Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos años de ataques mínimos en la región.

La campaña ha sido atribuida a TA416un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.

«Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas ante la Unión Europea y la OTAN en una variedad de países europeos», dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho.

«A lo largo de este período, TA416 alteró regularmente su cadena de infección, incluido el abuso de las páginas de desafío de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, además de actualizar con frecuencia su carga útil personalizada de PlugX».

También se ha observado que TA416 orquesta múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.

Vale la pena mencionar aquí que TA416 también comparte superposiciones técnicas históricas con otro grupo conocido como Mustang Panda (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en común ambos es el uso de carga lateral de DLL para iniciar el malware.

El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.

«Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electrónico fue abierto por el objetivo previsto», dijo Proofpoint.

Se descubrió que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web legítimo de Microsoft. OAuth punto final de autorización que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en última instancia, implementa PlugX.

El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

En febrero de 2026 se observaron más mejoras en la cadena de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.

«Cuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila automáticamente», dijeron los investigadores. «En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga lateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX a través de la cadena de carga lateral de DLL típica del grupo».

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. También se sabe que la puerta trasera establece un canal de comunicación cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antianálisis para evitar la detección.

PlugX acepta cinco comandos diferentes:

• 0x00000002para capturar información del sistema
• 0x00001005para desinstalar el malware
• 0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de espera
• 0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
• 0x00007002para abrir un shell de comando inverso

«El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, después de dos años de centrarse en el Sudeste Asiático y Mongolia, es consistente con un renovado enfoque de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN», dijo Proofpoint.

«Además, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del grupo probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo largo de este período, el grupo ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, abuso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada».

La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del nexo chino han evolucionado desde una actividad estratégicamente alineada en la década de 2010 hasta intrusiones altamente adaptables y centradas en la identidad con la intención de establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.

Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener acceso inicial.

«En un caso notable, el actor había comprometido completamente el entorno y había establecido persistencia, sólo para resurgir en el entorno más de 600 días después», Darktrace dicho. «La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor».

Una campaña de phishing de múltiples frentes está dirigida a usuarios de habla hispana en organizaciones de América Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (también conocido como Metamorfo) a través de otro malware llamado Horabot.

La actividad se ha atribuido a un actor brasileño de amenazas de delitos cibernéticos rastreado como Augmented Marauder y Water Saci. Trend Micro documentó por primera vez al grupo de delitos electrónicos en octubre de 2025.

«Este grupo de amenazas emplea un modelo de ataque de mayor alcance centrado en un mecanismo de entrega y propagación personalizado que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico», dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green. dicho en un desglose técnico publicado el martes.

«Ahora es evidente que, si bien estos operadores con sede en Brasil aprovechan en gran medida la automatización de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en América Latina, al mismo tiempo mantienen e implementan un motor avanzado de secuestro de correo electrónico para penetrar los perímetros empresariales allí y también en Europa».

El punto de partida de la campaña es un correo electrónico de phishing que emplea mensajes con temas de citaciones judiciales para engañar a los destinatarios para que abran un archivo PDF adjunto protegido con contraseña. Al hacer clic en un enlace incrustado en el documento, la víctima dirige a un enlace malicioso e inicia una descarga automática de un archivo ZIP, lo que, a su vez, conduce a la ejecución de la aplicación HTML provisional (HTA) y cargas útiles VBS.

El script VBS está diseñado para llevar a cabo comprobaciones ambientales y antianálisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas útiles de la siguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados ​​en AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga útil cifrados con extensiones «.ia» o «.at» para eventualmente lanzar dos familias de malware: Casbaneiro («staticdata.dll») y Horabot («at.dll»).

Si bien Casbaneiro es la carga útil principal, Horabot se utiliza como mecanismo de propagación del malware. El módulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a través de correos electrónicos de phishing a contactos recopilados de Microsoft Outlook.

«En lugar de distribuir un archivo estático o un enlace codificado como se ve en campañas anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps://tt.grupobedfs[.]com/…/gera_pdf.php), pasando un PIN de cuatro dígitos generado aleatoriamente», dijo BlueVoyant.

«El servidor falsifica dinámicamente un PDF personalizado, protegido con contraseña, que se hace pasar por una citación judicial española, que se devuelve al host infectado. Luego, el script recorre la lista de correo electrónico filtrada, utilizando la propia cuenta de correo electrónico del usuario comprometido para enviar un correo electrónico de phishing personalizado con el PDF recién generado adjunto».

También se utiliza en conjunto una DLL secundaria relacionada con Horabot («at.dll») que funciona como una herramienta de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para enviar correos electrónicos de phishing a través de Outlook. Horabot es Se estima que se utilizará en ataques dirigidos a América Latina desde al menos noviembre de 2020.

Water Saci tiene un historial de uso de WhatsApp Web como vector de distribución para difundir troyanos bancarios como Maverick y Casbaneiro en forma de gusano. Sin embargo, las campañas recientes destacadas por Kaspersky han apalancado la táctica de ingeniería social de ClickFix para engañar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.

«En conjunto, la integración de la ingeniería social de ClickFix, junto con la generación dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos», concluyeron los investigadores.

«Este adversario mantiene una infraestructura de ataque bifurcada y de múltiples frentes, implementando dinámicamente la cadena Maverick centrada en WhatsApp y utilizando simultáneamente rutas de ataque ClickFix y Horabot basadas en correo electrónico».

Punto de prueba tiene revelado detalles de una campaña de correo electrónico dirigida en la que actores de amenazas con vínculos con Rusia están aprovechando el kit de explotación DarkSword recientemente revelado para apuntar a dispositivos iOS.

La actividad se ha atribuido con gran confianza al grupo de amenazas patrocinado por el estado ruso conocido como TA446, que también es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos Callisto, COLDRIVER y Star Blizzard (anteriormente SEABORGIUM). Se considera que está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.

El grupo de hackers es conocido por sus campañas de phishing dirigidas a recopilar credenciales de objetivos de interés. Sin embargo, los ataques organizados por el actor de amenazas durante el año pasado se dirigieron a las cuentas de WhatsApp de las víctimas y aprovecharon varias familias de malware personalizadas para robar datos confidenciales.

La última actividad, destacada por Punto de prueba y Malforsimplica el uso de correos electrónicos falsos de «invitación a discusión» que suplantan al Atlantic Council para facilitar la entrega de GHOSTBLADE, un malware de minería de datos, a través del kit de explotación DarkSword. Los correos electrónicos fueron enviados por remitentes comprometidos el 26 de marzo de 2026. Uno de los destinatarios de correo electrónico era Leonid Vólkovun destacado político de la oposición rusa y director político de la Fundación Anticorrupción.

Se dice que un análisis automatizado activado por las herramientas de seguridad de Proofpoint ha redirigido a un documento PDF señuelo benigno, probablemente debido al filtrado del lado del servidor implementado para llevar solo a los navegadores de iPhone al kit de exploits.

«No hemos observado anteriormente que TA446 apunte a las cuentas de iCloud de los usuarios o a los dispositivos Apple, pero la adopción del kit de explotación DarkSword iOS filtrado ahora ha permitido al actor apuntar a dispositivos iOS», dijo Proofpoint.

La firma de seguridad empresarial también señaló que el volumen de correos electrónicos del actor de amenazas ha sido «significativamente mayor» en las últimas dos semanas, y agregó que estos ataques conducen al despliegue de una puerta trasera conocida denominada MAYBEROBOT a través de archivos ZIP protegidos con contraseña.

El uso de DarkSword por parte del grupo también ha sido corroborado por el hecho de que un cargador DarkSword subido a VirusTotal se ha encontrado que hace referencia a «escofiringbijou[.]com«, un dominio de segunda etapa atribuido al actor de la amenaza.

Un escaneo de URL[.]el resultado io tiene reveló que el dominio controlado por TA446 ha servido al kit de explotación DarkSword, incluido el redirector inicial, el cargador de explotación, la ejecución remota de código y los componentes de omisión del Código de autenticación de puntero (PAC). Sin embargo, no hay evidencia de que se hayan entregado escapes de la zona de pruebas.

Se sospecha que el TA446 está reutilizando el kit de exploits DarkSword para la recolección de credenciales y de inteligencia, y Proofpoint señaló que el objetivo observado en la campaña de correo electrónico fue «mucho más amplio de lo habitual» e incluyó al gobierno, grupos de expertos, entidades de educación superior, financieras y legales.

Esto, a su vez, ha planteado la posibilidad de que el actor de amenazas esté aprovechando la nueva capacidad que ofrece DarkSword como parte de una campaña oportunista contra un conjunto de objetivos más amplio.

El desarrollo se produce cuando Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar la actualización para bloquear la amenaza. Este paso inusual indica que la empresa lo está tratando como una amenaza lo suficientemente amplia que requiere la atención inmediata de los usuarios.

La advertencia de Apple también coincide con la filtración de una nueva versión de DarkSword en GitHub, lo que genera preocupaciones de que podrían democratizar el acceso a exploits de estados-nación, cambiando fundamentalmente el panorama de amenazas móviles.

Justin Albrecht, investigador principal de Lookout, dijo que la versión filtrada, plug-and-play, permite incluso a actores de amenazas no calificados implementar el kit de espionaje avanzado de iOS, convirtiéndolo en malware básico.

«DarkSword refuta la creencia común de que los iPhone son inmunes a las amenazas cibernéticas y que los ataques móviles avanzados sólo se utilizan en esfuerzos dirigidos contra gobiernos y funcionarios de alto rango», añadió Albrecht.

Los actores de amenazas están utilizando páginas de phishing de adversario en el medio (AitM) para tomar el control de las cuentas de TikTok for Business en una nueva campaña, según un informe de Push Security.

Las cuentas comerciales asociadas con plataformas de redes sociales son un objetivo lucrativo, ya que los delincuentes pueden utilizarlas como arma para realizar publicidad y distribución de malware.

«Históricamente se ha abusado de TikTok para distribuir enlaces maliciosos e instrucciones de ingeniería social», Push Security dicho. «Esto incluye múltiples ladrones de información como Vidar, StealC y Aura Stealer entregados a través de instrucciones estilo ClickFix con videos generados por IA que actúan como guías de activación para Windows, Spotify y CapCut».

La campaña comienza engañando a las víctimas para que hagan clic en un enlace malicioso que las dirige a una página similar que se hace pasar por TikTok for Business o una página diseñada para hacerse pasar por Google Careers, junto con una opción para programar una llamada para analizar la oportunidad.

Vale la pena señalar que una versión anterior de esta campaña de phishing de credenciales fue marcado por Sublime Security en octubre de 2025, con correos electrónicos disfrazados de mensajes de divulgación utilizados como táctica de ingeniería social.

Independientemente del tipo de página servida, el objetivo final es el mismo: realizar una verificación de Cloudflare Turnstile para impedir que los bots y los escáneres automáticos analicen el contenido de la página y ofrecer una página de inicio de sesión de phishing AitM maliciosa diseñada para robar sus credenciales.

Las páginas de phishing están alojadas en los siguientes dominios:

• bienvenidos.carreratornillos[.]com
• bienvenido.careerstaffer[.]com
• bienvenido.careersworkflow[.]com
• bienvenido.careerstransform[.]com
• bienvenido.careersupskill[.]com
• bienvenido.carreraséxito[.]com
• bienvenido.careersstaffgrid[.]com
• bienvenido.progresoprofesional[.]com
• bienvenido.careersgrower[.]com
• bienvenido.careersengage[.]com
• bienvenidos.carreratornillos[.]com

El desarrollo se produce cuando se ha observado otra campaña de phishing que utiliza archivos adjuntos de gráficos vectoriales escalables (SVG) para entregar malware a objetivos ubicados en Venezuela.

Según un informe publicado por WatchGuard, los mensajes tienen archivos SVG con nombres de archivo en español, disfrazados de facturas, recibos o presupuestos.

«Cuando se abren estos SVG maliciosos, se comunican con una URL que descarga el artefacto malicioso», dijo la compañía. dicho. «Esta campaña utiliza ja.cat para acortar las URL de dominios legítimos que tienen una vulnerabilidad que permite redirecciones a cualquier URL, de modo que apunten al dominio original donde se descarga el malware».

El artefacto descargado es un malware escrito en Go que comparte superposiciones con un BianLian muestra de ransomware detallado por SecurityScorecard en enero de 2024.

«Esta campaña es un fuerte recordatorio de que incluso tipos de archivos aparentemente inofensivos como los SVG pueden usarse para generar amenazas graves», dijo WatchGuard. «En este caso, se utilizaron archivos adjuntos SVG maliciosos para iniciar una cadena de phishing que condujo a la entrega de malware asociado con BianLian actividad.»

Some weeks in security feel loud. This one feels sneaky. Less big dramatic fireworks, more of that slow creeping sense that too many people are getting way too comfortable abusing things they probably shouldn’t even be touching.

There’s a little bit of everything in this one, too. Weird delivery tricks, old problems coming back in slightly worse forms, shady infrastructure doing shady infrastructure things, and the usual reminder that if criminals find a workflow annoying, they’ll just make a new one by Friday. Efficient little parasites. You almost have to respect the commitment.

A few of these updates have that nasty “yeah, that tracks” energy. Stuff that sounds niche right up until you picture it landing in a real environment with real users clicking real nonsense because they’re busy and tired and just trying to get through the day. Then it stops being abstract pretty fast.

So yeah, this week’s ThreatsDay Bulletin is a solid scroll-before-you-log-off kind of read. Nothing here needs a full panic spiral, but some of it definitely deserves a raised eyebrow and maybe a muttered: “Oh come on.” Let’s get into it.

Disruptions don’t really stick anymore. Stuff gets taken down, shuffled around, then quietly comes back like nothing happened. Same tactics, slightly cleaner execution.

A lot of this leans on built-in trust. Familiar tools, normal flows, things people stop questioning. That gap between “looks fine” and “definitely not fine” is still doing most of the work.

Nothing here is shocking on its own. Put together, though, it’s a bit uncomfortable. Scroll on.

Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

A campaña de phishing vinculado al servicio de alojamiento en la nube de IA Railway ha dado a los piratas informáticos acceso a las cuentas en la nube de Microsoft para cientos de empresas, según investigadores de Huntress.

Rich Mozeleski, gerente de producto del equipo de identidad de Huntress, dijo a CyberScoop que la campaña está actualmente vinculada a un actor más pequeño y aproximadamente una docena de direcciones IP, pero ha logrado comprometer cientos de objetivos en las últimas semanas.

A principios de marzo comprometía unas pocas docenas de objetivos por día, pero a partir del 3 de marzo hubo un “aumento masivo” en ese ritmo. Mozeleski dijo que, además de ser más sofisticado de lo habitual, no se utilizaron correos electrónicos ni dominios idénticos, lo que llevó a los investigadores a sospechar que pudieron haber sido generados a través de herramientas de inteligencia artificial. Las plantillas iban desde señuelos de correo electrónico tradicionales hasta códigos QR y sitios cooptados para compartir archivos.

“Solo la cantidad fue como si se hubiera abierto la Caja de Pandora, y la eficacia estaba por las nubes”, dijo Mozeleski.

Un señuelo de phishing de descarga de archivos personalizado utilizado en la campaña. Los investigadores creen que los atacantes utilizaron IA para generar señuelos únicos a escala. (Fuente: Cazadora)

La campaña de phishing explota el flujo de autenticación de Microsoft para dispositivos como televisores inteligentes, impresoras y terminales, lo que le otorga al atacante tokens OAuth válidos para esa cuenta por hasta 90 días sin necesidad de contraseña o autenticación multifactor.

En última instancia, Huntress ha visto a cientos de sus clientes caer en estafas de phishing, aunque afirman haber evitado la actividad posterior al compromiso en todos los casos. Pero también creen que sus clientes representan sólo una pequeña fracción del probable conjunto total de víctimas, que podría ascender a miles.

Las entidades afectadas abarcan una variedad de sectores: empresas de construcción y comercio, bufetes de abogados, organizaciones sin fines de lucro, bienes raíces, manufactura, finanzas y seguros, atención médica, gobierno y organizaciones de seguridad pública se encontraban entre las 344 víctimas detalladas en el blog de Huntress.

Para proteger a los clientes, Mozeleski dijo que Huntress emitió el miércoles una actualización de la política de acceso condicional a 60.000 inquilinos de la nube de Microsoft en correos electrónicos provenientes de dominios Railway, un acto que describió como «nada que hayamos hecho antes».

Armando la infraestructura codificada por vibraciones

Los investigadores creen que los atacantes estaban utilizando la plataforma como servicio de Railway, creada para ayudar a los no codificadores a crear sitios web y herramientas, para activar la infraestructura de recolección de credenciales para la campaña.

Al utilizar dominios comprometidos y lanzar señuelos personalizados, los correos electrónicos de phishing evitan la mayoría de las soluciones comerciales de filtrado de correo electrónico. No está claro si utilizaron la herramienta de inteligencia artificial de Railway o una separada para generar los señuelos. De cualquier manera, todos los ataques que Huntress ha observado provienen de la infraestructura IP de Railway.com.

En respuesta a las preguntas de CyberScoop el viernes, el ingeniero de soluciones ferroviarias Angelo Saraceno dijo que la compañía está al tanto del incidente y Huntress se puso en contacto por primera vez el 6 de marzo con respecto al tráfico de phishing que se origina desde una dirección IP específica y tres dominios. “Las cuentas asociadas fueron prohibidas y los dominios bloqueados”, dijo Saraceno.

«Nuestras heurísticas están diseñadas para detectar correlaciones: tarjetas de crédito repetidas, fuentes de código compartidas, infraestructura superpuesta», escribió en un correo electrónico. «Cuando una campaña evita esas señales, llega más lejos de lo que nos gustaría».

Saraceno calificó la detección de fraudes de Railway como «un equilibrio» entre atrapar a los malos actores y verse inundado de falsos positivos, señalando un incidente en febrero, cuando un ajuste en el sistema automatizado de control de abusos de la empresa provocó una interrupción del servicio del cliente.

El viernes temprano, Mozeleski le dijo a CyberScoop que Huntress seguía viendo más de 50 compromisos por día vinculados a dominios de phishing de Railway. Cuando se le preguntó qué más podría haber hecho Railway para evitar el abuso de su plataforma, dijo que se podría mejorar la investigación y validación del uso gratuito de su producto. Señaló productos con pruebas similares, como MailChimp y HubSpot, que cuentan con controles y supervisión para que los usuarios no puedan «entrar en un millón de contactos y comenzar a enviar spam».

«No permitan que nadie entre, inicie una prueba, active recursos y comience a utilizar su infraestructura» para ataques cibernéticos, dijo.

Uno de los contrastes más sorprendentes de la campaña fue el uso de la IA para crear una infraestructura de phishing similar a la de un actor de amenazas patrocinado por el estado o un grupo cibercriminal avanzado al servicio de una estafa de phishing común y corriente.

Esto refuerza las advertencias de los expertos en ciberseguridad de que los ciberdelincuentes de bajo nivel, a menudo llamados “script kiddies” por su dependencia de herramientas de piratería automatizadas, están preparados para convertirse en uno de los mayores beneficiarios de la era de la IA generativa. El mes pasado, John Hultquist, analista jefe del Threat Intelligence Group de Google, dijo que espera que las herramientas de inteligencia artificial ayuden a «los grupos cibercriminales más pequeños más que a los piratas informáticos patrocinados por el estado».

Los testimonios en el sitio web de Railway promocionan la capacidad del servicio para ofrecer «escala automática vertical lista para usar», mientras que otro dijo que «hace que la creación de herramientas de terceros autohospedadas sea casi sin esfuerzo».

También puede darles una ventaja sobre las organizaciones víctimas que tienen políticas internas más restrictivas en torno al uso de la IA para la ciberdefensa.

«Estamos viendo a los delincuentes como los primeros impulsores de la IA», dijo Prakash Ramamurthy, director de productos de Huntress. «No tienen ningún reparo en la PII, no tienen ningún reparo en el entrenamiento de modelos… y este incidente, simplemente por el ritmo al que ha evolucionado, es una especie de testimonio de ello».

El phishing basado en voz, una forma de ingeniería social en la que los atacantes llaman a los empleados o al servicio de asistencia de TI con falsos pretextos en un intento de obtener acceso a las redes de las víctimas, aumentó en 2025, dijo Mandiant el lunes en su informe anual M-Trends.

Estos puntos de intrusión, que han sido un sello distintivo de los ataques atribuidos a miembros del colectivo de delitos cibernéticos The Com, incluidas ramas como Scattered Spider, representaron el 11% de todos los incidentes que Mandiant investigó el año pasado.

Las vulnerabilidades explotadas siguieron siendo el principal vector de acceso inicial por sexto año consecutivo, dando a los atacantes un punto de apoyo en el 32% de todos los incidentes el año pasado, dijo la compañía. Sin embargo, el aumento del phishing de voz marca un cambio preocupante en las tácticas, especialmente en ataques a gran escala con impactos radicales.

«Este tipo de ataque de ingeniería social es extremadamente poderoso. Consume más tiempo, obviamente requiere habilidades y habilidades de suplantación que los actores de la amenaza deben tener, especialmente cuando se comunican con su servicio de asistencia de TI», dijo a CyberScoop Jurgen Kutscher, vicepresidente de Mandiant. «Hemos visto claramente que varios actores de amenazas son muy especializados y tienen mucho éxito con este tipo de ataque».

El phishing basado en voz fue la raíz de múltiples ataques a los que Mandiant respondió el año pasado, incluidas campañas dirigidas a clientes de Salesforce atribuidas a grupos de amenazas que Google Threat Intelligence Group rastrea como UNC6040 y UNC6240.

Este cambio global en los ataques se vio más claramente en la fuerte caída del phishing basado en correo electrónico. Durante años, el phishing ha sido un método popular porque es barato y requiere poca habilidad técnica. Funciona de manera muy similar a la publicidad de gran volumen: una estrategia de rociar y orar centrada en llegar a la mayor cantidad de personas posible en lugar de una orientación específica.

Según Mandiant, el phishing por correo electrónico ya no es uno de los principales vectores de acceso inicial. La empresa de respuesta a incidentes dijo que solo fue responsable del 6% de las intrusiones el año pasado, frente al 14% en 2024 y el 22% en 2022.

«Cuanto mayor sea la inversión, mayor debe ser el pago», dijo Kutscher. “[Interactive phishing] requiere una cantidad significativa de tiempo e inversión. Entonces, como atacante, debes hacer eso cuando creas que hay un retorno significativo”.

Es difícil defenderse de estas técnicas porque están diseñadas para explotar los instintos humanos y eludir muchos controles de seguridad. «Siempre hemos dicho que, lamentablemente, el ser humano tiende a ser el eslabón más débil», dijo Kutscher.

Por supuesto, la ingeniería social no fue la única forma en que los atacantes obtuvieron acceso a las redes de las víctimas el año pasado. Los defectos explotados siguen siendo un problema persistente.

Las tres principales vulnerabilidades que Mandiant observó como vector de acceso inicial en 2025 incluyen CVE-2025-31324 en SAP NetWeaver, CVE-2025-61882 en Oracle E-Business Suite y CVE-2025-53770 en Microsoft SharePoint.

Los atacantes de diversos orígenes y objetivos explotaron las tres vulnerabilidades en masa y como días cero.

Mandiant registró 500.000 horas combinadas de investigaciones de respuesta a incidentes a nivel mundial el año pasado, frente a 450.000 horas en 2024.

Las empresas de tecnología fueron las más atacadas en 2025, representando el 17% de todos los incidentes. Las siguientes industrias más afectadas incluyeron finanzas con un 14,6%, servicios comerciales y profesionales con un 13,3% y atención médica con un 11,9%.

Microsoft ha advertido sobre nuevas campañas que están aprovechando la próxima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware.

Las campañas de correo electrónico aprovechan la urgencia y la urgencia de los correos electrónicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de nómina, recordatorios de presentación y solicitudes de profesionales de impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos, escaneen códigos QR o interactúen con enlaces sospechosos.

«Muchas campañas se dirigen a personas para el robo de datos personales y financieros, pero otras se dirigen específicamente a contadores y otros profesionales que manejan documentos confidenciales, tienen acceso a datos financieros y están acostumbrados a recibir correos electrónicos relacionados con impuestos durante este período», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research. dicho en un informe publicado la semana pasada.

Si bien algunos de estos esfuerzos dirigen a los usuarios a páginas incompletas diseñadas a través de plataformas de phishing como servicio (PhaaS), otros resultan en la implementación de herramientas legítimas de administración y monitoreo remoto (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, que permiten a los atacantes obtener acceso persistente a los dispositivos comprometidos.

Los detalles de algunas de las campañas se encuentran a continuación:

• Uso de señuelos de contadores públicos certificados (CPA) para entregar páginas de phishing asociadas con el kit Energy365 PhaaS para capturar el correo electrónico y la contraseña de las víctimas. Se estima que el kit de phishing Energy365 envía cientos de miles de correos electrónicos maliciosos diariamente.
• Uso de códigos QR y señuelos W2 para dirigirse a aproximadamente 100 organizaciones, principalmente en las industrias de fabricación, venta minorista y atención médica ubicadas en los EE. UU., para dirigir a los usuarios a páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365 y creadas utilizando la plataforma PhaaS SneakyLog (también conocida como Kratos) para desviar sus credenciales y códigos de autenticación de dos factores (2FA).
• Usar dominios con temas fiscales para su uso en campañas de phishing que engañan a los usuarios para que hagan clic en enlaces falsos con el pretexto de acceder a formularios de impuestos actualizados, solo para distribuir ScreenConnect.
• Hacerse pasar por el Servicio de Impuestos Internos (IRS) con un señuelo de criptomonedas dirigido específicamente al sector de la educación superior en los EE. UU., indicando a los destinatarios que descargaran un «Formulario de impuestos sobre criptomonedas 1099» accediendo a un dominio malicioso («irs-doc[.]com» o «gov-irs216[.]net») para entregar ScreenConnect o SimpleHelp.
• Dirigido a contadores y organizaciones relacionadas, solicitando ayuda para declarar sus impuestos mediante el envío de un enlace malicioso que conduce a la instalación de Datto.

Microsoft dijo que también observó una campaña de phishing a gran escala el 10 de febrero de 2026, en la que más de 29.000 usuarios de 10.000 organizaciones se vieron afectados. Alrededor del 95% de los objetivos estaban ubicados en EE.UU., abarcando industrias como servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%).

«Los correos electrónicos se hacían pasar por el IRS, alegando que se habían presentado declaraciones de impuestos potencialmente irregulares con el Número de identificación de presentación electrónica (EFIN) del destinatario. Los destinatarios recibieron instrucciones de revisar estas declaraciones descargando un ‘Visor de transcripciones del IRS’ supuestamente legítimo», dijo el gigante tecnológico.

Los correos electrónicos, que se enviaron a través de Amazon Simple Email Service (SES), contenían un botón «Descargar IRS Transcript View 5.1» que, al hacer clic, redirigía a los usuarios a smartvault.[.]im, un dominio que se hace pasar por SmartVault, una conocida plataforma de gestión e intercambio de documentos.

El sitio de phishing confió en Cloudflare para mantener a raya a los bots y los escáneres automatizados, garantizando así que solo los usuarios humanos reciban la carga útil principal: un ScreenConnect empaquetado maliciosamente que otorga a los atacantes acceso remoto a sus sistemas y facilita el robo de datos, la recolección de credenciales y otras actividades posteriores a la explotación.

Para mantenerse a salvo de estos ataques, se recomienda a las organizaciones que apliquen 2FA a todos los usuarios, implementen políticas de acceso condicional, monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados, y eviten que los usuarios accedan a dominios maliciosos.

El desarrollo coincide con el descubrimiento de varias campañas que arrojan malware de acceso remoto o realizan robo de datos.

• Usando páginas falsas de Google Meet y Zoom para atraer a los usuarios a videollamadas fraudulentas que, en última instancia, entregar software de acceso remoto como Teramind, una plataforma legítima de seguimiento de empleados, mediante una actualización de software falsa.
• Usando un sitio web fraudulento que aprovecha la marca Avast para engañar a los usuarios de habla francesa para que entreguen los datos completos de su tarjeta de crédito como parte de una estafa de reembolso.
• Usando un sitio web mal escrito haciéndose pasar por el portal oficial de descarga de Telegram («telegrgam[.]com») para distribuir instaladores troyanizados que, además de eliminar un instalador legítimo de Telegram, ejecutan una DLL responsable de lanzar una carga útil en la memoria. Luego, el malware inicia la comunicación con su infraestructura de comando y control para recibir instrucciones, descargar componentes actualizados y mantener un acceso persistente.
• Abusar Notificaciones de alerta de Microsoft Azure Monitor para enviar correos electrónicos de phishing con devolución de llamadas que utilizan facturas y señuelos de pagos no autorizados. «Los atacantes crean reglas de alerta maliciosas de Azure Monitor, incorporando contenido fraudulento en la descripción de la alerta, incluidos detalles de facturación falsos y números de teléfono de soporte controlados por el atacante», dijo LevelBlue. «Luego, las víctimas se agregan al grupo de acción vinculado a la regla de alerta, lo que hace que Azure envíe el mensaje de phishing desde la dirección del remitente legítimo azure-noreply@microsoft.com».
• Usando señuelos con temas de citas en correos electrónicos de phishing para entregar un cuentagotas de JavaScript que se conecta a un servidor externo para descargar un script de PowerShell, que inicia la aplicación confiable de Microsoft «Aspnet_compiler.exe» e inyecta en ella una carga útil XWorm 7.1 mediante una inyección de DLL reflectante. El malware actualizado viene con un componente desarrollado en .NET diseñado para brindar sigilo y persistencia. También se han utilizado solicitudes similares de cotización de señuelos para desencadenar una cadena de infección Remcos RAT sin archivos.
• Usar correos electrónicos de phishing y tácticas de ClickFix para entregar NetSupport rata y obtener acceso no autorizado al sistema, filtrar datos e implementar malware adicional.
• Usando URI de redireccionamiento de registro de aplicaciones de Microsoft («iniciar sesión.microsoftonline[.]com») en correos electrónicos de phishing para abusar de las relaciones de confianza y evitar los filtros de spam de correo electrónico para redirigir a los usuarios a sitios web de phishing que capturan las credenciales de las víctimas y los códigos 2FA.
• Abusar de lo legítimo Servicios de reescritura de URL de Avanan, Barracuda, Bitdefender, Cisco, INKY, Mimecast, Proofpoint, Sophos y Trend Micro para ocultar URL maliciosas en correos electrónicos de phishing evade la detección. «Los actores de amenazas han adoptado cada vez más la redirección encadenada de múltiples proveedores en sus campañas de phishing», dijo LevelBlue. «La actividad anterior normalmente dependía de un único servicio de reescritura, pero las campañas más nuevas acumulan múltiples capas de enlaces ya reescritos. Este anidamiento hace que sea significativamente más difícil para las plataformas de seguridad reconstruir la ruta de redireccionamiento completa e identificar el destino malicioso final».
• Usando archivos ZIP maliciosos haciéndose pasar por una amplia gama de software, incluidos generadores de imágenes de inteligencia artificial (IA), herramientas de cambio de voz, utilidades de negociación del mercado de valores, modificaciones de juegos, VPN y emuladores, para entregar Salat Stealer o MeshAgent, junto con un minero de criptomonedas. La campaña se ha dirigido específicamente a usuarios de EE. UU., Reino Unido, India, Brasil, Francia, Canadá y Australia.
• Usando señuelos de invitación digitales enviado a través de correos electrónicos de phishing para desviar a los usuarios a una página CAPTCHA falsa de Cloudflare que entrega un VBScript, que luego ejecuta código PowerShell para recuperar un cargador .NET evasivo denominado SILENTCONNECT desde Google Drive para eventualmente entregar ScreenConnect.

Los hallazgos se producen tras un aumento en la adopción de RMM por parte de los actores de amenazas, y el abuso de dichas herramientas aumentó un 277% año tras año, según un informe reciente publicado por Huntress.

«Como estas herramientas son utilizadas por departamentos de TI legítimos, normalmente se pasan por alto y se consideran ‘confiables’ en la mayoría de los entornos corporativos», dijeron los investigadores de Elastic Security Labs, Daniel Stepanic y Salim Bitam. «Las organizaciones deben permanecer alerta y auditar sus entornos para detectar el uso no autorizado de RMM».

Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con alto valor de inteligencia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI). dicho Viernes.

«La campaña está dirigida a personas de alto valor en inteligencia, incluidos funcionarios actuales y anteriores del gobierno estadounidense, personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel. dicho en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en acceso no autorizado a miles de cuentas individuales. Después de obtener acceso, los actores pueden ver mensajes y listas de contactos, enviar mensajes como víctima y realizar phishing adicional desde una identidad confiable».

CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.

Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).

En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.

«Estos ataques, cuando tienen éxito, pueden permitir que actores maliciosos accedan a historiales de conversaciones o incluso tomen el control de las cuentas de mensajería de sus víctimas y envíen mensajes haciéndose pasar por ellas», C4 dicho.

El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.

Como alertaron recientemente las agencias de ciberseguridad de Alemania y Países Bajos, el ataque implica el adversario se hace pasar por «Soporte de señales» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, el esquema de ingeniería social permite a los actores de amenazas obtener acceso a la cuenta CMA de la víctima.

Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:

• Si la víctima opta por proporcionar el PIN o el código de verificación al actor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el actor de la amenaza no puede acceder a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y enviar mensajes a otros haciéndose pasar por la víctima.
• Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole acceder a todos los mensajes, incluidos los enviados en el pasado. En este escenario, la víctima sigue teniendo acceso a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.

Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartir su Código SMS o PIN de verificación con cualquier personatenga cuidado al recibir mensajes inesperados de contactos desconocidos, verifique los enlaces antes de hacer clic en ellos y revise periódicamente los dispositivos vinculados y elimine aquellos que parezcan sospechosos.

«Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», Signal dicho en una publicación en X a principios de este mes.

«Para ayudar a prevenir esto, recuerde que su código de verificación por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* iniciará contacto a través de mensajes dentro de la aplicación, SMS o redes sociales para solicitar su código de verificación o PIN. Si alguien solicita algún código relacionado con Signal, es una estafa».