Boletín del Día de las Amenazas: RaaS de FortiGate, exploits de Citrix, abuso de MCP, suplantación de identidad de chat en vivo y ...

Group-IB ha arrojado luz sobre las diversas tácticas adoptadas por The Gentlemen, una incipiente operación de ransomware como servicio (RaaS) que consta de unos 20 miembros. Su origen se debió a una controversia sobre pagos después de que su operador «hastalamuerte» abriera un hilo de arbitraje público en el foro sobre ciberdelincuencia RAMP, acusando a los operadores del ransomware Qilin de pagar comisiones de afiliación por valor de 48.000 dólares. El grupo utiliza principalmente CVE-2024-55591 , una vulnerabilidad crítica para eludir la autenticación en FortiOS/FortiProxy, para el acceso inicial. «El grupo mantiene una base de datos operativa de aproximadamente 14.700 dispositivos FortiGate ya explotados en todo el mundo», afirma la empresa dijo . «Además de los dispositivos explotados, los operadores mantienen 969 credenciales de FortiGate VPN validadas mediante fuerza bruta y listas para ser atacadas». The Gentlemen también emplea la evasión defensiva mediante el método Bring Your Own Vulnerable ( POR OVD ) técnica para terminar los procesos de seguridad a nivel del núcleo. Alrededor de 94 organizaciones ya han sido atacadas por este grupo de amenazas desde su aparición en julio/agosto de 2025.

Se han descubierto cuatro fallos de seguridad (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259 y CVE-2025-71260) en BMC FootPrints, una solución de ITSM ampliamente implementada, que podrían encadenarse a la ejecución remota de código previa a la autenticación. La secuencia del ataque comienza con una omisión de autenticación (CVE-2025-71257) que extrae un token de sesión de invitado («SEC_TOKEN») del punto final de restablecimiento de contraseña, que luego se utiliza para llegar a un sumidero de deserialización de Java no saneado (CVE-2025-71260) en el parámetro «__VIEWSTATE» del punto final «/aspnetconfig». La explotación a través de la cadena de dispositivos AspectJWeaver permite la escritura arbitraria de archivos en el directorio raíz web de Tomcat, lo que permite la ejecución remota completa del código. Con el SEC_TOKEN, un atacante también podría aprovechar dos fallos de la SSRF (el CVE-2025-71258 y el CVE-2025-71259) y, potencialmente, filtrar datos internos. Los problemas se abordaron en septiembre de 2025.

El cargador de malware conocido como Cargador Hijack se utiliza para ofrecer un marco de comando y control (C2) previamente indocumentado y basado en C++ conocido como SnappyClient. «SnappyClient cuenta con una amplia lista de funciones, entre las que se incluyen la realización de capturas de pantalla, el registro de teclas, el uso de un terminal remoto y el robo de datos de navegadores, extensiones y otras aplicaciones», explica Zscaler ThreatLabz dijo . «SnappyClient emplea múltiples técnicas de evasión para impedir la detección de la seguridad de los terminales, incluida la elusión de la interfaz de escaneo antimalware (AMSI), así como la implementación de Heaven's Gate, las llamadas directas al sistema y el vaciado de transacciones. SnappyClient recibe dos archivos de configuración del servidor C2, que contienen una lista de las acciones que se deben realizar cuando se cumple una condición específica, junto con otro que especifica las aplicaciones a las que atacar en caso de robo de datos». El marco se descubrió por primera vez en diciembre de 2025. La cadena de ataque consiste en la distribución de cargas maliciosas después de que un usuario visite un sitio web que se hace pasar por la empresa española de telecomunicaciones Telefónica. Se ha determinado que el uso principal de SnappyClient es el robo de criptomonedas, con una posible conexión entre los desarrolladores de HijackLoader y SnappyClient basándose en las similitudes de código observadas.

Proofpoint ha detallado una nueva técnica llamada CursorJack que abusa del soporte de Cursor para el Model Context Protocol (MCP) enlaces profundos para habilitar la ejecución de comandos locales o permitir la instalación de un servidor MCP remoto malintencionado. El ataque aprovecha el hecho de que los servidores MCP suelen especificar un comando en su configuración «mcp.json». «Se podría abusar del controlador del protocolo cursor://mediante ingeniería social en configuraciones específicas», afirman desde la empresa dijo . «Un solo clic seguido de la aceptación por parte del usuario de una línea de instalación podría provocar la ejecución arbitraria de un comando. Esta técnica se puede utilizar tanto para ejecutar código local mediante el parámetro de comando como para instalar un servidor MCP remoto malintencionado mediante el parámetro URL». La empresa de seguridad empresarial también ha publicado un exploit de prueba de concepto (PoC) en GitHub.

Una nueva campaña se centra activamente en las fallas de seguridad conocidas en Citrix NetScaler ( CVE-2025-5777 y CVE-2023-4966 ). Según Ciberseguridad desactivada , se registraron más de 500 intentos de explotación contra su sistema honeypot el 16 de marzo de 2026. «Una actividad muy elevada de explotación contra vulnerabilidades antiguas a menudo puede preceder a una vulnerabilidad de día cero», afirma.

Rapid7 dijo que está viendo un aumento en las campañas de suplantación de identidad en las que los actores de amenazas se hacen pasar por departamentos de TI internos a través de Microsoft Teams. «El objetivo principal es convencer a los usuarios de que pongan en marcha Quick Assist, que permite al personal técnico tener acceso remoto para implementar malware, filtrar datos o facilitar la circulación lateral por la red», adicional . «El reciente aumento de la entrega basada en equipos pone de relieve una vulnerabilidad crítica en la forma en que las organizaciones gestionan el acceso externo. Los equipos suelen permitir que cualquier usuario externo envíe mensajes al personal interno. Es el equivalente funcional de operar un servidor de correo electrónico sin un filtro de puerta de enlace».

Un nuevo Campaña al estilo Clickfix ha comprometido un sitio web del gobierno paquistaní («wasafaisalabad.gop [.] pk») para entregar señuelos CAPTCHA falsos. La cadena de ataque instala un instalador de MSI mediante un comando encubierto en el portapapeles, que elimina una puerta trasera basada en AutoHotkey que busca tareas en un servidor remoto, Gen Digital dijo . Actualmente no se sabe cómo se violó el sitio web. La táctica de ingeniería social ha demostrado ser tan eficaz que incluso grupos de estados-nación como el grupo Lazarus de Corea del Norte, MuddyWater de Irán y el APT28 de Rusia la han adoptado. En enero, investigadores de Sekoia informaron que, desde 2024, se había introducido un marco independiente de ClickFix denominado iClickFix en más de 3.800 sitios de WordPress.

El cargador de malware conocido como Hijack Loader se utiliza para ofrecer una versión actualizada de un ladrón de información denominado ACRStealer. «Esta variante actualizada sigue técnicas de evasión similares y una estrategia de inicialización C2 para hacerla aún más sigilosa», G DATA dijo . «Esta integración con HijackLoader destaca la versatilidad y modularidad de ACRStealer, lo que probablemente atraerá a más actores malintencionados para que lo utilicen como carga final». En estas campañas, Hijack Loader se descarga desde el dominio asociado a PiviGames, un portal español que aloja juegos pirateados para PC. El desarrollo se produce en el contexto de otra campaña que involucró varios casos de malware distribuyéndose a través de PiviGames.

Se ha observado una nueva campaña de suplantación de identidad que utiliza LiveChat, un software de servicio al cliente que ofrece mensajería en vivo, para robar datos. Los correos electrónicos de suplantación de identidad que utilizan temas relacionados con los reembolsos se utilizan para redirigir a los usuarios a un enlace alojado en el servicio de LiveChat («chat direct.lc [.]»), desde donde se les pide que hagan clic en un enlace enviado en el chat para completar el reembolso introduciendo su información personal y financiera. «A diferencia de las típicas estafas de reembolso o suplantación de credenciales, esta campaña involucra a las víctimas a través de una interfaz de chat en tiempo real, haciéndose pasar por marcas conocidas para recopilar datos confidenciales como credenciales de cuentas, detalles de tarjetas de crédito, códigos de autenticación multifactor (MFA) y otra información de identificación personal (PII)», Cofense dijo .

Se sospecha que un clúster adyacente a Sidewinder, conocido como RagaSerpent, aprovecha los temas de auditoría fiscal y cumplimiento gubernamental en los correos electrónicos de suplantación de identidad para enviar malware de varias etapas con fines de mando y control (C2) y establecer un acceso sostenido en las organizaciones objetivo del sudeste asiático, incluidas Indonesia y Tailandia. La cadena de ataque es consistente con una campaña anterior dirigida a la India que utilizaba señuelos similares relacionados con los impuestos para ofrecer una herramienta empresarial legítima llamada SyncFuture TSM, desarrollada por una empresa china. «Esto no es inusual en las operaciones de APT: la segmentación dentro del país puede utilizarse para complicar la atribución (por ejemplo, creando una ruidosa victimología «nacional») o para llegar a diplomáticos/misiones extranjeras que operan en la India, un patrón que se observa explícitamente en los informes sobre el conjunto más amplio de ataques geográficos y víctimas diplomáticas de SideWinder», ITSEC Asia dijo . Las campañas recientes muestran que el actor de amenazas ha expandido sus operaciones más allá del sur de Asia y hacia África, Europa, Medio Oriente y el sudeste asiático.

DJI tiene remendado una falla de seguridad en su backend que podría haber permitido a los atacantes apoderarse de todas sus aspiradoras inteligentes Romo. El investigador de seguridad Sammy Azdoufal dijo que los servidores de DJI devolvían datos de cualquier dispositivo simplemente proporcionando un número de serie del dispositivo. DJI compartía los datos en cualquier dispositivo sin ningún tipo de autenticación o autorización. El investigador dijo que pudo mapear la ubicación de más de 7.000 aspiradoras inteligentes Romo y 3.000 centrales eléctricas portátiles DJI que compartían el mismo servidor.

WhatsApp ha comenzado pruebas soporte para configurar una contraseña de cuenta alfanumérica. Puede tener entre seis y 20 caracteres y debe incluir al menos una letra y un número. Es probable que agregar una contraseña alfanumérica a la ecuación sea un esfuerzo por dificultar los intentos de fuerza bruta. Por ejemplo, si un atacante cambia de tarjeta SIM para interceptar mensajes y eludir la autenticación de dos factores, tendrá que introducir la contraseña de entre 6 y 20 caracteres para acceder a la cuenta de WhatsApp de la víctima.

Han surgido más pruebas de que el Grupo de rescate 0APT es probablemente un falso y un fraude . «Hasta ahora, el autor de la amenaza no ha presentado pruebas creíbles de ataques de ransomware o de exfiltración de datos, ya que las muestras de datos del DLS parecían ser falsas», dijo Intel 471 dijo . «Por ejemplo, los archivos que supuestamente contenían metadatos de datos robados de las redes de las víctimas eran inusualmente grandes y llegaban a varios terabytes cada uno. Además, las descargas parciales de esos archivos indicaban que no contenían ningún dato útil y, de hecho, observamos varios casos en los que el contenido contenía un patrón repetitivo de bytes nulos».

Google rechazado En 2025, 1,75 millones de aplicaciones Android infringieron la política y bloquearon más de 80 000 cuentas de desarrolladores de Google Play Store, frente a los 2,36 millones de aplicaciones y 158 000 cuentas de 2024. La compañía dijo que, hasta 2025, impidió que más de 255 000 aplicaciones de Android obtuvieran un acceso excesivo a los datos confidenciales de los usuarios, implementó más de 10 000 controles de seguridad en las aplicaciones publicadas y reforzó las capacidades de detección al integrar los últimos modelos de inteligencia artificial (IA) generativa de Google en el proceso de revisión. La suite de seguridad integrada de Android, Play Protect, que ahora analiza más de 350 000 millones de aplicaciones cada día, ha identificado más de 27 millones de aplicaciones malintencionadas descargadas desde fuera de Google Play. La «protección mejorada contra el fraude» de Play Protect se ha ampliado para cubrir más de 2 800 millones de dispositivos Android en 185 mercados, lo que ha bloqueado 266 millones de intentos de instalación de 872 000 aplicaciones únicas y riesgosas. Por otro lado, el gigante tecnológico ha puesto a disposición la detección de estafas para las llamadas telefónicas en los dispositivos Google Pixel en EE. UU., Reino Unido, Australia, Canadá, Francia, Alemania, India, Irlanda, Italia, Japón, México y España. También está siendo expandida a la serie Samsung Galaxy S26 en EE. UU.

Un informe de VulnCheck descubrió que solo el 1% de las 2025 CVE habían sido explotadas en estado salvaje al final del año. Los dispositivos periféricos de red representaron un tercio de todos los productos explotados el año pasado. «A lo largo de 2025, se produjo una pequeña disminución (un 13%) en el número de nuevas vulnerabilidades relacionadas con grupos de amenazas denominados patrocinados por el estado y las APT», afirma la empresa de ciberseguridad dijo . «Las nuevas exploits de CVE atribuidas a grupos nexos con China aumentaron, mientras que la actividad de explotación iraní disminuyó». Otro informe de IBM X-Force revelada que ha habido un aumento del 44% en los ciberataques que explotan aplicaciones públicas.

El Parlamento Europeo ha votado extender una exención temporal a la legislación de privacidad de la UE que permite a las plataformas en línea detectar voluntariamente material de abuso sexual infantil (CSAM) hasta agosto de 2027. Los legisladores dijeron que el tiempo adicional permitirá al bloque negociar y adoptar un marco legal a largo plazo para prevenir y combatir el CSAM en línea.

Se ha descubierto que una cadena de ataques previamente indocumentada lanzada a través de una URL de suplantación de identidad distribuye un archivo ZIP que contiene un descargador de troyanos de C++, que luego inicia un cargador responsable de descifrar y poner en escena al ladrón de criptomonedas Rhadamanthys y minero de criptomonedas XMRig. «La principal evasión de la campaña se basa en los binarios compilados por adelantado (AOT) de .NET Native, que eliminan los metadatos tradicionales de .NET, frustran las herramientas de análisis de .NET comunes y obligan a los analistas a recurrir a las herramientas de nivel nativo, lo que dificulta considerablemente la detección y la ingeniería inversa», Cyderes dijo . «Capacidades antianálisis sofisticadas: el cargador AOT emplea un sistema de puntuación aislado que evalúa el tamaño de la RAM, el tiempo de actividad del sistema, el recuento de archivos de los usuarios y la presencia de procesos audiovisuales; detecta máquinas virtuales mediante una inspección del registro; y suprime activamente la actividad de los mineros cuando se detectan herramientas de supervisión como el administrador de tareas, el Hacker de procesos o el x64dbg».

El informe State of Secrets Sprawl de GitGuardian tiene encontrado que se agregaron 28.649.024 nuevos secretos a las confirmaciones públicas de GitHub solo en 2025, un 34% más que el año anterior. La cifra también representa un aumento del 152% en el crecimiento de los secretos filtrados desde 2021. En 2025, los secretos de los servicios de inteligencia artificial alcanzaron los 1.275.105, un 81% más que en comparación con el año anterior. GitGuardian también identificó 24 008 secretos únicos expuestos en archivos de configuración relacionados con MCP en GitHub público, incluidas 2 117 credenciales únicas válidas.

Se ha descubierto que seis paquetes maliciosos de Packagist que se hacen pasar por temas de OphimCMS contienen jQuery troyanizado que filtra las URL, inyecta anuncios superpuestos a pantalla completa y carga Redireccionamientos enlazados de Funnull . Los paquetes son ophimcms/theme-dy, ophimcms/theme-mtyy, ophimcms/theme-rrdyw, ophimcms/theme-pcc, ophimcms/theme-motchill y ophimcms/theme-legend. «Los seis incluyen activos de JavaScript troyanizados, principalmente disfrazados de bibliotecas jQuery legítimas, que redirigen a los visitantes, filtran las URL, insertan anuncios y, en los casos más graves, cargan una carga útil de segunda etapa: una redirección dirigida a dispositivos móviles a sitios de juegos de azar y contenido para adultos, desde la infraestructura operada por Funnull», Socket dijo .

Un ejecutivo de nivel C de la empresa de seguridad sueca Outpost24 fue dirigido en un sofisticado ataque de suplantación de identidad. La campaña de suplantación de identidad por redireccionamiento multicadena se hizo pasar por JPMorgan Chase para engañar al destinatario para que revisara un documento haciendo clic en un enlace, lo que provocó la infección. El enlace es una URL de redireccionamiento alojada en la infraestructura de Cisco, que luego inicia una serie de redireccionamientos de URL que aprovechan servicios confiables como Nylas, así como una infraestructura legítima comprometida para eludir los filtros de seguridad y ocultar el destino final de la suplantación de identidad. «Hay varias etapas en las que se redirige a las víctimas a través de dominios legítimos o de buena reputación, lo que reduce la probabilidad de que los escáneres de seguridad o los filtros basados en la reputación bloqueen el enlace», afirma Specops. «Los atacantes llegaron incluso a implementar una medida legítima de «validación humana» basada en Cloudflare para garantizar que solo personas reales vieran la página de destino real en la que se solicitan las credenciales». Se dice que el ataque, que finalmente no tuvo éxito, utilizó un nuevo conjunto de herramientas de suplantación de identidad como servicio (PhaaS) denominado Kratos.