Los investigadores de ciberseguridad han descubierto cinco cajas Rust maliciosas que se hacen pasar por utilidades relacionadas con el tiempo para transmitir datos de archivos .env a los actores de la amenaza.

Los paquetes de Rust, publicados en crates.io, se enumeran a continuación:

• crono_ancla
• dnp3veces
• calibrador_tiempo
• calibradores_de_tiempo
• sincronización de tiempo

Las cajas, según Socket, se hacen pasar por timeapi.io y se publicaron entre finales de febrero y principios de marzo de 2026. Se considera que es el trabajo de un único actor de amenazas basado en el uso de la misma metodología de exfiltración y el dominio similar («timeapis[.]io») para ocultar los datos robados.

«Aunque las cajas se hacen pasar por servicios de hora local, su comportamiento principal es el robo de credenciales y secretos», afirma el investigador de seguridad Kirill Boychenko. dicho. «Intentan recopilar datos confidenciales de entornos de desarrolladores, sobre todo archivos .env, y exfiltrarlos a una infraestructura controlada por actores de amenazas».

Si bien cuatro de los paquetes antes mencionados exhiben capacidades bastante sencillas para filtrar archivos .env, «chrono_anchor» va un paso más allá al implementar ofuscación y cambios operativos para evitar la detección. Las cajas se anunciaron como una forma de calibrar la hora local sin depender del Protocolo de hora de red (NTP).

«Chrono_anchor» incorpora la lógica de exfiltración dentro de un archivo llamado «guard.rs» que se invoca desde una función auxiliar de «sincronización opcional» para evitar levantar sospechas de los desarrolladores. A diferencia de otros programas maliciosos, el código observado en este caso no tiene como objetivo establecer la persistencia en el host a través de un servicio o tarea programada.

En cambio, la caja intenta filtrar repetidamente secretos .env cada vez que el desarrollador de un flujo de trabajo de Integración Continua (CI) llama al código malicioso.

El objetivo de archivos .env no es un accidente, ya que normalmente se usa para contener claves API, tokens y otros secretos, lo que permite a un atacante comprometer a los usuarios intermedios y obtener un acceso más profundo a sus entornos, incluidos servicios en la nube, bases de datos y GitHub y tokens de registro.

Si bien los paquetes se eliminaron de crates.io, se recomienda a los usuarios que los hayan descargado accidentalmente que asuman una posible exfiltración, roten claves y tokens, auditen los trabajos de CI/CD que se ejecutan con credenciales de publicación o implementación y limiten el acceso saliente a la red cuando sea posible.

«Esta campaña muestra que el malware de cadena de suministro de baja complejidad aún puede tener un alto impacto cuando se ejecuta dentro de espacios de trabajo de desarrolladores y trabajos de CI», afirmó Socket. «Priorizar controles que detengan las dependencias maliciosas antes de que se ejecuten».

Un bot impulsado por IA aprovecha las acciones de GitHub

La divulgación se produce tras el descubrimiento de una campaña de ataque automatizado dirigida a canales de CI/CD que abarcan los principales repositorios de código abierto, con un robot impulsado por inteligencia artificial (IA) llamado hackerbot-claw que escanea repositorios públicos en busca de flujos de trabajo explotables de GitHub Actions para recopilar secretos de los desarrolladores.

Entre el 21 y el 28 de febrero de 2026, la cuenta de GitHub, que se describió a sí misma como un agente autónomo de investigación de seguridad, apuntó a no menos de siete repositorios pertenecientes a Microsoft, Datadog y Aqua Security, entre otros.

El ataque se desarrolla de la siguiente manera –

• Escanee repositorios públicos en busca de canalizaciones de CI/CD mal configuradas
• Bifurca el repositorio de destino y prepara una carga útil maliciosa
• Abra una solicitud de extracción con un cambio trivial, como una corrección de error tipográfico, mientras oculta la carga útil principal en el nombre de la rama, el nombre del archivo o un script de CI.
• Active la canalización de CI aprovechando el hecho de que los flujos de trabajo se activan automáticamente en cada solicitud de extracción, lo que hace que el código malicioso se ejecute en el servidor de compilación.
• Robar secretos y tokens de acceso

Uno de los objetivos más destacados del ataque fue el repositorio «aquasecurity/trivy», un popular escáner de seguridad de Aqua Security que busca vulnerabilidades, configuraciones erróneas y secretos conocidos.

«Hackerbot-claw explotó un flujo de trabajo pull_request_target «Para robar un token de acceso personal (PAT)», dijo la empresa de seguridad de la cadena de suministro StepSecurity. «La credencial robada se utilizó luego para hacerse cargo del repositorio».

en un declaración publicado la semana pasada, Itay Shakury de Aqua Security reveló que el atacante aprovechó el flujo de trabajo de GitHub Actions para enviar una versión maliciosa de la extensión Visual Studio Code (VS Code) de Trivy al registro Open VSX para aprovechar los agentes de codificación de IA locales para recopilar y filtrar información confidencial.

Socket, que también investigó el compromiso de la extensión, dicho la lógica inyectada en las versiones 1.8.12 y 1.8.13 ejecuta asistentes de codificación de IA locales, incluidos Claude, Codex, Gemini, GitHub Copilot CLI y Kiro CLI, en modos altamente permisivos, indicándoles que realicen una inspección exhaustiva del sistema, generen un informe de la información descubierta y guarden los resultados en un repositorio de GitHub llamado «posture-report-trivy» utilizando la propia sesión autenticada de GitHub CLI de la víctima.

Desde entonces, Aqua eliminó los artefactos del mercado y revocó el token utilizado para publicarlos. Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente, verifiquen la presencia de repositorios inesperados y roten los secretos del entorno. El artefacto malicioso ha sido eliminado. No se han identificado otros artefactos afectados. El incidente se está rastreando bajo el identificador CVE. CVE-2026-28353.

Vale la pena señalar que para que un sistema se vea afectado por el problema, se deben cumplir los siguientes requisitos previos:

• Se instaló la versión 1.8.12 o 1.8.13 desde Open VSX
• Al menos una de las CLI de codificación de IA específicas se instaló localmente
• La CLI aceptó los indicadores de ejecución permisivos proporcionados.
• El agente pudo acceder a datos confidenciales en el disco.
• La CLI de GitHub se instaló y se autenticó (para la versión 1.8.13)

«La progresión de .12 a .13 parece una iteración», dijo Socket. «El primer mensaje dispersa datos a través de canales aleatorios sin que el atacante tenga una forma confiable de recopilar el resultado. El segundo soluciona ese problema usando la propia cuenta de GitHub de la víctima como un canal de exfiltración limpio, pero sus instrucciones vagas pueden hacer que el agente envíe secretos a un repositorio privado que el atacante no puede ver».

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados», afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho. «En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

«Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «soporte» y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.

Luego, el actor de la amenaza siguió comprobando periódicamente para asegurarse de que el dispositivo fuera accesible, una acción consistente con un corredor de acceso inicial (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.

«La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», dijo SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un acceso más profundo. Después de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento lateral adicional.

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor de amenazas descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware Java, lanzado mediante carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y la sección de registro del SISTEMA a un servidor externo («172.67.196[.]232») sobre el puerto 443.

«Si bien es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la recolección de credenciales y la contención del incidente», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware».

Investigadores de ciberseguridad han descubierto un nuevo malware llamado KadNap esto se dirige principalmente a los enrutadores Asus para incluirlos en una red de bots para enviar tráfico malicioso.

El malware, detectado por primera vez en estado salvaje en agosto de 2025, se ha expandido a más de 14.000 dispositivos infectados, con más del 60% de las víctimas ubicadas en los EE. UU., según el equipo de Black Lotus Labs en Lumen. Se ha detectado un número menor de infecciones en Taiwán, Hong Kong, Rusia, Reino Unido, Australia, Brasil, Francia, Italia y España.

«KadNap emplea una versión personalizada del Kademlia Tabla hash distribuida (DHT), que se utiliza para ocultar la dirección IP de su infraestructura dentro de un sistema peer-to-peer para evadir el monitoreo de red tradicional», la empresa de ciberseguridad dicho en un informe compartido con The Hacker News.

Los nodos comprometidos en la red aprovechan el protocolo DHT para localizar y conectarse con un servidor de comando y control (C2), haciéndolo resistente a los esfuerzos de detección e interrupción.

Una vez que los dispositivos se ven comprometidos con éxito, son comercializados por un servicio proxy llamado Doppelgänger («doppelganger[.]shop»), que se considera un cambio de marca de Faceless, otro servicio proxy asociado con el malware TheMoon. Doppelgänger, según su sitio web, afirma ofrecer servidores proxy residentes en más de 50 países que brindan «100% de anonimato». Se dice que el servicio se lanzó en mayo/junio de 2025.

A pesar del enfoque en los enrutadores Asus, se descubrió que los operadores de KadNap implementan el malware contra un conjunto variado de dispositivos de red perimetrales.

El elemento central del ataque es un script de shell («aic.sh») que se descarga del servidor C2 («212.104.141[.]140»), que es responsable de iniciar el proceso de reclutamiento de la víctima en la red P2P. El archivo crea un trabajo cron para recuperar el script de shell del servidor cada 55 minutos, cambiarle el nombre a «.asusrouter» y ejecutarlo.

Una vez que se establece la persistencia, el script extrae un archivo ELF malicioso, le cambia el nombre a «kad» y lo ejecuta. Esto, a su vez, conduce al despliegue de KadNap. El malware es capaz de apuntar a dispositivos que ejecutan procesadores ARM y MIPS.

KadNap también está diseñado para conectarse a un servidor de protocolo de tiempo de red (NTP) para obtener la hora actual y almacenarla junto con el tiempo de actividad del host. Esta información sirve como base para crear un hash que se utiliza para localizar a otros pares en la red descentralizada para recibir comandos o descargar archivos adicionales.

Los archivos, fwr.sh y /tmp/.sose, contienen funciones para cerrar el puerto 22, el puerto TCP estándar para Secure Shell (SSH), en el dispositivo infectado y extraer una lista de combinaciones de dirección IP:puerto C2 para conectarse.

«En resumen, el uso innovador del protocolo DHT permite al malware establecer canales de comunicación robustos que son difíciles de interrumpir, ocultándose en el ruido del tráfico legítimo entre pares», dijo Lumen.

Un análisis más detallado ha determinado que no todos los dispositivos comprometidos se comunican con todos los servidores C2, lo que indica que la infraestructura se está categorizando según el tipo y modelo de dispositivo.

El equipo de Black Lotus Labs le dijo a The Hacker News que los robots de Doppelgänger están siendo abusados ​​por actores de amenazas en la naturaleza. «Ha habido un problema ya que estos Asus (y otros dispositivos) a veces también están coinfectados con otro malware: es complicado decir quién es exactamente responsable de una actividad maliciosa específica», dijo la compañía.

Se recomienda a los usuarios que ejecutan enrutadores SOHO que mantengan sus dispositivos actualizados, los reinicien periódicamente, cambien las contraseñas predeterminadas, protejan las interfaces de administración y reemplacen los modelos que están al final de su vida útil y ya no son compatibles.

«La botnet KadNap se destaca entre otras que admiten servidores proxy anónimos en el uso de una red peer-to-peer para el control descentralizado», concluyó Lumen. «Su intención es clara: evitar la detección y dificultar la protección de los defensores».

Surge una nueva amenaza para Linux ClipXDaemon

La divulgación se produce cuando Cyble detalló una nueva amenaza para Linux denominada ClipXDaemon que está diseñada para atacar a los usuarios de criptomonedas interceptando y alterando direcciones de billetera copiadas. El malware clipper, entregado a través del marco de post-explotación de Linux llamado ShadowHS, ha sido descrito como un secuestrador autónomo de portapapeles de criptomonedas dirigido a entornos Linux X11.

Organizado íntegramente en la memoria, el malware emplea técnicas sigilosas, como el enmascaramiento de procesos y wayland evitar sesiones, mientras simultáneamente monitorea el portapapeles cada 200 milisegundos y sustituye direcciones de criptomonedas con billeteras controladas por atacantes. Es capaz de apuntar a carteras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON.

La decisión de evitar la ejecución en sesiones de Wayland es deliberada, ya que la arquitectura de seguridad del protocolo del servidor de visualización coloca controles adicionales, como requerir interacción explícita del usuario, antes de que las aplicaciones puedan acceder al contenido del portapapeles. Al deshabilitarse en tales escenarios, el malware tiene como objetivo eliminar el ruido y evitar fallas en el tiempo de ejecución.

«ClipXDaemon se diferencia fundamentalmente del malware tradicional de Linux. No contiene lógica de comando y control (C2), no realiza balizas y no requiere tareas remotas», dijo la compañía. dicho. «En cambio, monetiza a las víctimas directamente secuestrando direcciones de billeteras de criptomonedas copiadas en sesiones X11 y reemplazándolas en tiempo real con direcciones controladas por el atacante».

El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28 Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.

Las dos familias de malware se utilizan desde abril de 2024, ESET dicho en un nuevo informe compartido con The Hacker News.

APT28, también rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor de estado-nación afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, GRU.

El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en código SLIMAGENT que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado públicamente por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.

SLIMAGENT, según la empresa eslovaca de ciberseguridad, tiene sus raíces en XAgent, otro implante utilizado por APT28 en la década de 2010 para facilitar el control remoto y la exfiltración de datos. Esto se basa en similitudes de código descubiertas entre SLIMAGENT y muestras previamente desconocidas implementadas en ataques dirigidos a entidades gubernamentales en dos países europeos ya en 2018.

Se evalúa que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 se originaron en XAgent, y el análisis de ESET descubrió superposiciones en el registro de teclas entre SLIMAGENT y un Muestra de XAgent detectado en estado salvaje a finales de 2014.

«SLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicación, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente», dijo ESET. «El keylogger XAgent también produce registros HTML utilizando el mismo esquema de color».

También se implementa en conexión con SLIMAGENT otra puerta trasera conocida como BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio legítimo de almacenamiento en la nube Icedrive para comando y control (C2).

Comparación de código entre SLIMAGENT (izquierda) y XAgent (derecha)

Un aspecto digno de mención del malware es que utiliza una técnica de ofuscación distintiva conocida como predicado opacoque también se encuentra en XTunnel (también conocido como X-Tunnel), un herramienta de giro y recorrido de red utilizado por APT28 en el hackeo del Comité Nacional Demócrata (DNC) de 2016. La herramienta proporciona un túnel seguro a un servidor C2 externo.

«El uso compartido de esta rara técnica de ofuscación, combinada con su colocación con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL es parte del arsenal personalizado de Sednit», añadió ESET.

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de post-explotación .NET de código abierto que ha sido «fuertemente» modificado para soportar el espionaje a largo plazo y para implementar un nuevo protocolo de red basado en la nube que abusa del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 usaba pCloud (en 2023) y Koofr (en 2024-2025).

«Estas adaptaciones muestran que los desarrolladores de Sednit adquirieron una profunda experiencia en Covenant, un implante cuyo desarrollo oficial cesó en abril de 2021 y es posible que los defensores lo hayan considerado no utilizado», dijo ESET. «Esta sorprendente elección operativa parece haber dado sus frutos: Sednit ha confiado con éxito en Covenant durante varios años, particularmente contra objetivos seleccionados en Ucrania.»

Esta no es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix reveló que APT28 implementó Graphite, una puerta trasera que empleaba OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional e individuos del sector de defensa en Asia occidental.

No se puede controlar cuándo cae la próxima vulnerabilidad crítica. Puede controlar qué parte de su entorno está expuesto cuando lo hace. El problema es que la mayoría de los equipos tienen más exposición a Internet de lo que creen. del intruso El Jefe de Seguridad profundiza en por qué sucede esto y cómo los equipos pueden gestionarlo deliberadamente.

El tiempo de explotación se está reduciendo

Cuanto mayor y menos controlada sea su superficie de ataque, más oportunidades existirán de explotación. Y la ventana para actuar en consecuencia se está reduciendo rápidamente. Para las vulnerabilidades más graves, la divulgación para la explotación puede durar tan solo 24 a 48 horas. Reloj de día cero proyectos cuyo tiempo de explotación será de solo unos minutos para 2028.

No es mucho tiempo si se considera lo que debe suceder antes de implementar un parche: ejecutar análisis, esperar resultados, generar tickets, acordar prioridades, implementar y verificar la solución. Si la divulgación llega fuera de horario, lleva aún más tiempo.

En muchos casos, los sistemas vulnerables no necesitan estar conectados a Internet en primer lugar. Con visibilidad de la superficie de ataque, los equipos pueden reducir la exposición innecesaria desde el principio y evitar la confusión cuando surge una nueva vulnerabilidad.

Cuando un día cero cae en sábado

Shell de herramientas era una vulnerabilidad de ejecución remota de código no autenticado en Microsoft SharePoint. Si un atacante pudiera alcanzarlo, podría ejecutar código en su servidor y, como SharePoint está conectado a Active Directory, comenzaría en una parte altamente confidencial de su entorno.

Se trataba de un día cero, lo que significa que los atacantes lo estaban explotando antes de que estuviera disponible un parche. Microsoft lo reveló un sábado y confirmó que grupos patrocinados por el estado chino lo habían estado explotando durante hasta dos semanas antes. Cuando la mayoría de los equipos se enteraron, los atacantes oportunistas buscaban instancias expuestas y las explotaban a escala.

La investigación de Intruder encontró miles de instancias de SharePoint de acceso público en el momento de la divulgación, a pesar de que SharePoint no necesita estar conectado a Internet. Cada una de esas exposiciones fue innecesaria y cada servidor sin parches fue una puerta abierta.

Por qué se pasan por alto las exposiciones

Entonces, ¿por qué los equipos de seguridad suelen pasar por alto las exposiciones?

En un análisis externo típico, los hallazgos informativos se encuentran debajo de cientos de críticas, altibajos y altibajos. Pero esa información puede incluir detecciones que representen un riesgo de exposición real, como:

• Un servidor SharePoint expuesto
• Una base de datos expuesta a Internet, como MySQL o Postgres.
• Otros protocolos, que normalmente deberían reservarse para la red interna, como RDP y SNMP

Aquí hay un ejemplo real de cómo se ve:

En términos de escaneo de vulnerabilidades, a veces tiene sentido clasificarlos como informativos. Si el escáner se encuentra en la misma subred privada que los objetivos, un servicio expuesto podría realmente ser de bajo riesgo. Pero cuando ese mismo servicio está expuesto a Internet, conlleva un riesgo real incluso sin una vulnerabilidad conocida asociada. Todavía.

El peligro es que los informes de análisis tradicionales tratan ambos casos de la misma manera, por lo que los riesgos reales se escapan de las lagunas.

¿Qué implica realmente la reducción proactiva de la superficie de ataque?

Hay tres elementos clave para que la reducción de la superficie de ataque funcione en la práctica.

1. Descubrimiento de activos: defina su superficie de ataque

Antes de poder reducir su superficie de ataque, necesita una imagen clara de lo que posee y de lo que es accesible externamente. Eso comienza con la identificación de la TI en la sombra: sistemas que su organización posee u opera pero que actualmente no está escaneando ni monitoreando.

Cerrar esa brecha es importante y hay tres elementos clave que recomendamos implementar:

1. Integración con sus proveedores de nube y DNS para que cuando se cree una nueva infraestructura, se recoja y analice automáticamente. Esta es un área donde los defensores tienen una ventaja genuina: puedes integrarte directamente con tus propios entornos, los atacantes no.
2. Usando la enumeración de subdominios para mostrar hosts accesibles externamente que no están en su inventario. Esto es importante especialmente después de adquisiciones, en las que es posible que esté heredando una infraestructura de la que aún no tiene visibilidad.
3. Identificación de infraestructura alojada con proveedores de nube más pequeños y desconocidos. Es posible que tenga una política de seguridad que obligue a los equipos de desarrollo a utilizar solo su proveedor de nube principal, pero debe verificar que se sigan las prácticas.

Vea una inmersión profunda en estas técnicas:

. Trate la exposición como riesgo

El siguiente paso es tratar la exposición de la superficie de ataque como una categoría de riesgo en sí misma.

Eso requiere un capacidad de detección que identifica qué hallazgos informativos representan una exposición y asigna la gravedad adecuada. Una instancia de SharePoint expuesta, por ejemplo, podría razonablemente tratarse como un problema de riesgo medio.

También significa crear espacio para este trabajo en como priorizas. Si los esfuerzos estratégicos como la reducción de la superficie de ataque siempre compiten con los parches urgentes, siempre perderán. Eso podría significar reservar tiempo cada trimestre para revisar y reducir la exposición, o asignar una propiedad clara para que alguien sea responsable de ello, no sólo cuando ocurre una crisis, sino de forma rutinaria.

3. Monitoreo continuo

La reducción de la superficie de ataque no es un ejercicio de una sola vez. La exposición cambia constantemente (se edita una regla de firewall, se implementa un nuevo servicio, se olvida un subdominio) y su equipo necesita detectar esos cambios rápidamente.

Los análisis de vulnerabilidades tardan en completarse y, por lo general, no es posible ejecutar análisis completos diariamente. Escaneo diario de puertos es una mejor opción. Es liviano, rápido y significa que puede detectar servicios recientemente expuestos a medida que aparecen. Si alguien edita una regla de firewall y accidentalmente expone Escritorio remoto, usted se enterará el día en que sucede, no en el siguiente análisis programado, que podría realizarse hasta un mes después.

Menos servicios expuestos, menos sorpresas

Cuando los servicios innecesarios no se exponen en primer lugar, es mucho menos probable que queden atrapados en la explotación masiva que sigue a una divulgación crítica. Eso significa menos sorpresas, menos luchas urgentes y más tiempo para responder deliberadamente cuando surgen nuevas vulnerabilidades.

Intruder automatiza este proceso, desde descubrir TI en la sombra y monitorear nuevas exposiciones, hasta alertar a su equipo en el momento en que algo cambia, para que su equipo de seguridad pueda anticiparse a la exposición en lugar de reaccionar ante ella.

Si quieres ver lo que está expuesto en tu entorno, reservar una demostración de Intruder.

La Inteligencia Artificial (IA) ya no es sólo una herramienta con la que hablamos; es una herramienta que hace cosas para nosotros. estos se llaman Agentes de IA. Pueden enviar correos electrónicos, mover datos e incluso administrar software por su cuenta.

Pero hay un problema. Si bien estos agentes agilizan el trabajo, también abren una nueva «puerta trasera» para los piratas informáticos.

El problema: «El empleado invisible»

Piense en un agente de IA como un empleado nuevo que tiene las llaves de todas las oficinas de su edificio pero no tiene una etiqueta con su nombre.

Como estos agentes actúan por su cuenta, a menudo tienen acceso a información confidencial que nadie está mirando. Los piratas informáticos se han dado cuenta de esto. Ya no necesitan descifrar su contraseña, solo necesitan engañar a su agente de IA para que haga el trabajo por ellos.

Si su empresa utiliza IA para automatizar tareas, podría estar en riesgo. Las herramientas de seguridad tradicionales se crearon para proteger a los humanos, no a los «trabajadores digitales».

En nuestro próximo seminario web, Más allá del modelo: la superficie de ataque ampliada de los agentes de IARahul Parwani, jefe de producto de seguridad de IA en ariadesglosará exactamente cómo los piratas informáticos se dirigen a estos agentes y, lo que es más importante, cómo puede detenerlos.

Lo que aprenderás

• La «materia oscura» de la identidad: Por qué los agentes de IA suelen ser invisibles para su equipo de seguridad y cómo encontrarlos.
• Cómo se engaña a los agentes: Descubra cómo una simple «mala idea» oculta en un documento puede hacer que un agente de IA filtre los secretos de su empresa.
• El plan de seguridad: Pasos sencillos para brindarles a sus agentes de IA el poder que necesitan sin darles el «Modo Dios» sobre sus datos.

¿Quién debería asistir?

Si es un líder empresarial, un profesional de TI o cualquier persona responsable de mantener seguros los datos de la empresa, esta sesión es para usted. No es necesario ser un experto en codificación para comprender estos riesgos.

No permita que su IA se convierta en su mayor agujero de seguridad.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

La administración Trump está planeando un organismo interinstitucional para enfrentar a los piratas informáticos malignos, programas piloto para proteger la infraestructura crítica en todos los estados y otras medidas vinculadas a su recién lanzada estrategia cibernética, dijo el lunes el Director Nacional Cibernético, Sean Cairncross.

La “célula interinstitucional” reunirá a agencias como el Departamento de Justicia, el Departamento de Estado, el FBI y el Pentágono, lo que dejará en claro que emprender un ciberataque no se trata sólo de atacar a enemigos en el ciberespacio, dijo Cairncross.

«Claro, eso es parte del asunto, pero no es todo», dijo en un evento organizado por USTelecom. Incluirá esfuerzos diplomáticos, arrestos y más, dijo. «Como ha dejado claro el presidente Trump, espera resultados y ha facultado al equipo bajo su mando para ir a conseguirlos».

Se atenderá una serie de programas piloto para industrias de infraestructura críticas específicas en estados específicos, como el agua en Texas y la carne vacuna en Dakota del Sur, dijo Cairncross. Los diferentes sectores operan en niveles más o menos maduros, afirmó.

“Una de las cosas por las que estamos trabajando es alinear esos sectores y priorizarlos de una manera que tenga sentido”, dijo.

Cairncross dijo que la administración quiere compartir mejor la información con la industria y que también buscará revisar las regulaciones en algunos casos. Uno de esos casos es la regla de divulgación de incidentes de 2023 de la Comisión de Bolsa y Valores, que generó una de las oposición más vehemente de la industria bajo la búsqueda de regulaciones cibernéticas por parte de la administración Biden. La idea es asegurarse de que “tengan sentido para la industria”, dijo Cairncross.

Pero la administración también tendrá cosas que busca del sector privado. Eso incluirá reunir a los directores ejecutivos y enviarles el mensaje de que “es necesario dedicar algunos recursos reales”, dijo.

Cairncross ha hablado antes sobre el deseo de establecer una academia para abordar la educación y la capacitación en una nación con persistentes ofertas de empleo en ciberseguridad, pero hay más cosas relacionadas con esto, dijo.

El esfuerzo, sobre el cual Cairncross dijo que la administración publicaría detalles pronto, también incluirá una fundición (que “podrá escalar con capital privado la nueva innovación y desplegarla más rápidamente”) y un acelerador (“de modo que cuando haya financiamiento previo para proyectos, realmente se pueda acelerar y poder escalar también y superar algunos de los obstáculos de adquisición que a menudo se encuentran en este espacio”).

Las organizaciones medianas se esfuerzan constantemente por alcanzar niveles de seguridad a la par de sus pares empresariales. Con una mayor conciencia sobre los ataques a la cadena de suministro, sus clientes y socios comerciales están definiendo el nivel de seguridad que debe cumplir.

¿Qué pasaría si usted pudiera ser el facilitador para que su organización siga siendo competitiva y ayude a ganar negocios demostrando fácilmente que cumple con estos estrictos niveles de seguridad?

El desafío, por supuesto, es cómo hacerlo con un presupuesto pequeño y un equipo de seguridad y TI ágil.

La plataforma de seguridad se ha considerado durante mucho tiempo como el mecanismo para reducir la complejidad mediante la consolidación de herramientas de seguridad. Sin embargo, nunca ha cumplido realmente su promesa. ¿O lo tiene?

Un próximo seminario web explora si el modelo de plataforma de seguridad finalmente puede cumplir su visión original: simplificar las operaciones, reducir costos y fortalecer la postura de seguridad para las organizaciones del mercado medio.

Únase a Bitdefender para aprender cómo Zona de gravedad de Bitdefender está haciendo realidad el sueño de una seguridad asequible y simplificada para los equipos de seguridad y TI eficientes.

Durante esta sesión aprenderás:

• Por qué una plataforma de seguridad es perfecta para organizaciones medianas
• Cómo demostrar un riesgo reducido y una mayor postura de seguridad a sus líderes, socios comerciales y clientes
• Cómo reducir los problemas de seguridad y liberar a su eficiente equipo de TI y seguridad para centrarse en proyectos estratégicos

Para los directores de TI, CISO y líderes de seguridad que operan con limitaciones de recursos, la capacidad de consolidar herramientas sin sacrificar la cobertura puede ser una ventaja competitiva, no solo una mejora técnica.

Si su organización está bajo presión para demostrar resiliencia, cumplir con las expectativas de los socios y mejorar los resultados de seguridad sin aumentar la complejidad, esta sesión le brindará conocimientos prácticos y un camino claro a seguir.

Regístrate ahora para descubrir cómo Bitdefender GravityZone puede ayudarle a lograr seguridad en toda su organización, sin la carga a nivel empresarial.

Vuelos cancelados. Las salas de emergencia cerraron. Empresas centenarias cerraron.

El ransomware y otros ataques cibernéticos similares se han vuelto tan rutinarios que incluso esas graves consecuencias humanas y económicas a menudo se pasan por alto o se olvidan fácilmente.

Esta falta de concentración es peligrosa.

Como ex líderes de las unidades cibernéticas del FBI y CISA, hemos visto cómo el cibercrimen se propaga en las comunidades, interrumpiendo servicios críticos, destruyendo empleos y, en ocasiones, costando vidas. Las cifras actuales de ransomware cuentan una historia cruda. El Departamento de Seguridad Nacional informó más de 5.600 ataques de ransomware divulgados públicamente en todo el mundo en 2024, casi la mitad de ellos en Estados Unidos. El FBI descubrió que los incidentes de ransomware aumentaron casi nueve por ciento año tras año, y casi la mitad se destina a infraestructura crítica. Los ataques a estas organizaciones representan la mayor amenaza para la seguridad nacional y la seguridad pública.

A pesar de esta tendencia, somos cautelosamente optimistas acerca de la nueva Estrategia Cibernética Nacional de la administración. Se centra en proteger la infraestructura crítica y detener el ransomware y el cibercrimen, amenazas que eleva correctamente a amenazas de primer nivel para la seguridad nacional.

Pero el éxito requiere una acción sostenida por parte del gobierno y la industria. Los adversarios están evolucionando más rápido que las defensas: los ataques de ransomware ahora promedio $2.73 millones por incidente, lo que genera pérdidas anuales de miles de millones. Los atacantes han comprimido sus operaciones de semanas a horas, desactivando las herramientas de detección y respuesta de endpoints (EDR) y dejando a los defensores casi sin tiempo para detener un ataque.

La ciberhigiene básica sigue siendo importante. Pero ya no es suficiente. Los atacantes roban credenciales válidas, explotan vulnerabilidades conocidas, desactivan herramientas y se mueven lateralmente a la velocidad de la máquina, ahora acelerada por la IA. Necesitan un nivel sorprendentemente bajo de experiencia técnica para hacerlo, y las herramientas de inteligencia artificial están aumentando la velocidad y la escala de sus acciones.

Nuestras defensas deben seguir el ritmo de las amenazas en evolución. La protección de la seguridad nacional requiere una acción inmediata. Automatizar el intercambio de información sobre amenazas cibernéticas ofrece beneficios claros, pero las agencias gubernamentales necesitan importantes actualizaciones estructurales y tecnológicas antes de poder compartir datos de manera efectiva. Esto requiere inversión y supervisión sostenidas.

El gobierno no tiene que hacer esto solo. La industria y el mundo académico poseen herramientas que podrían marcar la diferencia entre el progreso y volver a abordar esta misma conversación dentro de cuatro, ocho o doce años. Foros como el Joint Cyber ​​Defense Collaborative (JCDC) de CISA, el National Cyber ​​Investigative Joint Task Force (NCIJTF) y el Cyber ​​Collaboration Center (CCC) de la NSA han demostrado que la fusión de información y la planificación operativa conjunta pueden funcionar. Pero las misiones superpuestas y los manuales poco claros hacen que las empresas tengan que adivinar qué compartir, cuándo compartirlo y con quién. Estos foros y mecanismos de colaboración subyacentes deben contar con recursos, estar libres de conflictos y ser predecibles.

A pesar de los nobles esfuerzos de las agencias gubernamentales para compartir entre bastidores e interactuar con la industria con una sola voz, la estructura actual sigue siendo frágil y dependiente de las relaciones personales. Simplemente no podemos permitirnos esta fragilidad o ineficiencia, particularmente en una era de recursos cibernéticos gubernamentales limitados y amenazas crecientes.

La protección eficaz de la infraestructura crítica requiere una colaboración enfocada. La estrategia de la administración enfatiza esto con razón, pero limitar este enfoque no será fácil. Durante años, el gobierno ha intentado cubrir por igual dieciséis sectores y cientos de miles de entidades, una tarea imposible. La misma atención para todos no es realista. Mirando hacia atrás, desearíamos haber priorizado más estratégicamente durante nuestro tiempo en el gobierno.

La priorización es políticamente difícil, pero operativamente necesaria. Cuando todo es crítico, nada lo es realmente. Para la infraestructura crítica más importante, debemos centrarnos en la resiliencia (garantizar que los sistemas puedan resistir ataques y recuperarse rápidamente) en lugar de asumir que podemos prevenir todas las violaciones.

El gobierno puede tomar medidas concretas ahora para alterar el ecosistema del ransomware. El ransomware ha costado vidas estadounidenses; Designar a ciertos actores de ransomware y sus facilitadores como organizaciones terroristas extranjeras podría desbloquear sanciones, acciones diplomáticas y operaciones de inteligencia más poderosas. Una regulación sensata que responsabilice a los intercambios de criptomonedas por el lavado consciente de las ganancias del ransomware podría debilitar los modelos de negocios criminales y al mismo tiempo fortalecer los mercados legítimos de activos digitales en los EE. UU. y las naciones aliadas.

La industria de la tecnología y la ciberseguridad también tiene responsabilidades. La industria debe compartir inteligencia procesable cuando esté legalmente permitido, poner a prueba los programas gubernamentales con comentarios sinceros y apoyar la reautorización de la Ley de Intercambio de Información sobre Ciberseguridad de 2015.

Todos debemos hacer nuestra parte. Cada día que pasa sin que enfrentemos estas preguntas críticas es un regalo para nuestros adversarios. Esto sólo se verá exacerbado por los avances en la IA. Tenemos la esperanza de que la publicación de la Estrategia Cibernética Nacional de esta administración genere debates y decisiones muy necesarios sobre el papel del gobierno y la industria en el avance de la ciberseguridad y la resiliencia de nuestra nación.

Cynthia Kaiser es vicepresidenta senior del Centro de investigación de ransomware de Halcyon. Anteriormente fue subdirectora de la división cibernética del FBI..

Matt Hartman se desempeña como director de estrategia en Merlin Group, donde se concentra en identificar, acelerar y escalar la entrega de tecnologías cibernéticas transformadoras al sector público y a las industrias críticas. Antes de ocupar este puesto, Matt pasó los últimos cinco años como funcionario senior de carrera en ciberseguridad en la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro del Departamento de Seguridad Nacional.

El actor de amenazas alineado con Pakistán conocido como Tribu transparente se ha convertido en el último grupo de hackers en adoptar herramientas de codificación basadas en inteligencia artificial (IA) para atacar objetivos con varios implantes.

La actividad está diseñada para producir una «masa mediocre y de gran volumen de implantes» que se desarrollan utilizando lenguajes de programación menos conocidos como Nim, Zig y Crystal y dependen de servicios confiables como Slack, Discord, Supabase y Google Sheets para pasar desapercibidos, según nuevos hallazgos de Bitdefender.

«En lugar de un gran avance en la sofisticación técnica, estamos viendo una transición hacia la industrialización del malware asistida por IA que permite al actor inundar los entornos objetivo con binarios políglotas desechables», afirman los investigadores de seguridad Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec. dicho en un desglose técnico de la campaña.

La transición hacia el malware codificado por vibración, también conocido como vibewarecomo medio para complicar la detección, el proveedor rumano de ciberseguridad lo ha caracterizado como Denegación de Detección Distribuida (DDoD). En este enfoque, la idea no es eludir los esfuerzos de detección mediante la sofisticación técnica, sino más bien inundar los entornos objetivo con archivos binarios desechables, cada uno de los cuales utiliza un lenguaje y un protocolo de comunicación diferentes.

Los grandes modelos de lenguaje (LLM, por sus siglas en inglés) ayudan a los actores de amenazas en este aspecto, que reducen la barrera al delito cibernético y colman la brecha de experiencia al permitirles generar código funcional en lenguajes desconocidos, ya sea desde cero o trasladando la lógica empresarial central de otros más comunes.

Se ha descubierto que el último conjunto de ataques tiene como objetivo el gobierno indio y sus embajadas en varios países extranjeros, y APT36 utiliza LinkedIn para identificar objetivos de alto valor. Los ataques también han apuntado al gobierno afgano y a varias empresas privadas, aunque en menor medida.

Es probable que las cadenas de infección comiencen con correos electrónicos de phishing que contienen accesos directos de Windows (LNK) incluidos en archivos ZIP o imágenes ISO. Alternativamente, se utilizan señuelos PDF que presentan un botón destacado «Descargar documento» para redirigir a los usuarios a un sitio web controlado por un atacante que activa la descarga de los mismos archivos ZIP.

Independientemente del método utilizado, el archivo LNK se utiliza para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal y facilitan las acciones posteriores al compromiso. Estos incluyen el despliegue de conocidas herramientas de simulación de adversarios como Cobalt Strike y Havoc, lo que indica un enfoque híbrido para garantizar la resiliencia.

Algunas de las otras herramientas observadas como parte de los ataques se enumeran a continuación:

• código de guerraun cargador de código shell personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva un agente Havoc directamente en la memoria.
• NimShellcodeLoaderuna contraparte experimental de Warcode que se utiliza para desplegar una baliza Cobalt Strike incrustada en él.
• CreepDropperun malware .NET que se utiliza para entregar e instalar cargas útiles adicionales, incluido SHEETCREEP, un ladrón de información basado en Go que utiliza Microsoft Graph API para C2, y MAILCREEP, una puerta trasera basada en C# que utiliza Google Sheets para C2. Zscaler ThreatLabz detalló ambas familias de malware en enero de 2026.
• SupaServuna puerta trasera basada en Rust que establece un canal de comunicación principal a través de la plataforma Supabase, con Firebase actuando como alternativa. Contiene emojis Unicode, lo que sugiere que probablemente fue desarrollado utilizando IA.
• Ladrón luminosoun probable ladrón de información basado en Rust y codificado en vibración que utiliza Firebase y Google Drive para filtrar archivos que coinciden con ciertas extensiones (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls).
• concha de cristaluna puerta trasera escrita en Crystal que es capaz de apuntar a sistemas Windows, Linux y macOS, y utiliza ID de canal de Discord codificados para C2. Admite la capacidad de ejecutar comandos y recopilar información del host. Se ha descubierto que una variante del malware utiliza Slack para C2.
• ZigShelluna contraparte de CrystalShell que está escrita en Zig y utiliza Slack como infraestructura C2 principal. También admite funciones adicionales para cargar y descargar archivos.
• Archivo de cristalun intérprete de comandos simple escrito en Crystal que monitorea continuamente «C:\Users\Public\AccountPictures\input.txt» y ejecuta el contenido usando «cmd.exe».
• Galletas Luminosasun inyector especializado basado en Rust para extraer cookies, contraseñas e información de pago de navegadores basados ​​en Chromium eludiendo el cifrado vinculado a aplicaciones.
• Espía de copia de seguridaduna utilidad basada en Rust diseñada para monitorear el sistema de archivos local y los medios externos en busca de datos de alto valor.
• ZigLoaderun cargador especializado escrito en Zig que descifra y ejecuta código shell arbitrario en la memoria.
• Baliza centinela de la puertauna versión personalizada del código abierto Centinela de la puerta Proyecto marco C2.

«La transición de APT36 hacia vibeware representa una regresión técnica», dijo Bitdefender. «Si bien el desarrollo asistido por IA aumenta el volumen de muestras, las herramientas resultantes a menudo son inestables y están plagadas de errores lógicos. La estrategia del actor apunta incorrectamente a la detección basada en firmas, que durante mucho tiempo ha sido reemplazada por la seguridad moderna de los terminales».

Bitdefender ha advertido que la amenaza que plantea el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas escalar sus actividades rápidamente y con menos esfuerzo.

«Estamos viendo una convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la adopción de lenguajes de programación exóticos y especializados y el abuso de servicios confiables para esconderse en el tráfico legítimo de la red», dijeron los investigadores. «Esta combinación permite que incluso un código mediocre alcance un alto éxito operativo simplemente superando la telemetría defensiva estándar».