es capaz de romper los límites del entorno limitado de WebContent (también conocido como proceso de renderizado de Safari) y aprovechar WebGPU para inyectar en reproducción multimediaun demonio del sistema introducido por Apple para manejar funciones de reproducción multimedia.

Esto, a su vez, permite que el malware minero de datos, conocido como GHOSTBLADE, obtenga acceso a procesos privilegiados y partes restringidas del sistema de archivos. Después de una escalada de privilegios exitosa, se utiliza un módulo orquestador para cargar componentes adicionales que están diseñados para recopilar datos confidenciales, así como también inyectar una carga útil de exfiltración en Springboard para desviar la información preparada a un servidor externo a través de HTTP(S).

Esto incluye correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de navegación de Safari y cookies, billetera de criptomonedas y datos de intercambio, nombres de usuario, contraseñas, fotos, historial de llamadas, configuración y contraseñas de Wi-Fi WiFi, historial de ubicaciones, calendario, información celular y SIM, lista de aplicaciones instaladas, datos de aplicaciones de Apple como Notas y Salud, e historiales de mensajes de aplicaciones como Telegram y WhatsApp.

iVerify, en su propio análisis de DarkSword, dijo que la cadena de exploits convierte en arma las vulnerabilidades JavaScriptCore JIT en el proceso de renderizado de Safari (CVE-2025-31277 o CVE-2025-43529) basado en la versión de iOS para lograr la ejecución remota de código a través de CVE-2026-20700, y luego escapar del sandbox a través del proceso de GPU aprovechando CVE-2025-14174. y CVE-2025-43510.

En la etapa final, se aprovecha una falla de escalada de privilegios del kernel (CVE-2025-43520) para obtener capacidades arbitrarias de lectura/escritura y llamadas a funciones arbitrarias dentro de mediaplaybackd y, en última instancia, ejecutar el código JavaScript inyectado.

«Este malware es muy sofisticado y parece ser una plataforma diseñada profesionalmente que permite un rápido desarrollo de módulos mediante el acceso a un lenguaje de programación de alto nivel», dijo Lookout. «Este paso adicional muestra un esfuerzo significativo puesto en el desarrollo de este malware pensando en la mantenibilidad, el desarrollo a largo plazo y la extensibilidad».

Se ha descubierto que un análisis más detallado de los archivos JavaScript utilizados en DarkSword contiene referencias a las versiones 17.4.1 y 17.5.1 de iOS, lo que indica que el kit fue portado desde una versión anterior dirigida a versiones anteriores del sistema operativo.

Otro aspecto que distingue a DarkSword de otros programas espía es que no está diseñado para vigilancia persistente ni recopilación de datos. En otras palabras, una vez que se completa la filtración de datos, el malware toma medidas para limpiar los archivos preparados y sale. El objetivo final, señaló Lookout, es minimizar el tiempo de permanencia y filtrar los datos que identifica lo más rápido posible.

Se sabe muy poco sobre UNC6353, aparte de su uso de Coruña y DarkSword a través de ataques de abrevadero en sitios web ucranianos comprometidos. Esto indica que el grupo de hackers probablemente esté bien financiado para proteger cadenas de exploits de iOS de alta calidad que probablemente estén desarrolladas para vigilancia comercial. Se considera que UNC6353 es un actor de amenazas técnicamente menos sofisticado que opera con motivos alineados con los requisitos de inteligencia rusos.

«Dado que tanto Coruña como DarkSword tienen capacidades para el robo de criptomonedas y la recopilación de inteligencia, debemos considerar la posibilidad de que UNC6353 sea un grupo privado respaldado por Rusia o un actor criminal de amenazas», dijo Lookout.

«La total falta de ofuscación en el código DarkSword, la falta de ofuscación en el HTML para los iframes y el hecho de que DarkSword File Receiver esté diseñado de manera tan simple y obviamente tenga un nombre nos llevan a creer que UNC6353 puede no tener acceso a recursos de ingeniería sólidos o, alternativamente, no está preocupado por tomar las medidas OPSEC apropiadas».

El uso de DarkSword también se ha relacionado con otros dos actores de amenazas:

• UNC6748que se dirigió a usuarios de Arabia Saudita en noviembre de 2025 utilizando un sitio web con temática de Snapchat, snapshare[.]chat, que aprovechó la cadena de exploits para entregar GHOSTKNIFE, una puerta trasera de JavaScript capaz de robar información.
• Actividad asociada con un proveedor turco de vigilancia comercial Defensa PARS que utilizó DarkSword en noviembre de 2025 para entregar GHOSTSABER, una puerta trasera de JavaScript que se comunica con un servidor externo para facilitar la enumeración de dispositivos y cuentas, el listado de archivos, la filtración de datos y la ejecución de código JavaScript arbitrario.

Google dijo que el uso observado de DarkSword según UNC6353 en diciembre de 2025 solo admitía versiones de iOS de 18.4 a 18.6, mientras que el atribuido a UNC6748 y PARS Defense también apuntaba a dispositivos iOS que ejecutaban la versión 18.7.

«Por segunda vez en un mes, los actores de amenazas han empleado ataques de pozo de agua para atacar a los usuarios de iPhone», dijo iVerify. «En particular, ninguno de estos ataques fue dirigido individualmente. Los ataques combinados ahora probablemente afecten a cientos de millones de dispositivos sin parches que ejecutan versiones de iOS de 13 a 18.6.2».

«En ambos casos, las herramientas fueron descubiertas debido a importantes fallos de seguridad operativa (OPSEC) y a un descuido en el despliegue de las capacidades ofensivas de iOS. Estos acontecimientos recientes suscitan varias preguntas clave: ¿Qué tan grande y bien equipado está el mercado para los exploits de días 0 y n de iOS para dispositivos iOS? ¿Qué tan accesibles son capacidades tan poderosas para actores con motivación financiera?»

Los ejecutivos de las principales empresas de robótica estadounidenses pidieron al Congreso dólares federales, nueva legislación y un campo regulatorio más simple, argumentando que el apoyo es necesario para adaptarse a la era de la IA y competir con sus bien aceitados competidores chinos financiados por el estado.

El sector de la robótica estadounidense, cuyo valor se estima en 50.000 millones de dólares, incluye empresas de fama mundial como Boston Dynamics. Se prevé que la industria venda millones de robots en todo el país durante los próximos cuatro años.

Según un 2025 informe Según la Federación Internacional de Robótica, el mercado ha vendido e instalado una media de 500.000 robots entre 2020 y 2024. Solo China representó el 54% de esas instalaciones, frente a solo el 9% de Estados Unidos.

Matthew Malchano, vicepresidente de software de Boston Dynamics, dijo a los legisladores en la audiencia del subcomité cibernético de Seguridad Nacional de la Cámara de Representantes el martes que la robótica representa la infraestructura física necesaria para respaldar los esfuerzos del país por dominar la carrera global de IA, con robots, drones y otras máquinas que integrarán más completamente los sistemas de IA en los próximos años.

Señaló a empresas chinas como Unitree, que están capturando participación de mercado con departamentos de policía y universidades en todo Estados Unidos, a pesar de tener vínculos con el ejército chino y vulnerabilidades de ciberseguridad. como un exploit para gusanos descubierto en 2025 que permitiría a un atacante apoderarse de flotas de robots Unitree.

Malchano dijo que Unitree es una de las «docenas» de empresas chinas respaldadas por el plan nacional de robótica e inteligencia artificial de China, que «prevé transformar prácticamente todas las industrias importantes de China mediante la integración de robots impulsados ​​por inteligencia artificial» a través de financiación y políticas favorables.

Presionó a los legisladores estadounidenses para que adoptaran una estrategia nacional similar y se mostró perplejo ante la aprobación de la Ley de la Comisión Nacional de Robóticapatrocinado por el representante Jay Olbernolte, republicano por California, que desarrollaría una comisión bipartidista para impulsarlo.

Max Fenkell, jefe global de políticas y relaciones gubernamentales de ScaleAI, dijo que si bien Estados Unidos está ganando la carrera de la IA en las métricas elegidas (calidad del modelo y chips), está «perdiendo» en datos e implementación.

A diferencia de los grandes modelos de lenguaje, que descargan datos de entrenamiento directamente desde Internet, los sistemas de inteligencia artificial para robots requerirán datos de entrenamiento únicos recopilados, categorizados y etiquetados a través de miles de horas de pruebas personalizadas.

Si bien China ha seguido una estrategia de capacitación “industrializada” junto con la industria, financiando tramos de almacenes de kilómetros de largo dedicados a recopilar datos de capacitación para empresas chinas, Estados Unidos no tiene una estrategia similar.

«Estamos viendo dos carreras diferentes y me temo que en este momento Estados Unidos puede estar ganando la carrera equivocada», dijo.

Los ejecutivos en la audiencia fueron unánimes al sugerir que el Congreso impida que las agencias federales estadounidenses compren robots fabricados en China y cree un estándar regulatorio federal único para la industria, mientras que Fenkell y Malchado pidieron que la Agencia de Seguridad de Infraestructura y Ciberseguridad lleve a cabo una revisión de seguridad de los robots fabricados en el extranjero.

En la audiencia, el representante James Walkinshaw, demócrata por Virginia, destacó una larga historia de cooperación bipartidista para ayudar a las empresas estadounidenses a competir contra las empresas chinas subsidiadas por el estado.

«Con una amplia inversión estatal en empresas de tecnología y leyes que reclutan empresas privadas para servir a los intereses del gobierno, la fusión militar-civil de la República Popular China es una grave amenaza para nuestra propia seguridad nacional», dijo Walkinshaw.

Los robots impulsados ​​por IA chocan con la sed de datos de la administración Trump

Mientras los legisladores sopesan cuál es la mejor manera de posicionar a las empresas estadounidenses para competir con China, también deben lidiar con la posibilidad de que los robots impulsados ​​por inteligencia artificial puedan ser pirateados, manipulados o vueltos intencionalmente contra el público.

Los expertos en privacidad y libertades civiles han expresado durante mucho tiempo preocupaciones sobre el uso de robots en áreas como la policía, en ciertos contextos militares y contra ciudadanos estadounidenses.

Las solicitudes de más ayuda de Washington se producen al mismo tiempo que el gobierno de Estados Unidos, incluido el ejército y el Departamento de Seguridad Nacional, se ha vuelto notablemente más agresivo bajo la administración Trump en el seguimiento de datos sobre estadounidenses y el uso de la fuerza contra ciudadanos estadounidenses involucrados en operaciones de inmigración.

Empresas como Boston Dynamics venden sus robots a instalaciones de fabricación, fabricantes de semiconductores, plantas de energía, socorristas y el Servicio Secreto de Estados Unidos. Pero también los venden a los departamentos de policía y al ejército estadounidense, y una primera versión del modelo cuadrúpedo viral «BigDog» de la compañía fue creada a través de la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa.

El año pasado, Inmigración y Control de Aduanas gastado 78.000 dólares por un robot canadiense que podría realizar tareas similares a las de Spot, otro modelo de robot de Boston Dynamics, incluido el despliegue de bombas de humo, según Governing.

El mes pasado, el DHS finalizó un contrato de mil millones de dólares con Palantir para expandir el análisis de datos de IA en todo el departamento para apoyar la aplicación de la ley de inmigración. Sólo la Guardia Costera es invertir 350 millones de dólares en robótica y sistemas autónomos para 2028.

Los demócratas del Congreso actualmente están bloqueando la financiación del DHS por sus políticas de inmigración y recopilación de datos.

Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

• Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
• Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
• Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
• Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
• Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
• ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
• Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

El director nacional cibernético, Sean Cairncross, dijo el martes que la administración Trump no aspira a reclutar al sector privado para realizar operaciones cibernéticas ofensivas, sino a ayudar al gobierno manteniéndolo al tanto de las amenazas que enfrenta.

La estrategia cibernética nacional recientemente publicada habla de incentivar a las empresas para que interrumpan las redes de los adversarios.

«No me refiero al sector privado, la industria o las empresas que participan en una campaña ciberofensiva», dijo Cairncross en un evento organizado por el Instituto McCrary de la Universidad de Auburn. “A lo que me refiero es a las capacidades técnicas, la capacidad de nuestro sector privado para iluminar el campo de batalla a partir de lo que están viendo, para informar y compartir información para que el gobierno de los EE.UU. [U.S. government] puedo responder para adelantarme a las cosas”.

La idea de permitir a las empresas estadounidenses emprender campañas disruptivas u ofensivas contra piratas informáticos malintencionados, o al menos ayudar en las operaciones ofensivas del gobierno estadounidense, ha vuelto a ganar fuerza en algunos círculos republicanos en los últimos años. Algunas empresas han mostrado interés en hacerlo, especialmente si se cambian las leyes para hacerlo más viable.

Esa tendencia coincide con los crecientes llamados de los funcionarios de la administración Trump (y ahora con la publicación de la estrategia de ciberseguridad) para pasar a la ofensiva contra los piratas informáticos, aunque Cairncross enfatizó nuevamente que el pilar de la estrategia para “dar forma al comportamiento del adversario” no se trata solo de llevar a cabo campañas ciberofensivas, sino de utilizar otros mecanismos gubernamentales para presionar a los piratas informáticos, ya sean legales o diplomáticos.

El gobierno puede dar forma al «cálculo de riesgo» «de una manera más ágil» con la ayuda del sector privado, dijo.

Hay una enorme capacidad por parte del sector privado, y ahora tenemos una lanza del gobierno de Estados Unidos… estamos buscando una asociación real”, dijo Cairncross.

Una forma en la que el gobierno estadounidense ha tratado de llevar la lucha a los ciberadversarios son las “operaciones conjuntas secuenciadas” del FBI, utilizadas para degradar sus capacidades. En el mismo evento, el jefe de la división cibernética de la oficina dijo que el sector privado también era clave para esas operaciones.

“Cada una de las operaciones conjuntas secuenciadas que lleva a cabo el FBI para eliminar esa capacidad de la que hablé (de los rusos, de los chinos, de los iraníes y otros) ocurre porque una víctima se presentó y se comprometió con el FBI”, dijo Brett Leatherman.

“Una conclusión para todos aquí es '¿Cuál es su plan de acción en caso de una infracción para involucrar a su oficina local del FBI?'”, preguntó. «Yo diría que hay muy poca responsabilidad al hacerlo, y estamos felices de tener conversaciones con sus abogados externos o internos, pero hay mucho que ganar al hacerlo».

Se ha observado que los actores de amenazas norcoreanos envían phishing para comprometer objetivos y obtener acceso a la aplicación de escritorio KakaoTalk de la víctima para distribuir cargas útiles maliciosas a ciertos contactos.

La actividad ha sido atribuida por la firma surcoreana de inteligencia de amenazas Genians a un grupo de hackers conocido como Konni.

«El acceso inicial se logró a través de un correo electrónico de phishing disfrazado de aviso que nombraba al destinatario como un conferenciante de derechos humanos de Corea del Norte», informó el Centro de Seguridad Genians (GSC). anotado en un análisis.

«Después de que el ataque de phishing tuvo éxito, la víctima ejecutó un archivo LNK malicioso, lo que resultó en una infección con malware de acceso remoto. El malware permaneció oculto y persistente en el terminal de la víctima durante un período prolongado, robando documentos internos e información confidencial».

Se dice que el actor de amenazas permaneció en el host comprometido durante un período prolongado de tiempo, aprovechando el acceso no autorizado para desviar documentos internos y utilizar la aplicación KakaoTalk para propagar selectivamente el malware a contactos específicos.

El ataque se caracteriza por abusar de la confianza asociada con las víctimas comprometidas para engañar y atrapar objetivos adicionales. Esta no es la primera vez que Konni emplea la aplicación de mensajería como vector de distribución. En noviembre de 2025, se descubrió que el grupo de piratas informáticos abusaba de las sesiones iniciadas en la aplicación de chat KakaoTalk para enviar cargas útiles maliciosas a los contactos de las víctimas en forma de un archivo ZIP, al mismo tiempo que iniciaba un borrado remoto de sus dispositivos Android utilizando credenciales de Google robadas.

El punto de partida de la última campaña de ataque es un correo electrónico de phishing que se utiliza como estrategia para engañar a los destinatarios para que abran un archivo ZIP adjunto que contiene un acceso directo de Windows (LNK). Tras la ejecución, el archivo LNK descarga una carga útil de la siguiente etapa desde un servidor externo, establece persistencia mediante tareas programadas y, en última instancia, ejecuta el malware, mientras muestra un documento PDF señuelo al usuario como mecanismo de distracción.

Escrito en AutoIt, el malware descargado es un troyano de acceso remoto (RAT) llamado EndRAT (también conocido como EndClient RAT), que permite al operador controlar remotamente el host comprometido a través de capacidades como administración de archivos, acceso remoto al shell, transferencia de datos y persistencia.

Un análisis más detallado del host infectado ha descubierto la presencia de varios artefactos maliciosos, incluidos scripts AutoIt correspondientes a RftRAT y RemcosRAT, lo que indica que el adversario consideró que la víctima era lo suficientemente valiosa como para eliminar varias familias de RAT para mejorar la resistencia.

Un aspecto importante del ataque es el abuso por parte del actor de amenazas de la aplicación KakaoTalk de la víctima instalada en el sistema infectado para distribuir archivos maliciosos en forma de archivos ZIP a otras personas en su lista de contactos e implementar el mismo malware. Básicamente, esto convierte a las víctimas existentes en intermediarios para futuros ataques.

«Esta campaña se evalúa como una operación de ataque de múltiples etapas que se extiende más allá del simple phishing, combinando persistencia a largo plazo, robo de información y redistribución basada en cuentas», dijo Genians. «El actor seleccionó ciertos contactos de la lista de amigos de la víctima y les envió archivos maliciosos adicionales. Al hacerlo, el atacante usó nombres de archivos disfrazados de materiales que presentaban contenido relacionado con Corea del Norte para inducir a los destinatarios a abrir los archivos».

La campaña de malware GlassWorm se está utilizando para impulsar un ataque continuo que aprovecha los tokens de GitHub robados para inyectar malware en cientos de repositorios de Python.

«El ataque se dirige a proyectos Python, incluidas aplicaciones Django, código de investigación de aprendizaje automático, paneles Streamlit y paquetes PyPI, agregando código ofuscado a archivos como setup.py, main.py y app.py», StepSecurity dicho. «Cualquiera que ejecute pip install desde un repositorio comprometido o clone y ejecute el código activará el malware».

Según la empresa de seguridad de la cadena de suministro de software, las primeras inyecciones se remontan al 8 de marzo de 2026. Los atacantes, al obtener acceso a las cuentas de los desarrolladores, rebase las últimas confirmaciones legítimas en la rama predeterminada de los repositorios de destino con código malicioso y luego forzar los cambios, manteniendo intactos el mensaje, el autor y la fecha del autor de la confirmación original.

Esta nueva rama de la campaña GlassWorm ha recibido el nombre en código ForceMemo. El ataque se desarrolla a través de los siguientes cuatro pasos:

• Comprometer los sistemas de los desarrolladores con el malware GlassWorm a través de extensiones maliciosas de VS Code y Cursor. El malware contiene un componente dedicado a robar secretos, como tokens de GitHub.
• Utilice las credenciales robadas para forzar la implementación de cambios maliciosos en cada repositorio administrado por la cuenta de GitHub violada al cambiar la base del malware ofuscado a archivos Python llamados «setup.py», «main.py» o «app.py».
• La carga útil codificada en Base64, adjunta al final del archivo Python, presenta comprobaciones similares a GlassWorm para determinar si el sistema tiene su configuración regional configurada en ruso. Si es así, omite la ejecución. En todos los demás casos, el malware consulta el Campo de nota de transacción asociado con una billetera Solana («BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC») previamente vinculado a GlassWorm para extraer la URL de carga útil.
• Descargue cargas útiles adicionales del servidor, incluido JavaScript cifrado diseñado para robar criptomonedas y datos.

«La primera transacción en la dirección C2 data del 27 de noviembre de 2025, más de tres meses antes de las primeras inyecciones de repositorio de GitHub el 8 de marzo de 2026», dijo StepSecurity. «La dirección tiene 50 transacciones en total, y el atacante actualiza periódicamente la URL de la carga útil, a veces varias veces al día».

La divulgación se produce cuando Socket marcó una nueva iteración de GlassWorm que técnicamente conserva el mismo oficio principal al tiempo que mejora la capacidad de supervivencia y la evasión al aprovechar extensionPack y extensionDependencies para entregar la carga útil maliciosa mediante un modelo de distribución transitiva.

Además, Aikido Security también atribuyó al autor de GlassWorm una campaña masiva que comprometió más de 151 repositorios de GitHub con código malicioso oculto mediante caracteres Unicode invisibles. Curiosamente, la carga útil decodificada está configurada para recuperar las instrucciones C2 de la misma billetera Solana, lo que indica que el actor de la amenaza ha estado apuntando a los repositorios de GitHub en múltiples oleadas.

El uso de diferentes métodos de entrega y métodos de ofuscación de código, pero la misma infraestructura de Solana, sugiere que ForceMemo es un nuevo vector de entrega mantenido y operado por el actor de amenazas GlassWorm, que ahora ha pasado de comprometer las extensiones de VS Code a una adquisición más amplia de cuentas de GitHub.

«El atacante inyecta malware forzando la rama predeterminada de los repositorios comprometidos», señaló StepSecurity. «Esta técnica reescribe el historial de git, conserva el mensaje de confirmación y el autor originales, y no deja ninguna solicitud de extracción ni rastro de confirmación en la interfaz de usuario de GitHub. Ninguna otra campaña documentada de la cadena de suministro utiliza este método de inyección».