Codespaces RCE, AsyncRAT C2, abuso de BYOVD, intrusiones de IA en la nube y más de 15 historias

En una señal de que el actor de amenazas ha ido más allá de los objetivos gubernamentales, se ha observado que el actor de amenazas APT36, en línea con Pakistán, apunta al ecosistema de startups de la India, utilizando archivos ISO y atajos LNK maliciosos utilizando señuelos sensibles con temas de startups para entregar Crimson RAT, lo que permite una vigilancia integral, exfiltración de datos y agradecimiento del sistema. El vector de llegada original es un correo electrónico de phishing que contiene una imagen ISO. Una vez ejecutado, el ISO contiene un archivo de llegada directo ladino y una carpeta que contiene tres archivos: un documento señuelo, un script por lotes que actúa como mecanismo de persistencia y la carga útil final de Crimson RAT, disfrazada de un ejecutable llamado Excel. “A pesar de esta expansión, la campaña sigue estrechamente alineada con el enfoque histórico de Transparent Tribe en el gobierno indio y la sumario de inteligencia adyacente a la defensa, con superposiciones que sugieren que las personas vinculadas a las startups pueden ser objetivo por su proximidad al gobierno, las fuerzas del orden o las operaciones de seguridad”, dijo Acronis.

El corro de actividad de amenazas conocido como ShadowSyndicate se ha vinculado a dos marcadores SSH adicionales que conectan docenas de servidores al mismo cirujano de cibercrimen. Luego, estos hosts se utilizan para una amplia escala de actividades maliciosas por parte de varios grupos de amenazas vinculados a Cl0p, BlackCat, Ryuk, Malsmoke y Black Puntada. Un hallazgo importante es que el actor de amenazas tiende a transferir servidores entre sus clústeres SSH. ShadowSyndicate continúa asociado con kits de herramientas que incluyen Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent y Brute Ratel. “El actor de amenazas tiende a reutilizar la infraestructura empleada anteriormente, a veces rotando varias claves SSH en sus servidores”, dijo Group-IB. “Si esta técnica se realiza correctamente, la infraestructura se transfiere después, como en un decorado verdadero, cuando un servidor pasa a un nuevo legatario”.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) modificó 59 avisos de vulnerabilidad explotados activamente en 2025 para reflectar su uso por parte de grupos de ransomware. Esa tira incluye 16 entradas para Microsoft, seis para Ivanti, cinco para Fortinet, tres para Palo Parada Networks y tres para Zimbra. “Cuando cambie de ‘Desconocido’ a ‘Conocido’, vuelva a evaluarlo, especialmente si ha estado restando prioridad a ese parche porque ‘aún no está relacionado con el ransomware'”, dijo Glenn Thorpe de GreyNoise.

Las autoridades polacas han detenido a un empleado del Servicio de Defensa del país, de 60 abriles, bajo sospecha de espionaje para una agencia de inteligencia extranjera. El sospechoso trabajó en el unidad de logística y planificación del Servicio de Defensa Franquista, incluidos proyectos de modernización marcial, dijeron las autoridades. Si admisiblemente no se reveló el nombre del país, funcionarios estatales polacos dijeron a los medios locales que el sospechoso había trabajado con los servicios de inteligencia rusos y bielorrusos. En un acontecimiento relacionado, la Oficina Central de Polonia para la Lucha contra el Cibercrimen (CBZC) dijo que un hombre de 20 abriles ha sido arrestado por presuntamente realizar ataques distribuidos de denegación de servicio (DDoS) en sitios web de suspensión perfil, incluidos aquellos de importancia estratégica. El individuo enfrenta seis cargos y una posible sentencia de prisión de cinco abriles.

Se han revelado múltiples vectores de ataque en GitHub Codespaces que permiten la ejecución remota de código simplemente abriendo un repositorio ladino o una solicitud de ascendencia. Los vectores identificados incluyen: (1) .vscode/settings.json con inyección PROMPT_COMMAND, (2) .devcontainer/devcontainer.json con inyección postCreateCommand y (3) .vscode/tasks.json con tareas de ejecución cibernética de carpetaOpen. “Al explotar de los archivos de configuración integrados en VSCode que Codespaces respeta automáticamente, un adversario puede ejecutar comandos arbitrarios, exfiltrar tokens y secretos de GitHub e incluso explotar de API ocultas para ceder a modelos Copilot premium”, dijo el investigador de Orca Security, Roi Nisimi. Microsoft ha considerado que el comportamiento es por diseño.

El sector financiero de los países nórdicos ha sido el objetivo del Montón Lazarus, vinculado a Corea del Finalidad, como parte de una campaña de larga duración denominada Entrevista Contagiosa que detecta a un atracador y descarga un BeaverTail llamado. “BeaverTail contiene una funcionalidad que buscará automáticamente en la máquina de la víctima datos relacionados con criptomonedas, pero igualmente puede estilarse como una útil de llegada remoto para futuros ataques”, dijo TRUESEC.

En un nuevo examen, SOCRadar dijo que el corro hacktivista prorruso conocido como NoName057(16) está utilizando un arsenal DDoS distribuida por voluntarios señal Esquema DDoSia para perturbar sitios web gubernamentales, de medios y institucionales vinculados a Ucrania y a los intereses políticos occidentales. A través de canales activos de Telegram con más de 20.000 seguidores, el corro enmarca los ataques disruptivos (pero no destructivos) como “autodefensa” contra la embestida occidental y proporciona evidencia en tiempo positivo de interrupciones exitosas. Sus campañas ideológicas a menudo coinciden con importantes acontecimientos geopolíticos, contrarrestando sanciones y anuncios de ayuda marcial con ciberataques de represalia. “A diferencia de las botnets tradicionales que comprometen los sistemas sin el conocimiento del legatario, DDoSia opera bajo una premisa inquietante: miles de participantes dispuestos instalan la útil a sabiendas y coordinan ataques contra objetivos designados por los operadores del corro”, dijo SOCRadar. “A través de propaganda, gamificación y recompensas en criptomonedas, NoName057(16) ha construido una fuerza de ataque distribuida que requiere una tiento técnica mínima para unirse, pero que demuestra una importante sofisticación operativa”. Según Censys, el objetivo de la útil especialmente diseñada se centra principalmente en Ucrania, los aliados europeos y los estados de la OTAN en los sectores público, marcial, de transporte, de servicios públicos, financiero y turístico.

Una importante operación cibercriminal denominada Rublevka Team se especializa en el robo de criptomonedas a gran escalera desde su inicio en 2023, generando más de $10 millones a través de campañas de drenaje de billeteras impulsadas por afiliados. “Rublevka Team es un ejemplo de un ‘equipo de tráfico’, compuesto por una red de miles de especialistas en ingeniería social encargados de dirigir el tráfico de las víctimas a páginas maliciosas”, dijo Recorded Future. “A diferencia de los enfoques tradicionales basados ​​en malware, como los utilizados por los equipos de traficantes Markopolo y Crazy Evil, Rublevka Team implementa scripts JavaScript personalizados a través de páginas de destino falsas que se hacen producirse por servicios criptográficos legítimos, engañando a las víctimas para que conecten sus billeteras y autoricen transacciones fraudulentas”. Rublevka Team ofrece a los afiliados llegada a bots de Telegram totalmente automatizados, generadores de páginas de destino, funciones de diversión y soporte para más de 90 tipos de billeteras. Esto reduce aún más la barrera técnica de entrada, lo que permite a los actores de amenazas construir un extenso ecosistema de afiliados globales capaces de propalar estafas de gran bombeo con una supervisión mínima. El canal principal de Telegram del equipo Rublevka tiene aproximadamente 7.000 miembros hasta la momento.

Microsoft insta a los clientes a proteger su infraestructura con Transport Layer Security (TLS) lectura 1.2 para Azure Blob Storage y eliminar las dependencias de TLS lectura 1.0 y 1.1. “El 3 de febrero de 2026, Azure Blob Storage dejará de conceder las versiones 1.0 y 1.1 de Transport Layer Security (TLS)”, dijo Microsoft. “TLS 1.2 se convertirá en la nueva lectura mínima de TLS. Este cambio afecta a todas las cuentas de almacenamiento de blobs nuevas y existentes, que usan TLS 1.0 y 1.1 en todas las nubes. Las cuentas de almacenamiento que ya usan TLS 1.2 no se ven afectadas por este cambio”.

En una nueva campaña, se ha descubierto que mensajes de voz falsos con subdominios con temas bancarios dirigen a los destinatarios a una experiencia convincente de “escuche su mensaje” diseñada para parecer rutinaria y confiable. En verdad, el ataque conduce a la implementación de Remotely RMM, un software de llegada remoto verdadero, que inscribe el sistema víctima en un entorno controlado por el atacante para permitir el llegada y la establecimiento remotos persistentes. “El flujo se plinto en ingeniería social en ocupación de exploits, utilizando señuelos para persuadir a los usuarios a aprobar los pasos de instalación”, dijo Censys. “El objetivo final es la instalación de una útil RMM (monitoreo y dirección remota), inscribiendo el dispositivo en un entorno controlado por el atacante”.

Una operación de malware de larga duración conocida como SystemBC (igualmente conocido como Coroxy o DroxiDat) se ha vinculado a más de 10.000 direcciones IP infectadas en todo el mundo, incluidos sistemas asociados con infraestructura público sensible en Burkina Faso y Vietnam. La maduro concentración de direcciones IP infectadas se ha observado en EE. UU., seguido de Alemania, Francia, Singapur e India, según Silent Push. El malware, conocido por estar activo desde al menos 2019, se usa comúnmente para mandar tráfico a través de sistemas comprometidos, para sustentar el llegada persistente a las redes internas o implementar malware adicional. “La infraestructura asociada a SystemBC presenta un peligro sostenido conveniente a su papel temprano en las cadenas de intrusión y su uso entre múltiples actores de amenazas”, dijo Silent Push. “El monitoreo proactivo es fundamental, ya que la actividad vinculada a SystemBC es a menudo un precursor de la implementación de ransomware y otros abusos posteriores”.

Se ha observado una nueva campaña de phishing que utiliza señuelos con temas empresariales para atraer a los usuarios a ejecutar un archivo de protector de pantalla de Windows (.SCR) que instala discretamente una útil RMM legítima como SimpleHelp, brindando a los atacantes control remoto interactivo. “La dependencia de entrega está construida para escamotear las defensas basadas en la reputación escondiéndose detrás de servicios confiables”, dijo ReliaQuest. “Esto reduce la infraestructura propiedad del atacante y hace que la asesinato y la contención sean más lentas y menos sencillas. Los archivos SCR son un vector de llegada original confiable porque son ejecutables que no siempre reciben controles a nivel de ejecutable. Cuando los usuarios los descargan y ejecutan desde correo electrónico o enlaces en la nubarrón, los atacantes pueden activar la ejecución de código mientras eluden las políticas ajustadas principalmente para archivos EXE y MSI”.

Los actores de amenazas están abusando de un compensador del kernel del software de orientación (EnCase) verdadero pero revocado como parte de un ataque de “traiga su propio compensador endeble” (BYOVD) para elevar los privilegios e intentar desarmar 59 herramientas de seguridad. En un ataque observado a principios de este mes, los atacantes aprovecharon las credenciales SSL-VPN de SonicWall comprometidas para obtener llegada original a la red de la víctima e implementaron un EDR que abusó del compensador (“EnPortv.sys”) para finalizar los procesos de seguridad desde el modo kernel. “El ataque se interrumpió antaño de la implementación del ransomware, pero el caso destaca una tendencia creciente: los actores de amenazas utilizan como arsenal controladores legítimos y firmados para cegar la seguridad de los terminales”, dijeron los investigadores de Huntress Anna Pham y Dray Agha. “El certificado del compensador EnCase expiró en 2010 y después fue revocado, pero Windows aún lo carga, una brecha en Driver Signature Enforcement que los atacantes continúan explotando”.

Los investigadores de seguridad han descubierto un error de codificación en el ransomware Nitrogen que hace que cifre todos los archivos con la esencia pública incorrecta, corrompiéndolos irrevocablemente. “Esto significa que incluso el actor de la amenaza es incapaz de descifrarlos, y que las víctimas que no tienen copias de seguridad viables no tienen capacidad para recuperar sus servidores cifrados ESXi”, dijo Coveware. “Acreditar un rescate no ayudará a estas víctimas, ya que la esencia/útil de descifrado no funcionará”.

Una operación ataque en la nubarrón dirigida a un entorno de Amazon Web Services (AWS) pasó del llegada original a privilegios administrativos en ocho minutos. A pesar de la velocidad del ataque, Sysdig dijo que la actividad tiene características del uso de modelos de jerga prócer (LLM) para automatizar el agradecimiento, crear código ladino y tomar decisiones en tiempo positivo. “El actor de amenazas obtuvo llegada original a la cuenta de AWS de la víctima a través de credenciales descubiertas en depósitos públicos del Servicio de almacenamiento simple (S3)”, dijo Sysdig. “Luego, aumentaron rápidamente los privilegios mediante la inyección de código de función Lambda, se movieron lateralmente a través de 19 directores únicos de AWS, abusaron de Amazon Bedrock para LLMjacking y lanzaron instancias de GPU para entrenamiento de modelos”.

Un esquema de phishing ha utilizado correos electrónicos de phishing relacionados con adquisiciones y licitaciones para distribuir archivos adjuntos en PDF que inician una dependencia de ataque de varias etapas para robar las credenciales de Dropbox de los usuarios y enviarlas a un bot de Telegram. Una vez que se transmiten los datos, simula un proceso de inicio de sesión con un retraso de 5 segundos y está configurado para mostrar un mensaje de error “Correo electrónico o contraseña no válidos”. “La dependencia maliciosa se plinto en una infraestructura de nubarrón aparentemente legítima, como el almacenamiento Vercel Blob, para introducir un PDF que finalmente redirige a las víctimas a una página de suplantación de Dropbox diseñada para recoger credenciales”, dijo Forcepoint. “Conveniente a que Dropbox es una marca habitual y confiable, la solicitud de credenciales pareció arreglado para los usuarios desprevenidos. Es aquí donde la campaña pasa del enredo al impacto”.

Se ha revelado una rotura de seguridad con calificación crítica en Sandboxie (CVE-2025-64721, puntuación CVSS: 9.9) que, si se explota con éxito, podría permitir que los procesos en el espacio marginado ejecuten código despótico como SISTEMA, comprometiendo completamente al host. El problema tiene su origen en un servicio llamado “SboxSvc.exe”, que se ejecuta con permisos del SISTEMA y funciona como el “Adulto responsable” entre los procesos aislados y los capital reales de la computadora. El problema se solucionó en la lectura 1.16.7. “En este caso, la dependencia de la aritmética de puntero manual estilo C sobre una definición de interfaz segura (como IDL) dejó un infructifero”, dijo el investigador de profundidad Mav Levin, quien descubrió la vulnerabilidad. “Una única comprobación de desbordamiento de enteros faltante, contiguo con la confianza implícita en la largo de los mensajes proporcionada por el cliente, convirtió al adulto responsable en una víctima”.

La plataforma de dirección de superficie de ataque Censys dijo que está rastreando 57 hosts activos asociados a AsyncRAT expuestos en la Internet pública a partir de enero de 2026. Audaz por primera vez en 2019, AsyncRAT permite el llegada no facultado a extenso plazo y el control posterior al compromiso, lo que lo convierte en una útil confiable para el robo de credenciales, la preparación de movimientos laterales y la entrega de carga útil de seguimiento. De los 57 activos totales, la mayoría está alojada en APIVERSA (13% de los hosts), redes Contabo (11% combinadas) y AS-COLOCROSSING (5,5%), lo que indica que los operadores priorizan el hosting de bajo costo y tolerante al tropelía sobre los principales proveedores de nubarrón. “Estos hosts se concentran principalmente en una pequeña cantidad de sistemas autónomos centrados en VPS y con frecuencia reutilizan un certificado TLS autofirmado distintivo que identifica el servicio como un ‘servidor AsyncRAT’, lo que permite el descubrimiento escalable de infraestructura relacionada más allá de la detección basada en muestras”, dijo Censys.

Un examen de varias campañas montadas por los grupos de hackers chinos Violet Typhoon y Volt Typhoon ha revelado el uso de algunas tácticas comunes: explotar fallas de día cero en dispositivos periféricos, técnicas de vida fuera de la tierra (LotL) para atravesar redes y esconderse adentro de la actividad frecuente de la red, y redes de cajas de retransmisión operativas (ORB) para ocultar operaciones de espionaje. “Es casi seguro que los actores de amenazas de los estados-nación chinos no sólo continuarán persiguiendo objetivos de suspensión valencia, sino que es probable que amplíen sus operaciones para realizar campañas globales y apuntar a tantas entidades en cada región o sector como sea posible para maximizar sus ganancias en cada explotación”, dijo Intel471. “La apresuramiento de las mejoras en la postura de ciberseguridad de numerosos países esencia ha obligado a las fuerzas de inteligencia patrocinadas por el estado chino a ser más innovadoras con sus estrategias de ataque”.

Los actores de amenazas están utilizando un situación llamado IClickFix que se puede utilizar para crear páginas ClickFix en sitios de WordPress pirateados. Según la empresa de seguridad Sekoia, el situación ha estado activo en más de 3.800 sitios desde diciembre de 2024. “Este clúster utiliza un situación JavaScript ladino inyectado en sitios de WordPress comprometidos para mostrar el atractivo ClickFix y entregar NetSupport RAT”, dijo la empresa francesa de ciberseguridad. La campaña de distribución de malware aprovecha la táctica de ingeniería social de ClickFix a través de un sistema de distribución de tráfico (TDS). Se sospecha que el atacante abusa del acortador de URL de código extenso YOURLS como TDS. En los últimos meses, igualmente se ha descubierto que los actores de amenazas utilizan otro TDS llamado ErrTraffic para inyectar JavaScript ladino en sitios web comprometidos para provocar fallos y luego sugerir una posibilidad para solucionar el problema inexistente.