Botnet P2P híbrido, Apache RCE de 13 años y 18 historias más

Se ha observado una nueva modificación de la botnet conocida como Phorpiex (igualmente conocida como Trik), que utiliza un maniquí de comunicación híbrido que combina el perforación HTTP C2 tradicional con un protocolo peer-to-peer (P2P) sobre TCP y UDP para asegurar la continuidad operativa frente a caídas de servidores. El malware actúa como un conducto para cargas aperos cifradas, lo que dificulta que partes externas inyecten o modifiquen comandos. El objetivo principal de la modificación Twizt de Phorpiex es colocar un cortapelos que redirija las transacciones de criptomonedas, así como distribuir spam de correo electrónico de sextorsión de gran cuerpo y proveer la implementación de ransomware (por ejemplo, LockBit Black, Integral). Asimismo exhibe un comportamiento similar al de un infeliz al propagarse a través de unidades extraíbles y remotas, y soltar módulos responsables de filtrar frases mnemotécnicas y escanear en indagación de vulnerabilidades de inclusión de archivos locales (LFI). “Phorpiex ha demostrado consistentemente su capacidad de progresar, pasando de una operación pura de spam a una plataforma sofisticada”, dijo Bitsight. “La botnet Phorpiex sigue siendo una amenaza en gran medida adaptable y resistente”. Hay una media de 125.000 infecciones diarias, siendo los países más afectados Irán, Uzbekistán, China, Kazajstán y Pakistán.

Una vulnerabilidad de ejecución remota de código (RCE) que estuvo al acecho en Apache ActiveMQ Classic durante 13 abriles podría estar encadenada con una equivocación más antigua (CVE-2024-32114) para eludir la autenticación. Registrado como CVE-2026-34197 (puntaje CVSS: 8.8), el error recientemente identificado permite a los atacantes invocar operaciones de oficina a través de la API de Jolokia y engañar al intermediario de mensajes para que recupere un archivo de configuración remoto y ejecute comandos del sistema activo. Según Horizon3.ai, el defecto de seguridad es una omisión de CVE-2022-41678, un error que permite a atacantes autenticados activar la ejecución de código improcedente y escribir shells web en el disco. “La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos”, dijo Naveen Sunkavally, investigador de Horizon3.ai. “En algunas versiones (6.0.0 – 6.1.1), no se requieren credenciales correcto a otra vulnerabilidad, CVE-2024-32114, que inadvertidamente expone la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado”. El defecto de seguridad recién descubierto se solucionó en las versiones 5.19.4 y 6.2.3 de ActiveMQ Classic.

El fraude cibernético costó a las víctimas más de 17.700 millones de dólares durante 2025, a medida que las pérdidas financieras derivadas del fraude a través de Internet siguen aumentando. La pérdida total supera los 20.870 millones de dólares, un 26% más que en 2024. “El fraude cibernético es responsable de casi el 85% de todas las pérdidas reportadas al IC3 (Centro de Denuncias de Delitos en Internet) en 2025”, dijo la Oficina Federal de Investigaciones (FBI) de Estados Unidos. “El fraude en inversiones en criptomonedas fue la maduro fuente de pérdidas financieras para los estadounidenses en 2025, con 7.200 millones de dólares en pérdidas”. En todos los casos, las estafas de inversión encabezaron el orden con 8.600 millones de dólares en pérdidas reportadas, seguidas por la infracción del correo electrónico empresarial (3.000 millones de dólares) y las estafas de soporte técnico (2.100 millones de dólares). El año pasado se identificaron sesenta y tres nuevas variantes de ransomware, lo que provocó pérdidas de más de 32 millones de dólares. Akira, Qilin, INC./Lynx/Sinobi, BianLian, Play, Ransomhub, Lockbit, Dragonforce, Safepay y Medusa surgieron como las diez variantes principales que afectaron a entidades críticas de fabricación, atención médica, lozanía pública y gobierno.

Según datos de NETSCOUT, se registraron más de 8 millones de ataques DDoS en 203 países y territorios entre julio y diciembre de 2025. “El recuento de ataques se mantuvo estable en comparación con la primera porción del año, pero la naturaleza y sofisticación de los ataques cambiaron dramáticamente”, dijo la compañía. “La clase TurboMirai de botnets de IoT, incluidas AISURU y Eleven11 (RapperBot), surgió como una fuerza importante. Las plataformas de inquilinato de DDoS ahora están integrando LLM de la web oscura e IA conversacional, lo que reduce la barrera técnica para divulgar ataques complejos y multivectoriales. Incluso los actores de amenazas no capacitados ahora pueden orquestar campañas sofisticadas utilizando indicaciones en estilo natural, lo que aumenta el peligro para todas las industrias”.

Un ex empleado de Meta en el Reino Unido está bajo investigación por acusaciones de que descargó ilegalmente unas 30.000 fotos privadas de Facebook. Según The Guardian, el perceptible desarrolló un software de software para esquivar los sistemas de seguridad internos de Facebook y consentir a las imágenes privadas de los usuarios. Meta descubrió la infracción hace más de un año, despidió al empleado y remitió el caso a las autoridades. La compañía dijo que igualmente notificó a los usuarios afectados, aunque no está claro cuántos se vieron afectados.

Google dijo que está rastreando un orden de amenazas con motivación financiera llamado UNC6783 que está vinculado a la personalidad “Raccoon” y está apuntando a docenas de organizaciones de parada perfil en múltiples sectores al comprometer a los proveedores de subcontratación de procesos de negocios (BPO) y al personal de la mesa de ayuda para una posterior perjuicio de datos. “La campaña se pedestal en ingeniería social de chat en vivo para dirigir a los empleados a inicios de sesión falsos de Okta utilizando dominios (org).zendesk-support(##).com”, dijo Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GITG). “Su kit de phishing roba el contenido del portapapeles para evitar MFA y registrar sus propios dispositivos para un entrada persistente. Asimismo los observamos usando actualizaciones de seguridad falsas (ClickFix) para eliminar malware de entrada remoto”. Se recomienda a las organizaciones que prioricen las claves de hardware FIDO2 para roles de parada peligro, supervisen el chat en vivo en indagación de enlaces sospechosos y auditen periódicamente los dispositivos MFA recién inscritos.

Una campaña Magecart a gran escalera está utilizando utensilios SVG invisibles de 1×1 píxeles para inyectar una superposición de plazo falsa en 99 tiendas de comercio electrónico Magento, filtrando datos de plazo a seis dominios controlados por atacantes. “En las primeras horas del 7 de abril, casi 100 tiendas Magento fueron infectadas masivamente con un skimmer de ‘doble toque’: un caco de tarjetas de crédito escondido adentro de un punto SVG invisible”, dijo Sansec. “El posible vector de entrada es la vulnerabilidad PolyShell que continúa afectando a las tiendas Magento desprotegidas”. Al igual que otros ataques de este tipo, el skimmer muestra a las víctimas una superposición convincente de “Cuota seguro”, completa con acometividad de polímero y campos de facturación. Una vez que se capturan los detalles del plazo, redirige silenciosamente al comprador a la página de plazo auténtico. Adobe aún no ha publicado una aggiornamento de seguridad para invadir la equivocación de PolyShell en las versiones de producción de Magento.

Los ciberdelincuentes utilizan emojis en comunidades ilícitas para señalar actividad financiera, entrada y compromiso de cuentas, ofertas de herramientas y servicios, representar objetivos o regiones y comunicar impulso o importancia. El uso de emojis permite a los malos actores eludir los controles de seguridad. “Los emojis proporcionan una capa visual compartida que permite a los actores comunicar conceptos centrales sin someterse completamente del texto”, dijo Flashpoint. “Esto es particularmente valioso en: grandes canales de Telegram con membresía internacional, operaciones de fraude transfronterizas (y) mercados descentralizados. Esta capacidad de comprimir el significado en taquigrafía visual ayuda a subir las operaciones y la coordinación entre diversas redes de actores”.

Una campaña de ClickFix dirigida a usuarios de Windows está aprovechando instaladores MSI maliciosos para ofrecer un caco de información basado en Node.js. “Esta carga útil de Windows es un troyano de entrada remoto (RAT) en gran medida adaptable que minimiza su huella forense mediante el uso de capacidad de carga dinámica”, dijo Netskope. “Los módulos de robo central y los protocolos de comunicación nunca se almacenan en el disco de la víctima. En cambio, se entregan en la memoria sólo posteriormente de que se establece una conexión C2 exitosa. Para ofuscar aún más la infraestructura del atacante, el malware dirige el tráfico de streaming gRPC a través de la red Tor, proporcionando un canal bidireccional persistente y oculto”.

Más ClickFix, esta vez dirigido a macOS. Según Jamf, un ataque macOS estilo ClickFix está abusando del esquema de URL “applescript://” para iniciar Script Editor y entregar una carga útil de robo de información de Atomic Stealer, evitando así Terminal por completo. El ataque aprovecha páginas web falsas con temas de Apple que incluyen instrucciones para “recuperar espacio en disco en su Mac” haciendo clic en un pitón “Ejecutar” que activa el esquema de URL “applescript://”. Es probable que el nuevo enfoque sea una respuesta a una nueva característica de seguridad introducida por Apple en macOS 26.4 que escanea los comandos pegados en la Terminal antiguamente de ejecutarlos. “Es un punto de fricción significativo, pero como ilustra esta campaña, cuando una puerta se cierra, los atacantes encuentran otra”, dijo el investigador de seguridad Thijs Xhaflaire.

Un paquete PyPI zorro llamado hermes-px se ha anunciado como un “Proxy de inferencia de IA seguro”, pero contiene una funcionalidad para robar las indicaciones de los usuarios. “El paquete en verdad secuestra el punto final de IA privado de una universidad tunecina, incluye un aviso del sistema Anthropic Claude Code robado y renombrado, magma todas las respuestas para ocultar la verdadera fuente subido y filtra cada mensaje de afortunado directamente a la pulvínulo de datos Supabase del atacante, evitando el mismo anonimato de Tor que promete”, dijo JFrog.

Los datos de Censys han revelado que hay 5219 hosts expuestos a Internet que se autoidentifican como dispositivos Rockwell Automation/Allen-Bradley. “Estados Unidos representa el 74,6% de la exposición total (3.891 hosts), con una billete desproporcionada en los ASN de los operadores de telefonía celular, indicativos de dispositivos implementados en el campo en módems celulares”, dijo. “España (110), Taiwán (78) e Italia (73) representan las mayores concentraciones fuera de la anglosfera. La presencia de Islandia (36 anfitriones) es desproporcionada con respecto a su población y merece atención, dada su infraestructura de energía geotérmica”. La divulgación sigue a un aviso conjunto de agencias estadounidenses que advirtieron sobre la explotación continua de los controladores lógicos programables (PLC) de Rockwell Automation/Allen-Bradley conectados a Internet por parte de actores estatales afiliados a Irán desde marzo de 2026 para violar sectores de infraestructura críticos de EE. UU., causando interrupciones operativas y pérdidas financieras en algunos casos. Las agencias dijeron que los ataques recuerdan a ataques similares a PLC por parte de Cyber ​​Av3ngers a finales de 2023.

A finales de marzo de 2026, Anthropic expuso inadvertidamente material fuente interno de Claude Code a través de un paquete npm mal configurado, que incluía aproximadamente 512.000 líneas de TypeScript interno. Si aceptablemente la exposición duró solo unas tres horas, provocó una rápida duplicación del código fuente en GitHub, lo que llevó a Anthropic a emitir avisos de matanza (y luego una retractación parcial). No hace descuido asegurar que los actores de amenazas no perdieron el tiempo y aprovecharon la hogaño de la filtración para distribuir el malware proxy Vidar Stealer, PureLogs Stealer y GhostSocks a través de repositorios falsos filtrados de Claude Code GitHub. “La campaña abusa de GitHub Releases como canal confiable de entrega de malware, utilizando grandes archivos troyanizados y cuentas desechables para esquivar repetidamente las eliminaciones”, dijo Trend Micro. “La funcionalidad combinada de las cargas aperos de malware permite el robo de credenciales, la exfiltración de billeteras de criptomonedas, el secuestro de sesiones y el tropelía de proxy residencial en Windows, brindando a los operadores múltiples rutas de monetización a partir de una sola infección”.

Una nueva lectura de 64 bits de Lumma Stealer llamamiento Remus (históricamente llamamiento Tenzor) ha surgido en la naturaleza luego del derribo de Lumma y el doxxing de sus presuntos miembros principales. “Las primeras campañas de Remus se remontan a febrero de 2026, cuando el malware pasó de los solucionadores de entrega muerta de Steam/Telegram a EtherHiding y empleó nuevas comprobaciones antianálisis”, dijeron los investigadores de Gen. Encima de usar código idéntico, syscalls/sysenters directos y la misma técnica de ofuscación de cadenas, otro detalle que los vincula es el uso de un método de enigmático vinculado a la aplicación, que hasta la época solo se ha observado en Lumma Stealer.

En un revés para Anthropic, un tribunal federal de apelaciones de Washington, DC se negó a sitiar la designación de seguridad franquista de la empresa de inteligencia sintético por parte del Área de Defensa de EE. UU. como un peligro para la prisión de suministro. La novedad se produce posteriormente de que otro tribunal de apelaciones de San Francisco llegara a la conclusión opuesta en un medio lícito separado presentado por Anthropic, otorgándole una orden contencioso preliminar que impide a la oficina Trump hacer cumplir una prohibición sobre el uso del chatbot de IA Claude. La compañía ha dicho que la designación podría costarle miles de millones de dólares en negocios perdidos y daños a su reputación. Como señala Reuters, la demanda es una de las dos que Anthropic presentó por la atrevimiento sin precedentes de la oficina Trump de clasificarla como un peligro para la prisión de suministro posteriormente de que se negó a permitir que el ejército usara Claude para vigilancia masiva franquista o armas autónomas.

En una nueva campaña observada por Kaspersky, los usuarios involuntarios que buscan clientes proxy como Proxifier en motores de búsqueda como Google y Yandex son dirigidos a repositorios maliciosos de GitHub que alojan un ejecutable, que actúa como un envoltorio más o menos del instalador lícito de Proxifier. Una vez iniciado, configura las exclusiones de Microsoft Defender Antivirus, inicia el instalador de Proxifier auténtico, configura la persistencia y ejecuta un script de PowerShell que llega a Pastebin para recuperar una carga útil de la posterior etapa. El script de PowerShell descargado es responsable de recuperar otro script que contiene el malware Clipper de GitHub. El malware sustituye las direcciones de billeteras de criptomonedas copiadas en el portapapeles por una billetera controlada por el atacante con la intención de redirigir las transacciones financieras. Desde principios de 2025, más de 2.000 usuarios de Kaspersky (la mayoría de ellos en India y Vietnam) se han enfrentado a la amenaza.

Los actores de amenazas están aprovechando los canales de notificación en plataformas de colaboración populares para remitir correos electrónicos no deseados y de phishing. Adecuado a que estos correos electrónicos se envían desde la propia infraestructura de la plataforma (por ejemplo, la función Invitar clientes de Jira), es poco probable que las herramientas de seguridad del correo electrónico los bloqueen. “Estos correos electrónicos se transmiten utilizando la infraestructura legítima de entrega de correo asociada con GitHub y Jira, minimizando la probabilidad de que sean bloqueados en tránsito para víctimas potenciales”, dijo Cisco Talos. “Al servirse la funcionalidad de notificación incorporada habitable en estas plataformas, los adversarios pueden eludir de modo más efectiva las soluciones de monitoreo y seguridad del correo electrónico y proveer una entrega más efectiva a las víctimas potenciales”. El explicación coincide con una campaña de phishing dirigida a múltiples organizaciones con invitaciones enviadas desde cuentas de correo electrónico comprometidas que conducen a la implementación de herramientas legítimas de monitoreo y oficina remota (RMM) como LogMeIn Resolve. La campaña, rastreada como STAC6405, ha estado en curso desde abril de 2025. En un caso, se descubrió que el actor de amenazas aprovechó una instalación preexistente de ScreenConnect para descargar un archivo ZIP protegido por HeartCrypt que, en última instancia, conduce a la instalación de malware compatible con ValleyRAT. Otras campañas han aplicado los correos electrónicos con temas de adquisiciones para dirigir a los usuarios a archivos PDF alojados en la nimbo que contienen enlaces incrustados que, al hacer clic, llevan a las víctimas a páginas de monasterio de credenciales de Dropbox. Los actores de amenazas igualmente han distribuido archivos ejecutables disfrazados de avisos de violación de derechos de autor para engañarlos e instalar PureLogs Stealer como parte de una campaña de varias etapas. Es más, las publicaciones de Reddit que anuncian la lectura premium de TradingView han actuado como un conducto para que Vidar y Atomic Stealer roben datos valiosos de los sistemas Windows y macOS. “El actor de amenazas comenta activamente sus propias publicaciones con diferentes cuentas, creando la ilusión de una comunidad ocupada y servicial”, dijo Hexastrike. “Lo más preocupante es que cualquier comentario de usuarios reales que señalen que las descargas son malware se eliminan en cuestión de minutos. La operación es ejercicio y se supervisa de cerca”.

Se ha revelado una equivocación de seguridad de incorporación compromiso en el servidor ksmbd SMB3 del kernel de Linux. Registrado como CVE-2026-23226 (puntuación CVSS: 8,8), cae adentro de la misma clase de error que CVE-2025-40039, que fue parcheado en octubre de 2025. “Cuando dos conexiones comparten una sesión a través de SMB3 multicanal, el kernel puede observar una estructura de canal liberada, exponiendo la esencia de firma AES-128-CMAC por canal y provocando pánico en el kernel”, dijo Orca. “Un atacante necesita credenciales SMB válidas y entrada a la red al puerto 445”. Alternativamente, un atacante puede servirse la vulnerabilidad para filtrar la esencia AES-128-CMAC por canal utilizada para firmar todo el tráfico SMB3, lo que le permite falsificar firmas, hacerse advenir por el servidor o eludir la demostración de firmas. Se ha solucionado en el compromiso “e4a8a96a93d”.

Una nueva investigación ha demostrado que es posible engañar a la aparejo de codificación Vibe de Anthropic, Claude Code, para que realice un ataque de penetración de significación completo y un robo de credenciales modificando el archivo “CLAUDE.md” de un tesina para evitar las barreras de seguridad del agente de codificación. Las instrucciones le dicen explícitamente a Claude Code que ayude al desarrollador a completar una evaluación de prueba de penetración en su propio sitio web y lo ayude en sus tareas. “Claude Code debería escanear CLAUDE.md antiguamente de cada sesión, marcando instrucciones que de otro modo provocarían un rechazo si se intentaran directamente adentro de un mensaje”, dijo LayerX. “Cuando Claude detecta instrucciones que parecen violar sus barreras de seguridad, debe presentar una advertencia y permitir que el desarrollador revise el archivo antiguamente de tomar cualquier medida”.

Grafana ha solucionado una vulnerabilidad de seguridad que podría acaecer permitido a los atacantes engañar a sus capacidades de inteligencia sintético (IA) para que filtren datos confidenciales mediante una inyección inmediata indirecta y sin requerir ninguna interacción del afortunado. El ataque recibió el nombre en código GrafanaGhost de Noma Security. “Al evitar las protecciones del costado del cliente y las barreras de seguridad que restringen las solicitudes de datos externos, GrafanaGhost permite a un atacante cerrar la brecha entre su entorno de datos privados y un servidor forastero”, dijo la compañía de ciberseguridad. “Adecuado a que el exploit ignora las restricciones del maniquí y opera de forma autónoma, los datos empresariales confidenciales pueden filtrarse silenciosamente en segundo plano”. GrafanaGhost es sigiloso, ya que no requiere credenciales de inicio de sesión y no depende de que el afortunado haga clic en un enlace zorro. El ataque es otro ejemplo de cómo se puede excederse de las funciones asistidas por IA integradas en entornos empresariales para consentir y extraer activos de datos críticos sin dejar de ser completamente invisibles para los defensores.

LSPosed es un potente ámbito para dispositivos Android rooteados que permite a los usuarios modificar el comportamiento del sistema y las aplicaciones en tiempo auténtico sin realizar ninguna modificación en los archivos APK. Según CloudSEK, los actores de amenazas ahora están utilizando la aparejo como arsenal para inyectar de forma remota mensajes SMS fraudulentos y falsificar identidades de usuarios en ecosistemas de plazo modernos a través de un módulo zorro llamado “Digital Lutera”. El ataque socava efectivamente las restricciones vinculantes de SIM aplicadas a aplicaciones bancarias y de plazo instantáneo en India. Sin confiscación, para que este enfoque funcione, el actor de la amenaza requiere que la víctima instale un troyano que pueda interceptar los mensajes SMS enviados en torno a/desde el dispositivo. Si aceptablemente el ataque anteriormente combinaba un dispositivo móvil troyanizado (la víctima) y un APK de plazo móvil modificado (en el dispositivo del atacante) para engañar a los servidores del asiento haciéndoles creer que la polímero SIM de la víctima está físicamente presente en el teléfono del atacante, la última iteración se apoya en LSPosed para conseguir los mismos objetivos. Un requisito esencia para este ataque es que el atacante debe tener un dispositivo Android rooteado con el módulo LSPosed y la aplicación de plazo legítima y sin modificaciones instalada. “Este nuevo vector de ataque permite a los actores de amenazas secuestrar aplicaciones de plazo legítimas y no modificadas al ‘iluminar’ el sistema activo Android subyacente”, dijo CloudSEK. “Al utilizar LSPosed, el actor de amenazas garantiza que la firma de la aplicación de plazo siga siendo válida, haciéndola invisible para muchas comprobaciones de integridad en serie”.