Boletín Threatday: OAuth Trap, EDR Killer, Signal Phishing, Zombie ZIP, AI Platform Hack y más...

La empresa de seguridad en la nube Wiz ha advertido de los peligros que representan aplicaciones OAuth maliciosas , destacando cómo la «fatiga del consentimiento» podría abrir la puerta a que los atacantes accedan a los datos confidenciales de la víctima al dar a sus aplicaciones maliciosas un nombre que parezca legítimo. Al aceptar los permisos solicitados por una aplicación de OAuth fraudulenta, el usuario está «añadiendo» la aplicación del atacante a la aplicación arrendataria de su empresa. «Una vez que se hace clic en «Aceptar», se completa el proceso de inicio de sesión», explica Wiz dijo . «Pero en lugar de ir a una página de destino normal, el token de acceso se envía a la URL de redireccionamiento del atacante. Con ese token, el atacante ahora tiene acceso a los archivos o correos electrónicos del usuario sin necesidad de saber su contraseña». La empresa propiedad de Google también dijo que había detectado una campaña a gran escala activa a principios de 2025 en la que participaron 19 aplicaciones de OAuth distintas que se hacían pasar por marcas conocidas como Adobe, DocuSign y OneDrive, y que tenía como objetivo a varias organizaciones. Los detalles de la actividad fueron documentadas por Proofpoint en agosto de 2025.

Los piratas informáticos vinculados a Rusia están intentando irrumpir las cuentas de Signal y WhatsApp de funcionarios gubernamentales, periodistas y personal militar de todo el mundo con el objetivo de obtener acceso no autorizado, no rompiendo el cifrado, sino simplemente engañando a las personas para que entreguen los códigos de verificación de seguridad o PIN. «El método utilizado con más frecuencia por los piratas informáticos rusos es hacerse pasar por un chatbot de soporte de señales para inducir a sus objetivos a divulgar sus códigos», dicen el Servicio de Inteligencia y Seguridad de Defensa de los Países Bajos (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD) dijo . «Luego, los piratas informáticos pueden usar estos códigos para apoderarse de la cuenta del usuario. Otro método utilizado por los actores rusos aprovecha la función de «dispositivos vinculados» de Signal y WhatsApp». Vale la pena señalar que se emitió una advertencia similar emitido de Alemania el mes pasado. «Estos ataques se ejecutaron mediante sofisticadas campañas de suplantación de identidad, diseñadas para engañar a los usuarios para que compartieran información (códigos SMS o PIN de Signal) para acceder a las cuentas de los usuarios», dijo Signal dijo . Google advirtió el año pasado que el uso generalizado de Signal entre soldados, políticos y periodistas ucranianos lo había convertido en un objetivo frecuente de las operaciones de espionaje rusas.

Google ha revelado que los actores de amenazas explotan cada vez más las vulnerabilidades del software de terceros para violar los entornos de nube. «La ventana entre la revelación de vulnerabilidades y la explotación masiva se derrumbó en un orden de magnitud, pasando de semanas a días», dijo la división de nube del gigante tecnológico dijo . «Si bien aumentaron los exploits basados en software, el acceso inicial por parte de los actores de amenazas mediante errores de configuración, que representó el 29,4% de los incidentes en el primer semestre de 2025, se redujo al 21% en el segundo semestre de 2025. Del mismo modo, las interfaces de usuario o las API sensibles expuestas continuaron su tendencia a la baja, pasando del 11,8% en el primer semestre al 4,9% en el segundo semestre. Esta disminución sugiere que las barreras automatizadas están haciendo que los errores de identidad y configuración sean más difíciles de explotar, y que los actores de amenazas se están inclinando hacia vectores más sofisticados y costosos que se centran específicamente en las vulnerabilidades del software para hacerse un hueco». En la mayoría de los ataques investigados por Google, el objetivo del actor era la exfiltración silenciosa de grandes volúmenes de datos sin extorsión inmediata ni persistencia a largo plazo.

Una nueva investigación de Quarkslab ha descubierto que es posible eludir la protección con contraseña de 16 bytes requerida para el acceso de depuración en varias variantes de la familia de microcontroladores RH850 mediante la inyección de fallos de tensión en menos de un minuto. «La técnica de reducción de la tensión consiste en reducir la potencia del chip o sobrecargarla durante un período de tiempo controlado para modificar su comportamiento», afirma la empresa de seguridad dijo . «El ataque con palanca es un tipo específico de fallo de voltaje en el que la fuente de alimentación se conecta a tierra en lugar de inyectar una tensión específica, por ejemplo, mediante un MOSFET».

Dos ciudadanos nigerianos han sido arrestado por las autoridades del estado indio de Uttar Pradesh por su presunta participación en una operación de delincuencia electrónica conocida como Araña solar . Se cree que los sospechosos planeaban desviar grandes cantidades de dinero aprovechando las fallas de seguridad en los sistemas bancarios cooperativos de la India. Según un informe de The420.in, las personas han sido identificadas como Okechukwu Imeka y Chinedu Okafor. Se sospecha que el dúo forma parte de un sindicato internacional de fraude involucrado en atacar a instituciones financieras. Solar Spider tiene un historial de ataques contra los sistemas bancarios de la India y Oriente Medio, a menudo mediante campañas de suplantación de identidad. En un informe publicado en julio de 2025, Tata Communications revelada que los actores de amenazas aprovechen su acceso inicial para robar credenciales, alterar las transacciones NEFT/RTGS y centrarse en el Sistema de Mensajería Financiera Estructurada ( SFMS ) e infraestructuras de host a host (H2H). El grupo también es conocido por implementar un sofisticado marco de ataque denominado JS OutProx desde al menos 2019.

Check Point ha publicado campañas específicas contra entidades de Qatar que utilizan contenido relacionado con el conflicto para atraer a familias de malware como PlugX y Cobalt Strike. La cadena de ataque utiliza archivos de acceso directo de Windows (LNK) contenidos en archivos ZIP que, al abrirse, descargan una carga útil de próxima etapa desde un servidor comprometido. A continuación, la carga útil muestra el documento señuelo mientras utiliza la carga lateral de DLL para implementar PlugX. La actividad, detectada el 1 de marzo de 2026, se atribuyó a Mustang Panda (también conocido como Camaro Dragon). Se ha observado un segundo ataque en el que se utilizaba un archivo protegido por contraseña para ejecutar un cargador de Rust que no estaba documentado anteriormente y que se encarga de implementar Cobalt Strike mediante la carga lateral de DLL. «Este cargador aprovecha el secuestro mediante DLL de nvdaHelperRemote.dll, un componente del lector de pantalla de código abierto NVDA. Hasta ahora, solo se había observado un uso abusivo de este componente en un número limitado de campañas relacionadas con China, incluidas las actividades relacionadas con China relacionadas con la ejecución de una campaña Voldemort por la puerta trasera, así como una ola de ataques contra Filipinas y Myanmar en 2025», dijo Check Point dijo . Si bien este ataque se considera alineado con China, no se ha atribuido a un actor de amenaza específico. «Los atacantes aprovecharon la guerra en curso en Oriente Medio para hacer que sus señuelos fueran más creíbles y atractivos, demostrando su capacidad de adaptarse rápidamente a los principales acontecimientos y noticias de última hora», afirma la empresa.

La policía polaca ha remitido a siete presuntos ciberdelincuentes menores a un tribunal de familia por un supuesto plan para vender kits distribuidos de denegación de servicio (DDoS) en línea. Los sospechosos, que tenían entre 12 y 16 años en el momento de cometer los presuntos delitos, se enfrentan a cargos relacionados con la venta de herramientas de DDoS como parte de un plan con ánimo de lucro diseñado para atacar sitios web populares, incluidos portales de subastas y ventas, dominios de TI, servicios de alojamiento y sitios de reserva de alojamiento. «Con las herramientas que administran, se atacaron sitios web populares, como portales de subastas y ventas, dominios de TI, servicios de alojamiento y servicios de reserva de alojamiento», dijo la Oficina Central de Lucha contra la Ciberdelincuencia (CBZC) de Polonia dijo .

Microsoft está implementando la compatibilidad con claves de paso para Microsoft Entra en los dispositivos Windows, añadiendo la autenticación sin contraseña resistente a la suplantación de identidad a través de Windows Hello. «Presentamos las claves de acceso de Microsoft Entra en Windows para permitir el inicio de sesión en los recursos protegidos por Entra de forma resistente a la suplantación de identidad. Esta actualización permite a los usuarios crear claves de acceso vinculadas al dispositivo almacenadas en el contenedor de Windows Hello y autenticarse mediante los métodos de Windows Hello (rostro, huella digital o PIN)», Microsoft dijo . «También amplía la autenticación sin contraseña a los dispositivos Windows que no están registrados ni unidos a Entran, lo que ayuda a las organizaciones a reforzar la seguridad y reducir la dependencia de las contraseñas».

Microsoft ha integrado de forma nativa System Monitor ( Sysmon ) funcionalidad directamente en Windows 11 y Windows Server 2025 como función integrada opcional a partir de la actualización de funciones de marzo de Windows 11 ( KB5079473 ). Está desactivado de forma predeterminada. La empresa anunciado la integración en noviembre de 2025. «Ya no es necesario empaquetarlo de forma dinámica; simplemente habilitarlo mediante programación a través de PowerShell », dijo Nick Carroll, gerente de respuesta a ciberincidentes de Nightwing. «Junto con el anuncio simultáneo de Microsoft de que Windows Intune habilitará la aplicación de parches rápidos de forma predeterminada en mayo de 2026, esto reduce drásticamente la barrera de acceso para obtener una visibilidad profunda de los terminales y representa una enorme ventaja operativa para los defensores de la red».

Una activa campaña de suplantación de identidad está dirigida a los residentes canadienses (y posiblemente presentes en otros países) que utilizan dominios fraudulentos que se hacen pasar por instituciones confiables, como el Gobierno de Columbia Británica e Hydro-Québec, con el objetivo de recopilar información personal y detalles de tarjetas de crédito, Flare dijo . La infraestructura de alojamiento detrás de esta campaña está vinculada a RouterHosting LLC (también conocido como Cloudzy), un proveedor que fue acusado públicamente en 2023 de prestar servicios a al menos 17 grupos de hackers patrocinados por el estado de países como Irán, China, Rusia y Corea del Norte.

Meta ha detallado el funcionamiento de Advanced Browsing Protection ( ABP ) en Messenger, que protege la privacidad de los enlaces en los que se hace clic en los chats y, al mismo tiempo, advierte a las personas sobre los enlaces maliciosos. «En su configuración estándar, la navegación segura utiliza modelos integrados en el dispositivo para analizar los enlaces maliciosos que se comparten en los chats», explica la empresa dijo . «Pero lo hemos ampliado aún más con una configuración avanzada llamada Protección avanzada de navegación (ABP) que aprovecha una lista de seguimiento que se actualiza continuamente de millones de sitios web potencialmente maliciosos». ABP aprovecha un enfoque denominado recuperación de información privada (PIR) para implementar un esquema de «coincidencia de URL» que preserva la privacidad entre la consulta del cliente y el servidor que aloja la base de datos, junto con Oblivious HTTP, AMD SEV-SNP y Ruta ORAM para obtener garantías de privacidad adicionales.

Una sofisticada campaña de ataque dirigida a los departamentos de recursos humanos y a los reclutadores de empleo ha combinado la ingeniería social con técnicas avanzadas de evasión para comprometer sigilosamente los sistemas al evitar los entornos de análisis y aprovechar un módulo especializado diseñado para acabar con el software antivirus y de detección de terminales. El ataque comienza con un archivo ISO con el tema de un currículum que se envía probablemente a través de correos electrónicos de spam o suplantación de identidad, que luego elimina las cargas útiles de la siguiente etapa, incluida una DLL que se lanza mediante la carga lateral de una DLL para recopilar información básica del sistema, iniciar la comunicación con un servidor remoto, ejecutar comprobaciones de entorno aislado, emplear filtros geográficos para evitar ejecutarse en regiones restringidas y eliminar cargas útiles adicionales, como BlackSanta EDR, que emplea controladores de núcleo legítimos pero vulnerables para perjudicar las defensas del sistema, una táctica conocida como Bring Su propio controlador vulnerable (BYOVD). «En lugar de funcionar como una simple carga útil auxiliar, BlackSanta actúa como un módulo dedicado a la neutralización de la defensa que identifica e interfiere programáticamente con los procesos de protección y monitoreo antes del despliegue de las etapas de seguimiento», dijo Aryaka dijo . «Al centrarse en los motores de seguridad de los terminales junto con los agentes de telemetría y registro, se reduce directamente la generación de alertas, se limita el registro del comportamiento y se debilita la visibilidad de las investigaciones sobre los servidores comprometidos». Por el momento, no se sabe cuáles son las cargas útiles de seguimiento ni qué tan extendida está la campaña. Las campañas de suplantación de identidad no solo se dirigen a los equipos de recursos humanos, sino que también se hacen pasar por ellos en los ataques. «Hacerse pasar por RRHH ofrece muchos beneficios a los actores de amenazas. Las tareas de RRHH suelen ser obligatorias, por lo que los correos electrónicos de RRHH tienen autoridad», explica Cofense dijo . «Las tareas legítimas de recursos humanos también pueden tener plazos estrictos, que un actor de amenazas puede utilizar para imponer la urgencia. Por último, los empleados esperan que los empleados realicen tareas regulares de recursos humanos».

Una nueva técnica denominada Zombi ZIP permite a los atacantes ocultar cargas útiles en archivos comprimidos especialmente diseñados que pueden eludir las herramientas de seguridad. «Los encabezados ZIP mal formados pueden provocar que los antivirus y el software de detección y respuesta (EDR) de terminales produzcan falsos negativos», afirma el Centro de Coordinación del CERT (CERT/CC) dijo . «A pesar de la presencia de encabezados mal formados, algunos programas de extracción aún pueden descomprimir el archivo ZIP, lo que permite que se ejecuten cargas potencialmente maliciosas al descomprimir el archivo». La vulnerabilidad, identificada como CVE-2026-0866, recibió el nombre en código de Zombie Zip por el investigador Christopher Aziz, quien la descubrió. La técnica fue demostrada por Chris Aziz, investigador de seguridad de Bombadil Systems.

Investigadores de la startup autónoma de seguridad ofensiva CodeWall dijo su agente de IA hackeó la plataforma de IA interna de McKinsey, Lili, y obtuvo acceso completo de lectura y escritura a la plataforma de chatbot en solo dos horas. Esto permitió acceder a toda la base de datos de producción, incluidos 46,5 millones de mensajes de chat sobre estrategias, fusiones y adquisiciones y interacciones con los clientes, todo ello en texto plano, junto con 728 000 archivos que contenían datos confidenciales de clientes, 57 800 cuentas de usuario y 95 instrucciones del sistema que controlaban el comportamiento de la IA. Esta evolución es un indicador de que las herramientas de inteligencia artificial de las agencias son cada vez más eficaces para llevar a cabo ciberataques. El agente dijo que encontró más de 200 terminales que estaban totalmente expuestos, de los cuales 22 estaban desprotegidos. Uno de estos terminales, que escribía las consultas de búsqueda de los usuarios en la base de datos, sufrió una inyección de SQL que podría haber permitido acceder a datos confidenciales y reescribir las instrucciones del sistema de forma silenciosa. Desde entonces, McKinsey ha abordado el problema. No hay evidencia de que el problema haya sido explotado en la naturaleza.

Los piratas informáticos se han puesto en contacto con empleados de organizaciones financieras y sanitarias a través de Microsoft Teams para engañarlos para que concedan acceso remoto a través de Quick Assist e implementen un nuevo malware llamado A0 Puerta trasera . El modus operandi, que se alinea con el manual de estrategias de Tormenta-1811 (también conocido como STAC5777 o Blitz Brigantine), emplea ingeniería social para ganarse la confianza de los empleados, primero inundando su bandeja de entrada con spam y, después, poniéndose en contacto con ellos a través de Teams, haciéndose pasar por el personal de TI de la empresa y ofreciéndoles ayuda para resolver el problema. Para obtener acceso a la máquina objetivo, el autor de la amenaza indica al usuario que inicie una sesión remota de Quick Assist, que se utiliza para implementar un conjunto de herramientas malintencionadas que incluye paquetes MSI firmados digitalmente, algunos de los cuales estaban alojados en el almacenamiento en la nube de Microsoft vinculados a cuentas personales. Los instaladores sirven de conducto para lanzar una DLL que, a su vez, descifra y ejecuta el shellcode responsable de ejecutar comprobaciones antianálisis y eliminar A0Backdoor, que establece contacto con un servidor remoto mediante túneles de DNS para recibir comandos. La actividad ha estado activa al menos desde agosto de 2025 hasta finales de febrero de 2026.

La operación de influencia rusa conocida como Doppelgänger se ha descrito como industrializado y prioriza la resiliencia, la escalabilidad y la continuidad operativa de la infraestructura por encima de la visibilidad a corto plazo. «En lugar de funcionar como una colección dispersa de sitios web falsificados o medios de propaganda transitorios, la red exhibe las características de un aparato de influencia coordinado y gestionado profesionalmente», dijo DomainTools dijo . «En esencia, el ecosistema se basa en la suplantación sistemática de marcas de medios ejecutada a gran escala». Las campañas organizadas como parte de la operación muestran una microsegmentación geográfica deliberada en los estados miembros de la Unión Europea y los EE. UU.

Anthropic tiene presentó una demanda impedir que el Pentágono lo coloque en un lista de bloqueo de seguridad nacional , declarando que designación de riesgo en la cadena de suministro era ilegal y violaba sus derechos a la libertad de expresión y al debido proceso. La noticia se produce después de que el Pentágono calificara formalmente a la empresa de inteligencia artificial (IA) de riesgo para la cadena de suministro, tras negarse a eliminar las barreras que impedían el uso de su tecnología para fabricar armas autónomas o para la vigilancia doméstica. En su propia declaración, Anthropic dijo «Hemos mantenido conversaciones productivas con el Departamento de Guerra durante los últimos días, tanto sobre las formas en que podríamos servir al Departamento respetando nuestras dos excepciones limitadas, como sobre las formas de garantizar una transición sin problemas si eso no fuera posible». Sin embargo, el Pentágono dijo no se está negociando activamente con Anthropic. También reiteró que el departamento «no hace ni realizará vigilancia masiva nacional». Esta novedad se produce tras el acuerdo alcanzado por OpenAI con el Departamento de Defensa de los Estados Unidos. Su director ejecutivo, Sam Altman, declaró que el contrato de defensa incluiría protecciones contra las mismas líneas rojas en las que Anthropic había insistido. Desde entonces, la empresa lo ha hecho modificado su contrato para garantizar que «el sistema de IA no se utilice intencionalmente para la vigilancia nacional de personas y ciudadanos estadounidenses». El director ejecutivo de Anthropic, Darío Amodei, ha llamada La mensajería de OpenAI es el «teatro de seguridad» y las «mentiras descaradas».

Una nueva campaña de robo de información que distribuye Borypt Grab está aprovechando una red de más de 100 repositorios públicos de GitHub que afirman ofrecer herramientas de software de forma gratuita, utilizando palabras clave de optimización de motores de búsqueda (SEO) para atraer a las víctimas. La cadena de infección en varias etapas comienza cuando se descarga un archivo ZIP de una página de descarga falsa de GitHub. BoryptGrab puede recopilar datos del navegador, información de monederos de criptomonedas e información del sistema. También es capaz de capturar capturas de pantalla, recopilar archivos comunes y extraer información de Telegram, tokens de Discord y contraseñas. Como parte del ataque, también se incluye una puerta trasera llamada TunnesshClient que establece un túnel SSH inverso para comunicarse con el atacante y actúa como Proxy SOCKS5 . El archivo ZIP más antiguo data de finales de 2025. Se ha descubierto que algunas versiones de la campaña incluyen Vidar Stealer o un descargador de Golang llamado HeacNoad, que luego descarga y ejecuta cargas útiles adicionales.

El actor de amenazas alineado con Pakistán conocido como Tribu transparente se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales indias para infectar sistemas con una RAT que permite la ejecución remota de comandos, la supervisión y finalización de procesos, la ejecución remota de programas, la carga/descarga de archivos, la enumeración de archivos, la captura de capturas de pantalla y las capacidades de monitoreo de pantallas en vivo. «La campaña se basa principalmente en técnicas de ingeniería social y distribuye un archivo ZIP malintencionado disfrazado de documentos relacionados con el examen para persuadir a los destinatarios de que interactúen con los archivos», dijo CYFIRMA dijo . «Tras la extracción, el archivo contiene archivos de acceso directo engañosos junto con un complemento de PowerPoint compatible con macros, que en conjunto inician la cadena de infección. Los responsables de las amenazas emplean varios niveles de ofuscación y mecanismos de ejecución redundantes para aumentar la probabilidad de que se logre un ataque y, al mismo tiempo, reducir la probabilidad de que los usuarios sospechen de ello».

Microsoft advierte sobre múltiples campañas de suplantación de identidad que utilizan señuelos para reuniones en el lugar de trabajo, archivos adjuntos en PDF y el uso indebido de archivos binarios legítimos para enviar malware firmado. La actividad, observada en febrero de 2026, no se ha atribuido a ningún actor o grupo de amenazas específico. «Los correos electrónicos de suplantación de identidad dirigían a los usuarios a descargar ejecutables malintencionados haciéndose pasar por software legítimo», afirman desde la empresa dijo . «Los archivos se firmaron digitalmente con un certificado de validación extendida (EV) emitido a nombre de TrustConnect Software PTY LTD. Una vez ejecutadas, las aplicaciones instalaron herramientas de supervisión y administración remotas (RMM) que permitieron al atacante establecer un acceso persistente en los sistemas comprometidos». Algunas de las herramientas de RMM implementadas incluyen ScreenConnect, Tactical RMM y MeshaGent. El uso de la marca TrustConnect fue divulgado de Proofpoint la semana pasada. Además, el despliegue de varios marcos de RMM en una sola intrusión indica una estrategia deliberada para garantizar el acceso continuo y garantizar la resiliencia operativa, incluso si se detecta o elimina un mecanismo de acceso. «Estas campañas demuestran cómo se puede abusar de las marcas conocidas y de las firmas digitales confiables para evitar las sospechas de los usuarios y hacerse un hueco inicial en los entornos empresariales», añade Microsoft.

Tras una revisión de seguridad nacional de TikTok, la ministra de Industria de Canadá, Mélanie Joly, dijo que la empresa puede mantener su negocio en funcionamiento. «TikTok implementará una protección mejorada para la información personal de los canadienses, incluidas nuevas pasarelas de seguridad y tecnologías que mejoren la privacidad para controlar el acceso a los datos de los usuarios canadienses a fin de reducir el riesgo de acceso no autorizado o prohibido», según el gobierno dijo . «TikTok implementará protecciones mejoradas para los menores». El desarrollo marca un total de 180 puntos desde un Decisión de 2024 , cuando se le ordenó cerrar sus operaciones, alegando «riesgos de seguridad nacional» no especificados. Sin embargo, esa orden fue se detuvo a principios de 2025 .

Punto de inflamación dijo catalogó 44 509 divulgaciones de vulnerabilidades en 2025, lo que representa un aumento del 12% interanual (interanual). De ellas, se confirmó que 466 estaban explotadas en estado salvaje. Casi el 33%, es decir, 14 593 vulnerabilidades, tenían un código de explotación disponible públicamente. Los ataques de ransomware también aumentaron un 53% interanual en 2025, con un total de 8.835 ataques registrados. Los principales grupos de RaaS por volumen de ataques en 2025 fueron Qilin, con 1213 ataques, Akira, con 1044, Cl0p, con 529, Safepay, con 452, y Play, con 395. La industria manufacturera fue la más atacada, con 1.564 ataques, seguida por la tecnología, con 987, y la sanidad, con 905. Estados Unidos representó aproximadamente el 53% de las organizaciones de víctimas identificadas.

El Rondo Dox Se ha descubierto que la botnet DDoS implementó 174 exploits diferentes entre el 25 de mayo de 2025 y el 16 de febrero de 2026, alcanzando un máximo de 15 000 intentos de explotación en un solo día entre diciembre de 2025 y enero de 2026. Se cree que los atacantes utilizan direcciones IP residenciales comprometidas como infraestructura de alojamiento. «Los operadores de RondoDox utilizan el método más rápido, es decir, envían múltiples exploits al mismo terminal con la esperanza de que uno de ellos funcione», explica Bitsight dijo . De las 174 vulnerabilidades diferentes, 15 tienen una prueba de concepto (PoC) pública, pero no un CVE, y 11 no tienen ningún código PoC. RondoDox destaca por su rápida incorporación de vulnerabilidades descubiertas recientemente y, en algunos casos, incorpora la PoC incluso antes de que se publicara la CVE (p. ej., CVE-2025-62593 ).

Los correos electrónicos de suplantación de identidad con señuelos para órdenes de compra se utilizan para distribuir un ejecutable dentro de los archivos RAR. Una vez lanzado, el archivo binario se extrae y se ejecuta Registrador de teclas VIP en la memoria sin tocar el disco. «Este registrador de teclas captura las cookies del navegador, los inicios de sesión, los detalles de las tarjetas de crédito, los rellenos automáticos, las URL visitadas, las descargas o los sitios principales de los archivos correspondientes en cada una de las carpetas designadas para la aplicación», dijo K7 Labs dijo . También es capaz de atacar una amplia gama de navegadores web, robar las cuentas de correo electrónico de Outlook, Foxmail, Thunderbird y Postbox y recopilar fichas de Discord.

Se ha observado una nueva campaña de recolección de credenciales de Microsoft 365 que abusa de los servicios de Cloudflare para retrasar la detección y la elaboración de perfiles de riesgo. El sistema de control está diseñado para garantizar que el visitante sea un objetivo real y no un robot o un escáner de seguridad. «La campaña implementó múltiples técnicas antidetección, como el uso de la verificación humana de CloudFlare, listas de IP bloqueadas de forma codificada, comprobaciones de agentes de usuario y múltiples sitios y redireccionamientos», DomainTools dijo .