Boletín ThreatDay: Kali Linux + Claude, Chrome Crash Traps, defectos de WinRAR, LockBit y más de 15 historias...

Kali Linux, una distribución Linux avanzada de pruebas de penetración que se utiliza para evaluar la seguridad de la red y el hackeo ético, ha adicional una integración con el modelo de lenguaje grande Claude de Anthropic a través del Protocolo de contexto modelo (MCP) para emitir comandos en lenguaje natural y traducirlos en comandos técnicos.

ResidentBat es un implante de software espía para Android utilizado por las autoridades bielorrusas para operaciones de vigilancia contra periodistas y la sociedad civil. Una vez instalado, proporciona a los operadores acceso a los registros de llamadas, las grabaciones de micrófonos, los SMS, el tráfico de mensajería cifrado, las capturas de pantalla y los archivos almacenados localmente. El malware, sin embargo primera documentación en diciembre de 2025, se estima que se remonta a 2021. Según Censys, la infraestructura asociada a ResidentBat es concentrado en Europa y Rusia: los Países Bajos (5 anfitriones), Alemania (2 anfitriones), Suiza (2 anfitriones) y Rusia (1 anfitrión) en una vista de plataforma reciente, utilizando un rango de puertos estrecho (7000-7257) para controlar el tráfico.

Las campañas de suplantación de identidad se hacen pasar por servicios de corretaje de criptomonedas como Bitpanda para recopilar datos confidenciales con el pretexto de reconfirmar su información o correr el riesgo de que se bloqueen sus cuentas. «Al intentar obtener múltiples formas de información e identificación, los atacantes utilizaron tácticas que parecerían legítimas para el usuario común», dijo Cofense dijo . «La información del usuario, como la verificación del nombre, el correo electrónico y la contraseña, las credenciales y la ubicación, se utilizó en este intento de recopilar información bajo la apariencia de un proceso de autenticación de múltiples factores».

En su Informe de amenazas globales de 2026, CrowdStrike dijo que los adversarios se volvieron más rápidos que nunca en 2025. «El tiempo medio que transcurre entre el acceso inicial y el traslado lateral a otro sistema tras cometer un delito electrónico se redujo a 29 minutos, lo que supone un aumento del 65% respecto a 2024" dijo . Una de esas intrusiones emprendida por Polilla lunar (también conocido como Chatty Spider) contra un bufete de abogados pasó del acceso inicial a la exfiltración de datos en cuatro minutos. Uno de los principales factores que impulsaron esta espectacular aceleración fue el uso indebido generalizado de credenciales legítimas, lo que permitió a los atacantes mezclarse con el tráfico normal de la red y eludir muchos controles de seguridad tradicionales. Esto se sumó a la utilización de la tecnología de inteligencia artificial por parte de actores de amenazas de diversas motivaciones para acelerar y optimizar sus técnicas existentes. Algunos de los actores de amenazas que han aprovechado la IA en sus operaciones incluyen Oso elegante , Punk Spider (también conocido como Akira), Blind Spider (también conocido como Blind Eagle), Odyssey Spider (también conocido como TA558) y un grupo de hackers con raíces indias llamado Frantic Tiger que ha utilizado páginas de Netlify y Cloudflare para operaciones de recolección de credenciales. La empresa de ciberseguridad afirmó haber observado un aumento del 89% en el número de ataques perpetrados por adversarios con inteligencia artificial en comparación con 2024, y un aumento interanual del 42% en el número de ataques de día cero explotados antes de su divulgación pública. Paralelamente, el 67% de las vulnerabilidades explotadas por los adversarios del nexo entre China y China proporcionaban un acceso inmediato al sistema, y el 40% se centraban en dispositivos periféricos que, por lo general, carecían de una supervisión exhaustiva. La gran mayoría de los ataques (el 82%) estaban libres de malware, lo que pone de manifiesto la tendencia constante de los atacantes a realizar operaciones prácticas con el teclado y al uso indebido de herramientas y credenciales legítimas.

En un informe similar, ReliaQuest dijo que las intrusiones más rápidas alcanzaron el movimiento lateral en solo 4 minutos, una aceleración del 85% con respecto al año pasado, y que la exfiltración de datos tuvo lugar en 6 minutos. La estadística se basa en el hecho de que los atacantes incorporan cada vez más la inteligencia artificial y la automatización a su oficio. «A medida que los atacantes obtienen cada vez más credenciales válidas con privilegios elevados, el tiempo para reaccionar se ha reducido drásticamente», dijo ReliaQuest dijo . «En 2025, el tiempo medio de ruptura (acceso inicial al movimiento lateral) se redujo a 34 minutos. En el 47% de los incidentes, obtuvieron altos privilegios antes de entrar en contacto con la red. Esto les permite evitar la escalación, mezclarse con el tráfico y reutilizar herramientas legítimas».

Los usuarios de Mac que buscan software popular como Homebrew, 7-Zip, Notepad++, LibreOffice y Final Cut Pro son el objetivo de un campaña de publicidad maliciosa activa funciona con al menos 35 cuentas de anunciantes de Google secuestradas procedentes de países como EE. UU., Canadá, Italia, Polonia, Brasil, India, Arabia Saudí, Japón, China, Rumanía, Malta, Eslovenia, Alemania, el Reino Unido y los Emiratos Árabes Unidos. Se han encontrado más de 200 anuncios maliciosos que se hacen pasar por software legítimo de macOS. El objetivo final de estos esfuerzos es dirigir a los usuarios a páginas falsas que contienen Haga clic en Fijar -como instrucciones para entregar MacSync Stealer. Otra campaña de ClickFix ha sido observado utilizar señuelos de verificación CAPTCHA falsos en páginas de suplantación de identidad falsas para distribuir malware ladrón que puede recopilar datos de navegadores web, aplicaciones de juegos como Steam, carteras de criptomonedas y aplicaciones de VPN. Según datos de ReliaQuest, el año pasado, una cuarta parte de los ataques utilizaron ingeniería social para el acceso inicial, con ClickFix responsable para entregar el 59% de las principales familias de malware.

Meta siguió adelante con un plan para cifrar los servicios de mensajería conectados a sus aplicaciones de Facebook e Instagram, a pesar de las advertencias internas de que esto dificultaría la capacidad del gigante de las redes sociales de denunciar los casos de explotación infantil ante las fuerzas del orden, Reuters reportó . Se archivó el intercambio de chat interno con fecha de marzo de 2019 en relación con una demanda presentada por el estado estadounidense de Nuevo México, acusándolo de exponer a niños y adolescentes a la explotación sexual en sus plataformas y de sacar provecho de ello. En respuesta a las preocupaciones planteadas, Meta dijo que había trabajado en funciones de seguridad adicionales antes de lanzar la mensajería cifrada en Facebook e Instagram en 2023.

Los actores de amenazas están explotando un fallo de seguridad ahora corregido en los servidores Apache ActiveMQ conectados a Internet ( CVE-2023-46604 ) para implementar el ransomware LockBit. «A pesar de haber sido desalojados tras la intrusión inicial, lograron acceder al mismo servidor por segunda vez 18 días después», informa el DFIR dijo . «Tras comprometer el servidor, el actor de la amenaza utilizó Metasploit, posiblemente junto con Meterpreter, para realizar actividades posteriores a la explotación. Estas actividades incluían aumentar los privilegios, acceder a la memoria de procesos del LSASS y moverse lateralmente por la red. Tras recuperar el acceso tras su desalojo, el autor de la amenaza pasó rápidamente a utilizar el ransomware. Aprovecharon las credenciales extraídas durante la violación anterior para implementar el ransomware LockBit a través de RDP». Se sospecha que el ransomware se creó utilizando el LockBit Builder filtrado .

Se ha descubierto que dos extensiones de Google Chrome recientemente marcadas, Pixel Shield: Block Ads (ID: nlogodaofdghipmbdclajkkpheneldjd) y PageGuard: Phishing Protection (ID: mlaonedihngoginmmlaacpihnojcoocl), adoptan el mismo manual que CrashFix , donde el navegador se bloquea deliberadamente y se engaña al usuario para que ejecute un comando malicioso al estilo de ClickFix. El aspecto más preocupante de esta campaña es que las extensiones realmente funcionan y ofrecen la funcionalidad anunciada. «El NexShield DoS original generó mil millones de llamadas a chrome.runtime.connect ()», dijo John Tuckner, de Annex Security dijo . «Estas variantes utilizan una técnica diferente, la llamo Promise Bomb, porque bloquea el navegador al inundar el sistema de transmisión de mensajes de Chrome con millones de promesas irresolubles». Si bien el NexShield original utilizaba la activación basada en temporizadores, las nuevas variantes han evolucionado para convertirse en comandos y control (C2) basados en notificaciones push, lo que hace que la denegación de servicio solo se active cuando el servidor C2 envía una notificación automática que contiene un valor de «nueva versión» que termina en «2». Esto, a su vez, proporciona al atacante un control remoto selectivo sobre el momento en que se producen los bloqueos.

La empresa de ciberseguridad Stairwell dijo que más del 80% de las redes de TI que monitorea ejecutan versiones de WinRAR vulnerables a CVE-2025-8088 , una vulnerabilidad que ha sido ampliamente explotada por grupos de ciberdelincuencia y ciberespionaje. «Este hallazgo pone de manifiesto la persistencia de un desafío en materia de seguridad empresarial cuando se despliega ampliamente un software fiable que pasa desapercibido y pasa a ser un objetivo muy valioso para los atacantes», dijo Alex Hegyi dijo .

Un nuevo análisis de Trail of Bits ha revelado que más de 723 000 proyectos de código abierto utilizan bibliotecas criptográficas con valores predeterminados inseguros. Se ha descubierto que las bibliotecas aes-js y pyaes proporcionan un vector de inicialización (IV) predeterminado en su API AES-CTR, lo que provoca un gran número de errores de reutilización de claves y IV. «La reutilización de un par clave/IV conlleva graves problemas de seguridad: si se cifran dos mensajes en modo CTR o GCM con la misma clave y IV, cualquiera que tenga acceso a los textos cifrados puede recuperar el XOR de los textos sin formato, y eso es muy malo», Trail of Bits dijo . Si bien ninguna de las bibliotecas se ha actualizado en años, StrongSwan ha publicado una actualización para solucionar el problema en StrongMan ( CVE-2026-25998 ).

OpenAI y Paradigm han anunciado conjuntamente EVMBench, un punto de referencia que mide qué tan bien los agentes de IA pueden detectar, explotar y corregir las vulnerabilidades de los contratos inteligentes de alta gravedad. «EVMBench se basa en 120 vulnerabilidades seleccionadas a partir de 40 auditorías, y la mayoría provienen de concursos de auditoría de código abierto», dice OpenAI dijo . «EVMBench pretende ser tanto una herramienta de medición como un llamado a la acción. A medida que los agentes mejoran, cada vez es más importante que los desarrolladores e investigadores de seguridad incorporen la auditoría asistida por IA en sus flujos de trabajo».

Un ciudadano ruso ha sido acusado de intentar extorsionar al famoso grupo de ransomware Conti haciéndose pasar por un oficial del Servicio Federal de Seguridad (FSB) de Rusia, según informes de los medios locales. RBC reportó que el sospechoso, Ruslan Satuchin, se hizo pasar por un agente del FSB y exigió a Conti un pago importante. Aunque la investigación se inició formalmente en septiembre de 2025, el incidente supuestamente comenzó en septiembre de 2022, cuando Satuchin se puso en contacto con uno de los miembros del grupo de hackers y lo extorsionó para eludir su responsabilidad penal. Conti, que alguna vez fue una prolífica banda de ransomware cerrar sus operaciones a mediados de 2022, tras dividirse en pequeños grupos.

Varonis ha revelado detalles de un servicio de ciberdelincuencia recientemente identificado, conocido como 1Campaign, que permite a los actores de amenazas publicar anuncios de Google maliciosos durante períodos prolongados sin ser objeto de escrutinio. Daniel Kelley, investigador de seguridad de Varonis, esta plataforma de ocultación «pasa por alto los controles de Google, deja fuera a los investigadores de seguridad y mantiene en línea durante el mayor tiempo posible las páginas que consumen criptomonedas y suplantación de identidad», afirma Daniel Kelley, investigador de seguridad de Varonis dijo . «Combina el filtrado de visitantes en tiempo real, la puntuación del fraude, la segmentación geográfica y un generador de scripts para bots Guard en un único panel de control». Lo ha desarrollado y mantenido un agente de amenazas llamado DuppyMeister durante más de tres años, además de ofrecer canales de Telegram como soporte. El tráfico vinculado a 1Campaign se ha distribuido en EE. UU., Canadá, los Países Bajos, China, Alemania, Francia, Japón, Hungría y Albania.

Se ha observado una campaña de ingeniería social que utiliza las reuniones de Microsoft Teams para engañar a los asistentes para que instalen malware para macOS. Daylight Security ha determinado que la actividad es coherente con una campaña de ataque en curso orquestada por actores de amenazas norcoreanos con el nombre Llamada fantasma . «Durante la llamada, el atacante alegó problemas de audio y entrenó a la víctima para que ejecutara comandos de terminal que descargaban y ejecutaban archivos binarios maliciosos», dijeron Kyle Henson y Oren Biderman, investigadores de Daylight dijo . «Los analistas observaron descargas y ejecuciones escalonadas desde la memoria caché y las rutas temporales de macOS, el acceso con credenciales mediante llaveros y las conexiones salientes a dominios controlados por atacantes recién creados».

El mes pasado, las autoridades policiales de los EE. UU. incautaron el notorio foro de ciberdelincuencia RAMP . El evento ha tenido un impacto en cascada, ya que ha desestabilizado la confianza y acelerado la fragmentación en todo el ecosistema clandestino de la ciberdelincuencia. También se especula que la RAMP podría haber funcionado como un pozo de miel o haber estado en peligro mucho antes de su incautación. «En lugar de consolidarse en torno a un único sucesor, los actores del ransomware se están redistribuyendo en plataformas cerradas, como T1erOne, y en foros accesibles, como Rehub», Rapid7 dijo . «Este cambio refleja la adaptación, no el declive. La disrupción rompe la confianza y redistribuye la coordinación entre múltiples plataformas».

Las autoridades españolas han anunciado la detención de cuatro miembros del grupo Anonymous Fénix por su participación en ataques distribuidos de denegación de servicio (DDoS). Los sospechosos, cuyos nombres no fueron revelados, atacaron los sitios web de ministerios gubernamentales, partidos políticos e instituciones públicas. Dos de los líderes del grupo fueron arrestados en mayo de 2025. Los primeros ataques se produjeron en abril de 2023. Se dice que el grupo intensificó sus actividades a partir de septiembre de 2024, reclutando voluntarios para organizar ataques DDoS contra objetivos de interés.

Se ha observado una campaña de spear-phising dirigida al sector judicial de Argentina, que entrega un archivo ZIP que contiene un acceso directo a Windows que, cuando se lanza, muestra un PDF señuelo a las víctimas y, al mismo tiempo, deja caer sigilosamente un troyano de acceso remoto (RAT) basado en Rust. «La campaña aprovecha documentos señuelos judiciales altamente auténticos para aprovechar la confianza en las comunicaciones judiciales, lo que permite la entrega exitosa de un troyano de acceso remoto encubierto y facilita el acceso a largo plazo a datos legales e institucionales confidenciales», dijo Seqrite Labs dijo .

Se ha utilizado un sitio web parecido al de Huorong Security antivirus («huoronga [.] com») para distribuir un malware RAT conocido como Rata del valle . La campaña es el trabajo de un grupo chino de ciberdelincuencia llamado Silver Fox, que tiene un historial de distribución de versiones troyanizadas de software popular chino y otros programas populares a través de dominios con errores tipográficos para distribuir los instaladores troyanos responsables de la implementación de ValleyRAT. «Una vez instalado, los atacantes pueden monitorear a la víctima, robar información confidencial y controlar el sistema de forma remota», dice Malwarebytes dijo .

Los usuarios que buscan herramientas para desarrolladores se han convertido en el objetivo de una campaña en curso denominada GPUgate que usa un instalador malintencionado para entregar Cargador Hijack y Robador atómico . «El atacante crea una cuenta de GitHub desechable y bifurca el repositorio oficial de GitHub Desktop», GMO Cybersecurity de Ierae dijo . «El atacante edita el enlace de descarga en el archivo README para que apunte a su instalador malintencionado y confirma el cambio. Por último, el atacante usó anuncios patrocinados de «GitHub Desktop» para promocionar su confirmación, y usó un ancla en README.md para saltarse las advertencias de GitHub». Las víctimas que descargaban el instalador malintencionado de Windows ejecutaban un cargador de varias etapas, mientras que las de Mac recibían Atomic Stealer.