Kali Linux + Claude, Chrome Crash Traps, fallas de WinRAR, LockBit y más de 15 historias

Kali Linux, una distribución de Linux de prueba de penetración avanzadilla utilizada para piratería ética y evaluaciones de seguridad de redes, ha anejo una integración con el maniquí de jerigonza ínclito Claude de Anthropic a través del Protocolo de contexto maniquí (MCP) para emitir comandos en jerigonza natural y traducirlos a comandos técnicos.

ResidentBat es un implante de software infiltrado para Android utilizado por las autoridades bielorrusas para operaciones de vigilancia contra periodistas y la sociedad civil. Una vez instalado, proporciona a los operadores golpe a registros de llamadas, grabaciones de micrófonos, SMS, tráfico de transporte oculto, capturas de pantalla y archivos almacenados localmente. Se estima que el malware, aunque se documentó por primera vez en diciembre de 2025, se remonta a 2021. Según Censys, la infraestructura asociada a ResidentBat se concentra en Europa y Rusia: Países Bajos (5 hosts), Alemania (2 hosts), Suiza (2 hosts) y Rusia (1 host) en una pinta de plataforma nuevo, utilizando un rango de puertos íntimo (7000-7257) para controlar el tráfico.

Las campañas de phishing se hacen acaecer por servicios de corretaje de criptomonedas como Bitpanda para compendiar datos confidenciales con el pretexto de reconfirmar su información o arriesgarse a que se bloqueen sus cuentas. “Al intentar obtener múltiples formas de información e identificación, los atacantes utilizaron tácticas que parecerían legítimas para el sucesor común”, dijo Cofense. “La información del sucesor, como la comprobación del nombre, el correo electrónico y las credenciales de contraseña, y la ubicación, se utilizaron en este intento de compendiar información bajo la apariencia de un proceso de autenticación de múltiples factores”.

En su Mensaje de amenazas globales de 2026, CrowdStrike dijo que los adversarios se volvieron más rápidos que nunca en 2025. “El tiempo promedio de ruptura de los delitos electrónicos (el período entre el golpe auténtico y el movimiento pegado a otro sistema) se redujo a 29 minutos, un aumento del 65% en la velocidad desde 2024”, dijo la compañía. Una de esas intrusiones emprendidas por Vidriera Moth (incluso conocido como Chatty Spider) dirigida a un mesa de abogados pasó del golpe auténtico a la exfiltración de datos en cuatro minutos. El principal divisor que impulsó esta espectacular precipitación fue el exageración generalizado de credenciales legítimas, que permitió a los atacantes mezclarse con el tráfico frecuente de la red y eludir muchos controles de seguridad tradicionales. Esto se combinó con actores de amenazas con diversas motivaciones que utilizaban tecnología de inteligencia fabricado para acelerar y optimizar sus técnicas existentes. Algunos de los actores de amenazas que han laborioso la IA en sus operaciones incluyen Fancy Bear, Punk Spider (incluso conocido como Akira), Blind Spider (incluso conocido como Blind Eagle), Odyssey Spider (incluso conocido como TA558) y un categoría de hackers de India Nexus llamado Frantic Tiger que ha utilizado páginas de Netlify y Cloudflare para operaciones de cosecha de credenciales. La compañía de ciberseguridad dijo que observó un aumento del 89% en la cantidad de ataques de adversarios habilitados por IA en comparación con 2024 y un aumento interanual del 42% en los días cero explotados antaño de la divulgación pública. Al mismo tiempo, el 67% de las vulnerabilidades explotadas por los adversarios del trabazón con China proporcionaron golpe inmediato al sistema, y ​​el 40% se dirigió a dispositivos de borde que normalmente carecen de un monitoreo integral. La gran mayoría de los ataques, el 82%, estuvieron libres de malware, lo que pone de relieve el cambio duradero de los atacantes con destino a operaciones prácticas con el teclado y el exageración de herramientas y credenciales legítimas.

En un mensaje similar, ReliaQuest dijo que las intrusiones más rápidas alcanzaron el movimiento pegado en solo 4 minutos, una precipitación del 85% respecto al año pasado, y la exfiltración de datos tuvo circunstancia en 6 minutos. La estadística se ve impulsada por el hecho de que los atacantes incorporan cada vez más la IA y la automatización a sus actividades comerciales. “A medida que los atacantes obtienen cada vez más credenciales válidas con privilegios elevados, el tiempo para reaccionar se ha corto drásticamente”, dijo ReliaQuest. “En 2025, el tiempo promedio de ruptura (golpe auténtico al movimiento pegado) se redujo a 34 minutos. En el 47% de los incidentes, obtuvieron altos privilegios antaño de tocar la red. Esto les permite evitar la ascenso, mezclarse con el tráfico y reutilizar herramientas legítimas”.

Los usuarios de Mac que buscan software popular como Homebrew, 7-Zip, Notepad++, LibreOffice y Final Cut Pro son el objetivo de una campaña activa de publicidad maliciosa impulsada por al menos 35 cuentas de anunciantes de Google secuestradas provenientes de países como EE. UU., Canadá, Italia, Polonia, Brasil, India, Arabia Saudita, Japón, China, Rumania, Malta, Eslovenia, Alemania, el Reino Unido y los Emiratos Árabes Unidos. Se han antitético más de 200 anuncios maliciosos que se hacen acaecer por software verdadero de macOS. El objetivo final de estos esfuerzos es dirigir a los usuarios a páginas falsas que contienen instrucciones similares a ClickFix para ofrecer un bandido de MacSync. Se ha observado otra campaña de ClickFix que utiliza señuelos de comprobación CAPTCHA falsos en páginas de phishing falsas para distribuir malware bandido que puede compendiar datos de navegadores web, aplicaciones de juegos como Steam, billeteras de criptomonedas y aplicaciones VPN. Según datos de ReliaQuest, una cuarta parte de los ataques utilizaron ingeniería social para el golpe auténtico el año pasado, y ClickFix fue responsable de entregar el 59% de las principales familias de malware.

Meta siguió delante con un plan para apresurar los servicios de transporte conectados a sus aplicaciones de Facebook e Instagram a pesar de las advertencias internas de que obstaculizaría la capacidad del coloso de las redes sociales para señalar casos de explotación pueril a las autoridades, informó Reuters. El intercambio de chat interno de marzo de 2019 se presentó en relación con una demanda presentada por el estado estadounidense de Nuevo México, acusándolo de exponer a niños y adolescentes a la explotación sexual en sus plataformas y especular con ella. En respuesta a las preocupaciones planteadas, Meta dijo que trabajó en funciones de seguridad adicionales antaño de difundir la transporte cifrada en Facebook e Instagram en 2023.

Los actores de amenazas están explotando una defecto de seguridad ahora parcheada en los servidores Apache ActiveMQ con golpe a Internet (CVE-2023-46604) para implementar el ransomware LockBit. “A pesar de poseer sido desalojados posteriormente de la intrusión auténtico, lograron violar el mismo servidor en una segunda ocasión 18 días posteriormente”, dice el Mensaje DFIR. “Posteriormente de comprometer el servidor, el actor de amenazas usó Metasploit, posiblemente próximo con Meterpreter, para realizar actividades posteriores a la explotación. Estas actividades incluyeron avanzar privilegios, penetrar a la memoria del proceso LSASS y moverse lateralmente a través de la red. Posteriormente de recuperar el golpe posteriormente de su desalojo, el actor de amenazas pasó rápidamente a implementar ransomware. Aprovecharon las credenciales extraídas durante su infracción precedente para implementar LockBit ransomware a través de RDP”. Se sospecha que el ransomware se diseñó utilizando el dinamo LockBit filtrado.

Se ha descubierto que dos extensiones de Google Chrome recientemente marcadas, Pixel Shield – Block Ads (ID: nlogodaofdghipmbdclajkkpheneldjd) y PageGuard – Phishing Protection (ID: mlaonedihngoginmmlaacpihnojcoocl), adoptan la misma timonel que CrashFix, donde el navegador se bloquea deliberadamente y se engaña al sucesor para que ejecute un comando bellaco al estilo ClickFix. El aspecto más preocupante de esta campaña es que las extensiones efectivamente funcionan y ofrecen la funcionalidad anunciada. “El NexShield DoS llamativo creó mil millones de llamadas chrome.runtime.connect()”, dijo John Tuckner de Anexo Security. “Estas variantes utilizan una técnica diferente a la que llamo Promise Bomb porque bloquea el navegador al inundar el sistema de paso de mensajes de Chrome con millones de promesas irresolubles”. Si correctamente el NexShield llamativo usaba activación basada en temporizador, las nuevas variantes han evolucionado para remitir comando y control (C2) basado en notificaciones, lo que provoca que la denegación de servicio se active solo cuando el servidor C2 envía una notificación push que contiene un valía de “nuevaVersión” que termina en “2”. Esto, a su vez, le da al atacante control remoto selectivo sobre cuándo ocurren los bloqueos.

La firma de ciberseguridad Stairwell dijo que más del 80% de las redes de TI que monitorea ejecutan versiones de WinRAR vulnerables a CVE-2025-8088, una vulnerabilidad que ha sido ampliamente explotada por grupos de cibercrimen y ciberespionaje. “Este hallazgo subraya un desafío persistente en la seguridad empresarial cuando se implementa ampliamente un software confiable que silenciosamente queda obsoleto y se convierte en un objetivo de parada valía para los atacantes”, dijo Alex Hegyi.

Un nuevo examen de Trail of Bits ha revelado que más de 723.000 proyectos de código destapado utilizan bibliotecas criptográficas con títulos predeterminados inseguros. Se ha descubierto que las bibliotecas aes-js y pyaes proporcionan un vector de inicialización (IV) predeterminado en su API AES-CTR, lo que genera una gran cantidad de errores de reutilización de claves/IV. “Reutilizar un par esencia/IV conduce a serios problemas de seguridad: si guarismo dos mensajes en modo CTR o GCM con la misma esencia y IV, entonces cualquiera con golpe a los textos cifrados puede recuperar el XOR de los textos sin formato, y eso es poco muy malo”, dijo Trail of Bits. Si correctamente ninguna de las bibliotecas se ha actualizado en abriles, strongSwan lanzó una puesta al día para solucionar el problema en strongMan (CVE-2026-25998).

OpenAI y Paradigm han anunciado conjuntamente EVMbench, un punto de remisión que mide qué tan correctamente los agentes de IA pueden detectar, explotar y parchear vulnerabilidades de contratos inteligentes de adhesión compostura. “EVMbench se pedestal en 120 vulnerabilidades seleccionadas de 40 auditorías, la mayoría de las cuales provienen de concursos de auditoría de código destapado”, dijo OpenAI. “EVMbench pretende ser una aparejo de medición y un llamado a la influencia. A medida que los agentes mejoran, se vuelve cada vez más importante para los desarrolladores e investigadores de seguridad incorporar auditorías asistidas por IA en sus flujos de trabajo”.

Un ciudadano ruso ha sido imputado de intentar perjudicar al insigne categoría de ransomware Conti haciéndose acaecer por un oficial del Servicio Federal de Seguridad (FSB) de Rusia, según informes de los medios locales. RBC informó que el sospechoso, Ruslan Satuchin, se hizo acaecer por un oficial del FSB y exigió un gran suscripción a Conti. Aunque se inició formalmente una investigación en septiembre de 2025, el incidente supuestamente comenzó en septiembre de 2022 cuando Satuchin se puso en contacto con uno de los miembros del categoría de piratas informáticos y lo extorsionó para evitar responsabilidad penal. Conti, que alguna vez fue una prolífica manada de ransomware, cerró sus operaciones a mediados de 2022 posteriormente de dividirse en pequeños grupos.

Varonis ha revelado detalles de un servicio de cibercrimen recientemente identificado conocido como 1Campaign que permite a los actores de amenazas ejecutar Google Ads maliciosos durante períodos prolongados mientras evaden el investigación. La plataforma de encubrimiento “pasa el control de Google, filtra a los investigadores de seguridad y mantiene en ringlera las páginas de phishing y de drenaje de criptomonedas durante el decano tiempo posible, canalizando a los usuarios reales a sitios controlados por los atacantes”, dijo el investigador de seguridad de Varonis, Daniel Kelley. “Combina filtrado de visitantes en tiempo auténtico, puntuación de fraude, orientación geográfica y un dinamo de secuencias de comandos de protección contra bots en un único panel”. Ha sido desarrollado y mantenido por un actor de amenazas llamado DuppyMeister durante más de tres abriles, adicionalmente de ofrecer canales de Telegram como soporte. El tráfico vinculado a 1Campaign se ha distribuido en EE. UU., Canadá, Países Bajos, China, Alemania, Francia, Japón, Hungría y Albania.

Se ha observado una campaña de ingeniería social que utiliza reuniones de Microsoft Teams para engañar a los asistentes para que instalen malware en macOS. Daylight Security ha evaluado que la actividad es consistente con una campaña de ataque en curso orquestada por actores de amenazas norcoreanos bajo el nombre GhostCall. “Durante la señal, el atacante reclamó problemas de audio y entrenó a la víctima para que ejecutara comandos de terminal que descargaban y ejecutaban archivos binarios maliciosos”, dijeron los investigadores de Daylight, Kyle Henson y Oren Biderman. “Los analistas observaron descargas y ejecuciones por etapas desde la personalidad de macOS y rutas temporales, golpe a credenciales de cadena y conexiones salientes a dominios controlados por atacantes recién creados”.

El mes pasado, las autoridades policiales de Estados Unidos se apoderaron del insigne foro RAMP sobre cibercrimen. El evento ha tenido un impacto en cascada, desestabilizando la confianza y acelerando la fragmentación en todo el ecosistema clandestino del cibercrimen. Asimismo se especula que RAMP pudo poseer funcionado como un honeypot o poseer estado comprometido mucho antaño de su incautación. “En circunstancia de consolidarse en torno a un único sucesor, los actores del ransomware se están redistribuyendo entre plataformas cerradas como T1erOne y foros accesibles como Rehub”, afirmó Rapid7. “Este cambio refleja una acondicionamiento, no un descenso. La disrupción fractura la confianza y redistribuye la coordinación entre múltiples plataformas”.

Las autoridades españolas han anunciado la detención de cuatro miembros del categoría Anonymous Fénix por su implicación en ataques distribuidos de denegación de servicio (DDoS). Los sospechosos, cuyos nombres no fueron revelados, atacaron sitios web de ministerios gubernamentales, partidos políticos e instituciones públicas. Dos de los líderes del categoría fueron arrestados en mayo de 2025. Los primeros ataques ocurrieron en abril de 2023. Se dice que el categoría intensificó sus actividades a partir de septiembre de 2024, reclutando voluntarios para sumar ataques DDoS contra objetivos de interés.

Se ha observado una campaña de phishing dirigida al sector jurídico de Argentina que entrega un archivo ZIP que contiene un golpe directo de Windows que, cuando se inicia, muestra un PDF señuelo a las víctimas, mientras deja caer sigilosamente un troyano de golpe remoto (RAT) basado en Rust. “La campaña aprovecha documentos señuelo judiciales muy auténticos para explotar la confianza en las comunicaciones judiciales, permitiendo la entrega exitosa de un troyano de golpe remoto encubierto y facilitando el golpe a liberal plazo a datos legales e institucionales sensibles”, dijo Seqrite Labs.

Se ha utilizado un sitio web persuasivo similar al antivirus Huorong Security (“huoronga(.)com”) para distribuir un malware RAT conocido como ValleyRAT. La campaña es obra de un categoría chino de cibercrimen llamado Silver Fox, que tiene un historial de distribución de versiones troyanizadas de software popular chino y otros programas populares a través de dominios con errores tipográficos para distribuir instaladores troyanizados responsables de implementar ValleyRAT. “Una vez instalado, los atacantes pueden monitorear a la víctima, robar información confidencial y controlar remotamente el sistema”, dijo Malwarebytes.

Los usuarios que buscan herramientas de expansión se han convertido en el objetivo de una campaña en curso denominada GPUGate que utiliza un instalador bellaco para entregar Hijack Loader y Atomic Stealer. “El atacante crea una cuenta de GitHub desechable y bifurca el repositorio oficial de GitHub Desktop”, dijo GMO Cybersecurity de Ierae. “El atacante edita el enlace de descarga en el archivo README para que apunte a su instalador bellaco y confirma el cambio. Por zaguero, el atacante utilizó anuncios patrocinados para ‘GitHub Desktop’ para promover su confirmación, utilizando un áncora en README.md para saltarse las precauciones de GitHub”. Las víctimas que descargaron el instalador bellaco de Windows ejecutarían un cargador de varias etapas, mientras que las víctimas de Mac recibieron Atomic Stealer.