Autoridades de 21 países derribaron 53 dominios y arrestaron a cuatro personas presuntamente involucradas en operaciones distribuidas de denegación de servicio utilizado por más de 75.000 ciberdelincuentes, dijo Europol el jueves.

El esfuerzo coordinado globalmente denominado “Operación Apagado«Interrumpió los servicios de arranque y confiscó y desmanteló la infraestructura, incluidos servidores y bases de datos, que respaldaban los servicios de alquiler de DDoS, dijeron los funcionarios.

Los organismos encargados de hacer cumplir la ley obtuvieron datos sobre más de 3 millones de cuentas de usuarios presuntamente delincuentes de las bases de datos incautadas y, finalmente, enviaron más de 75.000 correos electrónicos y cartas a los participantes, advirtiéndoles que detuvieran sus actividades.

Los funcionarios de los países involucrados en la operación también cumplieron 25 órdenes de registro, eliminaron más de 100 URL que anunciaban servicios de alquiler de DDoS en los resultados de los motores de búsqueda y crearon anuncios en motores de búsqueda dirigidos a jóvenes que buscaban herramientas de alquiler de DDoS.

La operación, que está en curso, apunta principalmente a factores estresantes de IP o iniciadores DDoS que los ciberdelincuentes utilizan para inundar sitios web, servidores y redes con tráfico basura, haciendo que los servicios legítimos sean inaccesibles.

Los funcionarios describieron las herramientas de alquiler de DDoS como prolíficas y de fácil acceso, y a menudo incluyen tutoriales que permiten a personas sin conocimientos de tecnología iniciar ataques contra diversas organizaciones.

«Los ataques suelen tener un enfoque regional, y los usuarios apuntan a servidores y sitios web dentro de su continente, y están dirigidos a una amplia gama de objetivos, incluidos mercados en línea, proveedores de telecomunicaciones y otros servicios basados ​​en la web», dijo Europol en un comunicado de prensa. «Las motivaciones varían desde la curiosidad hasta propósitos ideológicos vinculados al hacktivismo, así como ganancias financieras a través de la extorsión o la interrupción de los servicios de los competidores».

Operation PowerOFF cuenta con el apoyo de múltiples agencias policiales de Estados Unidos, Reino Unido, Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Noruega, Polonia, Portugal, Suecia y Tailandia.

La represión internacional interrumpió otros servicios populares de alquiler de DDoS a finales de 2024, provocando tres arrestos y 27 retiradas de dominios. En mayo, las autoridades de Polonia arrestaron a cuatro presuntos administradores de herramientas de alquiler DDoS que los ciberdelincuentes utilizaron para lanzar miles de ataques entre 2022 y 2025.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña que se ha dirigido a gobiernos e instituciones sanitarias municipales, principalmente clínicas y hospitales de emergencia, para entregar malware capaz de robar datos confidenciales de navegadores web basados ​​en Chromium y WhatsApp.

La actividad, que se observó entre marzo y abril de 2026, se ha atribuido a un grupo de amenazas denominado UAC-0247. Los orígenes de la campaña se desconocen actualmente.

Según CERT-UA, el punto de partida de la cadena de ataque es un mensaje de correo electrónico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web legítimo comprometido a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio falso creado con la ayuda de herramientas de inteligencia artificial (IA).

Independientemente de cuál sea el sitio, el objetivo es descargar y ejecutar un archivo de acceso directo de Windows (LNK), que luego ejecuta una aplicación HTML remota (HTA) usando la utilidad nativa de Windows, «mshta.exe». El archivo HTA, por su parte, muestra una forma de señuelo para desviar la atención de la víctima, al mismo tiempo que recupera un binario responsable de inyectar código shell en un proceso legítimo (por ejemplo, «runtimeBroker.exe»).

«Al mismo tiempo, las campañas recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y la carga útil final se comprime y cifra adicionalmente», dijo CERT-UA.

Uno de los etapas es una herramienta llamada TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexión TCP con un servidor de administración para recibir comandos para su ejecución en el host usando «cmd.exe».

También se descarga en la máquina infectada una familia de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, actualizar automáticamente la configuración y obtener la dirección IP actual del servidor de administración de un canal de Telegram, y recurrir a mecanismos alternativos para determinar la dirección de comando y control (C2).

Desarrollado con C#, AGINGFLY está diseñado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas útiles adicionales.

Una investigación de alrededor de una docena de incidentes ha revelado que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados ​​en Chromium. Estose logra mediante la implementación de varias herramientas de código abierto, como las que se enumeran a continuación:

• ChromElevator, un programa diseñado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chromium y recopilar cookies y contraseñas guardadas
• ZAPiXDESKuna herramienta de extracción forense para descifrar bases de datos locales para WhatsApp Web
• ÓxidoScanun escáner de red
• Ligolo-Ng, una utilidad ligera para establecer túneles a partir de conexiones TCP/TLS inversas
• Cinceluna herramienta para tunelizar el tráfico de red a través de TCP/UDP
• XMRig, un minero de criptomonedas

La agencia dijo que hay evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania también podrían haber sido atacados como parte de la campaña. Esto se basa en la distribución de archivos ZIP maliciosos a través de Signal que están diseñados para eliminar AGINGFLY mediante la técnica de carga lateral de DLL.

Para mitigar el riesgo asociado con la amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, junto con utilidades legítimas como «mshta.exe», «powershell.exe» y «wscript.exe».

Según ReliaQuest, un pequeño grupo de antiguos afiliados de Black Basta ha atacado a más de 100 empleados en docenas de organizaciones para invadir los sistemas de red y potencial robo de datos, implementación de ransomware y extorsión.

La campaña de ingeniería social, que implica bombardeos masivos de correos electrónicos y suplantación de la mesa de ayuda de Microsoft Teams, aumentó el mes pasado y se remonta al menos a mayo de 2025, dijo ReliaQuest en un informe el martes.

Los atacantes se han dirigido principalmente a los altos directivos para obtener un acceso altamente privilegiado. «Aproximadamente tres cuartas partes de los usuarios objetivo eran ejecutivos, directores, gerentes o roles similares de alto valor», dijeron a CyberScoop por correo electrónico los investigadores que trabajaron en el informe.

Los ciberdelincuentes involucrados en Black Basta, una rama de Conti, se dispersaron después de que los registros de chat internos del grupo de amenazas se filtraran en línea en febrero de 2025, proporcionando a los investigadores de amenazas y a las autoridades detalles clave sobre las operaciones del grupo.

La policía alemana identificó públicamente en enero a Oleg Evgenievich Nefedov, un ciudadano ruso, como el presunto líder de Black Basta. Nefedov, un hombre de 35 años que posteriormente fue incluido en las listas de los más buscados Europol y Interpolsupuestamente formó y dirigió Black Basta desde 2022, dijeron las autoridades.

Se le acusa de extorsionar a más de 100 empresas en Alemania y alrededor de 600 países más en todo el mundo.

ReliaQuest dijo que la campaña observada recientemente comparte muchas similitudes con la actividad anterior de Black Basta y sigue el mismo manual (herramientas, orientación y estilo de ejecución) asociado con el otrora prolífico grupo de ransomware.

«Eso incluye el uso repetido de herramientas de acceso remoto, una fuerte concentración en sectores históricamente favorecidos por Black Basta y un nivel de velocidad y coordinación que sugiere que los operadores experimentados están basándose en un manual que ya saben que funciona», dijeron los investigadores.

«Tenemos cuidado de no tratar ningún artefacto en particular como prueba definitiva, pero en conjunto, las similitudes son lo suficientemente fuertes como para evaluar que es muy probable que estén involucrados antiguos afiliados u operadores estrechamente alineados», agregaron los investigadores de ReliaQuest.

El sitio de filtración de datos de Black Basta se cerró poco después de que se filtraran sus chats internos el año pasado, pero los ciberdelincuentes no capturados generalmente se dispersan y se unen a nuevos grupos después de un desmantelamiento o disolución. Los cazadores de amenazas advirtieron que los ex miembros todavía estaban apuntando activamente a víctimas adicionales a principios de este año.

ReliaQuest publicó su informe, que incluye indicadores de compromiso, después de observar un aumento particularmente pronunciado en la actividad en marzo, señalando que el objetivo del grupo se centraba más en los empleados de alto nivel.

«Los operadores se están moviendo muy rápidamente, con partes del flujo de trabajo volviéndose más automatizadas o altamente optimizadas, lo que hace que la campaña sea más fácil de escalar y más difícil para los defensores interrumpirla antes de que se establezca el acceso remoto», dijeron los investigadores.

Los cinco principales sectores objetivo de los recientes ataques al estilo Black Basta incluyen la manufactura, los servicios profesionales, las finanzas y seguros, la construcción y la tecnología, según ReliaQuest.

Los atacantes suelen bombardear a los empleados objetivo con cientos de correos electrónicos en cuestión de minutos y luego contactan a los usuarios objetivo, haciéndose pasar por el soporte de TI a través de mensajes directos en Microsoft Teams o una llamada telefónica. ReliaQuest dijo que ha observado que algunos atacantes logran acceso remoto minutos después de la primera señal de una bomba de correo electrónico.

Los investigadores no dijeron cuántas organizaciones han sido invadidas con éxito como resultado de esta campaña hasta el momento.

Si bien la extorsión parece ser el objetivo más probable, ReliaQuest advirtió que no se debe asumir que cada ataque resulta en cifrado de ransomware.

«Según lo que hemos observado, la cadena de intrusión está diseñada para obtener acceso rápidamente, comprender el entorno y crear opciones para la monetización posterior», dijeron los investigadores. «Eso podría conducir al robo de datos, la extorsión sin cifrado o la implementación de ransomware, dependiendo de la víctima y la oportunidad».

OpenAI actualizó sus certificados de seguridad y exige que todos los usuarios de macOS actualicen a las últimas versiones después de determinar que sus productos, junto con muchos otros, eran afectado por una cadena de suministro generalizada ataque que infectó brevemente una popular biblioteca de código abierto a finales de marzo, dijo la compañía en una publicación de blog el viernes.

El proveedor de inteligencia artificial dijo que «no encontró evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan estado comprometidos, o de que nuestro software haya sido alterado».

Sin embargo, debido a que un flujo de trabajo de GitHub que la empresa utiliza para firmar certificados para aplicaciones macOS descargó y ejecutó una versión maliciosa de Axios, la empresa está tratando el certificado que pronto desaparecerá como comprometido.

Un grupo de hackers norcoreano inyectó malware en dos versiones de Axios después de que comprometió la computadora del mantenedor principal a través de ingeniería social y se hizo cargo de sus cuentas de npm y GitHub. Jason Saayman, el principal responsable de mantenimiento de Axios, dijo que las versiones maliciosas del software estuvieron activas durante unas tres horas antes de eliminarlas.

Google Threat Intelligence Group, que rastrea el grupo de amenazas como UNC1069, dijo que el impacto del ataque fue amplio con efectos dominó potencialmente exponiendo otros paquetes populares. Las bibliotecas de JavaScript fluyen hacia el software dependiente a través de más de 100 millones y 83 millones de descargas semanales.

El ataque se descubrió pocas semanas después de que UNC6780, también conocido como TeamPCP, comprometiera una serie de otras herramientas de código abierto, incluido Trivy, lo que resultó en agresivos intentos de extorsión.

OpenAI insiste en que el malware que infectó a Axios no afectó directamente a su certificado, que está diseñado para ayudar a los clientes a confirmar que están descargando software legítimo.

«El certificado de firma presente en este flujo de trabajo probablemente no fue filtrado con éxito por la carga útil maliciosa debido al momento de ejecución de la carga útil, la inyección del certificado en el trabajo, la secuenciación del trabajo en sí y otros factores atenuantes», dijo la compañía en la publicación del blog. «Sin embargo, por precaución, estamos tratando el certificado como comprometido y lo estamos revocando y rotando».

Las versiones anteriores de las aplicaciones macOS de OpenAI pueden perder funcionalidad y ya no serán compatibles cuando el certificado se revoque por completo el 8 de mayo, dijo la compañía.

OpenAI, que contrató a una empresa externa de análisis forense digital y respuesta a incidentes para ayudar en su investigación y respuesta, identificó la causa principal del problema de seguridad en una mala configuración en su flujo de trabajo de GitHub. La compañía dijo que corrigió ese error y trabajó con Apple para garantizar que las aplicaciones fraudulentas que se hacen pasar por OpenAI no puedan usar el certificado afectado.

La ventana de 30 días está diseñada para minimizar las interrupciones para los usuarios, pero OpenAI dijo que acelerará el plazo de revocación si identifica alguna actividad maliciosa. La compañía no respondió de inmediato a una solicitud de comentarios.

El actor de amenazas ruso conocido como APT28 (también conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campaña de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en código. PRISMEX.

«PRISMEX combina esteganografía avanzada, secuestro del modelo de objetos componentes (COM) y abuso legítimo de servicios en la nube para comando y control», afirman los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. dicho en un informe técnico. Se cree que la campaña está activa desde al menos septiembre de 2025.

La actividad se ha centrado en varios sectores de Ucrania, incluidos los órganos ejecutivos centrales, la hidrometeorología, la defensa y los servicios de emergencia, así como la logística ferroviaria (Polonia), marítima y de transporte (Rumania, Eslovenia, Turquía), y socios de apoyo logístico involucrados en iniciativas de municiones (Eslovaquia, República Checa), y socios militares y de la OTAN.

La campaña se destaca por la rápida utilización como arma de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de interés, y la preparación de la infraestructura se observó el 12 de enero de 2026, exactamente dos semanas antes de que la primera se revelara públicamente.

A finales de febrero de 2025, Akamai también reveló que APT28 pudo haber convertido a CVE-2026-21513 en un arma como un día cero basado en un exploit de acceso directo de Microsoft (LNK) que se cargó en VirusTotal el 30 de enero de 2026, mucho antes de que el fabricante de Windows lanzara una solución como parte de su actualización del martes de parches el 10 de febrero de 2026.

Este patrón de explotación de día cero indica que el actor de la amenaza tenía conocimiento avanzado de las vulnerabilidades antes de que Microsoft las revelara.

Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio «wellnesscaremed[.]com.» Este punto en común, combinado con el momento de los dos exploits, ha planteado la posibilidad de que los actores de la amenaza estén encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada cadena de ataque de dos etapas.

«La primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas útiles sin advertencias para el usuario», teorizó Trend Micro.

Los ataques culminan con el despliegue de cualquiera de los dos MiniDoor, un ladrón de correo electrónico de Outlook, o una colección de componentes de malware interconectados conocidos colectivamente como PRISMEX, llamado así por el uso de una técnica esteganográfica para ocultar cargas útiles dentro de archivos de imágenes. Estos incluyen –

• PrismexHojaun dropper malicioso de Excel con macros VBA que extrae cargas útiles incrustadas en el archivo mediante esteganografía, establece persistencia a través de secuestro de COMy muestra un documento señuelo relacionado con las listas de inventario de drones y los precios de los drones después de habilitar las macros.
• PrismexDropun cuentagotas nativo que prepara el entorno para una explotación posterior y utiliza tareas programadas y secuestro de DLL COM para lograr persistencia.
• Cargador Prismex (también conocido como PixyNetLoader), una DLL proxy que extrae la carga útil .NET de la siguiente etapa dispersa en la estructura de archivos de una imagen PNG («SplashScreen.png») utilizando un algoritmo personalizado «Bit Plane Round Robin» y lo ejecuta completamente en la memoria.
• PrismexStagerun implante COVENANT Grunt que abusa del almacenamiento en la nube Filen.io para C2.

Vale la pena mencionar aquí que algunos aspectos de la campaña fueron documentados previamente por Zscaler ThreatLabz bajo el nombre de Operación Neusploit.

El uso de COVENANT por parte de APT28, un marco de comando y control (C2) de código abierto, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025. Se considera que PrismexStager es una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), una puerta trasera de Microsoft Outlook implementada por el grupo de hackers a finales de 2025.

En al menos un incidente ocurrido en octubre de 2025, se descubrió que la carga útil COVENANT Grunt no solo facilitaba la recopilación de información, sino que también ejecutaba un comando de limpieza destructivo que borra todos los archivos del directorio «%USERPROFILE%». Esta doble capacidad da peso a la hipótesis de que estas campañas podrían diseñarse tanto para el espionaje como para el sabotaje.

«Esta operación demuestra que Pawn Storm sigue siendo uno de los grupos de intrusión más agresivos alineados con Rusia», afirmó Trend Micro. «El patrón de objetivos revela una intención estratégica de comprometer la cadena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la OTAN».

«El enfoque estratégico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio hacia una interrupción operativa que puede presagiar actividades más destructivas».

Atacantes patrocinados por el Estado ruso comprometieron más de 18.000 enrutadores repartidos en más de 120 países para obtener un acceso más profundo a redes sensibles para una campaña de espionaje a gran escala antes de que fuera neutralizada recientemente, dijeron investigadores y autoridades el martes.

Forest Blizzard, también conocido como APT28 y Fancy Bear, aprovechó vulnerabilidades conocidas para robar credenciales de miles de enrutadores TP-Link globalmente. El grupo de amenazas, que se atribuye a la Unidad Militar 26165 de la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia, secuestró la configuración del sistema de nombres de dominio y robó credenciales y tokens adicionales a través del tráfico redirigido, dijo el Departamento de Justicia.

El grupo de amenazas estableció una extensa red de espionaje mediante sistemas intrusos de más de 200 organizacionesafectando al menos a 5.000 dispositivos de consumo, dijo Microsoft Threat Intelligence en un informe.

Operación Mascarada, una operación de derribo colaborativa dirigida por el FBI, con la ayuda de fiscales federales, la sección Cibernética de Seguridad Nacional de la División de Seguridad Nacional, Laboratorios del Loto Negro de Lumen y Microsoft Threat Intelligence, implicó una serie de comandos diseñados para restablecer la configuración de DNS y evitar que el grupo de amenazas explote aún más su medio de acceso inicial.

«Los actores del GRU comprometieron enrutadores en Estados Unidos y en todo el mundo, secuestrándolos para realizar espionaje. Dada la escala de esta amenaza, hacer sonar la alarma no fue suficiente», dijo en un comunicado Brett Leatherman, subdirector de la división cibernética del FBI. «El FBI llevó a cabo una operación autorizada por el tribunal para reforzar los enrutadores comprometidos en todo Estados Unidos».

La campaña generalizada de Forest Blizzard involucró ataques de adversario intermedio contra dominios que imitaban servicios legítimos, incluido Microsoft Outlook Web Access. Esto permitió a los atacantes interceptar contraseñas, tokens de OAuth, credenciales de cuentas de Microsoft y otros servicios y contenido alojado en la nube.

Microsoft insiste en que los activos o servicios de propiedad de la empresa no se vieron comprometidos como parte de la campaña.

El grupo de amenazas apuntó a dispositivos de borde de red, incluidos enrutadores TP-Link y MicroTik, de manera oportunista antes de identificar objetivos sensibles de interés de inteligencia para el gobierno ruso, incluidas personas en los sectores militar, gubernamental y de infraestructura crítica.

Las víctimas, según los investigadores, incluyen agencias gubernamentales y organizaciones de los sectores de TI, telecomunicaciones y energía. Lumen identificó a otras víctimas asociadas con el gobierno de Afganistán y otras vinculadas con asuntos exteriores y agencias nacionales de aplicación de la ley en el norte de África, América Central y el sudeste asiático. La plataforma de identidad nacional de un país europeo anónimo también se vio afectada, dijo la compañía.

Lumen no encontró evidencia de ninguna agencia gubernamental estadounidense comprometida como parte de esta campaña, pero advirtió que la actividad representa una grave amenaza a la seguridad nacional.

Si bien el alcance total de los logros de Forest Blizzard sigue bajo investigación, los investigadores confían en que la difusión de información confidencial se ha detenido.

«La campaña ha cesado», dijo a CyberScoop Danny Adamitis, distinguido ingeniero de Black Lotus Labs. «Hemos observado una disminución gradual en las comunicaciones asociadas con esta infraestructura durante las últimas semanas».

Lumen dijo que observó una explotación generalizada de enrutadores y redirección de DNS a partir de agosto, el día después de que el Centro Nacional de Seguridad Cibernética del Reino Unido publicara un informe de análisis de malware sobre una herramienta utilizada para robar credenciales de Microsoft Office. El NCSC del Reino Unido publicó el martes detalles sobre La campaña de secuestro de DNS de APT28incluidos indicadores de compromiso.

El Departamento de Justicia y el FBI, actuando por orden judicial, remediaron los enrutadores comprometidos en los Estados Unidos después de recopilar evidencia sobre la actividad de Forest Blizzard. El FBI dijo que el GRU de Rusia utilizó enrutadores propiedad de estadounidenses en más de 23 estados para robar información confidencial gubernamental, militar y de infraestructura crítica.

El actor de amenazas vinculado a Rusia conocido como APT28 (también conocido como Forest Blizzard) ha sido vinculado a una nueva campaña que ha comprometido enrutadores inseguros MikroTik y TP-Link y ha modificado su configuración para convertirlos en infraestructura maliciosa bajo su control como parte de una campaña de ciberespionaje desde al menos mayo de 2025.

La campaña de explotación a gran escala ha sido nombre en clave FrostArmada por Black Lotus Labs de Lumen, con Microsoft describiendo como un esfuerzo por explotar dispositivos de Internet vulnerables en hogares y pequeñas oficinas (SOHO) para secuestrar el tráfico DNS y permitir la recopilación pasiva de datos de red.

«Su técnica modificó la configuración de DNS en los enrutadores comprometidos para secuestrar el tráfico de la red local para capturar y exfiltrar las credenciales de autenticación», dijo Black Lotus Labs en un informe compartido con The Hacker News.

«Cuando un usuario solicitó dominios específicos, el actor redirigió el tráfico a un nodo de atacante intermedio (AitM), donde esas credenciales fueron recolectadas y exfiltradas. Este enfoque permitió un ataque casi invisible que no requirió interacción por parte del usuario final».

La infraestructura asociada con la campaña ha sido interrumpida y desconectada como parte de una operación conjunta en colaboración con el Departamento de Justicia de EE. UU., la Oficina Federal de Investigaciones y otros socios internacionales.

Se estima que la actividad comenzó en mayo de 2025 con una capacidad limitada, seguida de una explotación generalizada de enrutadores y una redirección de DNS a partir de principios de agosto. En su punto máximo en diciembre de 2025, se encontraron más de 18.000 direcciones IP únicas de no menos de 120 países comunicándose con la infraestructura APT28.

Estos esfuerzos se centraron principalmente en agencias gubernamentales, como ministerios de relaciones exteriores, fuerzas del orden y proveedores externos de servicios de nube y correo electrónico en países del norte de África, Centroamérica, el sudeste asiático y Europa.

El equipo de Microsoft Threat Intelligence, en su análisis de la campaña, atribuyó la actividad a APT28 y su subgrupo rastreado como Storm-2754. El gigante tecnológico dijo que identificó más de 200 organizaciones y 5.000 dispositivos de consumo afectados por la infraestructura DNS maliciosa del actor de amenazas.

«Para los actores de los estados-nación como Forest Blizzard, el secuestro de DNS permite una visibilidad y un reconocimiento a escala persistente y pasivo», dijo Redmond. «Al comprometer los dispositivos de borde que están aguas arriba de objetivos más grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales».

La actividad de secuestro de DNS también ha facilitado los ataques AitM que hicieron posible facilitar el robo de contraseñas, tokens OAuth y otras credenciales para servicios web y relacionados con el correo electrónico, poniendo a las organizaciones en riesgo de sufrir un compromiso más amplio.

El desarrollo marca la primera vez que se observa que el colectivo adversario utiliza el secuestro de DNS a escala para admitir conexiones AiTM de Transport Layer Security (TLS) después de explotar dispositivos de borde, agregó Microsoft.

En un nivel alto, la cadena de ataque implica que APT28 obtenga acceso administrativo remoto a dispositivos SOHO y cambie las configuraciones de red predeterminadas para usar solucionadores de DNS bajo su control. La reconfiguración maliciosa hace que los dispositivos envíen sus solicitudes de DNS a servidores controlados por actores.

Esto, a su vez, hace que el servidor DNS malicioso resuelva las búsquedas de DNS para aplicaciones de correo electrónico o páginas de inicio de sesión. Luego, el actor de amenazas intenta realizar ataques AitM contra esas conexiones para robar las credenciales de las cuentas de los usuarios engañando a las víctimas para que se conecten a una infraestructura maliciosa.

Algunos de estos dominios están asociados con Microsoft Outlook en la web. Microsoft dijo que también identificó actividad de AitM dirigida a servidores no alojados por Microsoft en al menos tres organizaciones gubernamentales en África.

«Se cree que las operaciones de secuestro de DNS son de naturaleza oportunista, ya que el actor obtiene visibilidad de un gran grupo de usuarios objetivo candidatos y luego filtra a los usuarios en cada etapa de la cadena de explotación para clasificar a las víctimas de probable valor de inteligencia», dijo el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) dicho.

Se dice que APT28 aprovechó los enrutadores TP-Link WR841N para sus operaciones de envenenamiento de DNS probablemente aprovechando CVE-2023-50224 (Puntuación CVSS: 6,5), una vulnerabilidad de omisión de autenticación que podría usarse para extraer credenciales almacenadas a través de solicitudes HTTP GET especialmente diseñadas.

Se ha descubierto que un segundo grupo de servidores recibe solicitudes de DNS a través de enrutadores comprometidos y posteriormente las reenvía a servidores remotos propiedad de los actores. También se considera que este grupo ha participado en operaciones interactivas dirigidas a un pequeño número de enrutadores MikroTik ubicados en Ucrania.

«El secuestro de DNS de Forest Blizzard y la actividad AitM permiten al actor realizar recopilación de DNS en organizaciones sensibles en todo el mundo y es consistente con el mandato de larga data del actor de recopilar espionaje contra objetivos de inteligencia prioritarios», dijo Microsoft.

«Aunque sólo hemos observado que Forest Blizzard utiliza su campaña de secuestro de DNS para recopilar información, un atacante podría utilizar una posición AiTM para obtener resultados adicionales, como la implementación de malware o la denegación de servicio».

Un juez federal condenó al fabricante de stalkerware pcTattleTale, que cerró después de una violación de datos, a liberación supervisada y una multa de 5.000 dólares.

Bryan Fleming se declaró culpable en enero de un cargo de fabricación, posesión o venta intencional de un dispositivo a sabiendas de que se utilizaría principalmente para la interceptación subrepticia de comunicaciones. El viernes, un juez dictó la sentencia de Fleming.

Fue la primera condena por stalkerware desde 2014, cuando el fabricante de StealthGenie se declaró culpable y tampoco cumplió condena en prisión, sino que recibió una condena. Multa de 500.000 dólares de la corte.

Según el acuerdo de culpabilidad de Fleming, su actividad incriminatoria comenzó ya en 2017, como propietario de Fleming Technologies LLC.

«El software del demandado permitió a los compradores monitorear de forma encubierta y remota las actividades informáticas y del teléfono celular de la víctima, incluidos mensajes de texto, correos electrónicos, llamadas telefónicas, ubicación geográfica y navegación web», establece el acuerdo. «El acusado comenzó a anunciar directamente su software de espionaje a personas que querían espiar a sus cónyuges o parejas sin su conocimiento».

Continuó: «El software de espionaje del acusado creó de manera encubierta un video cada vez que se usaba el dispositivo de la víctima, que capturaba toda la actividad que ocurría en el dispositivo. La persona que monitoreaba el dispositivo podía iniciar sesión en un panel remoto y monitorear la actividad en el dispositivo de la víctima».

Un agente encubierto de Investigaciones de Seguridad Nacional, una división del Servicio de Inmigración y Control de Aduanas de EE. UU., se hizo pasar por un afiliado de marketing y cliente para comunicarse con Fleming, según un acusación 2022.

pcTattletale salió del negocio en 2024 tras sufrir una filtración de datos. Los investigadores han descubierto que las aplicaciones de stalkerware a menudo no protegen la información personal recopilada durante su uso.

Un abogado de Fleming no respondió de inmediato a una solicitud de comentarios el lunes por la mañana.

La deriva tiene reveló que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de dólares fue la culminación de una operación de ingeniería social selectiva y meticulosamente planificada de meses de duración emprendida por la República Popular Democrática de Corea (RPDC) que comenzó en el otoño de 2025.

El intercambio descentralizado con sede en Solana lo describió como «un ataque que lleva seis meses en desarrollo», y lo atribuyó con confianza media a un grupo de piratería patrocinado por el estado de Corea del Norte llamado UNC4736que también se rastrea bajo los ciptónimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es más conocido por la violación de la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de 53 millones de dólares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante en octubre de 2024.

«La base de esta conexión es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operación se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)», dijo Drift en un análisis del domingo.

En una evaluación publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describió a Golden Chollima como una rama de Labyrinth Chollima que está orientada principalmente al robo de criptomonedas y apunta a pequeñas empresas de tecnología financiera en EE. UU., Canadá, Corea del Sur, India y Europa occidental.

«El adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo más consistente, lo que sugiere la responsabilidad de garantizar la generación de ingresos básicos para el régimen de la RPDC», dijo CrowdStrike. «A pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales».

En al menos un incidente observado a finales de 2024, UNC4736 entregó paquetes Python maliciosos mediante un plan de contratación fraudulento a una empresa europea de tecnología financiera. Al obtener acceso, el actor de amenazas se movió lateralmente al entorno de nube de la víctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en última instancia, desvió los activos de criptomonedas a billeteras controladas por el adversario.

Cómo probablemente se desarrolló el ataque a la deriva

Drift, que está trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una «operación de inteligencia estructurada» que requirió meses de planificación.

A partir del otoño de 2025 o alrededor de esa fecha, personas que se hacían pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relación con contribuyentes específicos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios países durante un período de seis meses.

«Los individuos que aparecieron en persona no eran ciudadanos norcoreanos», explicó Drift. «Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara».

«Eran técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Se estableció un grupo de Telegram en la primera reunión, y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas comerciales interactúan y se incorporan a Drift».

Luego, en algún momento entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, un paso que requirió completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con múltiples contribuyentes, les hicieron «preguntas detalladas e informadas sobre el producto», mientras depositaban más de $ 1 millón de sus propios fondos.

Esto, dijo Drift, fue un movimiento calculado diseñado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integración que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluyó compartir enlaces para proyectos, herramientas y aplicaciones que la compañía afirmó estar desarrollando.

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la vía de infección inicial adquirió importancia tras el ataque del 1 de abril. Pero como reveló Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurrió el ataque.

Se sospecha que puede haber dos vectores de ataque principales:

• Es posible que un colaborador se haya visto comprometido después de clonar un repositorio de código compartido por el grupo como parte de los esfuerzos para implementar una interfaz para su bóveda.
• Se convenció a un segundo colaborador para que descargara un producto de billetera a través de TestFlight de Apple para realizar una prueba beta de la aplicación.

Se considera que el vector de intrusión basado en repositorio involucró un proyecto malicioso de Microsoft Visual Studio Code (VS Code) que utiliza el archivo «tasks.json» como arma para desencadenar automáticamente la ejecución de código malicioso en el proyecto en el IDE mediante el uso de la opción «runOn:folderOpen».

Vale la pena señalar que esta técnica ha sido adoptado por los actores de amenazas norcoreanos asociados con la campaña Contagious Interview desde diciembre de 2025, lo que llevó a Microsoft a introducir nuevos controles de seguridad en las versiones 1.109 y 1.110 de VS Code para evitar la ejecución involuntaria de tareas al abrir un espacio de trabajo.

«La investigación ha demostrado hasta ahora que los perfiles utilizados en esta operación dirigida por terceros tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales», dijo Drift. «Las personas que los colaboradores de Drift conocieron en persona parecían haber pasado meses creando perfiles, tanto personales como profesionales, que pudieran resistir el escrutinio durante una relación comercial o de contraparte».

El ecosistema de malware fragmentado de Corea del Norte

La divulgación se produce cuando DomainTools Investigations (DTI) reveló que el aparato cibernético de la RPDC ha evolucionado hasta convertirse en un ecosistema de malware «deliberadamente fragmentado» que está impulsado por una misión, operativamente resiliente y resistente a los esfuerzos de atribución. Se cree que este cambio es una respuesta a las acciones policiales y a las revelaciones de inteligencia sobre las campañas de piratería informática de Corea del Norte.

«El desarrollo y las operaciones de malware están cada vez más compartimentados, tanto técnica como organizativamente, lo que garantiza que la exposición en un área de la misión no se extienda a todo el programa», dijo DTI. dicho. «Lo más importante es que este modelo también maximiza la ambigüedad. Al separar las herramientas, la infraestructura y los patrones operativos según las líneas de la misión, la RPDC complica la atribución y ralentiza la toma de decisiones de los defensores».

Con ese fin, DomainTools señaló que el malware orientado al espionaje de la RPDC está asociado principalmente con Kimsuky, mientras que Lazarus Group encabeza los esfuerzos para generar ingresos ilícitos para el régimen, transformándose en un «pilar central» para la evasión de sanciones. La tercera vía gira en torno a la implementación de ransomware y malware de limpieza con fines de señalización estratégica y llamar la atención sobre sus capacidades. Esta rama disruptiva está asociada a Andariel.

La ingeniería social detrás de las entrevistas contagiosas y el fraude de los trabajadores de TI

La ingeniería social y el engaño siguen siendo los principales catalizadores de muchas de las intrusiones que se han atribuido a los actores amenazadores de la RPDC. Esto incluye el reciente compromiso de la cadena de suministro del enormemente popular paquete npm, Axios, así como campañas en curso como Contagious Interview y fraude a los trabajadores de TI.

Entrevista contagiosa es el apodo asignado a una amenaza de larga duración en la que el adversario se acerca a posibles objetivos y los engaña para que ejecuten código malicioso desde un repositorio falso como parte de una evaluación. Algunos de estos esfuerzos han utilizado proyectos Node.js armados alojados en GitHub para desplegar una puerta trasera de JavaScript llamada DEV#POPPER RAT y un ladrón de información conocido como OmniStealer.

Por otro lado, Fraude de trabajadores de TI de la RPDC se refiere a esfuerzos coordinados por agentes norcoreanos para Consiga puestos remotos independientes y de tiempo completo en empresas occidentales que utilizan identidades robadas, Personas generadas por IAy credenciales falsificadas. Una vez contratados, generan ingresos constantes y aprovechan el acceso para introducir malware y desviar información confidencial y de propiedad exclusiva. En algunos casos, los datos robados se utilizan para extorsionar a las empresas.

El programa patrocinado por el estado despliega miles de trabajadores técnicamente capacitados en países como China y Rusia, que se conectan a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles en los EE. UU. y otros lugares. El plan también se basa en una red de facilitadores para recibir computadoras portátiles de trabajo, administrar la nómina y manejar la logística. Estos facilitadores son contratados a través de empresas fantasma.

El proceso comienza con los reclutadores que identifican y seleccionan candidatos potenciales. Una vez aceptados, los trabajadores de TI ingresan a una fase de incorporación, donde los facilitadores asignan identidades y perfiles, y los guían a través de actualizaciones de currículum, preparación de entrevistas y solicitudes iniciales de empleo. Los actores de amenazas también trabajan con colaboradores para completar los requisitos de contratación para oportunidades de tiempo completo donde se aplican estrictas políticas de verificación de identidad.

Como señaló Chainalysis, las criptomonedas juega un papel central en canalizar la mayoría de los salarios generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte mientras evaden las sanciones internacionales.

«El ciclo es constante e interminable. Los trabajadores de TI de Corea del Norte entienden que, tarde o temprano, renunciarán o serán despedidos de cualquier puesto determinado», dijeron Flare e IBM X-Force en un informe el mes pasado. «Como resultado, cambian continuamente entre trabajos, identidades y cuentas, sin permanecer nunca en un puesto ni utilizar una sola persona durante mucho tiempo».

Desde entonces, nuevas pruebas descubiertas por Flare han revelado los esfuerzos de la campaña para reclutar activamente a personas de Irán, Siria, Líbano y Arabia Saudita, y al menos dos iraníes recibieron cartas de oferta formales de empleadores estadounidenses. Ha habido más de 10 casos de ciudadanos iraníes que han sido reclutados por el régimen.

También se ha descubierto que los facilitadores utilizan LinkedIn para contratar a personas distintas de Irán, Irlanda e India, a quienes luego se les capacita para conseguir los puestos de trabajo. Estos individuos, llamados llamadores o entrevistadores, hablan por teléfono con gerentes de contratación estadounidenses, pasan entrevistas técnicas y se hacen pasar por personas occidentales reales o falsas seleccionadas por ellos. Cuando una persona que llama no pasa una entrevista, el facilitador revisa la grabación y proporciona comentarios.

«Los norcoreanos están apuntando deliberadamente a contratistas de defensa, intercambios de criptomonedas e instituciones financieras estadounidenses», Flare dicho. «Si bien las motivaciones principales parecen ser financieras, el ataque deliberado evidenciado en sus documentos indica que también puede haber otros objetivos en juego».

«La RPDC no está simplemente desplegando a sus propios ciudadanos bajo identidades falsas. Está construyendo un canal de reclutamiento multinacional, atrayendo a desarrolladores capacitados de Irán, Siria, Líbano y Arabia Saudita a una infraestructura diseñada para infiltrarse en contratistas de defensa, intercambios de criptomonedas, instituciones financieras y empresas de todos los tamaños de los EE. UU. Los reclutas son verdaderos ingenieros de software, pagados en criptomonedas, entrenados a través de entrevistas y ubicados en personajes occidentales fabricados».

El senador Ron Wyden, demócrata por Oregón, advirtió al jefe de la Administración de la Seguridad Social, Frank Bisignano, que cualquier seguimiento de la orden ejecutiva del presidente Donald Trump que crea una nueva base de datos de votantes estadounidenses utilizando datos de la agencia sería visto por los demócratas como una elección consciente por parte de los funcionarios de la SSA de participar en una “descarada supresión de votantes”.

«Facilitar la directiva de Donald Trump de crear una base de datos de votantes defectuosa sería participar voluntariamente en una flagrante supresión de votantes antes de las consiguientes elecciones de mitad de período», escribió Wyden, el principal demócrata en el Comité de Finanzas del Senado, en un carta a Bisignano enviado el viernes.

El orden ejecutivaemitido el 31 de marzo, ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de EE.UU. y al comisionado de la Administración de la Seguridad Social que recopilen listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistemática de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. Otra sección de la orden ordenaría al director general de correos que desarrollara una lista similar, estado por estado, de votantes elegibles para votar por correo.

“La clara intención de esta orden ejecutiva es socavar el voto por correo y privar de sus derechos a los votantes elegibles”, escribió Wyden. «La SSA tiene el deber de garantizar que sus datos no se utilicen indebidamente como parte de este esfuerzo».

Wyden se hizo eco de numerosos funcionarios estatales y expertos electorales al calificar la orden ejecutiva de la administración Trump como una usurpación inconstitucional por parte del poder ejecutivo de las autoridades electorales que la Constitución de los Estados Unidos define claramente para el Congreso y los estados.

La orden ejecutiva de la Casa Blanca ya ha sido impugnada en demandas de funcionarios estatales y defensores del derecho al voto, y una orden ejecutiva anterior, menos ambiciosa, emitida el año pasado que intentaba hacer valer autoridades similares del poder ejecutivo fue revocada en gran medida por los tribunales estadounidenses.

La misiva de Wyden esencialmente le pide a Bisignano que considere si seguir la orden de la administración Trump entraría en conflicto con su responsabilidad de salvaguardar los registros del Seguro Social bajo leyes como la Ley de Privacidad y la Ley del Seguro Social.

Pregunta cómo se asegurará la agencia de no privar de sus derechos a los votantes y si solicitó permiso a los ciudadanos para utilizar sus datos del Seguro Social para una lista de elecciones federales, y señala que las propias regulaciones de la agencia limitan el intercambio de datos del Seguro Social al «uso rutinario para determinar la elegibilidad o la cantidad de beneficios en un programa de salud o mantenimiento de ingresos».

Ampliar el papel de la agencia a las elecciones -un área en la que no tiene antecedentes ni experiencia- estaría en conflicto directo con esas reglas.

«En pocas palabras, compartir los datos personales de los estadounidenses con el DHS para crear una lista de 'ciudadanía estatal' no cumple con este estándar», escribió Wyden.