Espionaje de fibra óptica, rootkit de Windows, búsqueda de vulnerabilidades de IA y más

El lunes ha vuelto y el caos acumulado del fin de semana está oficialmente llegando al ventilador. Estamos rastreando un día cero crítico que ha estado viviendo silenciosamente en sus archivos PDF durante meses, adicionalmente de alguna intromisión agresiva patrocinada por el estado en la infraestructura que finalmente está saliendo a la luz. Es una de esas mañanas en las que la brecha entre un turno silencioso y una respuesta completa a un incidente es básicamente inexistente.

La variedad esta semana es particularmente desagradable. Tenemos modelos de IA que se convierten en motores de explotación autónomos, grupos norcoreanos que juegan a espacioso plazo con la ingeniería social y malware sin archivos que afecta los flujos de trabajo empresariales. Incluso se ha producido una importante matanza de botnets y nuevas investigaciones que demuestran que incluso los cables de fibra óptica pueden utilizarse para espiar sus conversaciones privadas.

Lea esto ayer de su próxima reunión. Entremos en ello.

⚡ Amenaza de la semana

Adobe Acrobat Reader 0-Day bajo ataque — Adobe lanzó actualizaciones de emergencia para corregir una error de seguridad crítica en Acrobat Reader que ha sido explotada activamente en la naturaleza. La vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2026-34621, tiene una puntuación CVSS de 8,6 sobre 10,0. La explotación exitosa de la error podría permitir a un atacante ejecutar código sagaz en las instalaciones afectadas. Se ha descrito como un caso de contaminación de prototipos que podría dar sitio a la ejecución de código injustificado. El expansión se produce días posteriormente de que el investigador de seguridad y fundador de EXPMON, Haifei Li, revelara detalles de la explotación de día cero de la error para ejecutar código JavaScript sagaz al desobstruir documentos PDF especialmente diseñados a través de Adobe Reader. Hay evidencia que sugiere que la vulnerabilidad puede acontecer estado bajo explotación desde diciembre de 2025.

🔔 Informativo destacadas

• Estados Unidos advierte sobre campaña de piratería informática por parte de actores cibernéticos afiliados a Irán — Las agencias estadounidenses advirtieron sobre una campaña de piratería informática emprendida por actores iraníes que atacan los sistemas de control industrial en todo Estados Unidos y que ha tenido enseres perturbadores y costosos. Los ataques, que continúan desde el mes pasado, se dirigieron a controladores lógicos programables (PLC) en el sector energético, servicios públicos de agua y aguas residuales e instalaciones gubernamentales que quedan expuestas a la Internet pública con la evidente intención de boicotear sus sistemas. “En algunos casos, esta actividad ha resultado en interrupciones operativas y pérdidas financieras”, dijeron las agencias. La actividad no ha sido atribuida a ningún montón en particular. Los ataques son parte de un patrón más amplio de subida de operaciones vinculadas a Irán a medida que la pelea liderada por Estados Unidos e Israel contra Irán entra en su sexta semana. Desde entonces, Estados Unidos e Irán acordaron un suspensión el fuego de dos semanas.
• El maniquí Mythos de Anthropic es un motor de reproducción de exploits y de día 0 – Un consorcio cerrado que incluye gigantes tecnológicos y los principales proveedores de seguridad está obteniendo golpe temprano a un maniquí de frontera de propósito caudillo que, según Anthropic, puede descubrir de forma autónoma vulnerabilidades de software a escalera. Conveniente a que existe la preocupación de que se pueda atropellar de las capacidades fronterizas de la IA para editar ataques sofisticados, la idea es utilizar Mythos para mejorar la seguridad de algunos de los software más utilizados ayer de que los malos actores lo pongan en sus manos. Con ese fin, el Plan Glasswing pretende aplicar estas capacidades en un entorno defensivo controlado, permitiendo a las empresas participantes probar y mejorar la seguridad de sus propios productos. En las primeras pruebas, Anthropic afirma que el maniquí identificó miles de vulnerabilidades de entrada compromiso en sistemas operativos, navegadores web y otro software ampliamente utilizado, sin mencionar el diseño de exploits para fallas de N días, en algunos casos, menos de un día, comprimiendo significativamente la ringlera de tiempo que normalmente se requiere para crear exploits que funcionen. “Los nuevos modelos de IA, especialmente los de Anthropic, han desencadenado un nuevo conjunto de acciones sobre cómo construimos y protegemos nuestros productos”, dijo Cisco, uno de los socios de impulso. “Si perfectamente las capacidades ahora disponibles para los defensores son notables, pronto todavía estarán disponibles para los adversarios, lo que define el punto de inflexión crítico que enfrentamos hoy. Defensivamente, la IA nos permite escanear y proteger vastas bases de código a una escalera ayer inimaginable. Sin retención, todavía reduce el límite para los atacantes, permitiendo a los actores menos capacitados editar campañas complejas y de suspensión impacto. En última instancia, la IA está acelerando el ritmo de la innovación tanto para los defensores como para los adversarios. La pregunta es simplemente quién se adelanta y a qué velocidad”.
• Operación policial derriba la botnet del enrutador APT28 – APT28 ha estado explotando silenciosamente vulnerabilidades conocidas en enrutadores de oficinas pequeñas y domésticas (SOHO) desde al menos mayo de 2025, y cambiando la configuración de su servidor DNS para redirigir a las víctimas a sitios web que controla por robo de credenciales. La esclavitud de ataque comienza cuando Forest Blizzard obtiene golpe no competente a enrutadores SOHO mal protegidos y modifica silenciosamente su configuración de red predeterminada para que las búsquedas de DNS para sitios web seleccionados se modifiquen para dirigir a los usuarios a sus contrapartes falsas. Específicamente, el actor reemplaza la configuración de resolución de DNS legítima del enrutador con servidores DNS controlados por el actor. Regalado que los dispositivos terminales, como computadoras portátiles, teléfonos y estaciones de trabajo, heredan automáticamente la configuración de red de los enrutadores a través del Protocolo de configuración dinámica de host (DHCP), cada dispositivo que se conecta a través de un enrutador comprometido, sin saberlo, comienza a reenviar sus solicitudes de DNS a la infraestructura controlada por la inteligencia rusa. Para un subconjunto selecto de objetivos de entrada prioridad, Forest Blizzard pasó de la compendio pasiva de DNS a ataques activos de Adversario en el Medio (AiTM) contra conexiones de Seguridad de la capa de transporte (TLS). El enrutador comprometido redirige la consulta DNS de la víctima al solucionador controlado por el actor. El solucionador sagaz devuelve una dirección IP falsificada, dirigiendo el dispositivo de la víctima a una infraestructura controlada por el actor en sitio del servicio legal. Luego, Forest Blizzard intercepta el tráfico de texto sin formato subyacente, que puede incluir correos electrónicos, credenciales y contenido confidencial alojado en la cúmulo. La actividad ha ido disminuyendo gradualmente durante las últimas semanas. Las operaciones son “probablemente de naturaleza oportunista, y el actor aguijada una amplia red para salir a muchas víctimas potenciales, ayer de amoldarse a objetivos de interés de inteligencia a medida que se desarrolla el ataque”, según el gobierno del Reino Unido. “El GRU proporciona respuestas DNS fraudulentas para dominios y servicios específicos, incluido Microsoft Outlook Web Access, lo que permite ataques de adversario en el medio (AitM) contra el tráfico secreto si los usuarios navegan a través de una advertencia de error de certificado. Estos ataques AitM permitirían a los actores ver el tráfico sin acortar”. La operación se enmarca en una serie de interrupciones dirigidas a piratas informáticos del gobierno ruso que se remontan a 2018, incluidas VPNFilter, Cyclops Blink y MooBot.
• El protocolo Drift vincula el hackeo con Corea del Boreal – Drift Protocol ha revelado que un montón vinculado al estado de Corea del Boreal pasó seis meses haciéndose sobrevenir por una empresa comercial para robar 285 millones de dólares en activos digitales. El ataque ha sido descrito como una operación de inteligencia meticulosamente planificada que comenzó en el otoño de 2025, cuando un montón de personas se acercó al personal de Drift en una importante conferencia sobre criptomonedas, presentándose como una empresa comercial cuantitativa que buscaba integrarse con el protocolo. Durante los siguientes meses, el montón generó confianza a través de reuniones en persona, coordinación de Telegram, incorporación de un Ecosystem Vault en Drift e hizo un depósito de $1 millón de su propio caudal. Pero una vez que se produjo el exploit, el montón comercial desapareció, con los chats y el malware “completamente eliminados” para cubrir las huellas. El hackeo del Drift Protocol sigue un patrón que se está volviendo cada vez más frecuente, ya que este incidente marca el decimoctavo acto vinculado a Corea del Boreal que Elliptic rastrea en 2026.
• Campaña de hackers a sueldo vinculada a amarga campaña se dirige a periodistas en todo MENA — Una evidente campaña de piratería a sueldo probablemente orquestada por un actor de amenazas con presuntos vínculos con el gobierno indio tuvo como objetivo a periodistas, activistas y funcionarios gubernamentales en todo Medio Oriente y África del Boreal (MENA). Entre los objetivos se encontraban destacados periodistas egipcios y críticos del gobierno, Mostafa Al-A’sar y Ahmed Eltantawy, conexo con un periodista libanés secreto. Los ataques de phishing tenían como objetivo comprometer sus cuentas de Apple y Google mediante el remesa de enlaces especialmente diseñados para capturar sus credenciales. Se ha descubierto que el ataque comparte superposiciones de infraestructura con una campaña de software informador de Android que aprovechó sitios web engañosos que se hacían sobrevenir por Signal, ToTok y Botim para implementar ProSpy y ToSpy en objetivos no especificados en los Emiratos Árabes Unidos. Si perfectamente Bitter no se ha atribuido a campañas de espionaje dirigidas a miembros de la sociedad civil en el pasado, la campaña demuestra una vez más una tendencia creciente de agencias gubernamentales que subcontratan sus operaciones de piratería a empresas privadas de piratería informática, que desarrollan software informador y exploits para uso de las autoridades y los servicios de inteligencia. agencias para aceptar de forma ajuste a datos en los teléfonos de las personas.

🔥 CVE de tendencia

Los errores disminuyen semanalmente y la brecha entre un parche y un exploit se reduce rápidamente. Estos son los pesos pesados ​​de la semana: los de entrada compromiso, los que se utilizan ampliamente o los que ya se están explorando en la naturaleza.

Consulte la tira, parchee lo que tiene y presione primero los marcados como urgentes: CVE-2026-34621 (Adobe Acrobat Reader), CVE-2026-39987 (Marimo), CVE-2026-34040 (Docker Engine), CVE-2025-59528 (Flowise), CVE-2026-34976 (dgraph). CVE-2026-0049, CVE-2025-48651 (Android), CVE-2026-0740 (Ninja Forms – complemento de carga de archivos), CVE-2025-58136 (Apache Traffic Server), CVE-2026-4350 (complemento Perfmatters), CVE-2026-32922, CVE-2026-33579, GHSA-9p3r-hh9g-5cmg, GHSA-g5cg-8x5w-7jpm, GHSA-8rh7-6779-cjqq, GHSA-hc5h-pmr3-3497, GHSA-j7p2-qcwm-94v4, GHSA-fqw4-mph7-2vr8, GHSA-9hjh-fr4f-gxc4, GHSA-hf68-49fm-59cq (OpenClaw), CVE-2026-29059, CVE-2026-23696, CVE-2026-22683 (Molino de singladura), CVE-2026-34197 (Apache ActiveMQ), CVE-2026-4342 (Kubernetes), CVE-2026-34078 (Flatpak), CVE-2026-31790 (OpenSSL), CVE-2026-0775 (npm cli), CVE-2026-0776 (cliente Discord), CVE-2026-0234 (Palo Suspensión Networks), CVE-2026-4112 (SonicWall), CVE-2026-5437 a CVE-2026-5445 (servidor Orthanc DICOM), CVE-2026-30815, CVE-2026-30818 (TP-Link), CVE-2026-33784 (Juniper Networks Support Insights Posible Lightweight Collector), CVE-2026-23869 (React Server Components), CVE-2026-5707, CVE-2026-5708, CVE-2026-5709 (AWS Research and Engineering Studio), CVE-2026-5173, CVE-2026-1092, CVE-2025-12664 (GitLab), CVE-2026-5860, CVE-2026-5858, CVE-2026-5859, desde CVE-2026-5860 hasta CVE-2026-5873 (Google Chrome), CVE-2023-46233, CVE-2026-1188, CVE-2026-1342, CVE-2026-1346 (IBM Verify Identity Access e IBM Security Verify Access), CVE-2026-5194 (WolfSSL) y CVE-2026-20929 (Windows HTTP.sys).

🎥 Seminarios web sobre ciberseguridad

• El plan para la gobernanza de agentes de IA: identidad, visibilidad y control → A medida que los agentes de IA autónomos pasan del “slideware” real al middleware de producción, han creado una nueva superficie de ataque masiva: las identidades no humanas. Únase a este seminario web para dejar de flanco el ruido de los proveedores y obtener un plan práctico para los tres pilares de la seguridad de los agentes: identidad, visibilidad y control. Aprenda a establecer identidades de agentes respaldadas por hardware e implementar proxies de IA forense para dirigir su fuerza profesional de máquinas ayer de que los “fantasmas” de su sistema se conviertan en responsabilidades.
• Estado de la seguridad de la IA 2026: de aplicaciones experimentales a agentes autónomos → La IA está evolucionando de herramientas estáticas a agentes autónomos, superando a la seguridad tradicional más rápido que nunca. Con el 87% de los líderes citando la IA como su principal aventura emergente, el enfoque de “esperar y ver” ha terminado oficialmente. Únase a nosotros para analizar el estado de la seguridad de la IA en 2026 y obtener una hoja de ruta probada en batalla para proteger los tiempos de ejecución de los modelos, avisar fugas de datos agentes y dirigir la fuerza profesional de sus máquinas en producción.
• Valide un 56% más rápido: cómo los agentes de IA están automatizando el ciclo Pentest → Los retrasos en las vulnerabilidades son infinitos, pero la verdadera explotabilidad es rara. La brío de exposición agente utiliza IA autónoma para probar de forma segura sus defensas en tiempo positivo, demostrando qué riesgos son reales y cuáles son solo ruido. Únase a nosotros para asimilar cómo automatizar su ciclo de brío, priorizar el 1% de las fallas que efectivamente importan y estrechar su superficie de ataque a la velocidad de la máquina.

📰 En torno a del mundo cibernético

• El sitio web falsificado de Claude elimina PlugX — Un sitio web falsificado que se hace sobrevenir por Claude de Anthropic para impulsar un instalador troyanizado que implementa malware conocido denominado PlugX mediante una técnica llamamiento carga supletorio de DLL. El dominio imita el sitio oficial de Claude, y los visitantes que descargan el archivo ZIP reciben una copia de Claude que se instala y ejecuta como se esperaba”, dijo Malwarebytes. “Pero en segundo plano, implementa una esclavitud de malware PlugX que brinda a los atacantes golpe remoto al sistema”. Si perfectamente se sabe que PlugX es ampliamente compartido entre grupos de hackers chinos y entregado a través de carga supletorio de DLL, su código fuente ha circulado en foros clandestinos, lo que indica que otros actores de amenazas todavía podrían estar utilizando el malware como armas en sus propios ataques.
• Los servidores de VerifTools incautados exponen 915.655 identificaciones falsas — En agosto de 2025, una operación policial conjunta entre los Países Bajos y los EE. UU. condujo al desmantelamiento de un mercado de identificaciones falsas llamado VerifTools. La semana pasada, la policía holandesa arrestó a ocho sospechosos en una operación a nivel doméstico dirigida a usuarios de la plataforma ilícita como parte de una investigación de fraude de identidad. Los sospechosos varones, de entre 20 y 34 primaveras, han sido acusados ​​de fraude de identidad, falsificación y delitos relacionados con delitos cibernéticos. Por otra parte, se ha colocado a nueve sospechosos que se presenten en la comisaría. Esto incluye siete hombres de 18 a 35 primaveras y dos niñas de 15 y 16 primaveras. Una investigación más exhaustiva de VerifTools ha revelado que hubo 636.847 usuarios registrados desde febrero de 2021 hasta agosto de 2025, con 915.655 documentos falsos generados entre mayo de 2023 y agosto de 2025. Los investigadores todavía encontraron 236.002 imágenes de documentos vinculados a los EE. UU. que se compraron por en torno a de 1,47 dólares. millones entre julio de 2024 y agosto de 2025.
• El gobierno del Reino Unido amenaza con entalegar a los ejecutivos tecnológicos — El gobierno del Reino Unido dijo que presentó enmiendas al Plan de Ley sobre Crimen y Vigilancia que, adicionalmente de penalizar la pornografía que representa conductas sexuales ilegales entre miembros de la tribu y adultos interpretando roles cuando eran niños y prohibir a las personas poseer o difundir dicho contenido, todavía apunta a multar o entalegar a los altos ejecutivos de las empresas que no eliminan las imágenes íntimas de las personas que han sido compartidas sin consentimiento.
• Fibras ópticas para escuchas acústicas — Una nueva investigación de la Universidad Politécnica de Hong Kong y la Universidad China de Hong Kong ha descubierto un canal supletorio crítico internamente de la fibra óptica de telecomunicaciones que permite la audición acústica. “Al explotar la sensibilidad de las fibras ópticas a las vibraciones acústicas, los atacantes pueden monitorear de forma remota las deformaciones inducidas por el sonido en la estructura de la fibra y recuperar información de las ondas sonoras originales”, dijo un montón de académicos en un artículo adjunto. “Este problema se vuelve particularmente preocupante con la proliferación de instalaciones de fibra hasta el hogar (FTTH) en edificios modernos. Los atacantes con golpe a un extremo de una fibra óptica pueden usar sistemas de detección acústica distribuida (DAS) disponibles comercialmente para aceptar al entorno privado que rodea el otro extremo”.
• Storm-2755 realiza ataques piratas a la paga – Microsoft dijo que observó a un actor de amenazas emergente con motivación financiera llamado Storm-2755 que llevaba a final ataques piratas de paga dirigidos a usuarios canadienses abusando de los flujos de trabajo empresariales legítimos. “En esta campaña, Storm-2755 comprometió cuentas de usuarios para obtener golpe no competente a perfiles de empleados y desviar pagos de salario a cuentas controladas por atacantes, lo que resultó en pérdidas financieras directas para las personas y organizaciones afectadas”, dijo la compañía. El hércules tecnológico todavía señaló que la campaña es distinta de la actividad precursor oportuno a diferencias en la entrega y la orientación. En particular, esto implica la orientación monopolio a usuarios canadienses y el uso de publicidad maliciosa y optimización de motores de búsqueda (SEO) que envenenan términos de búsqueda independientes de la industria como “Office 365” para atraer a las víctimas a las páginas de cosecha de credenciales de Microsoft 365. Incluso es trascendente el uso de técnicas de adversario en el medio (AiTM) para secuestrar sesiones autenticadas, lo que permite al actor de la amenaza eludir la autenticación multifactor (MFA) y mezclarse con la actividad legítima del heredero.

• MITRE aguijada el entorno F3 para batallar contra el fraude cibernético — MITRE ha publicado el Fight Fraud Framework (F3), que describió como un “esfuerzo único en su tipo para delimitar y estandarizar las tácticas y técnicas utilizadas en el fraude financiero cibernético”. Las tácticas cubren todo el ciclo de vida del ataque: gratitud, expansión de fortuna, golpe auténtico, diversión de defensa, posicionamiento, ejecución y monetización. Al codificar el arte utilizado para realizar fraude, la idea es ayudar a las instituciones financieras a comprender, detectar y avisar mejor el fraude a través de un entorno compartido de comportamientos adversarios, agregó. “Los actores del fraude a menudo combinan técnicas cibernéticas tradicionales con tácticas de fraude específicas de dominio, lo que hace esencial un entorno unificado de fraude cibernético”, dijo MITRE. “F3 ayuda a los defensores a conectar señales técnicas con eventos de fraude del mundo positivo, lo que permite sobrevenir de una respuesta reactiva a una defensa proactiva”.
• RegPhantom, un rootkit sigiloso del kernel de Windows — Un nuevo rootkit del kernel de Windows denominado RegPhantom puede ofrecer a los atacantes la ejecución de código en modo kernel desde un contexto de modo de heredero sin privilegios sin dejar ninguna evidencia visual importante. “El malware abusa del registro de Windows como un mecanismo de activación encubierto: un proceso en modo de heredero puede destinar un comando secreto a través de una escritura en el registro, que el compensador intercepta y convierte en una ejecución arbitraria de código en modo kernel”, dijo Nextron Systems. “Lo que hace que esta amenaza sea trascendente es la combinación de sigilo, privilegios y desmán de confianza. El compensador se ejecuta como un componente del kernel firmado, lo que le permite negociar con el nivel de privilegio más suspensión en sistemas Windows. No depende del comportamiento frecuente de carga del compensador para sus cargas aperos y, en cambio, mapea el código de modo reflectante en la memoria del kernel, haciendo que el módulo cargado sea invisible para las herramientas tipificado que enumeran los controladores. Incluso bloquea la escritura del registro de activación, poso la memoria de la carga útil ejecutada y almacena punteros de enlace en forma codificada, lo que reduce significativamente la visibilidad forense”. La primera muestra de RegPhantom en estado salvaje se detectó el 18 de junio de 2025.
• Se detallan los ataques de retransmisión de hash NTLMv2 de APT28 – En más noticiero de APT28 (todavía conocido como Pawn Storm), se ha atribuido al actor de amenazas ataques de retransmisión de hash NTLMv2 a través de diferentes métodos contra una amplia gradación de objetivos globales en Europa, América del Boreal, América del Sur, Asia, África y Medio Oriente entre abril de 2022 y noviembre de 2023. Se sabe que el actor de amenazas irrumpe en servidores de correo y en los servicios corporativos de red privada supuesto (VPN) de organizaciones de todo el mundo mediante ataques de credenciales de fuerza bruta desde 2019. “Pawn Storm todavía ha estado utilizando enrutadores EdgeOS para destinar correos electrónicos de phishing, realizar devoluciones de llamadas de exploits CVE-2023-23397 en Outlook y robo de credenciales de proxy en sitios web de phishing”, dijo Trend Micro. La explotación exitosa de CVE-2023-23397 permite a un atacante obtener el hash Net-NTLMv2 de una víctima y usarlo para la autenticación contra otros sistemas que admitan la autenticación NTLM. La vulnerabilidad, según Microsoft, ha sido explotada como día cero desde abril de 2022. Algunas campañas observadas en octubre de 2022 implicaron el uso de correos electrónicos de phishing para detectar un carero que escaneaba el sistema periódicamente en búsqueda de archivos que coincidieran con ciertas extensiones y los exfiltraba al servicio gratis para compartir archivos, free.keep.sh.
• Nuevas RAT en riqueza — Se están utilizando instaladores troyanizados de FileZilla para iniciar una esclavitud de ataques que conduce a la implementación de STX RAT, un troyano de golpe remoto (RAT) con capacidades de robo de información. Los investigadores todavía descubrieron una amenaza activa llamamiento DesckVB RAT, un troyano basado en JavaScript que implementa una carga útil de PowerShell, que seguidamente carga un cargador basado en .NET directamente en la memoria. “Una vez ejecutado, el RAT establece comunicación con un servidor de comando y control (C2), lo que permite a los atacantes controlar de forma remota el sistema comprometido, filtrar datos confidenciales y aguantar a final diversas actividades maliciosas manteniendo una huella de detección desvaloración”, dijo Point Wild. Algunas de las otras RAT recientemente descubiertas incluyen CrystalX o WebCrystal RAT (un nuevo malware como servicio (MaaS) y un cambio de marca de WebRAT promocionado en Telegram y YouTube con golpe remoto, robo de datos, registro de teclas, software informador y capacidades de clipper), RetroRAT (un malware distribuido a través de PowerShell y cargadores .NET como parte de una campaña llamamiento Operación DualScript para monitoreo del sistema, seguimiento de actividad financiera, secuestro del portapapeles para enrutar transacciones de criptomonedas y ejecución remota de comandos). ResokerRAT (un malware que utiliza Telegram para C2 y recibe comandos en la máquina víctima) y CrySome (un C# RAT que ofrece operaciones remotas de espectro completo en sistemas comprometidos, conexo con una persistencia profundamente integrada, un antivirus antivirus y una obra anti-eliminación que aprovecha el desmán de la partición de recuperación y la modificación del registro fuera de ringlera).
• La campaña de phishing ofrece Remcos RAT sin archivos – Se utilizan correos electrónicos de phishing para destinar Remcos RAT en lo que se ha descrito como un ataque sin archivos. “La esclavitud de ataque se inicia a través de un correo electrónico de phishing que contiene un archivo adjunto ZIP disfrazado de documento comercial legal”, dijo Point Wild. “Tras la ejecución, un cuentagotas de JavaScript ofuscado establece el punto de apoyo auténtico y recupera un script remoto de PowerShell, que actúa como un cargador reflectante. Este cargador emplea múltiples capas de ofuscación, incluida la codificación Base64, la manipulación binaria sin formato y el secreto XOR rotacional, para rehacer y ejecutar una carga útil .NET completamente en la memoria”. Un aspecto importante de la campaña es el uso de binarios del sistema confiables para representar la ejecución maliciosa bajo la apariencia de procesos legítimos. La carga útil final de RAT se recupera dinámicamente desde un servidor C2 remoto, lo que permite al actor de amenazas cambiar de carga útil en cualquier momento.
• Infraestructura del conmutador Tycoon 2FA y uso de ProxyLine —Se ha observado que los operadores del kit de phishing Tycoon 2FA dependen cada vez más de ProxyLine, un servicio de proxy de centro de datos comercial, para evitar los controles de detección IP y geográficos luego de su regreso posteriormente del desmantelamiento mundial coordinado de su infraestructura el mes pasado. Tras la matanza, los actores de amenazas recurrieron a nuevos proveedores de infraestructura como HOST TELECOM LTD, Clouvider, GREEN FLOID LLC y Shock Hosting LLC. Un proveedor que ha sido testificador de un uso continuo ayer y posteriormente de la retirada es M247 Europe SRL. Por otra parte, las campañas Tycoon 2FA dirigidas a Gmail han implementado comunicación basada en WebSocket para la cosecha de credenciales en tiempo positivo y una huella de detección pequeña en comparación con las solicitudes HTTP POST tradicionales.
• Las fallas de seguridad de TeleGuard expuestas — Se ha descubierto que TeleGuard, una aplicación que se anuncia como un “mensajero secreto (que) ofrece una protección de datos sin concesiones” y que ha sido descargada más de un millón de veces, sufre de un secreto deficiente que permite a un atacante aceptar trivialmente a la secreto privada de un heredero y descifrar sus mensajes. “TeleGuard todavía carga las claves privadas de los usuarios en un servidor de la empresa, lo que significa que el propio TeleGuard podría descifrar los mensajes de sus usuarios, y la secreto todavía puede derivarse, al menos parcialmente, simplemente interceptando el tráfico de un heredero”, dijeron los investigadores de seguridad a 404 Media.
• Google lleva E2EE a Gmail para Android e iOS — Google amplió oficialmente la compatibilidad con el secreto de extremo a extremo (E2EE) a dispositivos Android e iOS para los usuarios de secreto del flanco del cliente (CSE) de Gmail. “Los usuarios con una osadía E2EE de Gmail pueden destinar un mensaje secreto a cualquier destinatario, independientemente de la dirección de correo electrónico que tenga el destinatario”, dijo Google. Actualmente, la función está limitada solo a clientes de Enterprise Plus con el complemento Assured Controls o Assured Controls Plus.
• Alcaldada de malos actores en GitHub y GitLab — Los actores de amenazas están recurriendo a servicios confiables como GitHub y GitLab para difundir malware y robar credenciales de inicio de sesión de usuarios desprevenidos. Se ha descubierto que en torno a del 53% de todas las campañas que abusan de los dominios de GitHub entregan malware (por ejemplo, XWorm, Venom RAT), mientras que el 64% de las campañas que abusan de los dominios de GitLab entregan malware (por ejemplo, DCRat). Algunas campañas todavía han recogido una esclavitud de ataque de doble amenaza, aprovechando GitHub o GitLab para engañar a los usuarios para que descarguen Muck Stealer, posteriormente de lo cual se abre automáticamente una página de phishing de credenciales. “Estos sitios web de repositorios Git son necesarios y no pueden bloquearse oportuno a su uso por parte del software empresarial y las operaciones comerciales normales”, dijo Cofense. “Al cargar malware o páginas de phishing de credenciales en repositorios alojados en estos dominios, los actores de amenazas pueden producir enlaces de phishing que no serán bloqueados por muchas defensas de seguridad basadas en correo electrónico, como puertas de enlace de correo electrónico seguras (SEG). GitHub y GitLab marcan la última tendencia en el desmán de plataformas legítimas de colaboración en la cúmulo”.
• El FBI extrae mensajes de señales de la almohadilla de datos del historial de notificaciones de iOS — La Oficina Federal de Investigaciones (FBI) de EE. UU. logró extraer de forma forense copias de los mensajes entrantes de Signal del iPhone de un marcado, incluso posteriormente de que se eliminó la aplicación, aprovechando el hecho de que se guardaron copias del contenido en la almohadilla de datos de notificaciones automáticas del dispositivo, informó 404 Media. El expansión revela cómo el golpe físico a un dispositivo puede permitir que se ejecute software especializado en él para producir datos confidenciales derivados incluso de aplicaciones de correo seguras en lugares inesperados. El problema no se limita a la aplicación Signal, sino que surge de una valentía de diseño más fundamental con respecto a cómo Apple almacena las notificaciones. Signal ya tiene una configuración que bloquea la visualización del contenido del mensaje en las notificaciones automáticas. Se recomienda a los usuarios preocupados por su privacidad que consideren activar la opción.
• Múltiples fallas en IBM WebSphere Liberty — Se han revelado múltiples fallas de seguridad en IBM WebSphere Liberty, un servidor de aplicaciones Java modular y compatible con la cúmulo, que podrían explotarse para tomar el control de los sistemas afectados. Según Oligo Security, las vulnerabilidades ofrecen múltiples vías para que los atacantes pasen de una exposición a nivel de red o un golpe establecido a un compromiso total del servidor. El más arduo es CVE-2026-1561 (puntuación CVSS: 5,4), que permite la ejecución remota de código autenticado previamente en implementaciones habilitadas para SSO oportuno a una deserialización insegura en SAML Web SSO. “IBM WebSphere Application Server Liberty es inerme a la falsificación de solicitudes del flanco del servidor (SSRF)”, dijo IBM. “Esto puede permitir que (un) atacante remoto envíe solicitudes no autorizadas desde el sistema, lo que podría conducir a la enumeración de la red o allanar otros ataques”.

🔧 Herramientas de ciberseguridad

• Betterleaks → Es el sucesor de próxima reproducción de Gitleaks, creado para encontrar credenciales expuestas con decano velocidad y precisión. Elimina el ruido de los falsos positivos al ir más allá de la coincidencia de patrones básica y sobrevenir a la detección de entrada fidelidad. Diseñado para canalizaciones de CI/CD modernas, ayuda a los desarrolladores a identificar y corregir claves API filtradas y datos confidenciales ayer de que se conviertan en problemas de seguridad.
• Supply Chain Instructor → Esta aparejo proporciona visibilidad de extremo a extremo de su esclavitud de suministro de software al monitorear los canales de CI/CD en búsqueda de actividades sospechosas. Realiza un seguimiento de la integridad de la compilación, detecta cambios no autorizados y descubre vulnerabilidades en tiempo positivo. Al integrarse directamente con sus flujos de trabajo existentes, ayuda a respaldar que el código que envía no haya sido manipulado entre la confirmación y la producción.

Descargo de responsabilidad: esto es estrictamente para investigación y formación. No ha pasado por una auditoría de seguridad formal, así que no lo dejes caer ciegamente en producción. Lea el código, primero divídalo en una zona de pruebas y asegúrese de que todo lo que esté haciendo se ajuste al flanco correcto de la ley.

Conclusión

Ese es el recopilación de este lunes. Si perfectamente los titulares generalmente se centran en el drama de suspensión nivel del Estado-nación, recuerde que la mayoría de estos ataques todavía dependen de que algún, en algún sitio, haga clic en un enlace “confiable” o ignore un parche central. Ya sea un motor de explotación impulsado por IA o una empresa comercial falsa, el objetivo siempre es encontrar el camino de último resistor en torno a su entorno.

Manténgase alerta, mantenga actualizados sus dispositivos periféricos y no permita que el ruido del ciclo de noticiero lo distraiga de los aspectos básicos de su propia defensa.