Células durmientes de telecomunicaciones, jailbreaks de LLM, Apple obliga a comprobar la edad en el Reino Unido y más

Algunas semanas son ruidosas. Éste era más silencioso, pero no en el buen sentido. Las operaciones de larga duración finalmente están llegando a los tribunales, los viejos métodos de ataque están apareciendo en lugares nuevos y las investigaciones que dejaron de ser teóricas acordado cuando los defensores dejaron de prestar atención.

Esta semana hay un poco de todo. Jugadas de persistencia, victorias legales, operaciones de influencia y al menos una cosa que parece aburrida hasta que ves con qué se conecta.

Todo ello a continuación. Vamos.

⚡ Amenaza de la semana

La rotura de Citrix es objeto de explotación activa — Una rotura de seguridad crítica en Citrix NetScaler ADC y NetScaler Gateway (CVE-2026-3055, puntuación CVSS: 9.3) se explotó activamente a partir del 27 de marzo de 2026. La vulnerabilidad se refiere a un caso de subsistencia de entrada insuficiente que conduce a una sobrelectura de la memoria, que un atacante podría usar para filtrar información potencialmente confidencial. Según Citrix, la explotación exitosa de la rotura depende de que el dispositivo esté configurado como proveedor de identidad SAML (SAML IDP).

🔔 Noticiario destacadas

• El FBI confirma el hackeo de la cuenta de correo electrónico personal del director Kash Patel – La Oficina Federal de Investigaciones (FBI) de EE. UU. confirmó que los actores de amenazas obtuvieron entrada a una cuenta de correo electrónico perteneciente al director del FBI, Kash Patel, pero dijo que ninguna información del gobierno se ha trillado comprometida. El familia de hackers Handala, vinculado a Irán, se atribuyó la responsabilidad del ataque y publicó archivos que supuestamente representan fotografías, correos electrónicos y documentos clasificados tomados de la bandeja de entrada del director del FBI. “Nuestro equipo puso de rodillas los llamados sistemas ‘impenetrables’ del FBI en cuestión de horas”, escribieron los piratas informáticos. No está claro cuándo fue pirateada la cuenta. El gobierno de Estados Unidos, que recientemente cerró varios sitios operados por actores estatales iraníes, dijo que está ofreciendo hasta 10 millones de dólares por información sobre grupos amenazantes como Parsian Afzar Rayan Borna y Handala.
• Red Menshen utiliza la puerta BPF sigilosa para espiar redes de telecomunicaciones — Un actor de amenazas patrocinado por el Estado vinculado a China conocido como Red Menshen ha implementado implantes de kernel y puertas traseras pasivas en lo profundo de la infraestructura troncal de telecomunicaciones en todo el mundo para una persistencia a amplio plazo. Los implantes han sido descritos apropiadamente como células durmientes que permanecen inactivas y se mezclan con los entornos objetivo, pero entran en bono al tomar un paquete mágico al monitorear silenciosamente el tráfico de la red en circunscripción de desplegar una conexión visible. El entrada original generalmente se obtiene explotando vulnerabilidades conocidas en dispositivos de red perimetrales y productos VPN o aprovechando cuentas comprometidas. Una vez en el interior, el actor de amenazas mantiene el entrada a amplio plazo mediante la implementación de herramientas como BPFdoor. Algunas muestras de BPFdoor imitan la infraestructura básica, haciéndose advenir por plataformas empresariales legítimas para mezclarse con el ruido eficaz. Otros falsifican los componentes principales de la contenedorización. Al damasquinar el implante muy por debajo de las capas de visibilidad tradicionales, el objetivo es complicar significativamente los esfuerzos de detección. Rapid7 ha valiente un script de escaneo diseñado para detectar variantes conocidas de BPFDoor en entornos Linux.
• GlassWorm evoluciona para editar un timador basado en extensiones — Una nueva crecimiento de la campaña GlassWorm ofrece un situación de varias etapas capaz de robar datos de forma integral e instalar un troyano de entrada remoto (RAT), que implementa una extensión de Google Chrome para robar información haciéndose advenir por una lectura fuera de estría de Google Docs. “Registra las pulsaciones de teclas, descarga cookies y tokens de sesión, realiza capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de prisión de bloques de Solana”, dijo Aikido. GlassWorm es el apodo asignado a una campaña persistente que obtiene un punto de apoyo original a través de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Por otra parte, se sabe que los operadores comprometen las cuentas de los mantenedores del esquema para dirigir actualizaciones envenenadas.
• Hacker ruso condenado a 2 abriles por ataques de ransomware vinculados a TA551 — Ilya Angelov, un ciudadano ruso de 40 abriles, fue condenado a dos abriles de prisión por resolver una botnet que se utilizaba para editar ataques de ransomware contra empresas estadounidenses. Se dice que Angelov, que utilizaba los apodo en estría “milan” y “okart”, codirigió un familia cibercriminal con sede en Rusia conocido como TA551 (igualmente conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra, Shathak y UNC2420) entre 2017 y 2021. Los ataques aprovecharon los correos electrónicos no deseados para comprometer los sistemas y atarlos a una botnet que otros Los ciberdelincuentes solían irrumpir en los sistemas corporativos e implementar ransomware. Esto incluía actores de amenazas afiliados a BitPaymer e IcedID.
• La FCC prohíbe nuevos enrutadores fabricados en el extranjero por riesgos de seguridad — La Comisión Federal de Comunicaciones (FCC) de Estados Unidos dijo que prohibiría la importación de nuevos enrutadores de consumo fabricados en el extranjero, citando riesgos “inaceptables” para la seguridad cibernética y franquista. Con ese fin, todos los enrutadores de consumo fabricados en países extranjeros se han auxiliar a la Serie cubierta, a menos que hayan recibido una aprobación condicional por parte del Sección de Cruzada (DoW) o el Sección de Seguridad Doméstico (DHS) luego de determinar que no representan ningún peligro. El avance se produce cuando el gobierno indio parece estar preparándose para prohibir a los fabricantes chinos de productos CCTV, como Hikvision, Dahua y TP-Link, entregar sus cámaras a partir del 1 de abril de 2026, para animar la supervisión bajo las reglas de Pruebas de Estandarización y Certificación de Calidad (STQC), informó el Economic Times.

‎️‍🔥 CVE de tendencia

Cada semana aparecen nuevas vulnerabilidades y la ventana entre la divulgación y la explotación se hace cada vez más corta. Las fallas a continuación son las más críticas de esta semana: software de inscripción reserva, ampliamente utilizado o que ya están atrayendo la atención de la comunidad de seguridad.

Verifique estos primero, parchee lo que corresponda y no espere a los marcados como urgentes: CVE-2026-3055 (Citrix NetScaler ADC y NetScaler Gateway), CVE-2025-62843, CVE-2025-62844, CVE-2025-62845, CVE-2025-62846 (QNAP). CVE-2026-22898 (QNAP QVR Pro), CVE-2026-4673, CVE-2026-4677, CVE-2026-4674 (Google Chrome), CVE-2026-4404 (GoHarbor Harbor), CVE-2026-1995 (IDrive para Windows), CVE-2026-4681 (Windchill y FlexPLM), CVE-2025-15517, CVE-2025-15518, CVE-2025-15519, CVE-2025-15605, CVE-2025-62673 (TP-Link), CVE-2025-66176 (HikVision), CVE-2026-32647 (NGINX Open Source y NGINX Plus), CVE-2026-22765, CVE-2026-22766 (Dell Wyse Management Suite), CVE-2026-21637, CVE-2026-21710 (Node.js), CVE-2026-25185 igualmente conocido como LnkMeMaybe (Microsoft), CVE-2026-1519, CVE-2026-3104, CVE-2026-3119, CVE-2026-3591 (BIND 9), CVE-2026-2931 (complemento de reserva de Amelia), CVE-2026-33656 (EspoCRM), CVE-2026-3608 (Kea), CVE-2026-20817 (Error de Microsoft Windows Informes), CVE-2025-33244 (NVIDIA Apex), CVE-2026-32746 (Synology DiskStation Manager) y CVE-2026-3098 (complemento Smart Slider 3).

🎥 Seminarios web sobre ciberseguridad

📰 Rodeando del mundo cibernético

• La rotura de Fortinet FortiClient EMS es atacada — Una rotura de seguridad recientemente reparada que afecta a Fortinet FortiClient EMS ha sido objeto de explotación activa en estado salvaje a partir del 24 de marzo de 2026. La vulnerabilidad en cuestión es CVE-2026-21643 (puntaje CVSS: 9.1), una inyección SQL crítica que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas. Fortinet solucionó el problema el mes pasado en FortiClient EMS lectura 7.4.5. “Los atacantes pueden contrabandear declaraciones SQL a través del encabezado ‘Sitio’ en el interior de una solicitud HTTP”, dijo Defused Cyber. Casi 1.000 EMS de FortiClient están expuestos públicamente.
• Meta interrumpe operación de influencia vinculada a Irán — Meta dijo que interrumpió una operación de influencia vinculada a Irán que empleaba “personajes falsos sofisticados” en Instagram para establecer relaciones con usuarios estadounidenses antiguamente de dirigir mensajes políticos. La red utilizó cuentas que se hacían advenir por periodistas, comentaristas y clan corriente para atraer a los usuarios e introducir gradualmente narrativas políticas. Una segunda capa de cuentas amplificó las publicaciones para ayudar a difundir los mensajes.
• Doméstico armenio extraditado a EE. UU. en relación con operaciones de ladrones de RedLine — Un ciudadano armenio ha sido extraditado a los Estados Unidos por su supuesto papel en la suministro del malware de robo de información RedLine. Hambardzum Minasyan, según documentos judiciales, supuestamente desarrolló y administró al timador, mientras que conspiradores anónimos mantenían la infraestructura digital, incluidos los servidores de comando y control (C2) y los paneles administrativos para permitir la implementación del malware por parte de los afiliados, y cobraban pagos de los afiliados. “Supuestamente respondieron a preguntas y solicitudes de afiliados reales y potenciales de RedLine, conspiraron entre sí y con afiliados para robar y poseer la información financiera, incluidos los dispositivos de entrada, de las víctimas, y lavaron las ganancias del cibercrimen a través de intercambios de criptomonedas y otros medios”, dijo el Sección de Honradez de Estados Unidos. Minasyan igualmente ha sido acentuado de registrar dos servidores privados virtuales para encajar partes de la infraestructura de RedLine, así como dos dominios de Internet en apoyo del plan, repositorios en un sitio de intercambio de archivos en estría para distribuir el timador a los afiliados y registrar una cuenta de criptomonedas en noviembre de 2021 para tomar pagos. RedLine Stealer fue interrumpida en una operación policial internacional en octubre de 2024. Minasyan ha sido acentuado de conspiración para cometer fraude de dispositivos de entrada, conspiración para violar la Ley de Tropelía y Fraude Informático y conspiración para cometer lavado de pasta. Si es claro culpable, enfrenta hasta 10 abriles de prisión por fraude con dispositivos de entrada y hasta 20 abriles de prisión por los otros dos cargos. En junio de 2025, el Sección de Estado de Estados Unidos anunció una galardón de 10 millones de dólares por información sobre Maxim Alexandrovich Rudometov, quien se cree que es el principal desarrollador y administrador de RedLine.
• Android 17 Beta obtiene nuevas funciones de seguridad — Para mejorar la seguridad contra ataques de inyección de código, Android ahora exige que las bibliotecas nativas cargadas dinámicamente sean de solo lección. Si su aplicación está destinada a Android 17 o superior, todos los archivos nativos cargados mediante System.load() deben marcarse como de solo lección de antemano. Otra nueva incorporación es la compatibilidad con criptografía poscuántica (PQC) a través del nuevo esquema de firma APK v3.2. Este esquema utiliza un enfoque híbrido, combinando una firma clásica con una firma ML-DSA.
• Actores vinculados a China entregan Mofu Loader y KIVARS — En los últimos meses, grupos de espionaje afiliados a China, como DRBControl, han empleado técnicas de carga vecino de DLL para entregar Mofu Loader (un malware anteriormente atribuido a GroundPeony) que luego abre una puerta trasera en C++ capaz de ejecutar comandos emitidos por un servidor controlado por un atacante. El año pasado, empresas y organizaciones en Japón y Taiwán igualmente fueron atacadas por variantes de una puerta trasera señal KIVARS, que está vinculada a un familia de piratería chino llamado BlackTech.
• El tráfico automatizado supera al tráfico humano — HUMAN Security descubrió que el tráfico automatizado creció ocho veces más rápido que el tráfico humano año tras año. “En 2025, el tráfico automatizado a través de Internet creció un 23,51% año tras año, mientras que el tráfico humano aumentó un 3,10% durante el mismo período”, dijo la compañía. La empresa de ciberseguridad señaló que sus clientes experimentaron más de 400.000 intentos de ataques de compromiso de cuentas posteriores al inicio de sesión, más del cuádruple que en 2024.
• Estados Unidos acusa a China de respaldar compuestos fraudulentos — Un detención funcionario estadounidense acusó a Beijing de respaldar implícitamente a sindicatos criminales chinos que administran complejos de estafas cibernéticas en todo el sudeste oriental. Durante una audiencia en el Congreso del Comité Financiero Conjunto sobre los esfuerzos de Estados Unidos para combatir las estafas digitales, Reva Price, comisionada de la Comisión de Revisión Económica y de Seguridad entre Estados Unidos y China, dijo que se han descubierto vínculos entre los centros de estafas y la Iniciativa de la Franja y la Ruta del gobierno chino. Los sindicatos criminales chinos han “invertido en proyectos vinculados a la Iniciativa de la Franja y la Ruta de China cercano con las empresas estatales de China”, dijo, y agregó que “igualmente han trillado líderes criminales que parecen acontecer obtenido un pase al promover mensajes y otras actividades alineadas con las prioridades del Partido Comunista Chino”. Los centros de estafa en el sudeste oriental a menudo son operados por sindicatos criminales chinos que atraen a las personas a la región con tentadoras oportunidades laborales y las obligan a participar en estafas de matanza de cerdos o de cebo romántico confiscando sus pasaportes y sometiéndolas a tortura.
• Explotación contra servidores Oracle WebLogic — Una rotura de seguridad recientemente revelada en Oracle WebLogic (CVE-2026-21962, puntuación CVSS: 10.0) fue refrendador de intentos de explotación automatizada casi inmediatamente luego de que se publicara el código de explotación divulgado, lo que demuestra cómo los malos actores están utilizando rápidamente las fallas de software como pertrechos. La actividad, detectada por CloudSEK contra sus honeypots, igualmente aprovechó otras fallas de WebLogic (CVE-2020-14882, CVE-2020-14883, CVE-2020-2551 y CVE-2017-10271), así como fallas que afectan a Hikvision y PHPUnit, lo que indica un enfoque de pulverización y oración. “Los atacantes utilizaron predominantemente servidores privados virtuales (VPS) alquilados de proveedores de alojamiento comunes como DigitalOcean y HOSTGLOBAL.PLUS”, dijo la compañía. “La actividad común se caracterizó por un escaneo automatizado de gran masa, con herramientas como libredtail-http y Nmap Scripting Engine dominando el tráfico receloso”.
• Fallos de seguridad en los conmutadores Cisco Catalyst serie 9300 — Han surgido detalles sobre las vulnerabilidades ahora parcheadas en los conmutadores Cisco Catalyst serie 9300 (CVE-2026-20110, CVE-2026-20112, CVE-2026-20113 y CVE-2026-20114) que podrían resultar en subida de privilegios, denegación de servicio operativa, secuencias de comandos entre sitios (XSS) almacenadas e inyección CRLF. “En conjunto, estas vulnerabilidades introducen riesgos a los límites de confianza administrativa, la disponibilidad del servicio, la integridad de la sesión y la confiabilidad de los registros del sistema, afectando tanto la continuidad operativa como las capacidades de monitoreo de seguridad”, dijo OPSWAT. “CVE-2026-20114 y CVE-2026-20110 son los de viejo impacto eficaz cuando están encadenados. Un afortunado de interfaz de afortunado web con bajos privilegios puede prosperar el entrada e invocar una operación en modo de mantenimiento, lo que resulta en una denegación total del servicio que puede requerir intervención física para restaurar”. Cisco solucionó los problemas la semana pasada.
• Institución financiera objetivo de BRUSHWORM y BRUSHLOGGER — Según los hallazgos de Elastic Security Labs, se utilizó una puerta trasera modular con capacidades de propagación basadas en USB en un ataque dirigido a una institución financiera anónima del sur de Asia. El malware, denominado BRUSHWORM, es uno de los dos componentes de malware identificados en la infraestructura de la víctima, siendo el otro un registrador de teclas DLL denominado BRUSHLOGGER. “BRUSHWORM presenta comprobaciones antianálisis, configuración cifrada AES-CBC, persistencia de tareas programadas, descarga modular de carga DLL, propagación de gusanos USB y robo amplio de archivos dirigido a documentos, hojas de cálculo, archivos de correo electrónico y código fuente”, dijo el investigador de seguridad Salim Bitam. BRUSHWORM igualmente es responsable de ejecutar comprobaciones antianálisis básicas, perdurar la persistencia, la comunicación de comando y control (C2) y descargar cargas bártulos modulares adicionales. BRUSHLOGGER aumenta la puerta trasera al capturar las pulsaciones de teclas en todo el sistema a través de un simple arpón de teclado de Windows y registrar el contexto de la ventana activa para cada sesión de pulsación de tecla. “Ningún de los binarios emplea técnicas significativas de ofuscación de código, empaquetado o antianálisis reformista”, dijo Elastic. “Dada la marcha de un interruptor de extinto, el uso de servidores DNS dinámicos gratuitos en las versiones de prueba y algunos errores de codificación, evaluamos con confianza moderada que el autor es relativamente inexperto y puede acontecer trabajador las herramientas de reproducción de código de IA durante el avance sin revisar completamente el resultado”.
• El Reino Unido sanciona a Xinbi — La Oficina de Asuntos Exteriores, Commonwealth y Progreso (FCDO) del Reino Unido ha sancionado a Xinbi, un mercado de garantías en idioma chino acentuado de permitir el fraude en estría a gran escalera y la explotación humana al apoyar a #8 Park (igualmente conocido como Legend Park), un complicado de estafas a escalera industrial en Camboya célebre por sus estafas de matanza de cerdos a gran escalera y trabajos forzados de trabajadores traficados. El Reino Unido es el primer país en sancionar a Xinbi. La medida está diseñada para aislar a Xinbi del ecosistema criptográfico oficial e interrumpir sus operaciones. Se estima que Xinbi ha procesado más de 19.900 millones de dólares entre 2021 y 2025. “La plataforma facilita todo, desde el lavado de pasta ‘Black U’ y el comercio OTC sin atrevimiento hasta la liquidación de bases de datos personales comprometidas e infraestructura fraudulenta”, dijo Chainalysis. “Frente a derribos anteriores, Xinbi demostró una resiliencia significativa al portar rápidamente a la aplicación de transporte SafeW y al editar su propia aplicación de suscripción patentada, XinbiPay. Esta crecimiento resalta los desafíos que plantea la búsqueda de servicios ilícitos mientras construyen barreras financieras personalizadas para aislarse de las interrupciones a nivel de plataforma”. Según un referencia publicado por Elliptic el mes pasado, #8 Park está vinculado a una empresa señal Legend Innovation, que, a su vez, tiene vínculos con Prince Group, cuyo presidente, Chen Zhi, fue arrestado y extraditado a China en relación con una ataque contra una operación de fraude a gran escalera. #8 Park igualmente está vinculado a HuiOne Group, con su negocio de pagos, HuiOne Pay (más tarde rebautizado como H-PAY), que opera una tienda física en el interior del complicado. Desde entonces, ha habido una esforzado disminución en los pagos entrantes a los comerciantes que operan en el interior del complicado a partir del 9 de febrero de 2026, y las transacciones cesaron casi por completo el 13 de febrero.
• ¿Qué es Tsundere? — Tsundere es una botnet que permite la toma de huellas digitales del sistema y la ejecución de comandos arbitrarios en las máquinas víctimas. Se destaca por el uso de una técnica señal EtherHiding para recuperar servidores de comando y control (C2) almacenados en contratos inteligentes en la prisión de bloques Ethereum. Se sospecha que el malware es una propuesta de malware como servicio (MaaS) de origen ruso, oportuno a la dialéctica que verifica si el host infectado está situado en un país de la CEI, incluida Ucrania, y finaliza la ejecución si es así. Más recientemente, el uso de la botnet se ha relacionado con el actor MuddyWater, patrocinado por el estado iraní.
• Jailbreak, un peligro continuo para los LLM — Una nueva investigación de la Dispositivo 42 de Palo Stop Networks ha descubierto que el jailbreak rápido sigue siendo un peligro práctico para los modelos de verbo grandes (LLM) y que se puede utilizar un enfoque de fuzzing basado en algoritmos genéticos para suscitar variantes rápidas que preserven el significado para desencadenar resultados que violen las políticas contra modelos pre-entrenados tanto de código cerrado como de peso libre. “La implicación más amplia es que las barreras de seguridad deben ser tratadas como controles probabilísticos que requieren una evaluación adversa continua, no como límites de seguridad definitivos”, dijo la Dispositivo 42. Los hallazgos refuerzan que la seguridad para las aplicaciones LLM no puede necesitar de una sola capa, lo que requiere que las organizaciones definan y apliquen el repercusión de la aplicación, utilicen controles de contenido sólidos y de señales múltiples, traten las entradas del afortunado como no confiables y las aíslen de instrucciones privilegiadas, validen los resultados según el repercusión y la política, supervisen el uso indebido y apliquen controles de seguridad unificado, como autenticación, acotación de velocidad y permisos de herramientas con privilegios mínimos.
• La campaña de SEO ofrece AsyncRAT — Desde octubre de 2025, un actor de amenazas desconocido ha estado ejecutando una campaña activa de envenenamiento de SEO, utilizando sitios de suplantación de identidad de más de 25 aplicaciones populares para dirigir a las víctimas a instaladores maliciosos, incluidos VLC Media Player, OBS Studio, KMS Tools y CrosshairX. La campaña utiliza ScreenConnect, una útil legítima de suministro remota, para establecer el entrada original y entregar AsyncRAT. “Lo más trascendente de esta campaña es el recortador de criptomonedas auxiliar por RAT, el sistema de complemento dinámico capaz de cargar capacidades arbitrarias en tiempo de ejecución y un mecanismo de geocercado que excluye deliberadamente objetivos en Medio Oriente, África del Ideal y Asia Central”, dijo NCC Group. AsyncRAT igualmente se lanzó como parte de una serie de ataques contra organizaciones libias entre noviembre de 2025 y febrero de 2026. Los ataques tuvieron como objetivo una refinería de petróleo, una estructura de telecomunicaciones y una institución estatal. “AsyncRAT es un troyano de entrada remoto con una variedad de capacidades, que incluyen registro de teclas, captura de pantalla y ejecución remota de comandos, lo que lo hace ideal para su uso en sumario de inteligencia y ataques de espionaje”, dijeron Symantec y Carbon Black. “Además es modular, lo que significa que puede actualizarse y personalizarse, lo que resulta atractivo para los atacantes”.
• Doméstico nigeriano condenado a 7 abriles de prisión — Un hombre nigeriano fue sentenciado a más de siete abriles de prisión en Estados Unidos por su papel en un plan que irrumpió en cuentas de correo electrónico comerciales y engañó a las víctimas para que enviaran millones de dólares a cuentas bancarias fraudulentas. James Junior Aliyu, de 31 abriles, recibió una sentencia de 90 meses de prisión por conspiración para cometer fraude electrónico y lavado de pasta. El tribunal igualmente ordenó a Aliyu perder 1,2 millones de dólares y reembolsar casi 2,39 millones de dólares a las víctimas. Aliyu, quien se declaró culpable en agosto de 2025, reconoció que conspiró con otros, incluidos Kosi Goodness Simon-Ebo, de 31 abriles, y Henry Onyedikachi Echefu, de 34, para engañar y defraudar a múltiples víctimas estadounidenses desde febrero de 2017 hasta al menos julio de 2017. El plan de compromiso de correo electrónico empresarial se centró en empresas e individuos estadounidenses comprometiendo cuentas de correo electrónico y enviando instrucciones de cableado falsas para engañar a las víctimas para que enviaran pasta a cuentas bancarias bajo su nombre. controlar. “Aliyu y sus cómplices conspiraron para cometer lavado de pasta al desembolsar los fondos obtenidos fraudulentamente en las cuentas de depósito a otras cuentas”, dijo el Sección de Honradez de Estados Unidos. “Los co-conspiradores movieron el pasta robado iniciando transferencias de cuentas, retirando efectivo y obteniendo cheques de caja. Además emitieron cheques a otras personas y entidades para ocultar la verdadera propiedad y fuente de estos activos. En total, Aliyu y sus co-conspiradores intentaron defraudar a las víctimas por al menos $10,4 millones, y las víctimas sufrieron una pérdida efectivo de al menos $2,389,130”.
• Tecnología de sensores para combatir los deepfakes — Investigadores de ETH Zürich han desarrollado un sistema de sensores que estampa una firma criptográfica en imágenes, videos y audio en el interior de un chip sensor en el momento exacto en que se capturan, lo que hace inverosímil alterar los datos sin ser detectado. “Si las firmas se cargan en un volumen de contabilidad divulgado (por ejemplo, una prisión de bloques), cualquiera puede efectuar la autenticidad de los vídeos y otros datos”, dijo ETH Zürich. “En principio, la tecnología se puede integrar en cualquier tipo de sensor o cámara. Entonces sería posible identificar contenidos manipulados en plataformas en estría con un pequeño esfuerzo”.
• El conflicto en Oriente Medio alimenta los ciberataques — Los actores de amenazas han estado aprovechando las tensiones geopolíticas en la región de Medio Oriente para difundir software infiltrado de Android mediante la distribución de versiones troyanizadas de las aplicaciones Red Alert de Israel a través de mensajes SMS de phishing. CYFIRMA ha denominado a la campaña de espionaje Operación Falsa Sirena. Los archivos ZIP que contienen señuelos relacionados con el conflicto igualmente se están utilizando para editar cargas maliciosas que conducen al despliegue de puertas traseras PlugX y LOTUSLITE. Estas campañas de phishing basadas en ZIP se han atribuido a un actor estatal chino conocido como Mustang Panda. En otros lugares, se encontró un blog de telediario falsas con temática iraní que aloja JavaScript receloso, lo que llevó a la implementación del malware StealC.
• Apple prueba formas de circunvalar copias y pegados maliciosos en macOS – Con el extensión de macOS 26.4 la semana pasada, Apple introdujo una nueva función que advierte a los usuarios de Mac si pegan comandos dañinos en la aplicación Terminal para frenar los ataques estilo ClickFix que se han dirigido cada vez más a macOS en los últimos meses. “Los estafadores a menudo alientan a pegar texto en la Terminal para intentar dañar su Mac o comprometer su privacidad”, se lee en el mensaje. “Estas instrucciones se ofrecen comúnmente a través de sitios web, agentes de chat, aplicaciones, archivos o una señal telefónica”. La alerta viene con un mensaje “Pegar de todos modos” para aquellos que deseen continuar. La divulgación se produce cuando han desencajado a la luz múltiples campañas de ClickFix, incluido el uso de una página de demostración con el tema de Cloudflare para ofrecer un timador de macOS basado en Python denominado Infiniti Stealer. Se ha utilizado una demostración de Cloudflare similar, pero para Windows, para iniciar comandos de PowerShell que finalmente eliminan el malware StealC, Lumma, Rhadamanthys, Vidar Stealer y Aura Stealer. La organización ClickFix igualmente ha sido adoptada por un sistema de distribución de tráfico conocido como KongTuke para redirigir a los visitantes de sitios web de WordPress comprometidos a páginas de phishing y cargas bártulos de malware. Según eSentire, los señuelos ClickFix se han utilizado para entregar EtherRAT, una puerta trasera basada en Node.js vinculada a actores de amenazas norcoreanos. “EtherRAT permite a los actores de amenazas ejecutar comandos arbitrarios en hosts comprometidos, compilar amplia información del sistema y robar activos como carteras de criptomonedas y credenciales de la cirro”, dijo la compañía de seguridad canadiense. “Las direcciones de comando y control (C2) se recuperan utilizando ‘EtherHiding’, una técnica para hacer que las direcciones C2 sean más resistentes almacenándolas y actualizándolas en contratos inteligentes de Ethereum, lo que permite a los actores de amenazas rotar la infraestructura a un costo pequeño y evitar eliminaciones por parte de las fuerzas del orden”. Recorded Future dijo que ha identificado cinco grupos distintos que aprovechan ClickFix para simplificar el entrada original a los sistemas Windows y macOS desde mayo de 2024. “Esto indica que la metodología ClickFix ha pasado a una plantilla estandarizada y de detención retorno de la inversión adoptada en un ecosistema fragmentado de actores de amenazas”, dijo Insikt Group. “Aunque son visualmente diversos, todos los clústeres analizados utilizan un situación de ejecución consistente que evita los controles de seguridad tradicionales de los navegadores al cambiar el punto de explotación a comandos manuales asistidos por el afortunado. Estas campañas se dirigen a una amplia variedad de sectores, incluyendo contabilidad (QuickBooks), viajes (Booking.com) y optimización de sistemas (macOS)”.
• Apple implementa la demostración de antigüedad obligatoria en el Reino Unido – En más telediario de Apple, el coloso tecnológico implementó la demostración de antigüedad obligatoria en el Reino Unido con iOS 26.4, lo que requiere que los usuarios proporcionen una plástico de crédito o una identificación para confirmar si son adultos antiguamente de “descargar aplicaciones, cambiar ciertas configuraciones o realizar otras acciones con su cuenta de Apple”. La medida llega en un momento en que la seguridad inmaduro en estría está atrayendo cada vez más la atención de los reguladores, lo que ha provocado que muchos servicios digitales, incluidas aplicaciones de redes sociales y sitios de pornografía, implementen controles similares. Discord, que anunció planes para efectuar las edades de todos sus usuarios el mes pasado, desde entonces detuvo el esfuerzo hasta el segundo semestre de 2026 luego de que surgieron preocupaciones sobre cómo se manejarían las identificaciones y la información personal. Discord ha reiterado que no recibe ninguna información personal de identificación de los usuarios que necesitan efectuar manualmente su antigüedad. En cambio, se está asociando con empresas de demostración de antigüedad de terceros, que “se encargarán de la demostración y sólo transmitirán su familia de antigüedad”. La compañía igualmente dijo que ya no trabaja con el proveedor de demostración de antigüedad Persona, que ha generado críticas por acusaciones de que compartió los datos de los usuarios con otras compañías y dejó su código fuente expuesto en Internet.

🔧 Herramientas de ciberseguridad

• Manual de seguridad de OpenClaw → Es una folleto de seguridad detallada publicada por ZAST AI para usuarios de OpenClaw, una puerta de enlace de IA multicanal que conecta plataformas de transporte, LLM y capacidades del sistema particular. Adecuado a que esa combinación crea una superficie de ataque solemne, el manual cubre los riesgos reales (inyección rápida, habilidades maliciosas, puertos expuestos, robo de credenciales) respaldado por incidentes documentados y CVE, con orientación de configuración experiencia para bloquearlos.
• VulHunt → Es un situación de código libre del equipo de investigación de Binarly para despabilarse vulnerabilidades en binarios de software y firmware UEFI. Utiliza paquetes de reglas personalizables para escanear y puede conectarse a la Plataforma de Transparencia de Binarly para una clasificación a gran escalera. Además admite la ejecución como servidor MCP, lo que permite que los asistentes de IA interactúen con él directamente.

Descargo de responsabilidad: Sólo para uso educativo y de investigación. No auditado en seguridad. Revise todo el código antiguamente de usarlo, pruebe en entornos aislados y garantice el cumplimiento de las leyes aplicables.

Conclusión

Esa es la semana. Parte de ella envejecerá proporcionadamente, parte ya está siendo explotada silenciosamente mientras lees esta frase.

El hilo conductor, si lo hay: la paciencia. Los atacantes están jugando juegos largos. Las detecciones, los valor, los parches… importan, pero casi siempre van por detrás. Manténgase alerta, consulte la serie CVE y nos vemos el próximo lunes.