Más de 400 paquetes en el repositorio Arch Linux distribuyen un rootkit y un troyano

ç

Más de 400 paquetes en el Repositorio de Usuarios de Arch (AUR) distribuyen un rootkit de Linux y malware de robo de información que ataca credenciales y tokens de acceso.

Un informe de la comunidad de inteligencia de código abierto Independent Federated Intelligence Network (IFIN) señala que un nuevo mantenedor está suplantando la identidad de un editor de confianza en la plataforma AUR para distribuir paquetes infectados.

La distribución Arch Linux es popular entre usuarios avanzados y desarrolladores, quienes utilizan el catálogo AUR para obtener las últimas versiones del software instalado, los controladores y el kernel.

AUR es un repositorio mantenido por la comunidad para la distribución Arch que contiene scripts de compilación de paquetes (PKGBUILD) con instrucciones para descargar, compilar e instalar software no disponible en los repositorios oficiales de Arch.

AUR se considera esencial para cualquier distribución basada en Arch porque contiene aplicaciones propietarias, versiones beta/nightly de software de código abierto, utilidades especializadas y versiones antiguas de paquetes que conservan funcionalidades que podrían haber sido eliminadas en versiones posteriores.

Sin embargo, no se trata de un espacio verificado, y los ciberdelincuentes pueden usarlo para distribuir malware a través de paquetes que cambian de propietario sin que nadie se dé cuenta.

Según Michael Taggart, miembro de IFIN, los paquetes comprometidos se modifican con scripts de preinstalación que descargan y ejecutan un paquete npm malicioso llamado atomic-lockfile.

El investigador de seguridad independiente Whanos señala que una muestra de atomic-lockfile incluía una carga útil ELF de Linux llamada deps, que era un "ladrón de credenciales con capacidades de rootkit eBPF (filtro de paquetes Berkeley extendido) opcionales solo para root. Está diseñado para estaciones de trabajo de desarrolladores y entornos de compilación. Su objetivo son los datos de navegadores y aplicaciones Electron, Slack, Microsoft Teams, Discord, GitHub, npm, Vault, Docker/Podman, SSH, material de VPN, historiales de shell y otros secretos locales de desarrolladores", afirma Whanos en el informe.

Gracias a la tecnología eBPF, el malware puede ejecutarse dentro del kernel con privilegios elevados y ocultar procesos locales.

La empresa de gestión de la cadena de suministro Sonatype también publicó un informe sobre una campaña dirigida al repositorio AUR y que distribuía el paquete malicioso atomic-lockfile de npm, pero utilizando un método diferente. Los investigadores de Sonatype afirman que el atacante secuestró al menos 20 paquetes huérfanos en AUR e distribuyó atomic-lockfile modificando el archivo PKGBUILD, un script de Bash con la información de compilación necesaria para los paquetes de Arch Linux.

Según el informe, el atacante añadió un script posterior a la instalación para invocar npm y descargar el paquete malicioso. "Los paquetes modificados añaden un script posterior a la instalación que invoca npm e instala atomic-lockfile durante la instalación del paquete", explica Sonatype.

Sin embargo, el análisis reveló que el paquete npm instalaba un ejecutable de Linux con referencias a un rootkit eBPF capaz de ocultar procesos, archivos e interfaces de red. Además, el binario de Linux indica que posee funcionalidad de robo de información, dirigida a los siguientes tipos de información confidencial:

• Credenciales de GitHub
• Archivos SSH
• Tokens de HashiCorp Vault
• Bases de datos de cookies del navegador
• Datos de Slack
• Datos de Discord
• Datos de Microsoft Teams
• Datos de Telegram

Sonatype determinó que el binario puede archivar datos, manejar archivos multipartes y realizar cargas HTTP, por lo que cuenta con la funcionalidad necesaria para un mecanismo típico de exfiltración de datos.

Los responsables de AUR están trabajando para identificar y eliminar todas las confirmaciones maliciosas y bloquear las cuentas que las distribuyen. En un mensaje a la comunidad, Jonathan Grotelüschen, responsable del paquete Arch Linux, instó a los usuarios a reportar cualquier paquete malicioso que encuentren.

Como regla general, se recomienda confiar únicamente en proyectos con actualizaciones frecuentes y una comunidad activa. Se aconseja a los usuarios de Arch que revisen la lista de paquetes afectados y busquen los indicadores de compromiso que se mencionan en el informe de Whanos.

Fuente: BC

Seguir leyendo...

Interpol y Europol desmantelan operaciones Sniper Dz y AudiA6

Interpol desmantela Sniper Dz

Una operación liderada por la INTERPOL el mes pasado logró desmantelar Sniper Dz, una plataforma de phishing como servicio (PhaaS) que operaba desde hacía una década, según informó Group-IB.

La operación liderada por Interpol, denominada Ramz, se llevó a cabo entre octubre de 2025 y febrero de 2026, y en ella participaron autoridades de 13 países de la región de Oriente Medio y Norte de África (MENA), quienes realizaron 201 arrestos.

Entre los detenidos se encontraba Guedz, principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que, según se informa, había recopilado más de 45.000 registros de víctimas. El arresto fue realizado por la Policía Nacional de Argelia. A lo largo de los años, la plataforma cambió de nombre a Joker Dz, Storm Dz y Spam Dz.

Como parte de la Operación Ramz, se desmanteló el sitio web utilizado para ofrecer servicios PhaaS a otros ciberdelincuentes. Las autoridades también incautaron hardware que contenía software y scripts de phishing.

"Activa desde al menos 2015, Sniper Dz se ha convertido en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a ciberdelincuentes", declaró la empresa de ciberseguridad con sede en Singapur.

Desde entonces, se han identificado más de 20.000 dominios únicos asociados al servicio PhaaS. El kit de herramientas se dirigió principalmente a 30 importantes organizaciones globales, como PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing disponibles en cinco idiomas: árabe, inglés, francés, español y hebreo.

Las campañas de phishing que utilizaban Sniper Dz se dirigían a usuarios de plataformas tecnológicas, redes sociales y streaming en diversas regiones, suplantando la identidad de marcas populares y entidades gubernamentales mediante sitios web falsos muy convincentes, con el objetivo de obtener credenciales, información personal y otros datos confidenciales.

Más allá del robo de credenciales tradicional, la plataforma también empleó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en Oriente Medio y el Norte de África. Los ciberdelincuentes crearon cuentas falsas en redes sociales suplantando la identidad de personalidades políticas conocidas y las utilizaron para promocionar enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a internet».

Sniper Dz fue objeto de un análisis exhaustivo realizado por Palo Alto Networks Unit 42 en octubre de 2024, que detalló el uso que hacía el ciberdelincuente de un canal de Telegram con más de 7.300 suscriptores para compartir vídeos tutoriales y las opciones que ofrecía para alojar las páginas de phishing en su propia infraestructura, detrás de un servidor proxy.

Lo que diferenciaba a Sniper Dz del saturado mercado de PhaaS era que ofrecía toda su infraestructura de forma gratuita, facilitando a los aspirantes a ciberdelincuentes la realización de campañas de phishing a gran escala. Las vías de monetización, en cambio, se basaban en el robo de credenciales y el tráfico de las víctimas.

"Las credenciales robadas podrían obtenerse mediante campañas de phishing, mientras que los usuarios que no proporcionaran sus credenciales podrían ser redirigidos a fraudes de facturación de operadores, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas de estafa impulsadas por afiliados", dijo Group-IB.

Europol desmantela AudiA6

En un comunicado emitido el jueves, Europol afirmó que el desmantelamiento de AudiA6 interrumpió una "clave de financiación utilizada para blanquear cientos de millones de euros en ganancias ilícitas". Se estima que el servicio se utilizó para blanquear más de 336 millones de euros (unos 389 millones de dólares) desde su lanzamiento en 2021.

"La plataforma se había convertido en un centro neurálgico para los operadores de ransomware y los ciberdelincuentes que buscaban cobrar activos digitales robados ocultando el rastro del dinero a las autoridades".

Se sospecha que los operadores de AudiA6 también administraban un foro de ciberdelincuencia en la dark web conocido como Dark2Web, donde los ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros actores de amenazas en todo el mundo.

Como parte de la operación llevada a cabo el 10 de junio de 2026, se realizaron varias acciones coordinadas, entre ellas:

• La detención de dos presuntos administradores de nacionalidad ucraniana y rusa en Georgia.
• Tres registros patrimoniales.
• La eliminación de 25 dominios y la incautación de más de 30 servidores.
• La incautación de más de 80 vehículos y múltiples propiedades en Georgia.
• La congelación de criptoactivos por valor de 692.000 € (798.000 $) y la incautación de 86.000 € (99.400 $) en criptomonedas.
• El bloqueo de las cuentas de Telegram utilizadas por la red.

"De los aproximadamente 10.333 bitcoins depositados, unos 393,39 BTC (con un valor aproximado de 19.234.331 dólares en el momento de las transacciones) se recibieron directamente de mercados de la dark web conocidos, organizaciones de ransomware, servicios de ciberdelincuencia y otras fuentes ilícitas, mientras que fondos adicionales se depositaron indirectamente desde fuentes ilícitas en las carteras de AudiA6", declaró el Departamento de Justicia.

AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala industrial que se basaba en miles de cuentas de intercambio fraudulentas abiertas con identidades robadas o compradas. Este servicio criminal ha sido vinculado a más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robo masivo de criptomonedas.

Antes de su desarticulación, AudiA6 se promocionaba como un servicio de mezcla de criptomonedas que garantizaba anonimato y rapidez. Permitía a los clientes transferir sus ganancias ilícitas a monederos controlados por el grupo y recibir fondos "limpios" a cambio en menos de una hora mediante una compleja cadena de transacciones diseñada para ocultar el origen de los fondos.

Estas transacciones se realizaban a través de plataformas de mensajería privada, y los operadores cobraban comisiones que oscilaban entre el 3% y el 10%.

Según Europol, durante la investigación se identificaron más de 6.000 registros de verificación de identidad (KYC) vinculados a cuentas de mulas de dinero. "Muchas de estas cuentas estaban conectadas a intermediarios de habla rusa reclutados específicamente para facilitar el blanqueo de capitales a través de plataformas de intercambio de criptomonedas".

También se alega que AudiA6 utilizó proveedores de correo electrónico comerciales y direcciones de correo electrónico vinculadas a dominios bajo su control para registrar cuentas de mulas de dinero en diversas plataformas de intercambio de criptomonedas.

En un informe publicado en noviembre de 2021, Intel 471 reveló que AudiA6 requería un saldo mínimo de 27 bitcoins y cobraba una comisión fija de entre el 3% y el 5,5%. En diciembre de 2025, un análisis de TRM Labs descubrió que los fondos robados en el hackeo de LastPass de 2022 se canalizaron a través de Cryptex y AudiA6.

Fuente: THN I | THN II

Seguir leyendo...

Vulnerabilidad Zero-Day en Oracle PeopleSoft (CVE-2026-35273) siendo explotada

El grupo de extorsionadores ShinyHunters explotó una vulnerabilidad sin parchear en Oracle PeopleSoft para infiltrarse en sistemas empresariales, robar datos y exigir un pago para mantenerlos privados. La campaña afectó principalmente a las universidades.

Mandiant, de Google, atribuye la actividad al grupo UNC6240 y la fecha entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que la vulnerabilidad fue de Zero-Day durante todo ese período.

La vulnerabilidad, CVE-2026-35273, es un fallo de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9.8 sobre 10. No requiere inicio de sesión ni interacción del usuario; solo acceso a la red mediante HTTP para tomar el control del servidor. Si utiliza PeopleSoft con el Centro de administración de entornos accesible desde el exterior, está expuesto, y la medida inmediata es proteger esos puntos finales.

La vulnerabilidad reside en el componente de Administración de entornos de actualizaciones, el componente que gestiona el Centro de administración de entornos (PSEMHUB). Oracle indica que PeopleTools 8.61 y 8.62 están afectadas y que las versiones anteriores, sin soporte, probablemente también sean vulnerables. Atribuye el informe a investigadores de TrendAI Zero Day Initiative y TrendAI Research.

Charles Carmakal, CTO de Mandiant, confirmó que la vulnerabilidad está siendo explotada; Oracle no ha confirmado si ha detectado alguna explotación. Su aviso remite a un documento de disponibilidad de parches que requiere una cuenta de soporte, y no está claro si existe una solución completa disponible para todos. Por ahora, la guía se centra en la mitigación.

Los detalles operativos se hicieron públicos porque los atacantes dejaron sus propios equipos expuestos. La investigadora @nahamike01 señaló públicamente los directorios abiertos. Mandiant analizó cinco direcciones IP consecutivas que ejecutaban el servidor SimpleHTTP de Python en el puerto 8888. Estos servidores expusieron los archivos de preparación: un archivo .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de binarios de Microsoft Azure y un script de movimiento lateral.

Los agentes se conectaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para imitar Azure NetApp Files. El script, llamado [victim]_fanout.sh, se propaga a través de SSH enviando una lista predefinida de nombres de usuario y contraseñas a hosts internos obtenidos de /etc/hosts, y luego coloca un archivo marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja la copia pública del sitio de filtración ShinyHunters.

Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con los puntos finales vulnerables. El 68% pertenecían al sector de la educación superior, la mayoría en Estados Unidos. Algunas bloquearon la actividad; otras fueron comprometidas y sus datos se publicaron en el sitio de filtración.

La Universidad de Nottingham es una de las primeras víctimas confirmadas. Have I Been Pwned ha contabilizado aproximadamente 455.000 direcciones de correo electrónico únicas en la filtración, que incluye a estudiantes actuales y antiguos alumnos, con nombres, direcciones, números de teléfono, números de pasaporte e información sobre etnia y discapacidades. La universidad ha confirmado la brecha de seguridad.

Oracle recomienda deshabilitar el servicio Environment Management Hub en configuraciones multiservidor o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no es posible realizar ninguna de estas acciones, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.

Mandiant advierte que las reglas de inspección del cuerpo del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones de usuario normales.

A continuación, busque indicios de una posible vulneración:

• Registros de acceso de WebLogic que muestren solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector. Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas extrañas llamadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
• Archivos .xml modificados recientemente en envmetadata/data/environment del directorio raíz del documento web, que pueden ser explotados para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
• Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de exploits puede usar para capturar hashes NetNTLM de cuentas de máquina.
• Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.

ShinyHunters afirma que la búsqueda de víctimas acaba de comenzar y no ha publicado la mayoría de las organizaciones que menciona, por lo que es probable que haya más nombres.

El método es la clave. Últimamente, ShinyHunters ha recurrido al vishing, tokens robados y controles de acceso débiles para robar datos de plataformas SaaS y educativas, desde clientes de Salesforce hasta Canvas. Una vulnerabilidad de día cero en un servidor de software ERP local representa un avance significativo, dirigido a los mismos objetivos con gran cantidad de datos.

La incógnita reside en si se trató de una vulnerabilidad de día cero aislada o del inicio de la incursión de ShinyHunters en la explotación de sistemas ERP.

Fuente: THN

Seguir leyendo...

(Otra) vulnerabilidad permite eludir BitLocker de Windows (Zero-Day)

El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha publicado una nueva vulnerabilidad para eludir BitLocker de Windows, denominada GreatXML, un día después de haber publicado un exploit para Microsoft Defender.

"Fue un descubrimiento accidental; me llevó cuatro horas encontrarlo", declaró el investigador en una publicación. "Si alguna vez intentaste usar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a un exploit de BitLocker. No estoy seguro de si aún se puede activar el fallo sin usar la función de análisis sin conexión, porque sin duda es posible".

El exploit funciona de la siguiente manera:

• Copie un archivo XML ("unattend.xml") y una carpeta de recuperación que contenga otro archivo XML ("Recovery/WindowsRE/ReAgent.xml") a la raíz de la partición de recuperación.
• Reinicie en el Entorno de Recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de inicio de Windows.

Si se siguen todos los pasos correctamente, se generará una shell con acceso ilimitado al volumen de BitLocker.

"Si nunca se inició el análisis sin conexión de Defender, deberá iniciar sesión e iniciarlo manualmente o encontrar una manera de arrancar en WinRE en estado de análisis sin conexión (creo que debería ser posible hacerlo sin iniciar sesión) y seguir los pasos anteriores", señaló Chaotic Eclipse.

El lanzamiento de GreatXML se produce poco después de RoguePlanet, una vulnerabilidad de día cero en Microsoft Defender que facilita la escalada de privilegios local (LPE) a SYSTEM, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

GreatXML es también el segundo exploit para eludir BitLocker publicado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron publicados por Microsoft esta semana como parte de las actualizaciones de Patch Tuesday.

Fuente: THN

Seguir leyendo...

¿Welcome IPv8?

IPv8 es una propuesta de protocolo de red publicada como Internet-Draft en el IETF el 15 de abril de 2026 que busca reemplazar IPv4 resolviendo de raíz sus dos grandes problemas: el agotamiento de direcciones y la fragmentación de la gestión de red. Lo hace manteniendo compatibilidad total con IPv4 —sin necesidad de dual-stack ni migración forzada— y usando direcciones de 64 bits que incluyen el número de sistema autónomo (ASN) como prefijo de enrutamiento.

El borrador draft-thain-ipv8-01, ha generado bastante ruido en la comunidad de redes. Algunos lo han calificado de "hecho por la IA", otros lo han leído con más calma y ven propuestas interesantes.

El 3 de febrero de 2011 IANA entregó los últimos bloques /8 libres de IPv4. Desde entonces no ha habido más espacio central que repartir. Los cinco registros regionales agotaron sus reservas entre 2011 y 2020 uno tras otro. Hoy todas las direcciones IPv4 útiles del mundo están en manos de alguien — y la única forma de conseguir más es comprárselas a ese alguien.

¿Qué pasó cuando se acabaron las IPs? Que se inventó el CGNAT (Carrier-Grade NAT): el operador de Internet pone a todos los clientes juntos detrás de una misma IP pública. Las consecuencias son conocidas: la comunicación directa entre dispositivos se complica (adiós a muchos juegos online, torrent, VoIP directo...), los logs para hacer trazabilidad se vuelven un infierno y la latencia aumenta. No es una solución elegante, es un parche. Y además, el protocolo en sí nunca pensó mucho en la seguridad ni en la gestión centralizada: DHCP, DNS, NTP, autenticación... cada protocolo salió por su lado, en distintas décadas, sin un modelo de identidad común. El resultado es que administrar una red grande hoy es como intentar orquestar una banda donde cada músico lleva un manual diferente.

IPv6 existe desde 1998. Lleva veintiocho años escribiéndose, estandarizándose, desplegándose. Y en 2026 apenas transporta el 45,2% del tráfico mundial según las estadísticas de Google. La mitad más uno de Internet sigue siendo IPv4. El fracaso no es de ingeniería — IPv6 es un protocolo sólido — sino de incentivos.

El modelo de transición de IPv6 exige doble pila: cada dispositivo, cada aplicación, cada router tiene que hablar ambos protocolos simultáneamente durante el tiempo que dure la migración. Y ese tiempo, sin un forzante real, es indefinido. Cada operador asume el coste operativo del doble mantenimiento sin obtener un beneficio inmediato si sus pares no han migrado también. Sin externalidad forzante, el equilibrio racional es quedarse en IPv4 con CGNAT.

IPv6 rompe compatibilidad a nivel de paquete. Un router que solo entiende IPv4 no puede reenviar un paquete IPv6 — ni siquiera sabe qué longitud tiene la cabecera. Cada salto del camino debe actualizarse antes de que la ruta funcione. Eso multiplica el coste de coordinación por el número de operadores involucrados, que es un número grande.

Tras 25 años de esfuerzo de despliegue IPv6 transporta una minoría del tráfico global de internet. El coste operativo del modelo de transición doble pila, combinado con la ausencia de mejoras en la gestión, resultó comercialmente inaceptable.

IPv8 cambia la reglas del juego

La propuesta fue publicada con una serie completa de documentos para definir los protocolos necesarios para pasar a IPv8, como serían los protocolos DHCP8, WHOIS8, y el conjunto mínimo de protocolos de gestión del enrutamiento de tráfico IPv8 en las redes de Internet de hoy en día.

IPv8 es un Internet-Draft individual del IETF, no una RFC (borrador español). Para avanzar necesita revisión, implementaciones experimentales y — lo más difícil — adopción operativa.

IPv8 cambia la regla del juego: IPv4 es un subconjunto estricto de IPv8. Una dirección IPv8 es de 64 bits y se escribe r.r.r.r.n.n.n.n. El tramo n.n.n.n son los 32 bits IPv4 de siempre con idéntica semántica. El tramo r.r.r.r codifica el ASN — el número del sistema autónomo al que pertenece la IP.

Puntos clave de IPv8:

• Formato ASN:HOST: Por ejemplo, 23548:192.168.1.1.
• Retrocompatibilidad Garantizada: Considera el direccionamiento IPv4 como un subconjunto donde el ASN corresponde a 0.0.0.0 (ejemplo 0:192.168.1.1).
• Seguridad Nativa: Implementa Zero Trust validado por JWT (JSON Web Tokens).
• Servicios Integrados: Incorpora protocolos como DHCP8, DNS8 y WHOIS8 para una gestión centralizada.

Los primeros 32 bits (r.r.r.r) son un prefijo de enrutamiento basado en el número de sistema autónomo (ASN) del operador o empresa. Los otros 32 bits (n.n.n.n) son la dirección del host, con la misma semántica que una dirección IPv4 de toda la vida. El espacio total es 2^64: más de 18 trillones de direcciones, con 4.294.967.296 hosts disponibles para cada ASN registrado.

Lo más importante del diseño es la compatibilidad hacia atrás. Una dirección IPv4 se representa en IPv8 como 0.0.0.0.n.n.n.n: cuando el prefijo de enrutamiento es todo ceros, se aplican las reglas IPv4 estándar. Esto significa que IPv4 es un subconjunto propio de IPv8. Ningún dispositivo, ninguna aplicación, ninguna red necesita modificarse. Sin día D, sin migración forzada, sin dual-stack.

Cuando r.r.r.r = 0.0.0.0, la dirección IPv8 es una dirección IPv4 clásica, procesada por las reglas IPv4 de siempre. Ningún router, ningún firmware, ninguna aplicación IPv4 existente necesita modificación. No hay flag day. No hay migración forzada.Cada titular de un ASN recibe 4.294.967.296 direcciones — tantas como tiene IPv4 entero. Un ISP consumer, un hyperscaler, un laboratorio universitario: todos con espacio de sobra para décadas, sin CGNAT, sin renumeración. El espacio total pasa de 232 a 264 direcciones, es decir, ~18 trillones. El agotamiento deja de ser un problema arquitectónico.

La tabla BGP global también cambia. En IPv8 la regla es que el prefijo mínimo anunciable entre sistemas autónomos es /16. Se acabaron los /24, /22, /20 que hoy inflan la tabla BGP4 hasta los 970.000 prefijos. La tabla BGP8 queda acotada por el número de ASNs activos, no por la proliferación de prefijos. Hoy hay ~122.000 ASNs: ese es tu límite superior. Finito. Manejable.

IPv4 vs IPv6 vs IPv8 — las diferencias que importan

	IPv4	IPv6	IPv8
Bits por dirección	32	128	64
Formato	n.n.n.n	2001:db8::1	r.r.r.r.n.n.n.n
Espacio total	4.300 millones	340 sextillones	18 trillones
Compatible con IPv4	—	No (requiere doble pila)	Sí (subconjunto estricto)
Migración	—	Años, cara, incompleta	Actualización de software
Tabla BGP acotada	No	No	Sí (/16 mínimo, 1 por ASN)
Adopción global (2026)	~55%	~45%	Internet-Draft

Además de las direcciones, la propuesta incluye un ecosistema completo de protocolos: DHCP8 para entregar toda la configuración de red en una sola respuesta, DNS8 para resolución de nombres, BGP8 para enrutamiento con validación obligatoria de rutas contra un registro WHOIS8, autenticación mediante tokens OAuth2/JWT y telemetría unificada. Todo gestionado a través de un Zone Server que hace las veces de gateway, servidor DNS, NTP, gestor de autenticación y monitor de red al mismo tiempo.

¿Por qué IPv8 podría tener éxito donde IPv6 ha fallado?

Si algo ha frenado a IPv6 es el modelo de transición. IPv8 lo resuelve de una manera mucho más pragmática: en lugar de exigir dual-stack, hace que IPv4 conviva dentro del propio espacio de direcciones de IPv8. El prefijo 0.0.0.0 actúa como "modo legado" y cualquier tráfico con ese prefijo se enruta con las reglas IPv4 de siempre. No hay rotura, no hay "o lo tienes todo migrado o no funciona nada".

Fuente: IPv8

Seguir leyendo...

RoguePlanet: (otra) vulnerabilidad Zero-Day de Microsoft Defender

El investigador de seguridad anónimo conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha publicado una prueba de concepto (PoC) de un exploit para otra vulnerabilidad de día cero de Microsoft Defender llamada RoguePlanet.

"El exploit es una condición de carrera, por lo que su efectividad es variable", declaró el investigador, quien publicó el exploit bajo una nueva cuenta de GitHub llamada "MSNightmare". "He logrado un 100% de éxito en algunas máquinas, mientras que en otras ha tenido dificultades para funcionar".

Si el exploit tiene éxito, se obtiene una shell con privilegios de nivel SYSTEM, lo que permite al atacante ejecutar código arbitrario o realizar acciones no autorizadas. El investigador afirmó que el exploit se ha probado en máquinas con Windows 11 y 10 con las actualizaciones de Patch Tuesday de junio de 2026 instaladas, lo que significa que funciona en las versiones más recientes del sistema operativo de escritorio.

Sin embargo, el exploit no funciona en instancias de Windows Server en su forma actual, ya que "los usuarios estándar no pueden montar una imagen ISO". Chaotic Eclipse destacó que las instalaciones de Windows Server también son vulnerables a la falla y que el exploit necesita ser rediseñado para que funcione. "Lograr que esta prueba de concepto funcionara me agotó por completo; afectó gravemente mi salud mental y física, pero a finales de mayo [sic] se desarrolló una prueba de concepto completa", dijo el investigador.

"Los esfuerzos de Microsoft para proteger a Defender de los ataques de redirección de ruta son inútiles. También tengo varias vulnerabilidades de corrupción de memoria en Defender, sin mencionar otras vulnerabilidades que tengo en varios componentes".

El investigador de seguridad Will Dormann, en una publicación compartida en Mastodon, dijo: "Según se informa, no es 100% confiable, pero me funcionó al primer intento". RoguePlanet es la última de una serie de vulnerabilidades descubiertas por Chaotic Eclipse en los últimos meses.

Estas divulgaciones descoordinadas forman parte de lo que se considera una represalia tras una supuesta falta de comunicación entre el investigador, que no se ha identificado públicamente, y Microsoft.

En publicaciones firmadas criptográficamente en su blog, Chaotic Eclipse expresó su descontento con la forma en que Microsoft gestionó el proceso de divulgación y criticó a la compañía por revocar el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft (MSRC), donde los investigadores pueden reportar vulnerabilidades. El investigador también acusó a Microsoft de humillarlo, desestimar sus informes, no compensarlo por las vulnerabilidades identificadas y difamarlo.

A finales del mes pasado, Microsoft condenó las divulgaciones públicas de vulnerabilidades, afirmando que "nunca se justifican" y que exponen a los clientes a un "riesgo innecesario". Cabe destacar que las tres vulnerabilidades de Defender mencionadas anteriormente ya han sido explotadas.

La disputa pública también ha provocado el cierre de sus cuentas de GitHub y GitLab. "Microsoft está intentando abusar de su propiedad de GitHub para proteger únicamente sus propios productos, y de sus amplios vínculos con las fuerzas del orden, calificando la publicación de información sobre vulnerabilidades en sus propios productos como un comportamiento delictivo", declaró el investigador de seguridad Kevin Beaumont.

"Para que quede claro nuestro enfoque en materia legal, no tenemos intención de emprender acciones legales contra las personas que realizan o publican investigaciones sobre seguridad", afirmó Microsoft en una publicación de X. "Cuando una persona infringe la ley y participa en actividades maliciosas que causan un daño real a nuestros clientes, colaboraremos con las fuerzas del orden según corresponda".

Fuente: THN

Seguir leyendo...

Actualizaciones de seguridad de JUNIO para todas las empresas

En el Patch Tuesday de junio de 2026, Microsoft public'o actualizaciones de seguridad para 200 fallos y tres vulnerabilidades Zero-Days divulgadas públicamente. Este parche aborda 33 vulnerabilidades "críticas", de las cuales 28 son de ejecución remota de código, 4 de elevación de privilegios y 1 es un fallo de divulgación de información. 

A continuación se muestra el número de errores en cada categoría de vulnerabilidad:

• 65 Vulnerabilidades de elevación de privilegios
• 19 Vulnerabilidades de omisión de funciones de seguridad
• 55 Vulnerabilidades de ejecución remota de códig
• 30 vulnerabilidades de divulgación de información
• 7 vulnerabilidades de denegación de servicio
• 27 vulnerabilidades de suplantación de identidad

Estos fallos no incluye los de Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online y Microsoft Graph, que Microsoft corrigió a principios de este mes.

Además, Google corrigió 360 fallos de Microsoft Edge/Chromium este mes, los cuales tampoco se incluye en este resumen.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, consulte nuestros artículos dedicados a las Windows 11 KB5094126 & KB5093998 cumulative updates y Windows 10 KB5094127 extended security update..

Vulnerabilidades destacadas

La actualización de seguridad de este mes corrige tres vulnerabilidades de día cero que se habían hecho públicas, ninguna de las cuales se sabe que haya sido explotada en ataques.

• CVE-2026-45586 - Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON) que otorga privilegios de SYSTEM. "La resolución incorrecta de enlaces antes del acceso a archivos (seguimiento de enlaces) en el Marco de Traducción Colaborativa de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft atribuyó la vulnerabilidad a un investigador anónimo, pero BleepingComputer ha descubierto que se trata de una corrección para la vulnerabilidad de día cero "GreenPlasma", divulgada por el investigador de seguridad Nightmare Eclipse.GreenPlasma es una vulnerabilidad de escalamiento de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM.

Por último, la actualización de junio de 2026 también corrige MiniPlasma, una vulnerabilidad independiente revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103, que Microsoft ya había abordado en diciembre de 2020. "Para solucionar de forma integral la vulnerabilidad identificada por CVE-2020-17103 y recientemente denominada públicamente "MiniPlasma", Microsoft recomienda instalar las actualizaciones de junio de 2026 para sus sistemas operativos Windows", indicó el gigante tecnológico en una actualización de su aviso.

Nightmare Eclipse ha publicado una serie de vulnerabilidades de día cero para Windows, entre ellas BlueHammer, MiniPlasma, RedSun, UnDefend y YellowKey (también corregida hoy), en protesta por la gestión de Microsoft de sus programas de recompensas por detección de errores y divulgación de vulnerabilidades.

• CVE-2026-49160 - Vulnerabilidad de denegación de servicio en HTTP.sys, conocida como HTTP/2 Bomb, que fue revelada este mes por investigadores de la empresa de seguridad ofensiva Calif. "El consumo descontrolado de recursos en HTTP/2 permite a un atacante no autorizado denegar el servicio en una red", explica Microsoft.

El ataque HTTP/2 Bomb es una técnica de denegación de servicio que aprovecha la forma en que el protocolo HTTP/2 comprime y gestiona las cabeceras del tráfico web, permitiendo a los atacantes enviar cantidades muy pequeñas de datos que obligan a los servidores a asignar cantidades desproporcionadamente grandes de memoria.

Los investigadores descubrieron que el ataque podía aumentar drásticamente el uso de memoria en los servidores afectados. Los atacantes también pueden mantener la memoria ocupada manipulando la configuración de control de flujo, impidiendo que el servidor libere recursos y pudiendo causar problemas de rendimiento o interrupciones del servicio.

Para ayudar a mitigar este ataque, Microsoft ha introducido una nueva configuración de registro llamada "MaxHeadersCount" para limitar la cantidad de encabezados en una solicitud, junto con un boletín de soporte sobre cómo usarla.

Microsoft también introdujo una nueva configuración de registro llamada MaxHeadersCount. Esta configuración permite limitar la cantidad de encabezados incluidos en las solicitudes HTTP/2 y HTTP/3 que acepta el servidor HTTP. Para obtener más información, consulte el artículo KB5102602.

• CVE-2026-50507 - Vulnerabilidad de omisión de la función de seguridad BitLocker de Windows, previamente divulgada públicamente, que permitía a atacantes locales acceder a una unidad cifrada. "Un fallo en el mecanismo de protección de BitLocker de Windows permite a un atacante no autorizado eludir una función de seguridad mediante un ataque físico", explica Microsoft.

Si bien Microsoft atribuyó la vulnerabilidad a un investigador anónimo, BleepingComputer ha descubierto que se trata de una solución para la vulnerabilidad YellowKey, también divulgada públicamente el mes pasado por el investigador de ciberseguridad Nightmare Eclipse.

La vulnerabilidad YellowKey podía explotarse colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el Entorno de recuperación de Windows (WinRE). Al mantener presionada la tecla CTRL, se activaba una consola de comandos con acceso ilimitado a las unidades cifradas protegidas con BitLocker.

La vulnerabilidad afecta principalmente a los sistemas que utilizan la protección BitLocker solo con TPM en dispositivos Windows 11 y Windows Server 2022/2025. Microsoft ya había compartido soluciones temporales para este problema, como habilitar la autenticación TPM+PIN en lugar de depender únicamente de la protección TPM.

Otras vulnerabilidades importantes a destacar se enumeran a continuación:

• CVE-2026-47291 ( CVSS: 9.8): Un fallo de desbordamiento de enteros o de bucle en el archivo HTTP.sys de Windows que permite a un atacante no autorizado ejecutar código a través de la red.
• CVE-2026-44815 (CVSS: 9.8): Una vulnerabilidad de desbordamiento de búfer basado en pila en el cliente DHCP de Windows que permite a un atacante no autorizado ejecutar código a través de la red. "Este fallo no requiere credenciales ni acción del usuario y puede convertir el tráfico de red en una vulneración total del sistema", declaró Alex Vovk, director ejecutivo y cofundador de Action1, sobre CVE-2026-44815. "Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para servicios DHCP".

Fuente: BC

Seguir leyendo...

FROST: permite a sitios web rastrear qué sitios y aplicaciones abre a través de SSD Timing

El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso. Un sitio web malicioso puede determinar qué sitios se visitan y qué aplicaciones se abren, utilizando nada más que JavaScript y la sincronización de la SSD. 

Investigadores de la Universidad Tecnológica de Graz lo construyeron y lo describieron en un nuevo artículo que aparecerá en el congreso DIMVA 2026 en Grecia. Abusa de una función de almacenamiento presente en todos los principales navegadores de escritorio, y el canal de sincronización subyacente funciona tanto en macOS como en Linux.

Los ataques de sincronización de SSD no son nuevos. El año pasado, el mismo grupo publicó Secret Spilling Drive, que lee el comportamiento del usuario en un disco observando cómo las lecturas se ralentizan cuando algo más lo está usando. El problema era que necesitaba código nativo en la máquina, a través de una interfaz de bajo nivel como io_uring de Linux. FROST elimina ese requisito. Se ejecuta dentro del entorno limitado del navegador, lo que convierte un ataque local en uno remoto. Ya no es necesario estar en la máquina para sacarlo.

El mismo laboratorio de Graz ya lo ha hecho antes. Su ataque SnailLoad dedujo los sitios y vídeos que una víctima cargó únicamente a partir de la latencia de la red, sin ningún JavaScript.

Cómo funciona el ataque FROST

La forma de ingresar está el Origin Private File System, u OPFS, una función de almacenamiento que los navegadores agregaron en 2023 para que las aplicaciones web como los editores en el navegador y los IDE puedan mantener archivos en el disco. OPFS le da a cada origen su propia porción protegida del sistema de archivos y, debido a que esa porción está aislada, omite la solicitud de permiso que una página normalmente necesita para acceder a sus archivos. Sin diálogo, sin clic. Un sitio puede simplemente empezar a escribir.

Normalmente, el sistema operativo oculta la sincronización del disco detrás del caché de la página, ofreciendo lecturas repetidas desde la memoria para que nunca toquen la unidad.

FROST soluciona esto creando un archivo más grande que la RAM de la máquina. El caché no puede contenerlo todo, por lo que las lecturas siguen llegando al SSD. En Chrome y Safari, OPFS puede crecer hasta el 60% del espacio en disco, mucho más que suficiente; Firefox limita cada origen a un nivel más bajo, aunque un atacante puede distribuir la carga entre múltiples orígenes para superarlo.

Un sitio web malicioso puede determinar qué sitios visita y qué aplicaciones abre, utilizando nada más que JavaScript y la sincronización de la SSD. El ataque, llamado FROST, no necesita código nativo, extensión ni solicitud de permiso.

Luego, el código del atacante lee fragmentos aleatorios de 4 kB de ese archivo en un bucle y cronometra cada lectura con performance.now(). Los navegadores reducen sus temporizadores de forma predeterminada para dificultar este tipo de medición, pero el atacante vuelve a agudizar la resolución activando el aislamiento entre orígenes, lo que puede hacer libremente en su propia página.

Cuando abres un sitio o inicias una aplicación en el mismo disco, esa actividad compite con las lecturas del atacante y el tiempo cambia considerablemente. Una red neuronal entrenada en esos rastros identifica el sitio o la aplicación.

La precisión es la parte incómoda. En una Mac, frente a los 50 sitios web principales, FROST identificó el sitio visitado con una puntuación del 88,95% en una prueba de mundo cerrado y se mantuvo en 86,95% en una prueba de mundo abierto que agregó 300 sitios que nunca había visto. Para diez aplicaciones macOS nativas preinstaladas, alcanzó el 95,83%.

Si bien el canal de sincronización también funciona en Linux, el equipo ejecutó el clasificador completo solo en macOS, por lo que esos números de huellas digitales son un resultado de macOS. FROST también sólo detecta actividad en el mismo disco que su archivo OPFS.

Una computadora portátil de un solo disco pone todo en ese disco; una estación de trabajo con varias unidades oculta todo lo que se ejecuta en una unidad separada, aunque los inicios de aplicaciones que tocan el directorio de inicio tienden a filtrarse de todos modos.

Qué se puede hacer

No mucho, por ahora. A Google, Mozilla y Apple se les informó antes de la publicación. El equipo de Chromium de Google no trata las huellas dactilares como una vulnerabilidad de seguridad. Apple lo consideró fuera de alcance, pero dejó espacio para una mitigación más adelante. Mozilla lo reconoció y no envió nada. No existe CVE ni evidencia pública de que la técnica se haya utilizado en la naturaleza.

Eso deja las defensas débiles. La medición solo se ejecuta mientras la página del atacante está abierta, por lo que cerrar la pestaña finaliza la ejecución. Observar el almacenamiento de su navegador en busca de un archivo de varios gigabytes inexplicable es otra señal, aunque los navegadores no hacen que el uso de OPFS sea fácil de ver.

En Linux, los sistemas que ejecutan profile-sync-daemon, una utilidad que mantiene el perfil del navegador en la RAM, están protegidos incidentalmente contra la versión sin clic, porque las escrituras OPFS nunca llegan al SSD. La variante más débil, en la que una página utiliza un cuadro de diálogo de selección de archivos para que usted mismo seleccione un archivo grande, todavía funciona.

Las soluciones que realmente lo cerrarían recaen en los fabricantes de navegadores: limitar el tamaño de OPFS para que el archivo quepa en la memoria y no genere contención, acelerar los temporizadores de alta resolución mientras OPFS está en uso o colocar un mensaje de permiso delante de él. Cada uno cuesta algo en velocidad o usabilidad, lo cual es parte de por qué ninguno de ellos ha sucedido.

El verdadero desacuerdo es si un sitio web que aprende silenciosamente lo que usted hace en su propia máquina es un error o una característica que funciona según lo diseñado. La verdadera preocupación de los investigadores es estructural: los navegadores siguen dando a las aplicaciones web un acceso casi nativo al hardware, y el acceso casi nativo trae consigo fugas casi nativas. FROST es una API. El patrón es lo que hay que tener en cuenta.

Fuente: THN

Seguir leyendo...

Vulnerabilidad de un solo caracter en el kernel de Linux permite el acceso de root

La vulnerabilidad, identificada como CVE-2026-23111, reside en el código de filtrado de paquetes nf_tables del kernel y fue corregida el 5 de febrero de 2026. Exodus Intelligence publicó su análisis técnico completo el 8 de junio, y cabe destacar que no es el primer exploit público: FuzzingLabs publicó una reproducción independiente en abril.

La vulnerabilidad se reduce a un solo carácter erróneo y una comprobación invertida en nf_tables, y la corrección implementada en el kernel la eliminó en una sola línea. Ubuntu califica la vulnerabilidad con CVSS 7.8 (alto).

La configuración vulnerables es común: nf_tables más espacios de nombres de usuario sin privilegios, una característica de Linux que permite que una cuenta ordinaria actúe como root dentro de un entorno aislado privado y acceda a código del kernel al que de otro modo no podría acceder.

Ambas características vienen incluidas por defecto en la mayoría de los equipos de escritorio y en muchas configuraciones de servidor. No existe un vector de ataque remoto por sí sola. Se trata de una vulnerabilidad que un atacante explota tras obtener acceso, convirtiendo una shell con pocos privilegios, un contenedor comprometido o una cuenta de servicio en root en el host.

Oliver Sieber, investigador de Exodus, quien descubrió la vulnerabilidad a principios de 2025, la convirtió en un root local completo. El exploit activa el uso de memoria liberada (use-after-free), elude las protecciones de memoria integradas del kernel y, posteriormente, toma el control de la ejecución para obtener root y salir del espacio de nombres del contenedor.

Lo demostró en Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS y Ubuntu 24.04 LTS. FuzzingLabs reprodujo el fallo en RHEL 10 antes de Pwn2Own Berlin 2026, creando su propio exploit de root por una ruta diferente. El cronograma es ajustado: la solución se publicó el 5 de febrero, FuzzingLabs publicó el 16 de abril y el informe detallado de Exodus se publicó el 8 de junio.

La técnica ahora está documentada en Debian, Ubuntu y Red Hat. Dado que el fallo se encuentra en la rama principal, cualquier distribución que haya distribuido un kernel vulnerable con ambas características habilitadas está expuesta, a menos que las medidas de seguridad o las restricciones de espacio de nombres de la distribución bloqueen el acceso.

CVE-2026-23111 se produce en medio de una intensa oleada de divulgaciones de vulnerabilidades de root local en Linux. En las últimas semanas han surgido Copy Fail, la cadena Dirty Frag, su variante Fragnesia, DirtyDecrypt y una vulnerabilidad de ptrace de nueve años de antigüedad que lee /etc/shadow y ejecuta comandos como root.

Difieren en los detalles, pero comparten la característica que debería preocupar a los expertos en seguridad: un punto de acceso sin privilegios se convierte en root en instalaciones normales.

El error solo afecta al sistema local y requiere espacios de nombres de usuario sin privilegios, por lo que conviene centrarse primero en los sistemas que permiten que usuarios o cargas de trabajo no confiables los creen.

Ubuntu tiene correcciones para las versiones 22.04, 24.04 y 25.10, y Debian corrigió Bookworm y Trixie, con una retrocompatibilidad para Bullseye LTS 6.1. Red Hat, SUSE y Amazon Linux también monitorean la vulnerabilidad; consulte el aviso de su distribución para obtener el paquete del kernel correspondiente, ya que la versión corregida exacta varía. La corrección original consistió en una sola línea de código.

Hay un panorama más amplio. En un análisis reciente del aumento de vulnerabilidades LPE, Synacktiv vincula la rapidez de este aumento con la investigación asistida por IA y la comparación de parches, que permite la propagación de exploits funcionales antes de que se difundan las correcciones. Además, argumenta que el endurecimiento habitual de los sistemas sigue dando tiempo a los defensores.

La mayoría de estas vulnerabilidades se basan en funciones opcionales del kernel o configuraciones predeterminadas poco estrictas, por lo que restringir el acceso de usuarios sin privilegios (en este caso, los espacios de nombres de usuario) retrasa la explotación hasta que se implemente el parche.

No existen informes públicos de explotación en la práctica, ni se ha vinculado a ningún actor malicioso con ella. El parche se publicó en febrero, y el código del exploit es público desde abril.

Fuente: THN

Seguir leyendo...

Explotan vulnerabilidad crítica en la VPN de Check Point

Check Point ha alertado sobre la explotación activa de una vulnerabilidad crítica que afecta a las implementaciones de VPN de acceso remoto y acceso móvil configuradas para usar el protocolo de intercambio de claves IKEv1, actualmente obsoleto.

La vulnerabilidad, identificada como CVE-2026-50751 (CVSS: 9.3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación de usuario y establecer una conexión VPN de acceso remoto sin una contraseña válida.

"Al explotar una vulnerabilidad lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin poseer una contraseña válida, eludiendo así los requisitos de autenticación", declaró Check Point. "Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios".

La vulnerabilidad afecta a los siguientes productos y versiones:

• Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
• Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X

Para explotar la vulnerabilidad con éxito, se deben cumplir las siguientes condiciones:

• El acceso remoto VPN o el acceso móvil deben estar habilitados.
• IKEv1 debe estar habilitado para el acceso remoto.
• Los gateways deben aceptar clientes de acceso remoto heredados.
• Los gateways no deben requerir un certificado de máquina para las conexiones.

La empresa israelí de ciberseguridad indicó que detectó los primeros indicios de actividad sospechosa el 4 de junio de 2026, y que la primera explotación observada data del 7 de mayo de 2026. Se afirma que los esfuerzos de explotación se intensificaron a partir de este año. mes.

Check Point añadió que la actividad de explotación se ha limitado a "unas pocas docenas de organizaciones objetivo a nivel mundial". En un caso, la fase posterior a la explotación se ha asociado con una filial del ransomware Qilin.

"Creemos que la infraestructura de este actor de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto Networks, Fortinet y F5", señaló. "Identificamos indicadores que sugieren que el actor podría usar el protocolo Tox para comunicarse, un patrón comúnmente asociado con los actores de ransomware con fines lucrativos".

Un aspecto clave es el uso de una infraestructura de servidor virtual privado (VPS) para llevar a cabo los ataques. Específicamente, esto implica depender de servidores VPS geolocalizados en un país específico para atacar a organizaciones dentro de sus fronteras. Una vez establecido el acceso, se descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la infraestructura controlada por el actor.

Algunos aspectos de estos esfuerzos coinciden con un informe de Ctrl-Alt-Intel del mes pasado, que destacaba el abuso por parte del grupo de ransomware de los dispositivos VPN corporativos para el acceso inicial.

Un análisis más detallado de los componentes VPN afectados ha revelado una segunda vulnerabilidad, CVE-2026-50752 (CVSS: 7,40), que podría permitir un ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No existen indicios de que esta vulnerabilidad haya sido explotada en ataques reales.

Fuente: THN

Seguir leyendo...