Defender 0-Day, SonicWall Brute-Force, Excel RCE de 17 años y 15 historias más

El servicio de billetera de criptomonedas Zerion ha revelado que uno de los dispositivos de un miembro de su equipo se vio comprometido, lo que resultó en el robo de aproximadamente $100 000 en fondos robados de las billeteras activas internas de la empresa. La compañía señaló que los fondos de los usuarios, las aplicaciones de Zerion o la infraestructura no se vieron afectados por la infracción. Se dice que el miembro del equipo fue el objetivo de un ataque de ingeniería social preparado por inteligencia industrial (IA) llevado a final por un actor de amenazas norcoreano rastreado como UNC1069. Al familia de hackers se le atribuyó recientemente el envenenamiento del popular paquete Axios npm. “Esto permitió al atacante obtener acercamiento a algunas de las sesiones y credenciales de los miembros del equipo, así como a claves privadas de billeteras activas de la compañía utilizadas para pruebas y fines internos”, dijo Zerion. “Este no fue un ataque oportunista. El actor es claramente sofisticado y cuenta con buenos medios. Planearon el ataque minuciosamente”.

La Unión Europea ha anunciado que pronto lanzará una nueva aplicación de comprobación de tiempo en columna para permitir a los usuarios demostrar su tiempo al lograr a plataformas en columna. Los usuarios pueden configurarlo descargando la aplicación en su dispositivo Android o iOS utilizando un pasaporte o documento de identidad. La Comisión ha subrayado que la aplicación respetará la privacidad de los usuarios. “Los usuarios demostrarán su tiempo sin revelar ninguna otra información personal”, dijo la presidenta de la Comisión Europea, Ursula von der Leyen. “En pocas palabras, es completamente secreto: los usuarios no pueden ser rastreados. En tercer sitio, la aplicación funciona en cualquier dispositivo: teléfono, tableta, computadora, lo que sea. Y, finalmente, es completamente de código despejado: todos pueden demostrar el código”. Este avance se produce mientras países de todo el mundo están emprendiendo varias etapas de hecho regulatoria para proseguir el ciberespacio como un sitio más seguro para niños y menores y protegerlos de daños graves.

Un investigador que utiliza el sobrenombre “Chaotic Degeneración” lanzó un exploit de día cero llamado BlueHammer a principios de este mes tras el manejo por parte de Microsoft del proceso de divulgación de la vulnerabilidad. Aunque el problema parece haberse solucionado a partir del propagación del martes de parches de este mes (CVE-2026-33825), desde entonces el investigador ha revelado una nueva vulnerabilidad de ascensión de privilegios de Microsoft Defender sin parches. El exploit recibió el nombre en código RedSun. “Esto funciona de forma 100% confiable para acaecer de becario sin privilegios a SISTEMA contra Windows 11 y Windows Server con actualizaciones de abril de 2026, así como Windows 10, siempre que tenga Windows Defender preparado”, dijo el investigador de seguridad Will Dormann.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha adherido una antigua vulnerabilidad de ejecución remota de código que afecta a Microsoft Office a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige que las agencias del Poder Ejecutor Civil Federal (FCEB) remedien la deficiencia antaño del 28 de abril de 2026. La vulnerabilidad en cuestión es CVE-2009-0238, que tiene una puntuación CVSS de 8,8. “Microsoft Office Excel contiene una vulnerabilidad de ejecución remota de código que podría permitir a un atacante tomar el control total de un sistema afectado si un becario abre un archivo Excel especialmente diseñado que incluye un objeto con formato incorrecto”, dijo CISA.

Raspberry Pi ha osado la lectura 6.2 de su sistema activo Raspberry Pi, que introduce un cambio significativo: deshabilita el sudo sin contraseña de forma predeterminada. Como resultado, a los usuarios que ejecuten un comando sudo para acercamiento a nivel de administrador se les pedirá que ingresen la contraseña del becario contemporáneo. El cambio afecta nada más a las nuevas instalaciones; Las configuraciones existentes no se modifican. “Dada la amenaza cada vez maduro del delito cibernético, revisamos continuamente la seguridad del sistema activo Raspberry Pi para certificar que sea lo suficientemente robusto para resistir ataques potenciales”, dijo Raspberry Pi. “Este es siempre un seguridad complicado, ya que cualquier cosa que haga que el sistema activo sea más seguro invariablemente incomodará a los usuarios legítimos hasta cierto punto, por lo que tratamos de proseguir dichos cambios al minúsculo. Esta puesta al día de seguridad en particular es una que muchos usuarios ni siquiera notarán, pero afectará a algunos”.

Un ámbito de comando y control (C2) previamente indocumentado denominado ObsidianStrike se ha implementado en la infraestructura de una firma de abogados brasileña. “Sólo existen dos casos de ObsidianStrike en todo Internet”, dijo Breakglass Intelligence. “El ámbito tiene cero presencia en GitHub, cero muestras en VirusTotal o MalwareBazaar, y una detección de proveedores casi nula. Este es un C2 en idioma portugués totalmente privado creado para operaciones específicas de Windows, oculto detrás del dominio de una ordenamiento víctima”. El proveedor de seguridad igualmente descubrió ArchangelC2, un panel C2 detrás de una campaña de fraude de acercamiento remoto ScreenConnect a escalera industrial que ha estado operativa desde noviembre de 2024.

Una aplicación Ledger falsa logró colarse en la App Store de Apple, extrayendo 9,5 millones de dólares en criptomonedas de más de 50 víctimas entre el 7 y el 13 de abril de 2026. La aplicación, indicación Ledger Live, fue rejonazo por un desarrollador, “SAS Software Company”, y publicada bajo “Enrolamiento Heal Limited”. Los usuarios que descargaron la aplicación fraudulenta fueron engañados para que ingresaran sus frases iniciales, lo que les dio a los atacantes acercamiento completo a sus billeteras y les permitió dirigir activos digitales a direcciones externas bajo su control. Si admisiblemente Apple eliminó la aplicación macOS de la tienda, quedan dudas sobre cómo logró acaecer el proceso de revisión de la compañía. En más noticiario relacionadas con Apple, la compañía igualmente eliminó una aplicación de casa recoleta de datos indicación Freecash de su App Store posteriormente de que fuera anunciada engañosamente como una forma de “superar peculio simplemente navegando por TikTok”, mientras recopilaba información confidencial de los usuarios. Esto incluía detalles sobre la raza, religión, vida sexual, orientación sexual, sanidad y otros datos biométricos del becario. Sin requisa, una vez instalado, en sitio de la funcionalidad prometida, los usuarios eran redirigidos a una relación de juegos móviles donde se les ofrecían recompensas en efectivo por completar desafíos interiormente del esparcimiento por tiempo establecido. La aplicación sigue estando adecuado en Google Play Store.

Según Acronis, los ciberdelincuentes están utilizando una nueva cepa de ransomware indicación JanaWare para atacar a personas en Turquía. El ataque aprovecha los correos electrónicos de phishing que contienen un enlace de Google Drive que allana el camino para la descarga y posterior ejecución de un archivo JAR zorro a través de javaw.exe. La carga útil es una modificación personalizada de Adwind (igualmente conocida como AlienSpy, jRAT o Sockrat) con características polimórficas que se utiliza para entregar el módulo de ransomware. El malware implementa geocercas y filtrado ambiental para certificar que los sistemas comprometidos coincidan con el idioma y la región turcos. Si admisiblemente ningún de estos trucos es particularmente novedoso o liberal, continúan funcionando contra objetivos pequeños desprotegidos. No está claro cuántas personas o empresas podrían suceder sido víctimas del plan. El enfoque localizado y de bajo aventura ha permitido que la campaña persista desde al menos 2020 sin grandes interrupciones. “La victimología parece incluir principalmente a usuarios domésticos y pequeñas y medianas empresas. Se considera que el acercamiento auténtico se produce a través de correos electrónicos de phishing que entregan archivos Java maliciosos”, dijo la compañía. “Las demandas de rescate observadas en las muestras analizadas oscilan entre 200 y 400 dólares, lo que es consistente con un enfoque de monetización de bajo valía y detención masa”.

Google dijo que está introduciendo una nueva política de spam para el “secuestro del llamador A espaldas”, que ocurre cuando un sitio interfiere con la navegación del navegador de un becario y le impide usar el llamador A espaldas para regresar inmediatamente a la página de donde morapio. En cambio, el hackeo podría redirigir a los usuarios a sitios dudosos u otras páginas que nunca antaño habían visitado. “El secuestro del llamador A espaldas interfiere con la funcionalidad del navegador, interrumpe el alucinación esperado del becario y genera frustración en el becario”, dijo Google. “Las páginas que participan en el secuestro del llamador A espaldas pueden estar sujetas a acciones manuales de spam o descensos de categoría automáticos, lo que puede afectar el rendimiento del sitio en los resultados de la Búsqueda de Google. Para dar tiempo a los propietarios de sitios para realizar los cambios necesarios, publicaremos esta política dos meses antaño de su entrada en vigor el 15 de junio de 2026”.

Al familia de hackers vinculado a China conocido como APT41 se le ha atribuido una puerta trasera ELF indetectable y especialmente diseñada que apunta a cargas de trabajo en la abundancia de Linux en los entornos de Amazon Web Services (AWS), Google Cloud, Microsoft Azure y Alibaba Cloud. “El implante utiliza el puerto SMTP 25 como un canal encubierto de comando y control, recopila credenciales y metadatos del proveedor de la abundancia, y los teléfonos albergan tres dominios typosquat con temática de Alibaba alojados en la infraestructura de Alibaba Cloud en Singapur”, dijo Breakglass Intelligence. “Un mecanismo selectivo de fuerza de protocolo de enlace C2 hace que el servidor sea invisible para las herramientas de escaneo convencionales como Shodan y Censys”.

A partir de la puesta al día de seguridad de abril de 2026 (CVE-2026-26151), Microsoft introdujo nuevas protecciones de Windows para defenderse contra ataques de phishing que abusan de los archivos de conexión a Escritorio remoto (RDP), agregando advertencias de seguridad y desactivando las redirecciones de forma predeterminada. “Los actores maliciosos hacen un mal uso de esta capacidad enviando archivos RDP a través de correos electrónicos de phishing”, dijo Microsoft. “Cuando una víctima abre el archivo, su dispositivo se conecta silenciosamente a un servidor controlado por el atacante y comparte medios locales, dándole al atacante acercamiento a archivos, credenciales y más”. Grupos de hackers rusos como APT29 han utilizado archivos de configuración RDP como armas para atacar a agencias gubernamentales, empresas y entidades militares de Ucrania en el pasado.

Actores de amenazas desconocidos han organizado un ataque a la dependencia de suministro contra un fabricante de complementos de WordPress llamado Essential Plugin (anteriormente WP Online Support) posteriormente de adquirirlo a principios de 2025 de los desarrolladores originales en un acuerdo de seis cifras para instalar una puerta trasera en agosto y luego utilizarla como arsenal a principios de este mes para distribuir cargas bártulos maliciosas a cualquier sitio web con los complementos instalados. Desde entonces, WordPress ha cerrado permanentemente todos los complementos. “El módulo wpos-analytics del complemento llamó a Analytics.essentialplugin.com, descargó un archivo de puerta trasera llamado wp-comments-posts.php (diseñado para parecerse al archivo principal wp-comments-post.php) y lo usó para inyectar un agrupación masivo de PHP en wp-config.php”, dijo Anchor Hosting. “El código inyectado era sofisticado. Recuperaba enlaces spam, redirecciones y páginas falsas desde un servidor de comando y control. Sólo mostraba el spam al autómata de Google, haciéndolo invisible para los propietarios del sitio”. Adicionalmente, resolvió el dominio de comando y control (C2) a través de un pacto inteligente de Ethereum para hacerlo resistente a los esfuerzos de aniquilación. Ayer de su aniquilación, los complementos tenían en conjunto más de 180.000 instalaciones. “Este es un caso clásico de compromiso de la dependencia de suministro que ocurrió porque el proveedor flamante vendió sus complementos a un tercero, que resultó ser un actor de amenaza zorro”, dijo Patchstack.

Telegram ha seguido albergando Xinbi Guarantee, un mercado ilícito que ha procesado más de 21.000 millones de dólares en masa total de transacciones, a pesar de las sanciones impuestas por el Reino Unido el mes pasado. El expansión ha planteado dudas sobre la voluntad de la plataforma de guardar su propio ecosistema y suspender a los malos actores. Se sabe que el botica en idioma chino ofrece soluciones de lavado de peculio a estafadores de criptomonedas, servicios de acoso y productos como porras electrificadas y pistolas Taser que atienden a estafas de inversión que operan en el sudeste oriental. “Xinbi todavía se mantiene musculoso”, dijo a WIRED el cofundador y irrefutable superior de Elliptic, Tom Robinson. “Están en camino de convertirse en el maduro mercado de este tipo que de ningún modo haya existido”.

Orange Cyberdefense ha revelado que los actores de amenazas utilizaron publicidad maliciosa en tres incidentes separados observados entre principios de febrero y principios de abril de 2026 para entregar la puerta trasera SmokedHam (igualmente conocido como Parcel RAT, SharpRhino y WorkersDevBackdoor) haciéndola acaecer por instaladores de RVTools o Remote Desktop Manager (RDM). Se considera que el malware es una lectura modificada del troyano de código despejado conocido como ThunderShell. En al menos un caso, el ataque condujo a la implementación del ransomware Qilin, pero no sin antaño confiarse el monitoreo de empleados y las soluciones de escritorio remoto como Controlio, TeraMind y Zoho Assist para el acercamiento persistente, la exfiltración de bases de datos de contraseñas de KeePass y la realización de descubrimientos y movimientos laterales. La admisión de herramientas legítimas de doble uso es una tendencia preocupante, ya que permite a los atacantes combinar sus acciones con actividades legítimas y resumir el aventura de detección. La actividad se ha atribuido con confianza media a UNC2465, una filial de DarkSide, LockBit y Hunters International. Además se superpone con una campaña detallada por Synacktiv y Field Effect a principios de 2025.

Una nueva investigación ha descubierto que el actor de amenazas conocido como Water Hydra (igualmente conocido como DarkCasino) todavía está activo en 2026, con nueva evidencia que descubre una conexión no reportada anteriormente entre evilgrou-tech, un cámara de productos básicos, y el familia de hackers. “Se evalúa con moderada confianza que el identificador ‘evilgrou’ es una narración deliberada a EvilNum (Evil + (num -> familia)p), el familia APT predecesor del que WaterHydra/DarkCasino se separó a finales de 2022”, dijo Breakglass Intelligence. El indicador de atribución más musculoso es una ruta de espacio de trabajo compartido para desarrolladores integrada en archivos binarios asociados con EvilNum y Water Hydra: “C:UsersAdministratorDesktopvaeevashellrundll.tlb”. Estos dos artefactos están separados por dos primaveras, uno en julio de 2022 y el otro en enero de 2024.

Los investigadores de ciberseguridad han revelado fallas de seguridad en el software HDF5, un formato de archivo para establecer, procesar y juntar datos heterogéneos, que podrían explotarse para comprometer un sistema débil. “Las vulnerabilidades descubiertas, basadas en un desbordamiento del buffer de pila, podrían permitir a los actores de amenazas sobrescribir la memoria y comprometer los sistemas de destino para robar datos de investigación enormemente clasificados, espionaje industrial o un punto de apoyo en la red interna”, dijo el cofundador de ThreatLeap, Leon Juranic. “En la ejercicio, esto significa que la vulnerabilidad podría ser explotada por un único archivo de entrada zorro especialmente diseñado y, como resultado, todo un sistema podría encontrarse comprometido”. Los problemas se abordaron en octubre de 2025 tras una divulgación responsable.

Los investigadores de seguridad han detectado un “musculoso aumento” en los intentos de fuerza bruta para secuestrar dispositivos SonicWall y FortiGate entre enero y marzo de 2026, y la gran mayoría (88%) parece originarse en Medio Oriente. La mayoría de los intentos no tuvieron éxito, ya sea bloqueados directamente por herramientas de seguridad o dirigidos a nombres de becario no válidos. “Los atacantes están escaneando y probando agresivamente los dispositivos perimetrales en escudriñamiento de credenciales débiles o expuestas”, dijo Barracuda Networks. “Incluso cuando los ataques fallan, el penetración persistente aumenta el aventura de que una única contraseña débil o una mala configuración puedan conducir a un compromiso”.

Se ha observado que Triad Nexus, un ecosistema de cibercrimen en expansión que actúa como columna vertebral de estafas, lavado de peculio y operaciones de juegos de azar ilícitos desde al menos 2020, utiliza vallas geográficas y blanquea su infraestructura a través de empresas figura “limpias” para obtener cuentas en los principales proveedores empresariales de abundancia (Amazon, Cloudflare, Google y Microsoft) en un intento de distanciarse de Funnull, una empresa con sede en Filipinas que fue sancionada por Estados Unidos el año pasado. Al mismo tiempo, el familia se ha expandido a los mercados castellano, vietnamita e indonesio utilizando plantillas localizadas para apuntar a estas regiones. Adicionalmente de participar en fraudes, el familia se especializa en suplantación de marcas de inscripción fidelidad, utilizando como arsenal las identidades digitales de empresas Total 2000 para engañar a las víctimas. “La red ha industrializado el robo de marcas a escalera universal; su catálogo incluye clones ‘perfectos’ de todo, desde artículos de opulencia de inscripción abanico hasta servicios públicos”, dijo Silent Push. “A pesar de las sanciones federales en 2025, el familia ha restablecido su motor de fraude universal, cambiando su enfoque cerca de los mercados emergentes mientras mantiene una amenaza persistente a los activos empresariales occidentales”. Se estima que Triad Nexus es responsable de más de 200 millones de dólares en pérdidas reportadas, impulsadas principalmente por la matanza de cerdos y las estafas de moneda posible.