Boletín ThreatDay: AI Prompt RCE, Claude 0-Clic...

Microsoft ha corregido un error de inyección de comandos ( CVE-2026-20841 , puntuación CVSS: 8,8) en su aplicación Bloc de notas, lo que podría provocar la ejecución remota de código. «La neutralización inadecuada de los elementos especiales utilizados en un comando ('inyección de comandos') en la aplicación Windows Notepad permite a un atacante no autorizado ejecutar código en una red», afirma Microsoft. Un atacante podría aprovechar esta falla engañando a un usuario para que haga clic en un enlace malintencionado incluido en un archivo Markdown abierto en el Bloc de notas, lo que provocaría que la aplicación ejecutara archivos remotos. «El código malicioso se ejecutaba en el contexto de seguridad del usuario que abría el archivo Markdown, lo que le daba al atacante los mismos permisos que a ese usuario», añadió el gigante tecnológico. Exploits de prueba de concepto (PoC) show que la vulnerabilidad se puede activar creando un archivo Markdown con enlaces «file://» que apunten a archivos ejecutables («file: //C: /windows/system32/cmd.exe») o que contengan URIs especiales («ms-appinstaller://? source= https://evil/xxx.appx «) para ejecutar cargas útiles arbitrarias. El problema se solucionó como parte de su publicación mensual Actualización de Patch Tuesday esta semana. Microsoft agregó la compatibilidad con Markdown al Bloc de notas en Windows 11 el pasado mes de mayo.

TeamT5 dijo que rastreó más de 510 operaciones de amenazas persistentes avanzadas (APT) que afectaron a 67 países de todo el mundo en 2025, de las cuales 173 ataques se dirigieron a Taiwán. «El papel de Taiwán en las tensiones geopolíticas y los valores de la cadena de suministro de tecnología mundial hace que Taiwán sea especialmente vulnerable para los adversarios que buscan información o acceso a largo plazo para lograr objetivos políticos y militares», dijo el proveedor de seguridad dijo . «Taiwán es más que un simple objetivo: funciona como un campo de pruebas en el que las APT del entorno de China prueban y refinan sus tácticas antes de ampliarlas a otros entornos».

Se ha descubierto un nuevo ladrón de información de Node.js llamado LTX Stealer en estado salvaje. Este malware, que se dirige a sistemas Windows y se distribuye a través de un instalador de Inno Setup, muy confuso, lleva a cabo una recolección de credenciales a gran escala de navegadores basados en Chromium, ataca los artefactos relacionados con las criptomonedas y prepara los datos recopilados para su exfiltración. «La campaña se basa en una infraestructura de gestión respaldada por la nube, en la que Supabase se utiliza exclusivamente como capa de autenticación y control de acceso para el panel del operador, mientras que Cloudflare se aprovecha para gestionar los servicios de backend y enmascarar los detalles de la infraestructura», dijo CYFIRMA dijo .

Otro nuevo ladrón de información orientado a Windows es Marco Stealer, que se observó por primera vez en junio de 2025. Se entrega mediante un descargador en un archivo ZIP y se dirige principalmente a los datos del navegador, a la información de monederos de criptomonedas, a archivos de servicios en la nube populares, como Dropbox y Google Drive, y a otros archivos confidenciales almacenados en el sistema de la víctima. «Marco Stealer se basa en cadenas cifradas que solo se descifran durante el tiempo de ejecución para evitar el análisis estático. Además, el ladrón de información utiliza las API de Windows para detectar herramientas antianálisis como Wireshark, x64dbg y Process Hacker», explica Zscaler ThreatLabZ dijo . «Los datos robados se cifran con AES-256 antes de enviarse a los servidores C2 mediante solicitudes HTTP POST».

Se ha observado una nueva campaña de apropiación de cuentas que abusa de los flujos de trabajo de autenticación nativos de Telegram para obtener sesiones de usuario totalmente autorizadas. En una variante, se pide a las víctimas que escaneen un código QR en sitios falsos utilizando la aplicación móvil de Telegram, lo que inicia un intento legítimo de inicio de sesión en Telegram vinculado a credenciales de API controladas por un atacante. A continuación, Telegram envía un mensaje de autorización integrado en la aplicación a la sesión actual de la víctima. Como alternativa, los usuarios también pueden introducir su código de país, número de teléfono y código de verificación (si están habilitados) en una página web falsa, lo que hace que los datos se transmitan a las API de autenticación oficiales de Telegram. Tras la verificación satisfactoria, Telegram emite una solicitud de autorización integrada en la aplicación como antes. «A diferencia de los ataques de suplantación de identidad tradicionales, que se basan únicamente en la recolección de credenciales o la reproducción de fichas, esta campaña aprovecha las credenciales de la API de Telegram controladas por los atacantes y se integra directamente con la infraestructura legítima de inicio de sesión y autorización de Telegram», dijo CYFIRMA apuntado . «Al inducir a las víctimas a aprobar las solicitudes de autorización integradas en la aplicación con falsas pretensiones, los atacantes consiguen comprometer por completo la sesión y, al mismo tiempo, minimizar las anomalías técnicas y las sospechas de los usuarios».

Discord tiene anunciado exigirá que todos los usuarios de todo el mundo verifiquen su edad compartiendo selfies en vídeo o proporcionando identificaciones gubernamentales para acceder a ciertos contenidos. Además, implementará un modelo de inferencia de edad, un nuevo sistema que se ejecuta en segundo plano para ayudar a determinar si una cuenta pertenece a un adulto, sin que los usuarios siempre tengan que verificar su edad. La empresa ha asegurado que las selfies con vídeo no salen del dispositivo del usuario, que los documentos de identidad presentados a proveedores externos, en este caso K-id, se «eliminan rápidamente» o «inmediatamente» tras la confirmación de la edad, y que otros usuarios no pueden ver el estado de verificación de la edad de un usuario. Sin embargo, han surgido dudas sobre si se puede confiar a Discord su información más confidencial, especialmente después de una violación de seguridad de un servicio de terceros en el que Discord confiaba anteriormente para verificar la edad en el Reino Unido y Australia. El incidente provocó el robo de las identificaciones gubernamentales de 70 000 usuarios de Discord. En un declaración dado a Ars Technica, K-id dijo que la tecnología de estimación de la edad se ejecuta completamente en el dispositivo y que ningún tercero almacena los datos personales compartidos durante las comprobaciones de edad. La medida se produce en un momento en que se están adoptando en todo el mundo leyes que exigen la verificación de la edad en las plataformas de redes sociales. Discord confirmó que la «implementación global por etapas» comenzaría «a principios de marzo», momento en el que todos los usuarios de todo el mundo adoptarían por defecto experiencias «apropiadas para adolescentes».

Un nuevo análisis de la Cargador de GU el malware tiene revelada que emplea código polimórfico para construir dinámicamente constantes durante la ejecución y la ofuscación del flujo de control basada en excepciones para ocultar su funcionalidad y evadir la detección. Además de introducir sofisticados mecanismos de gestión de excepciones para complicar el análisis, el malware intenta eludir las reglas basadas en la reputación alojando las cargas útiles en servicios en la nube de confianza, como Google Drive y OneDrive. GuLoader, que apareció por primera vez en diciembre de 2019, sirve principalmente para descargar troyanos de acceso remoto (RAT) y ladrones de información.

Daren Li, de 42 años, con doble nacionalidad de China y San Cristóbal y Nieves, ha sido condenado en rebeldía en los Estados Unidos a un máximo legal de 20 años de prisión y tres años de libertad supervisada por su plan internacional de inversión en criptomonedas conocido como carnicería de cerdos o cebo romántico, que defraudó a las víctimas con más de 73,6 millones de dólares. Li se declaró culpable a su crimen en noviembre de 2024. Sin embargo, el acusado se cortó el monitor del tobillo y huyó del país en diciembre de 2025. Se desconoce su paradero actual. «Como parte de su acuerdo de declaración de culpabilidad, Li admitió que los miembros no acusados de la conspiración contactarían directamente con las víctimas a través de interacciones no solicitadas en las redes sociales, llamadas y mensajes telefónicos y servicios de citas en línea», dijo el Departamento de Justicia de los Estados Unidos dijo . «Los cómplices no acusados se ganarían la confianza de las víctimas al establecer relaciones profesionales o románticas con ellas, comunicándose a menudo mediante mensajes electrónicos enviados a través de aplicaciones cifradas de extremo a extremo». Los cómplices crearon dominios y sitios web falsificados que parecían plataformas legítimas de comercio de criptomonedas y engañaron a las víctimas para que invirtieran en criptomonedas a través de estas plataformas fraudulentas tras ganarse su confianza. Li también confesó que ordenaría a sus cómplices que abrieran cuentas bancarias estadounidenses en nombre de 74 empresas ficticias y que supervisaría la recepción de transferencias electrónicas interestatales e internacionales de los fondos de las víctimas. «Li y otros cómplices recibían los fondos de las víctimas en cuentas financieras que controlaban y luego supervisaban la conversión de los fondos de las víctimas en moneda virtual», dijo el departamento.

Una vulnerabilidad de ejecución remota de código sin clic (puntuación CVSS: 10,0) en Claude Desktop Extensions (DXT) podría aprovecharse para comprometer silenciosamente un sistema mediante un simple evento de Google Calendar cuando un usuario emite un mensaje inofensivo como «Comprueba mis últimos eventos en Google cal [endar] y, a continuación, ocúpate de ello». El problema se debe a la forma en que los sistemas basados en MCP, como Claude DXT, encadenan de forma autónoma diferentes herramientas y conectores externos para cumplir con las solicitudes de los usuarios sin aplicar los límites de seguridad adecuados. La frase «cuídate» es la que más pesa en este caso, ya que el asistente de inteligencia artificial (IA) la interpreta como una justificación para ejecutar instrucciones arbitrarias incluidas en esos eventos sin solicitar el permiso de los usuarios. La falla afecta a más de 10 000 usuarios activos y a 50 extensiones de DXT, según LayerX. «A diferencia de las extensiones de navegador tradicionales, las extensiones de escritorio de Claude funcionan sin restricciones y con todos los privilegios del sistema», explica la empresa de seguridad de navegadores dijo . «Como resultado, Claude puede encadenar de forma autónoma conectores de bajo riesgo (por ejemplo, Google Calendar) a ejecutores locales de alto riesgo, sin el conocimiento ni el consentimiento de los usuarios. Si un usuario malintencionado se aprovecha de ello, incluso un aviso benigno («cuídate»), junto con un evento de calendario redactado de forma malintencionada, bastan para provocar la ejecución arbitraria de código local, lo que pone en peligro todo el sistema». Anthropic ha optado por no solucionar el problema en este momento. Un defecto similar de inyección rápida de Google Gemini fue divulgado por Miggo Security el mes pasado.

Un naciente grupo de ransomware llamado Coinbase Cartel se ha cobrado más de 60 víctimas desde que surgió por primera vez en septiembre de 2025. «Las operaciones del cártel de Coinbase se caracterizan por la insistencia en robar datos y dejar los sistemas disponibles, en lugar de complementar el robo de datos con el uso de cifradores que prohíben el acceso al sistema», dijo Bitdefender dijo . Las industrias de la salud, la tecnología y el transporte representan una parte importante del mayor grupo demográfico de víctimas del Cartel de Coinbase hasta la fecha. Las organizaciones sanitarias afectadas por el actor de la amenaza tienen su sede principalmente en los Emiratos Árabes Unidos. Algunos de los otros grupos destacados que se centran únicamente en el robo de datos son World Leaks y PEAR (Pure Extraction and Ransom). El desarrollo pinta la imagen de un panorama de ransomware en constante evolución poblada por actores nuevos y antiguos, aun cuando la amenaza se profesionaliza cada vez más a medida que los atacantes racionalizan las operaciones. Según dato según Cyble, se registraron 6.604 ataques de ransomware en 2025, un 52% más que los 4.346 ataques denunciados por los grupos de ransomware en 2024.

Google ha ampliado su herramienta «Resultados sobre ti» para dar a los usuarios un mayor control sobre la información personal confidencial y ha añadido una forma de solicitar la eliminación de imágenes explícitas no consentidas de los resultados de búsqueda, así como otros detalles, como los números de carné de conducir, números de pasaporte y números de seguridad social. «Entendemos que eliminar el contenido existente es solo una parte de la solución», dijo Google dijo . «Para mayor protección, el nuevo proceso te permite optar por utilizar medidas de seguridad que filtrarán de forma proactiva cualquier resultado explícito adicional que pueda aparecer en búsquedas similares».

Se ha observado que los actores de amenazas aprovechan Net Monitor, una herramienta comercial de monitoreo de la fuerza laboral, con SimpleHelp, una plataforma legítima de monitoreo y administración remota (RMM), como parte de los ataques diseñados para implementar el ransomware Crazy. Los dos incidentes, que se cree fueron obra del mismo actor de amenazas, tuvieron lugar en enero y febrero de 2026. Net Monitor incluye varias funciones que van más allá del seguimiento de la productividad de los empleados, como las conexiones inversas, el control de escritorio remoto, la administración de archivos y la posibilidad de personalizar los nombres de los servicios y los procesos durante la instalación. Estas funciones, junto con la funcionalidad de acceso remoto de SimpleHelp, las convierten en herramientas atractivas para los atacantes que buscan integrarse en entornos empresariales sin utilizar el malware tradicional. Además, Net Monitor for Employees Professional incluye un pseudoterminal (» winpty-agent.exe «) que facilita la ejecución completa de los comandos. Se ha descubierto que los malintencionados aprovechan este aspecto para realizar reconocimientos, entregar cargas útiles adicionales e implementar canales de acceso remoto secundarios, lo que lo convierte en un troyano de acceso remoto funcional. «En los casos observados, los atacantes utilizaron estas dos herramientas a la vez, utilizando Net Monitor for Employees como canal principal de acceso remoto y SimpleHelp como capa de persistencia redundante, lo que finalmente llevó al intento de despliegue del ransomware Crazy», Huntress dijo .

Un actor de amenazas llamado 0APT parece estar afirmando falsamente que ha atacado a más de 200 víctimas en el lapso de una semana desde que lanzó su sitio de filtración de datos el 28 de enero de 2026. Según el equipo de investigación e inteligencia de GuidePoint, un análisis más detallado ha determinado que las víctimas son una mezcla de nombres de empresas genéricos totalmente inventados y organizaciones reconocibles a las que los autores de amenazas no han accedido. El sitio de filtración de datos se desconectó el 8 de febrero de 2026, antes de reaparecer al día siguiente con una lista de más de 15 organizaciones multinacionales muy grandes. «Es probable que 0APT opere de esta manera engañosa para apoyar la extorsión de víctimas desinformadas, la reextorsión de víctimas históricas de otros grupos, la defraudación de posibles filiales o para despertar el interés en un incipiente grupo de RaaS», dijo el investigador de seguridad Jason Baker apuntado . Si bien hay indicios de que el grupo puede estar fanfarroneando sobre su número de víctimas, se ha descubierto que las muestras de ransomware para Windows y Linux están en pleno funcionamiento, por Tiempos mejores . Vale la pena señalar que los grupos de ransomware como DVC rescatado han enumerado ataques inventados en sus sitios de filtración de datos para engañar a las víctimas. Desde este punto de vista, las exageradas afirmaciones de 0APT probablemente sean un intento de ganar visibilidad e impulso entre sus pares. Sus orígenes siguen siendo desconocidos.

Una vulnerabilidad de seguridad de alto riesgo ( CVE-2025-67813 , puntuación CVSS: 5.3) dentro de Quest Desktop Authority podría permitir a los atacantes ejecutar código remoto con privilegios de SISTEMA. «Quest KACE Desktop Authority expone un canal con nombre (ScriptLogic_Server_NamedPipe_9300) que se ejecuta como SYSTEM y que acepta conexiones de cualquier usuario de dominio autenticado en la red», NetSPI dijo . La canalización nombrada implementa un protocolo IPC personalizado que admite operaciones peligrosas, como la ejecución arbitraria de comandos, la inyección de DLL, la recuperación de credenciales y la invocación de objetos COM. Cualquier usuario autenticado de la red puede ejecutar código de forma remota como administrador local en los hosts que ejecuten el agente de Desktop Authority.

El organismo de control de Internet de Rusia utilizará tecnología de inteligencia artificial (IA) para analizar el tráfico de Internet y restringir el funcionamiento de los servicios de VPN, Forbes Russia reportó . Se espera que Roskomnadzor gaste cerca de 30 millones de dólares para desarrollar el mecanismo de filtrado del tráfico de Internet este año. El gobierno ruso ha bloqueado el acceso a decenas de aplicaciones de VPN en los últimos años. También mantiene un registro de sitios web prohibidos.

Cofense dijo que ha observado Mispadú campañas dirigidas a América Latina, especialmente a México y Brasil, y en menor medida a España, Italia y Portugal, con correos electrónicos de suplantación de identidad que contienen archivos adjuntos de aplicaciones HTML (HTA) diseñados para eludir las pasarelas de correo electrónico seguras (SEG) y llegar a las bandejas de entrada de los empleados de todo el mundo. «La única variación es que, a veces, la URL que envía los archivos HTA está incrustada en un PDF adjunto protegido con contraseña, en lugar de estar incrustada en el propio correo electrónico», dijo Cofense dijo . «En todas las campañas recientes, Mispadu utiliza un cargador AutoIt y varios archivos legítimos para ejecutar el contenido malicioso. Cada paso de la cadena de entrega, desde el PDF adjunto hasta el script de AutoIt, se genera de forma dinámica. Esto significa que cada hash, excepto el compilador AutoIt, es único para cada instalación, lo que frustra aún más a EDR». Las versiones más recientes del troyano bancario incluyen la capacidad de autopropagarse por correo electrónico en los servidores infectados y ampliar los sitios web de banca en línea objetivo para incluir bancos de fuera de América Latina y bolsas basadas en criptomonedas.

En una campaña de suplantación de identidad documentadas de Forcepoint, se ha descubierto que los correos electrónicos falsificados contienen un archivo adjunto malintencionado .cmd que aumenta los privilegios, desactiva Windows SmartScreen, elimina la marca de Internet (MoTW) para eludir las advertencias de seguridad y, en última instancia, instala ConnectWise ScreenConnect. La campaña se ha dirigido a organizaciones de EE. UU., Canadá, el Reino Unido e Irlanda del Norte, y se ha centrado en los sectores con datos de gran valor, como las empresas gubernamentales, sanitarias y logísticas. Los ataques de suplantación de identidad recientes también han abusado los servicios web de Amazon, como los buckets de Simple Storage Service (S3), Amazon Simple Email Service (SES) y Amazon Web Services (AWS), se amplifican para eludir los controles de seguridad del correo electrónico y lanzar ataques de suplantación de identidad de credenciales. Otros ataques de suplantación de identidad han recurrido a técnicas poco comunes, como el uso de versiones editadas de correos electrónicos empresariales legítimos para enviar correos electrónicos falsos de manera convincente a los destinatarios. «Estos correos electrónicos funcionan haciendo que el autor de la amenaza cree una cuenta en un servicio legítimo e introduzca texto arbitrario en un campo que luego se incluirá en los correos electrónicos salientes», explica Cofense dijo . «Una vez hecho esto, el actor de la amenaza tendría que recibir un correo electrónico legítimo que incluya el texto malicioso creado por el actor de la amenaza. Una vez recibido el correo electrónico, el autor de la amenaza puede redirigirlo a las posibles víctimas».

Se ha utilizado una variante del ataque ClickFix llamada CrashFix para entregar cargas maliciosas consistentes con un malware conocido llamado SystemBC. A diferencia del flujo de ingeniería social al estilo de CrashFix documentado por Huntress y Microsoft , el ataque destaca porque no implicó el uso de una extensión de navegador maliciosa. «En vez de eso, convencieron a la víctima de que ejecutara un comando a través del cuadro de diálogo Ejecutar de Windows (Win+R), como ocurre con el ClickFix tradicional», Binary Defense dijo . «Este comando abusó de un archivo binario legítimo de Windows, finger.exe, copiado de System32, renombrado y ejecutado desde un directorio en el que el usuario puede escribir. El resultado de esta ejecución se canalizaba directamente a cmd.exe, que actuaba como mecanismo de entrega para una carga útil de PowerShell ofuscada». A continuación, el código de PowerShell recupera de una infraestructura controlada por un atacante el contenido posterior, como las puertas traseras de Python y un implante de DLL que se superpone al de SystemBC, y toma medidas para tomar las huellas dactilares del host y eliminar los artefactos del disco. «La coexistencia de puertas traseras de Python y un implante de DLL reflectante pone de manifiesto una estrategia deliberada de defensa, evasión y persistencia», afirma la empresa. «Al combinar implantes nativos y basados en secuencias de comandos, el atacante redujo la dependencia de un único método de ejecución, lo que dificultó el desalojo total».

La tercera competencia anual de automoción Pwn2Own se celebró en Tokio, Japón, a fines del mes pasado descubierto 76 días cero únicos vulnerabilidades en una variedad de objetivos, como los sistemas de información y entretenimiento (IVI) integrados en vehículos (Tesla), los cargadores de vehículos eléctricos (EV) (Alpitronic HYC50, ChargePoint Home Flex) y los sistemas operativos de automóviles (Automotive Grade Linux). Equipo Fuzzware.io ganó el concurso de hackeo con ganancias totales de 215.000$, seguido de Team DDOS con 100.750$ y Synactiv con 85.000$.

Los anuncios maliciosos que aparecen en los resultados de búsqueda de Bing al buscar sitios como Amazon se utilizan para redirigir a los usuarios desprevenidos a enlaces fraudulentos de soporte técnico alojados en Azure Blob Storage. La campaña estaba dirigida a los sectores de la salud, la fabricación y la tecnología de los EE. UU. «Al hacer clic en el anuncio malicioso, las víctimas se dirigían a highswit [.] space, un dominio recién registrado que alojaba un sitio de WordPress vacío, que luego las redirigía a uno de los contenedores de Azure Blob Storage, que servía como un típico sitio fraudulento de soporte técnico», Netskope Threat Labs dijo .

Un proveedor chino de red privada virtual (VPN) llamado LVCHA VPN ha sido utilizado por dispositivos en Rusia, China, Myanmar, Irán y Venezuela. También tiene una aplicación para Android que se aloja directamente en su sitio web («lvcha [.] in») y se distribuye a través del Google Play Store . Un análisis más detallado del dominio ha descubierto un grupo de casi 50 dominios sospechosos, todos los cuales promocionan la misma VPN. «Cuando vemos campañas que promocionan descargas sospechosas o productos que utilizan tantos dominios, esto puede indicar que el operador está rotando los dominios para evitar los firewalls nacionales en las regiones en las que intentan promover la distribución», explica Silent Push dijo .

Tras un ciberataque coordinado a finales de diciembre de 2025 contra La red eléctrica de Polonia , la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado un boletín para propietarios y operadores de infraestructuras críticas. Según la CISA, los dispositivos periféricos vulnerables siguen siendo el objetivo principal de los actores de amenazas, que los dispositivos OT sin verificación del firmware pueden sufrir daños permanentes y que los actores de amenazas utilizan las credenciales predeterminadas para pasar a la HMI y las RTU. «Los operadores deben dar prioridad a las actualizaciones que permiten verificar el firmware cuando estén disponibles», señala la agencia adicional . «Los operadores deben cambiar inmediatamente las contraseñas predeterminadas y establecer requisitos para que los integradores o los proveedores de OT impongan los cambios de contraseña en el futuro». En un contexto similar, Jonathan Ellison, director de resiliencia nacional del Centro Nacional de Ciberseguridad (NCSC), instó a los operadores de infraestructuras críticas del país a actuar ahora y Existen planes o guías de respuesta a incidentes para responder a tales amenazas. «Si bien los ataques aún pueden producirse, unos planes sólidos de resiliencia y recuperación reducen tanto las probabilidades de que un ataque tenga éxito como el impacto en caso de que lo haga», dijo Ellison dijo .

La empresa de inteligencia de amenazas GreyNoise dijo que había observado una fuerte caída en el tráfico mundial de Telnet el 14 de enero de 2026, seis días antes de que se emitiera un aviso de seguridad para CVE-2026-24061 salió a bolsa el 20 de enero. El CVE-2026-24061 se refiere a una vulnerabilidad crítica en el daemon telnet GNU INetUtils que podría provocar una omisión de la autenticación. Los datos recopilados por GreyNoise muestran que el volumen de sesiones de Telnet por hora cayó un 65% el 14 de enero a las 21:00 UTC, y luego cayó un 83% en dos horas. Las sesiones diarias han pasado de una media de 914 000 (del 1 de diciembre de 2025 al 14 de enero de 2026) a alrededor de 373 000, lo que equivale a una reducción del 59% que se mantuvo hasta el 10 de febrero de 2026. «Dieciocho ASN con un volumen importante de telnet antes del lanzamiento (más de 50 000 sesiones cada una) alcanzaron el cero absoluto después del 15 de enero», afirma la empresa. «Cinco países enteros desaparecieron de los datos telnet de GreyNoise: Zimbabue, Ucrania, Canadá, Polonia y Egipto. No se reduce a cero». Entre las 18 ASN incluidas se encuentran British Telecom, Charter/Spectrum, Cox Communications y Vultr. Si bien la correlación no implica causalidad, GreyNoise ha planteado la posibilidad de que los operadores de telecomunicaciones hayan recibido una advertencia anticipada sobre el CVE-2026-24061, lo que les permitiría actuar en consecuencia a nivel de infraestructura. «Un proveedor de red troncal o de tránsito —posiblemente respondiendo a una solicitud coordinada o, posiblemente, basándose en su propia evaluación— implementó el filtrado del puerto 23 [para bloquear el tráfico de telnet] en los enlaces de tránsito», dijo .

Cyderes y Cato Networks han detallado nuevos cargadores de malware previamente indocumentados denominados Cargador RenEngine y velo de zorro que se han utilizado para entregar cargas útiles de la siguiente etapa. La campaña de malware de Foxveil ha estado activa desde agosto de 2025. Está diseñada para establecer un punto de apoyo inicial, complicar las tareas de análisis y recuperar las cargas útiles de los códigos de shell de la siguiente fase a partir de la puesta en escena controlada por los agentes de amenazas alojadas en plataformas de confianza, como Cloudflare Pages, Netlify y Discord. Los ataques que utilizan RenEngine Loader, por otro lado, han empleado instaladores de juegos modificados de forma ilegal y distribuidos a través de plataformas de piratería para distribuir el malware junto con el contenido jugable. Se estima que más de 400 000 víctimas en todo el mundo se han visto afectadas, la mayoría de ellas en India, EE. UU. y Brasil. La actividad ha estado operativa desde abril de 2025. «RenEngine Loader descifra, organiza y transfiere la ejecución a Cargador Hijack , lo que permite una rápida evolución de las herramientas y un despliegue flexible de las capacidades», afirmó Cyderes. «Al integrar un cargador de segunda fase modular y sigiloso en un lanzador Ren'Py legítimo, los atacantes imitan fielmente el comportamiento normal de las aplicaciones, lo que reduce considerablemente la detección temprana». El objetivo final del ataque es desplegar un ladrón de información llamado ACR Stealer .

Se han descubierto dos nuevas vulnerabilidades de seguridad en Google Looker que un atacante podría aprovechar para comprometer por completo una instancia de Looker. Esto incluye una cadena de ejecución remota de código (RCE) mediante anulaciones de ganchos de Git y un error para eludir la autorización mediante un abuso de la conexión a una base de datos interna. Si se aprovechan las fallas, un atacante podría ejecutar código arbitrario en el servidor Looker, lo que podría provocar el acceso de varios usuarios, así como filtrar toda la base de datos MySQL interna mediante una inyección de SQL basada en errores, según Tenable . «Las vulnerabilidades permitían a los usuarios con permisos de desarrollador en Looker acceder tanto al sistema subyacente que alojaba a Looker como a su base de datos interna», dijo Google dijo . Rastreados colectivamente como CVE-2025-12743, también conocidos como LookOut (puntuación CVSS: 6.5), Google los parcheó en septiembre de 2025. Si bien las correcciones se han aplicado a las instancias en la nube, se recomienda a los usuarios de instancias de Looker autohospedadas que actualicen a la última versión compatible.

Se está utilizando un instalador falso de la herramienta de archivado de archivos 7-Zip descargado de 7zip [.] com (el dominio legítimo es 7-zip [.] org) para eliminar un componente proxy que inscribe al host infectado en un nodo proxy residencial. Esto permite a terceros dirigir el tráfico a través de la dirección IP de la víctima ocultando sus propios orígenes. El instalador está firmado digitalmente con un certificado ahora revocado emitido originalmente a nombre de Jozeal Network Technology Co., Limited. El nombre clave de la campaña es UpStage Proxy, investigador de seguridad Luke Acha, quien descubierto a finales del mes pasado. «Los operadores de 7zip [.] com distribuyeron un instalador troyanizado a través de un dominio similar, que ofrecía una copia funcional del gestor de archivos 7-Zip junto con una carga de malware oculta», Malwarebytes dijo . El señuelo de 7-Zip parece ser parte de un esfuerzo más amplio que utiliza instaladores troyanos para HolaVPN, TikTok, WhatsApp y Wire VPN. Las cadenas de ataque implican el uso de tutoriales de YouTube como vector de distribución de malware para dirigir a los usuarios desprevenidos al sitio falso, lo que pone de manifiesto una vez más el abuso de plataformas confiables.

Vínculo nulo es un sofisticado marco de comando y control (C2) basado en Linux capaz de intrusiones a largo plazo en entornos empresariales y de nube. Según lo documentado por primera vez por Check Point el mes pasado, los análisis en curso del malware han revelado que puede haber sido desarrollado por un desarrollador de habla china utilizando un modelo de inteligencia artificial (IA) con una revisión humana limitada. Ontinue, en un informe publicado esta semana, dijo que había encontrado «indicadores sólidos» de que el implante se fabricó utilizando un agente de codificación basado en modelos lingüísticos extensos (LLM). «Toma huellas digitales de los entornos de nube de AWS, GCP, Azure, Alibaba Cloud y Tencent Cloud, y recopila las credenciales de las variables de entorno, los directorios de configuración y las API de metadatos de las instancias», explica el investigador de seguridad Rhys Downing dijo . «Detecta los tiempos de ejecución de los contenedores e incluye complementos para escapar de contenedores y escalar los privilegios de Kubernetes. Un rootkit a nivel de núcleo adapta su enfoque sigiloso en función de la versión del núcleo del host». Cisco Talos afirma que ha respetado el marco modular en las campañas emprendidas por un nuevo agente de amenazas con el nombre en código UAT-9921, que se cree que ha estado activo desde 2019. La empresa de ciberseguridad dijo que también encontró «indicios claros» de un equivalente de VoidLink en Windows que viene con la capacidad de cargar complementos. «El UAT-9921 utiliza servidores comprometidos para instalar el comando y control de VoidLink (C2), que luego se utilizan para iniciar actividades de escaneo tanto internas como externas a la red», afirman los investigadores de Talos dijo .