La campaña de malware GlassWorm se está utilizando para impulsar un ataque continuo que aprovecha los tokens de GitHub robados para inyectar malware en cientos de repositorios de Python.

«El ataque se dirige a proyectos Python, incluidas aplicaciones Django, código de investigación de aprendizaje automático, paneles Streamlit y paquetes PyPI, agregando código ofuscado a archivos como setup.py, main.py y app.py», StepSecurity dicho. «Cualquiera que ejecute pip install desde un repositorio comprometido o clone y ejecute el código activará el malware».

Según la empresa de seguridad de la cadena de suministro de software, las primeras inyecciones se remontan al 8 de marzo de 2026. Los atacantes, al obtener acceso a las cuentas de los desarrolladores, rebase las últimas confirmaciones legítimas en la rama predeterminada de los repositorios de destino con código malicioso y luego forzar los cambios, manteniendo intactos el mensaje, el autor y la fecha del autor de la confirmación original.

Esta nueva rama de la campaña GlassWorm ha recibido el nombre en código ForceMemo. El ataque se desarrolla a través de los siguientes cuatro pasos:

• Comprometer los sistemas de los desarrolladores con el malware GlassWorm a través de extensiones maliciosas de VS Code y Cursor. El malware contiene un componente dedicado a robar secretos, como tokens de GitHub.
• Utilice las credenciales robadas para forzar la implementación de cambios maliciosos en cada repositorio administrado por la cuenta de GitHub violada al cambiar la base del malware ofuscado a archivos Python llamados «setup.py», «main.py» o «app.py».
• La carga útil codificada en Base64, adjunta al final del archivo Python, presenta comprobaciones similares a GlassWorm para determinar si el sistema tiene su configuración regional configurada en ruso. Si es así, omite la ejecución. En todos los demás casos, el malware consulta el Campo de nota de transacción asociado con una billetera Solana («BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC») previamente vinculado a GlassWorm para extraer la URL de carga útil.
• Descargue cargas útiles adicionales del servidor, incluido JavaScript cifrado diseñado para robar criptomonedas y datos.

«La primera transacción en la dirección C2 data del 27 de noviembre de 2025, más de tres meses antes de las primeras inyecciones de repositorio de GitHub el 8 de marzo de 2026», dijo StepSecurity. «La dirección tiene 50 transacciones en total, y el atacante actualiza periódicamente la URL de la carga útil, a veces varias veces al día».

La divulgación se produce cuando Socket marcó una nueva iteración de GlassWorm que técnicamente conserva el mismo oficio principal al tiempo que mejora la capacidad de supervivencia y la evasión al aprovechar extensionPack y extensionDependencies para entregar la carga útil maliciosa mediante un modelo de distribución transitiva.

Además, Aikido Security también atribuyó al autor de GlassWorm una campaña masiva que comprometió más de 151 repositorios de GitHub con código malicioso oculto mediante caracteres Unicode invisibles. Curiosamente, la carga útil decodificada está configurada para recuperar las instrucciones C2 de la misma billetera Solana, lo que indica que el actor de la amenaza ha estado apuntando a los repositorios de GitHub en múltiples oleadas.

El uso de diferentes métodos de entrega y métodos de ofuscación de código, pero la misma infraestructura de Solana, sugiere que ForceMemo es un nuevo vector de entrega mantenido y operado por el actor de amenazas GlassWorm, que ahora ha pasado de comprometer las extensiones de VS Code a una adquisición más amplia de cuentas de GitHub.

«El atacante inyecta malware forzando la rama predeterminada de los repositorios comprometidos», señaló StepSecurity. «Esta técnica reescribe el historial de git, conserva el mensaje de confirmación y el autor originales, y no deja ninguna solicitud de extracción ni rastro de confirmación en la interfaz de usuario de GitHub. Ninguna otra campaña documentada de la cadena de suministro utiliza este método de inyección».

Investigadores de ciberseguridad han revelado detalles de un presunto malware generado por inteligencia artificial (IA) con nombre en código Slopoly puesto en uso por un actor de amenazas motivado financieramente llamado colmena0163.

«Aunque todavía no es nada espectacular, el malware generado por IA como Slopoly muestra con qué facilidad los actores de amenazas pueden utilizar la IA como arma para desarrollar nuevos marcos de malware en una fracción del tiempo que solía llevar», Golo Mühr, investigador de IBM X-Force dicho en un informe compartido con The Hacker News.

Las operaciones de Hive0163 están impulsadas por la extorsión mediante exfiltración de datos a gran escala y ransomware. El grupo de delitos electrónicos está asociado principalmente con una amplia gama de herramientas maliciosas, incluidas NodeSnake, Interlock RAT, JunkFiction Loader y Interlock ransomware.

En un ataque de ransomware observado por la empresa a principios de 2026, se observó que el actor de amenazas implementaba Slopoly durante la fase posterior a la explotación para mantener el acceso persistente al servidor comprometido durante más de una semana.

El descubrimiento de Slopoly se remonta a un script de PowerShell que probablemente se implementó mediante un constructor, que también estableció la persistencia a través de una tarea programada llamada «Runtime Broker».

Hay indicios de que el malware se desarrolló con la ayuda de un modelo de lenguaje grande (LLM) aún indeterminado. Esto incluye la presencia de comentarios extensos, registros, manejo de errores y variables con nombres precisos. Los comentarios también describen el script como un «Cliente de persistencia C2 polimórfico», lo que indica que es parte de un marco de comando y control (C2).

«Sin embargo, el script no posee técnicas avanzadas y difícilmente puede considerarse polimórfico, ya que no puede modificar su propio código durante la ejecución», señala Mühr. «Sin embargo, el creador puede generar nuevos clientes con diferentes valores de configuración aleatorios y nombres de funciones, lo cual es una práctica estándar entre los creadores de malware».

El script de PowerShell funciona como una puerta trasera completa que puede enviar un mensaje de latido que contiene información del sistema a un servidor C2 cada 30 segundos, sondear un nuevo comando cada 50 segundos, ejecutarlo a través de «cmd.exe» y transmitir los resultados al servidor. Actualmente se desconoce la naturaleza exacta de los comandos ejecutados en la red comprometida.

Se dice que el ataque en sí aprovechó la táctica de ingeniería social ClickFix para engañar a una víctima para que ejecute un comando de PowerShell, que luego descarga NodeSnake, un conocido malware atribuido a Hive0163. Un componente de primera etapa, NodeSnake, está diseñado para ejecutar comandos de shell, establecer persistencia y recuperar y lanzar un marco de malware más amplio conocido como Interlock RAT.

Hive0163 tiene un historial de empleo de ClickFix y publicidad maliciosa para el acceso inicial. Otro método que utiliza el actor de amenazas para establecerse es confiar en corredores de acceso inicial como TA569 (también conocido como SocGholish) y TAG-124 (también conocido como KongTuke y LandUpdate808).

El marco tiene múltiples implementaciones en PowerShell, PHP, C/C++, Java y JavaScript para admitir tanto Windows como Linux. Al igual que NodeSnake, también se comunica con un servidor remoto para obtener comandos que le permitan iniciar un túnel proxy SOCKS5, generar un shell inverso en la máquina infectada y entregar más cargas útiles, como Interlock ransomware y Slopoly.

La aparición de Slopoly se suma a una lista cada vez mayor de malware asistido por IA, que también incluye VoidLink y PromptSpy, lo que pone de relieve cómo los delincuentes están utilizando la tecnología para acelerar el desarrollo de malware y escalar sus operaciones.

«La introducción de malware generado por IA no representa una amenaza nueva o sofisticada desde un punto de vista técnico», dijo IBM X-Force. «Permite desproporcionadamente a los actores de amenazas al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».

El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28 Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.

Las dos familias de malware se utilizan desde abril de 2024, ESET dicho en un nuevo informe compartido con The Hacker News.

APT28, también rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor de estado-nación afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, GRU.

El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en código SLIMAGENT que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado públicamente por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.

SLIMAGENT, según la empresa eslovaca de ciberseguridad, tiene sus raíces en XAgent, otro implante utilizado por APT28 en la década de 2010 para facilitar el control remoto y la exfiltración de datos. Esto se basa en similitudes de código descubiertas entre SLIMAGENT y muestras previamente desconocidas implementadas en ataques dirigidos a entidades gubernamentales en dos países europeos ya en 2018.

Se evalúa que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 se originaron en XAgent, y el análisis de ESET descubrió superposiciones en el registro de teclas entre SLIMAGENT y un Muestra de XAgent detectado en estado salvaje a finales de 2014.

«SLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicación, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente», dijo ESET. «El keylogger XAgent también produce registros HTML utilizando el mismo esquema de color».

También se implementa en conexión con SLIMAGENT otra puerta trasera conocida como BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio legítimo de almacenamiento en la nube Icedrive para comando y control (C2).

Comparación de código entre SLIMAGENT (izquierda) y XAgent (derecha)

Un aspecto digno de mención del malware es que utiliza una técnica de ofuscación distintiva conocida como predicado opacoque también se encuentra en XTunnel (también conocido como X-Tunnel), un herramienta de giro y recorrido de red utilizado por APT28 en el hackeo del Comité Nacional Demócrata (DNC) de 2016. La herramienta proporciona un túnel seguro a un servidor C2 externo.

«El uso compartido de esta rara técnica de ofuscación, combinada con su colocación con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL es parte del arsenal personalizado de Sednit», añadió ESET.

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de post-explotación .NET de código abierto que ha sido «fuertemente» modificado para soportar el espionaje a largo plazo y para implementar un nuevo protocolo de red basado en la nube que abusa del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 usaba pCloud (en 2023) y Koofr (en 2024-2025).

«Estas adaptaciones muestran que los desarrolladores de Sednit adquirieron una profunda experiencia en Covenant, un implante cuyo desarrollo oficial cesó en abril de 2021 y es posible que los defensores lo hayan considerado no utilizado», dijo ESET. «Esta sorprendente elección operativa parece haber dado sus frutos: Sednit ha confiado con éxito en Covenant durante varios años, particularmente contra objetivos seleccionados en Ucrania.»

Esta no es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix reveló que APT28 implementó Graphite, una puerta trasera que empleaba OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional e individuos del sector de defensa en Asia occidental.

El actor de amenazas alineado con Pakistán conocido como Tribu transparente se ha convertido en el último grupo de hackers en adoptar herramientas de codificación basadas en inteligencia artificial (IA) para atacar objetivos con varios implantes.

La actividad está diseñada para producir una «masa mediocre y de gran volumen de implantes» que se desarrollan utilizando lenguajes de programación menos conocidos como Nim, Zig y Crystal y dependen de servicios confiables como Slack, Discord, Supabase y Google Sheets para pasar desapercibidos, según nuevos hallazgos de Bitdefender.

«En lugar de un gran avance en la sofisticación técnica, estamos viendo una transición hacia la industrialización del malware asistida por IA que permite al actor inundar los entornos objetivo con binarios políglotas desechables», afirman los investigadores de seguridad Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu y Martin Zugec. dicho en un desglose técnico de la campaña.

La transición hacia el malware codificado por vibración, también conocido como vibewarecomo medio para complicar la detección, el proveedor rumano de ciberseguridad lo ha caracterizado como Denegación de Detección Distribuida (DDoD). En este enfoque, la idea no es eludir los esfuerzos de detección mediante la sofisticación técnica, sino más bien inundar los entornos objetivo con archivos binarios desechables, cada uno de los cuales utiliza un lenguaje y un protocolo de comunicación diferentes.

Los grandes modelos de lenguaje (LLM, por sus siglas en inglés) ayudan a los actores de amenazas en este aspecto, que reducen la barrera al delito cibernético y colman la brecha de experiencia al permitirles generar código funcional en lenguajes desconocidos, ya sea desde cero o trasladando la lógica empresarial central de otros más comunes.

Se ha descubierto que el último conjunto de ataques tiene como objetivo el gobierno indio y sus embajadas en varios países extranjeros, y APT36 utiliza LinkedIn para identificar objetivos de alto valor. Los ataques también han apuntado al gobierno afgano y a varias empresas privadas, aunque en menor medida.

Es probable que las cadenas de infección comiencen con correos electrónicos de phishing que contienen accesos directos de Windows (LNK) incluidos en archivos ZIP o imágenes ISO. Alternativamente, se utilizan señuelos PDF que presentan un botón destacado «Descargar documento» para redirigir a los usuarios a un sitio web controlado por un atacante que activa la descarga de los mismos archivos ZIP.

Independientemente del método utilizado, el archivo LNK se utiliza para ejecutar scripts de PowerShell en la memoria, que luego descargan y ejecutan la puerta trasera principal y facilitan las acciones posteriores al compromiso. Estos incluyen el despliegue de conocidas herramientas de simulación de adversarios como Cobalt Strike y Havoc, lo que indica un enfoque híbrido para garantizar la resiliencia.

Algunas de las otras herramientas observadas como parte de los ataques se enumeran a continuación:

• código de guerraun cargador de código shell personalizado escrito en Crystal que se utiliza para cargar de forma reflexiva un agente Havoc directamente en la memoria.
• NimShellcodeLoaderuna contraparte experimental de Warcode que se utiliza para desplegar una baliza Cobalt Strike incrustada en él.
• CreepDropperun malware .NET que se utiliza para entregar e instalar cargas útiles adicionales, incluido SHEETCREEP, un ladrón de información basado en Go que utiliza Microsoft Graph API para C2, y MAILCREEP, una puerta trasera basada en C# que utiliza Google Sheets para C2. Zscaler ThreatLabz detalló ambas familias de malware en enero de 2026.
• SupaServuna puerta trasera basada en Rust que establece un canal de comunicación principal a través de la plataforma Supabase, con Firebase actuando como alternativa. Contiene emojis Unicode, lo que sugiere que probablemente fue desarrollado utilizando IA.
• Ladrón luminosoun probable ladrón de información basado en Rust y codificado en vibración que utiliza Firebase y Google Drive para filtrar archivos que coinciden con ciertas extensiones (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc y .xls).
• concha de cristaluna puerta trasera escrita en Crystal que es capaz de apuntar a sistemas Windows, Linux y macOS, y utiliza ID de canal de Discord codificados para C2. Admite la capacidad de ejecutar comandos y recopilar información del host. Se ha descubierto que una variante del malware utiliza Slack para C2.
• ZigShelluna contraparte de CrystalShell que está escrita en Zig y utiliza Slack como infraestructura C2 principal. También admite funciones adicionales para cargar y descargar archivos.
• Archivo de cristalun intérprete de comandos simple escrito en Crystal que monitorea continuamente «C:\Users\Public\AccountPictures\input.txt» y ejecuta el contenido usando «cmd.exe».
• Galletas Luminosasun inyector especializado basado en Rust para extraer cookies, contraseñas e información de pago de navegadores basados ​​en Chromium eludiendo el cifrado vinculado a aplicaciones.
• Espía de copia de seguridaduna utilidad basada en Rust diseñada para monitorear el sistema de archivos local y los medios externos en busca de datos de alto valor.
• ZigLoaderun cargador especializado escrito en Zig que descifra y ejecuta código shell arbitrario en la memoria.
• Baliza centinela de la puertauna versión personalizada del código abierto Centinela de la puerta Proyecto marco C2.

«La transición de APT36 hacia vibeware representa una regresión técnica», dijo Bitdefender. «Si bien el desarrollo asistido por IA aumenta el volumen de muestras, las herramientas resultantes a menudo son inestables y están plagadas de errores lógicos. La estrategia del actor apunta incorrectamente a la detección basada en firmas, que durante mucho tiempo ha sido reemplazada por la seguridad moderna de los terminales».

Bitdefender ha advertido que la amenaza que plantea el malware asistido por IA es la industrialización de los ataques, lo que permite a los actores de amenazas escalar sus actividades rápidamente y con menos esfuerzo.

«Estamos viendo una convergencia de dos tendencias que se han estado desarrollando durante algún tiempo: la adopción de lenguajes de programación exóticos y especializados y el abuso de servicios confiables para esconderse en el tráfico legítimo de la red», dijeron los investigadores. «Esta combinación permite que incluso un código mediocre alcance un alto éxito operativo simplemente superando la telemetría defensiva estándar».

Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».

Google dijo que identificó un kit de explotación «nuevo y poderoso» denominado La Coruña (también conocido como CryptoWaters) dirigido a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

El kit de exploits incluía cinco cadenas completas de exploits para iOS y un total de 23 exploits, dijo Google Threat Intelligence Group (GTIG). No es efectivo contra la última versión de iOS. Los hallazgos fueron reportado por primera vez por CABLEADO.

«El valor técnico principal de este kit de exploits radica en su colección completa de exploits para iOS, y los más avanzados utilizan técnicas de explotación no públicas y omisiones de mitigación». de acuerdo a a GTIG. «El marco que rodea el kit de exploits está extremadamente bien diseñado; todas las piezas del exploit están conectadas de forma natural y se combinan mediante marcos de utilidad y explotación comunes».

Se dice que el kit ha circulado entre múltiples actores de amenazas desde febrero de 2025, pasando de una operación de vigilancia comercial a un atacante respaldado por el gobierno y, finalmente, a un actor de amenazas con motivación financiera que opera desde China en diciembre.

Actualmente no se sabe cómo cambió de manos el kit de exploits, pero los hallazgos apuntan a un mercado activo para exploits de día cero de segunda mano, lo que permite a otros actores de amenazas reutilizarlos para sus propios objetivos. En un informe relacionado, iVerify dicho El kit de explotación tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

«La Coruña es uno de los ejemplos más significativos que hemos observado de capacidades sofisticadas de software espía que proliferan desde proveedores comerciales de vigilancia hasta manos de actores estatales y, en última instancia, operaciones criminales a gran escala», iVerify dicho.

El proveedor de seguridad móvil dijo que el uso del sofisticado marco de explotación marca la primera explotación masiva observada contra dispositivos iOS, lo que indica que los ataques de software espía están pasando de ser altamente dirigidos a un despliegue amplio.

Google dijo que capturó por primera vez partes de una cadena de exploits de iOS utilizada por un cliente de una empresa de vigilancia anónima a principios del año pasado, con los exploits integrados en un marco de JavaScript nunca antes visto. El marco está diseñado para tomar huellas dactilares del dispositivo para determinar si es real y recopilar detalles, incluido el modelo de iPhone específico y la versión del software iOS que está ejecutando.

Luego, el marco carga el exploit de ejecución remota de código (RCE) de WebKit apropiado en función de los datos de huellas dactilares, seguido de la ejecución de una omisión del código de autenticación de puntero (PAC). El exploit en cuestión se relaciona con CVE-2024-23222, un error de confusión de tipos en WebKit que Apple parchó en enero de 2024 con iOS 17.3 y iPadOS 17.3 y iOS 16.7.5 y iPadOS 16.7.5.

En julio de 2025, se detectó el mismo marco de JavaScript en el dominio «cdn.uacounter[.]com», que se cargó como un iFrame oculto en sitios web ucranianos comprometidos. Esto incluía sitios web que abastecían a equipos industriales, herramientas minoristas, servicios locales y comercio electrónico. Se considera que un presunto grupo de espionaje ruso llamado UNC6353 está detrás de la campaña.

Lo interesante de la actividad fue que el marco se entregó sólo a ciertos usuarios de iPhone desde una geolocalización específica. Los exploits implementados como parte del marco consistieron en CVE-2024-23222, CVE-2022-48503 y CVE-2023-43000el último de los cuales es una falla de uso después de la liberación en WebKit.

Vale la pena señalar que Apple solucionó CVE-2023-43000 en iOS 16.6 y iPadOS 16.6, lanzados en julio de 2023. Sin embargo, las notas de la versión de seguridad se actualizaron para incluir una entrada para la vulnerabilidad solo el 11 de noviembre de 2025.

La tercera vez que se detectó un marco de JavaScript en la naturaleza fue en diciembre de 2025. Se descubrió que un grupo de sitios web chinos falsos, la mayoría de ellos relacionados con finanzas, abandonaban el kit de explotación de iOS, al tiempo que instaban a los usuarios a visitarlos desde un iPhone o iPad para una mejor experiencia de usuario. La actividad se atribuye a un grupo de amenazas rastreado como UNC6691.

Una vez que se accede a estos sitios web a través de un dispositivo iOS, se inyecta un iFrame oculto para entregar el kit de explotación Coruna que contiene CVE-2024-23222. La entrega del exploit, en este caso, no estuvo limitada por ningún criterio de geolocalización.

Un análisis más detallado de la infraestructura del actor de amenazas condujo al descubrimiento de una versión de depuración del kit de exploits, junto con varias muestras que cubren cinco cadenas completas de exploits de iOS. Se han identificado un total de 23 exploits que cubren versiones desde iOS 13 hasta iOS 17.2.1.

Algunos de los CVE explotados por el kit y las correspondientes versiones de iOS a las que apuntaban se enumeran a continuación:

«Photon y Gallium están explotando vulnerabilidades que también se utilizaron como día cero como parte de la Operación Triangulación», dijo Google. «El kit de explotación Coruna también incorpora módulos reutilizables para facilitar la explotación de las vulnerabilidades antes mencionadas».

En diciembre de 2023, el gobierno ruso afirmó que la campaña era obra de la Agencia de Seguridad Nacional de EE. UU., acusándola de piratear «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de una «operación de reconocimiento».

Se ha observado que UNC6691 utiliza el exploit como arma para entregar un binario stager con nombre en código PlasmaLoader (también conocido como PLASMAGRID) que está diseñado para decodificar códigos QR a partir de imágenes y ejecutar módulos adicionales recuperados de un servidor externo, lo que le permite filtrar billeteras de criptomonedas o información confidencial de varias aplicaciones como Base, Bitget Wallet, Exodus y MetaMask, entre otras.

«El implante contiene una lista de C2 codificados, pero tiene un mecanismo de respaldo en caso de que los servidores no respondan», añadió GTIG. «El implante incorpora un algoritmo de generación de dominio personalizado (DGA) que utiliza la cadena ‘lazarus’ como semilla para generar una lista de dominios predecibles. Los dominios tendrán 15 caracteres y utilizarán .xyz como TLD. Los atacantes utilizan el sistema de resolución de DNS público de Google para validar si los dominios están activos».

Un aspecto notable de Coruña es que omite la ejecución en dispositivos en modo de bloqueo o si el usuario se encuentra en navegación privada. Para contrarrestar la amenaza, se recomienda a los usuarios de iPhone que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo para mayor seguridad.

Investigadores de ciberseguridad han revelado detalles de una nueva suite de phishing llamada asesino estrella que representa páginas de inicio de sesión legítimas para evitar las protecciones de autenticación multifactor (MFA).

Un grupo de amenazas que se hace llamar Jinkusu lo anuncia como una plataforma de cibercrimen y otorga a los clientes acceso a un panel que les permite seleccionar una marca para hacerse pasar por ella o ingresar la URL real de una marca. También permite a los usuarios elegir palabras clave personalizadas como «iniciar sesión», «verificar», «seguridad» o «cuenta» e integra acortadores de URL como TinyURL para ocultar la URL de destino.

«Se lanza un instancia de Chrome sin cabeza – un navegador que funciona sin una ventana visible – dentro de un contenedor acoplablecarga el sitio web real de la marca y actúa como un proxy inverso entre el sitio objetivo y el legítimo», afirman los investigadores de Abnormal Callie Baron y Piotr Wojtyla. dicho.

«Los destinatarios reciben contenido de página genuino directamente a través de la infraestructura del atacante, lo que garantiza que la página de phishing nunca quede desactualizada. Y debido a que Starkiller representa el sitio real en vivo, no hay archivos de plantilla para que los proveedores de seguridad tomen huellas dactilares o incluyan en la lista de bloqueo».

Esta técnica de proxy de página de inicio de sesión evita la necesidad de que los atacantes actualicen periódicamente sus plantillas de páginas de phishing a medida que se actualizan las páginas reales que están suplantando.

Dicho de otra manera, el contenedor actúa como un proxy inverso de AitM, reenviando las entradas del usuario final ingresadas en la página en vivo falsificada al sitio legítimo y devolviendo las respuestas del sitio. En el fondo, cada pulsación de tecla, envío de formulario y token de sesión se enruta a través de una infraestructura controlada por el atacante y se captura para tomar el control de la cuenta.

«La plataforma agiliza las operaciones de phishing al centralizar la administración de la infraestructura, la implementación de páginas de phishing y el monitoreo de sesiones dentro de un único panel de control», dijo Abnormal. «Combinado con el enmascaramiento de URL, el secuestro de sesiones y la omisión de MFA, brinda a los ciberdelincuentes poco capacitados acceso a capacidades de ataque que antes estaban fuera de su alcance».

El desarrollo se produce cuando Datadog reveló que el kit 1Phish había evolucionado de un recolector de credenciales básico en septiembre de 2025 a un kit de phishing de varias etapas dirigido a los usuarios de 1Password.

La versión actualizada del kit incorpora una capa de validación y huella digital previa al phishing, soporte para capturar códigos de acceso de un solo uso (OTP) y códigos de recuperación, y lógica de huellas digitales del navegador para filtrar bots.

«Esta progresión refleja una iteración deliberada en lugar de una simple reutilización de plantillas», dijo el investigador de seguridad Martin McCloskey. dicho. «Cada versión se basa en la anterior e introduce controles diseñados para aumentar las tasas de conversión, reducir el análisis automatizado y admitir la recolección de autenticación secundaria».

Los hallazgos muestran que soluciones turcas como Starkiller y 1Phish están convirtiendo cada vez más el phishing en flujos de trabajo estilo SaaS, lo que reduce aún más la barrera de habilidades necesarias para llevar a cabo dichos ataques a escala.

También coinciden con una sofisticada campaña de phishing dirigida a empresas y profesionales norteamericanos al abusar del flujo de concesión de autorización de dispositivos OAuth 2.0 para eludir la autenticación multifactor (MFA) y comprometer las cuentas de Microsoft 365.

Para lograrlo, el atacante se registra en la aplicación Microsoft OAuth y genera un código de dispositivo único, que luego se entrega a la víctima a través de un correo electrónico de phishing dirigido.

«La víctima es dirigida al portal legítimo del dominio de Microsoft (microsoft.com/devicelogin) para ingresar un código de dispositivo proporcionado por el atacante«, investigadores Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke dicho. «Esta acción autentica a la víctima y emite un token de acceso OAuth válido a la aplicación del atacante. El robo en tiempo real de estos tokens otorga al atacante acceso persistente a las cuentas de Microsoft 365 y a los datos corporativos de la víctima».

En los últimos meses, las campañas de phishing también se han dirigido a instituciones financieras, específicamente bancos y cooperativas de crédito con sede en Estados Unidos, para obtener credenciales. Se dice que la campaña se desarrolló en dos fases distintas: una ola inicial que comenzó a finales de junio de 2025 y un conjunto más sofisticado de ataques que comenzó a mediados de noviembre de 2025.

«Los actores comenzaron a registrarse [.]co[.]com falsifican sitios web de instituciones financieras y presentan imitaciones creíbles de instituciones financieras reales», afirman los investigadores de BlueVoyant, Shira Reuveny y Joshua Green. dicho. «Estos [.]co[.]Los dominios com sirven como punto de entrada inicial en una refinada cadena de múltiples etapas».

El dominio, cuando se visita desde un enlace en el que se puede hacer clic en un correo electrónico de phishing, está diseñado para cargar una página CAPTCHA de Cloudflare fraudulenta que imita a la institución objetivo. El CAPTCHA no es funcional y crea un retraso deliberado antes de que un script codificado en Base64 redirija a los usuarios a la página de recolección de credenciales.

En un esfuerzo por evadir la detección y evitar que los escáneres automáticos marquen el contenido malicioso, accedan directamente al [.]co[.]Los dominios com desencadenan una redirección a un archivo «www» con formato incorrecto.[.]URL «www».

«El despliegue por parte del adversario de una cadena de evasión de múltiples capas más avanzada, que incorpora validación de referencia, controles de acceso basados ​​en cookies, retrasos intencionales y ofuscación de código, crea efectivamente una infraestructura más resistente que presenta barreras para las herramientas de seguridad automatizadas y el análisis manual», dijo BlueVoyant.

Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».