Los actores de amenazas utilizan cada vez más cookies HTTP como canal de control para shells web basados ​​en PHP en servidores Linux y para lograr la ejecución remota de código, según los hallazgos del equipo de investigación de seguridad de Microsoft Defender.

«En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecución, pasar instrucciones y activar funciones maliciosas», dijo el gigante tecnológico. dicho.

El enfoque ofrece mayor sigilo, ya que permite que el código malicioso permanezca inactivo durante la ejecución normal de la aplicación y active la lógica del shell web solo cuando están presentes valores de cookies específicos. Este comportamiento, señaló Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.

La actividad maliciosa aprovecha el hecho de que los valores de las cookies están disponibles en tiempo de ejecución a través del $_COOKIE superglobal variable, lo que permite consumir las entradas proporcionadas por el atacante sin análisis adicional. Es más, es poco probable que la técnica genere señales de alerta, ya que las cookies se mezclan con el tráfico web normal y reducen la visibilidad.

El modelo de ejecución controlado por cookies viene en diferentes implementaciones:

• Un cargador PHP que utiliza múltiples capas de ofuscación y comprobaciones de tiempo de ejecución antes de analizar la entrada de cookies estructuradas para ejecutar una carga útil secundaria codificada.
• Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificación, y escribe condicionalmente una carga útil secundaria en el disco y la ejecuta.
• Un script PHP que utiliza un único valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos.

En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell periódicamente para ejecutar un cargador PHP ofuscado.

Esta arquitectura de «autocuración» permite que la tarea programada recree repetidamente el cargador PHP incluso si se eliminó como parte de los esfuerzos de limpieza y remediación, creando así un canal de ejecución remota de código confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tráfico normal y entra en acción al recibir solicitudes HTTP con valores de cookies específicos.

«Al trasladar el control de ejecución a las cookies, el shell web puede permanecer oculto en el tráfico normal, activándose sólo durante interacciones deliberadas», añadió Microsoft. «Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación activada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina».

Un aspecto común que une todas las implementaciones antes mencionadas es el uso de ofuscación para ocultar funciones sensibles y activación basada en cookies para iniciar la acción maliciosa, dejando al mismo tiempo una huella interactiva mínima.

Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticación multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesión inusual; restringir la ejecución de intérpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.

«El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas web establecidas», dijo Microsoft. «Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspección y registro».

«En lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovechó rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso».

Apple ahora envía notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en web e instarlos a instalar la actualización.

El desarrollo fue reportado por primera vez por MacRumors.

«Apple es consciente de los ataques dirigidos a software iOS desactualizado, incluida la versión de su iPhone. Instale esta actualización crítica para proteger su iPhone», se lee en la notificación emitida por Apple.

El desarrollo se produce una semana después de que Apple publicara un documento de soporte, pidiendo a los usuarios que ejecutan versiones anteriores de iOS y iPadOS que actualicen sus dispositivos tras el descubrimiento de nuevos kits de exploits para iOS como Coruna y DarkSword.

Se ha descubierto que múltiples actores de amenazas con diversas motivaciones aprovecharon estos kits durante el año pasado para entregar cargas útiles maliciosas cuando usuarios desprevenidos visitan un sitio web comprometido. Mientras que Coruña apunta a versiones de iOS entre 13.0 y 17.2.1, DarkSword está diseñado para iPhones que ejecutan versiones de iOS entre 18.4 y 18.7.

Un nuevo informe de Kaspersky esta semana encontró que el kit de exploits Coruna es una evolución del marco utilizado en la Operación Triangulación, una sofisticada campaña dirigida a iPhones a través de exploits de iMessage sin hacer clic. Salió a la luz por primera vez en junio de 2023.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco de Operación Triangulación original», dijo el proveedor ruso de ciberseguridad.

Actualmente no se sabe cómo los dos kits llegaron a manos de varios actores de amenazas y ciberdelincuentes, pero una investigación reciente ha planteado la posibilidad de que exista un mercado activo para exploits de día cero de segunda mano.

La aparición de estos kits, junto con la filtración de una versión más nueva de DarkSword, ha generado preocupaciones de que podrían democratizar el acceso a exploits que antes estaban reservados para los estados-nación, convirtiéndolos potencialmente en herramientas de explotación masiva. En el proceso, corren el riesgo de transformar los iPhone y iPad en una superficie de ataque mayor que la que tienen actualmente.

Se recomienda a los usuarios que no puedan actualizar a una versión compatible que consideren habilitar el modo de bloqueo, si está disponible, para protegerse contra contenido web malicioso. El modo de bloqueo se introdujo en 2022 y está disponible en dispositivos con versiones de iOS 16 y posteriores.

En una declaración compartida con TechCrunch, Apple dicho«No tenemos conocimiento de ningún ataque exitoso de software espía mercenario contra un dispositivo Apple con modo de bloqueo habilitado».

Investigadores de ciberseguridad han revelado una vulnerabilidad en la extensión Claude Google Chrome de Anthropic que podría haber sido explotada para activar mensajes maliciosos simplemente visitando una página web.

La falla «permitió que cualquier sitio web inyectara silenciosamente mensajes en ese asistente como si el usuario los hubiera escrito», dijo Oren Yomtov, investigador de Koi Security. dicho en un informe compartido con The Hacker News. «Sin clics, sin solicitudes de permiso. Simplemente visite una página y un atacante controlará completamente su navegador».

El problema encadena dos fallas subyacentes:

• Una lista de origen demasiado permisiva en la extensión que permitía que cualquier subdominio que coincidiera con el patrón (*.claude.ai) enviara un mensaje a Claude para su ejecución.
• Un modelo de objeto de documento (DOMINGO) basado en secuencias de comandos entre sitios (XSS) vulnerabilidad en un componente CAPTCHA de Arkose Labs alojado en «a-cdn.claude[.]ai.»

Específicamente, la vulnerabilidad XSS permite la ejecución de código JavaScript arbitrario en el contexto de «a-cdn.claude[.]ai.» Un actor de amenazas podría aprovechar este comportamiento para inyectar JavaScript que emita un mensaje a la extensión Claude.

La extensión, por su parte, permite que el mensaje llegue a la barra lateral de Claude como si fuera una solicitud de usuario legítima simplemente porque proviene de un dominio incluido en la lista de permitidos.

«La página del atacante incorpora el componente vulnerable Arkose en un lugar oculto.

La explotación exitosa de esta vulnerabilidad podría permitir al adversario robar datos confidenciales (p. ej., tokens de acceso), acceder al historial de conversaciones con el agente de IA e incluso realizar acciones en nombre de la víctima (p. ej., enviar correos electrónicos suplantándolos, solicitar datos confidenciales).

Tras la divulgación responsable el 27 de diciembre de 2025, Anthropic implementó un parche en la extensión de Chrome que impone una estricta verificación de origen que requiere una coincidencia exacta con el dominio «claude[.]ai.» Desde entonces, Arkose Labs ha solucionado la falla XSS al final del 19 de febrero de 2026.

«Cuanto más capaces se vuelven los asistentes de navegador de IA, más valiosos son como objetivos de ataque», dijo Koi. «Una extensión que puede navegar por su navegador, leer sus credenciales y enviar correos electrónicos en su nombre es un agente autónomo. Y la seguridad de ese agente es tan fuerte como el origen más débil en su límite de confianza».

La Inteligencia Artificial (IA) ya no es sólo una herramienta con la que hablamos; es una herramienta que hace cosas para nosotros. estos se llaman Agentes de IA. Pueden enviar correos electrónicos, mover datos e incluso administrar software por su cuenta.

Pero hay un problema. Si bien estos agentes agilizan el trabajo, también abren una nueva «puerta trasera» para los piratas informáticos.

El problema: «El empleado invisible»

Piense en un agente de IA como un empleado nuevo que tiene las llaves de todas las oficinas de su edificio pero no tiene una etiqueta con su nombre.

Como estos agentes actúan por su cuenta, a menudo tienen acceso a información confidencial que nadie está mirando. Los piratas informáticos se han dado cuenta de esto. Ya no necesitan descifrar su contraseña, solo necesitan engañar a su agente de IA para que haga el trabajo por ellos.

Si su empresa utiliza IA para automatizar tareas, podría estar en riesgo. Las herramientas de seguridad tradicionales se crearon para proteger a los humanos, no a los «trabajadores digitales».

En nuestro próximo seminario web, Más allá del modelo: la superficie de ataque ampliada de los agentes de IARahul Parwani, jefe de producto de seguridad de IA en ariadesglosará exactamente cómo los piratas informáticos se dirigen a estos agentes y, lo que es más importante, cómo puede detenerlos.

Lo que aprenderás

• La «materia oscura» de la identidad: Por qué los agentes de IA suelen ser invisibles para su equipo de seguridad y cómo encontrarlos.
• Cómo se engaña a los agentes: Descubra cómo una simple «mala idea» oculta en un documento puede hacer que un agente de IA filtre los secretos de su empresa.
• El plan de seguridad: Pasos sencillos para brindarles a sus agentes de IA el poder que necesitan sin darles el «Modo Dios» sobre sus datos.

¿Quién debería asistir?

Si es un líder empresarial, un profesional de TI o cualquier persona responsable de mantener seguros los datos de la empresa, esta sesión es para usted. No es necesario ser un experto en codificación para comprender estos riesgos.

No permita que su IA se convierta en su mayor agujero de seguridad.

📅 Guarde su lugar hoy: Regístrese para el seminario web aquí.

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».

La mayoría de las organizaciones asumen que los datos cifrados están seguros.

Pero muchos atacantes ya se están preparando para un futuro en el que se podrá romper el cifrado actual. En lugar de intentar descifrar información ahora, están recopilar datos cifrados y almacenarlos para que pueda ser descifrado más tarde utilizando computadoras cuánticas.

Esta táctica, conocida como “cosechar ahora, descifrar después”—significa que los datos confidenciales transmitidos hoy podrían volverse legibles dentro de unos años, una vez que maduren las capacidades cuánticas.

Los líderes de seguridad que quieran comprender este riesgo y cómo prepararse pueden explorarlo en detalle en el próximo seminario web sobre las mejores prácticas de criptografía poscuánticadonde los expertos explicarán formas prácticas en que las organizaciones pueden comenzar a proteger los datos antes de que sea posible el descifrado cuántico.

Por qué es importante la criptografía poscuántica

La computación cuántica avanza rápidamente y la mayoría de los algoritmos de cifrado modernos, como RSA y ECC, no permanecerán seguros para siempre.

Para las organizaciones que deben mantener la confidencialidad de los datos durante muchos años (registros financieros, propiedad intelectual, comunicaciones gubernamentales), esperar no es una opción.

Un enfoque práctico que está surgiendo hoy es criptografía híbridaque combina el cifrado tradicional con algoritmos resistentes a los cuánticos como ML-KEM. Esto permite a las organizaciones fortalecer la seguridad sin alterar los sistemas existentes.

El Seminario web sobre seguridad preparada para el futuro Explicará cómo funciona la criptografía híbrida en entornos reales y cómo las organizaciones pueden comenzar la transición a protecciones de seguridad cuántica.

Preparándose para la era cuántica

Las organizaciones que se preparan para las amenazas cuánticas se están centrando en algunos pasos clave:

• Identificar datos confidenciales que deben permanecer protegidos a largo plazo
• Comprender dónde se utiliza el cifrado en todos los sistemas
• Comience a adoptar estrategias de criptografía híbrida
• Mantenga la visibilidad de los algoritmos criptográficos y las necesidades de cumplimiento.

Al mismo tiempo, los equipos de seguridad aún deben inspeccionar el tráfico cifrado y aplicar políticas en sus redes. Moderno Arquitecturas de confianza cero desempeñan un papel importante en el mantenimiento de este control.

Estas estrategias, y cómo las implementan plataformas como Zscaler, se discutirán durante la conferencia. sesión de seminario web en vivo diseñado para líderes de TI, seguridad y redes.

Lo que aprenderá en el seminario web

Esta sesión cubrirá:

• El creciente riesgo de Ataques de “cosechar ahora, descifrar después”
• Cómo Cifrado híbrido ML-KEM ayuda a las organizaciones a realizar una transición segura
• Cómo inspección de tráfico post-cuántica permite la aplicación de políticas a escala
• Mejores prácticas para proteger datos confidenciales en la era cuántica

La computación cuántica remodelará la ciberseguridad. Las organizaciones que comiencen a prepararse temprano estarán mejor posicionadas para proteger sus datos más críticos.

Únase al seminario web para aprenda cómo construir una estrategia de seguridad práctica y preparada para la tecnología cuántica antes de que la amenaza se vuelva urgente.

La Fundación Shadowserver ha reveló que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.

De estos, 401 instancias están ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.

La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.

«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», FreePBX dicho en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco».

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el módulo de almacén de archivos a la última versión.

Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.

Fuente: La Fundación Shadowserver

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.

«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la compañía de ciberseguridad.

Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.