CISA emite directiva de emergencia ED-26-03 para el zero-day Cisco SD-WAN CVE-2026-20127 (CVSS 10.0) — activamente explotado desde 2023. La campaña china UNC2814/GRIDTIDE afecta 53 organizaciones en 42 países. ShinyHunters compromete CarGurus (12,4M registros) y Wynn Resorts. Cadena de suministro de desarrolladores bajo asedio con entrevistas falsas y paquetes maliciosos.
La directiva de emergencia CISA ED-26-03 obliga a todas las agencias federales a parchear la omisión de autenticación crítica en Cisco Catalyst SD-WAN Controller y Manager antes de mañana a las 5:00 PM ET. Activamente explotado desde 2023.
Esta es una omisión completa de autenticación que permite a atacantes remotos:
Australian Signals Directorate descubrió un patrón de ataque sofisticado:
Verificar /var/log/auth.log para "Accepted publickey for vmanage-admin" desde IPs desconocidas. Atacantes rastreados como UAT-8616 usan esta huella para acceso inicial.
Google perturbó una campaña de espionaje vinculada a China rastreada desde 2017. UNC2814 usó API Google Sheets para C2 para ocultar tráfico malicioso como llamadas SaaS legítimas.
La puerta trasera GRIDTIDE representa una nueva evolución en el sigilo de estado-nación:
| Región | Compromisos Confirmados | Objetivos Principales |
|---|---|---|
| Asia-Pacífico | 23 organizaciones | Gobierno, Telecomunicaciones |
| África | 18 organizaciones | Gobierno |
| Américas | 12 organizaciones | Telecomunicaciones, Infraestructura Crítica |
| Total Países | 42 países | 53 confirmadas + 20+ sospechosas |
Google terminó todos los proyectos Cloud de atacantes, deshabilitó infraestructura y cortó acceso API. Esto representa una de las campañas de estado-nación más grandes documentadas de 2026.
El grupo de extorsión ShinyHunters golpeó dos grandes empresas estadounidenses en la misma semana — la plataforma automotriz CarGurus y el operador de casinos Wynn Resorts.
ShinyHunters es parte del supergrupo SLH más grande (Scattered LAPSUS$ + Scattered Spider + ShinyHunters) — una de las operaciones de extorsión más prolíficas de 2026.
Campaña coordinada usando repositorios Next.js falsos como "pruebas de código" de entrevista de trabajo para comprometer máquinas de desarrolladores a través de disparadores VS Code y npm run dev.
Ejecución multi-etapa:
Cuatro paquetes dirigidos a desarrolladores ASP.NET descargados 4,500+ veces:
NCryptYoDOMOAuth2_IRAOAuth2.0SimpleWriter_Los paquetes exfiltran datos ASP.NET Identity (cuentas de usuario, roles, permisos) y establecen proxy localhost que relay a C2 atacante.
Orca Security descubrió inyección de prompt indirecta vía issues GitHub. Instrucciones maliciosas ocultas en comentarios HTML fueron procesadas por Copilot en Codespaces, potencialmente filtrando GITHUB_TOKEN a atacantes.
El supergrupo Scattered LAPSUS$ Hunters (SLH) ofrece $500-$1,000 por llamada exitosa para reclutar mujeres para ataques vishing de help desk IT. El objetivo: aumentar tasa de éxito a través de diversidad vocal y reducir sospechas.
Los métodos de ataque incluyen:
Peter Williams (39, australiano), ex jefe de la unidad Trenchant de L3Harris, sentenciado por vender 8 exploits zero-day al broker de exploits ruso Operation Zero por hasta $4M en criptomoneda.
Detalles del caso:
| Métrica | Valor |
|---|---|
| Puntuación CVSS Cisco SD-WAN | 10.0 (Crítico) |
| Fecha límite parche federal | 27 feb, 5:00 PM ET |
| Organizaciones comprometidas UNC2814 | 53 confirmadas |
| Países afectados por GRIDTIDE | 42 países |
| Registros CarGurus filtrados | 12,4 millones |
| Descargas paquetes NuGet maliciosos | 4,500+ |
| Pago SLH vishing por llamada | $500-$1,000 |
| Valor venta zero-day L3Harris | $4 millones |
KENSAI escanea por CVE-2026-20127 y otras vulnerabilidades críticas de infraestructura de red. Escaneo de emergencia disponible para cumplimiento directiva CISA.
Escaneo de EmergenciaManténganse seguros. Manténganse vigilantes.
🗡️ Equipo de Seguridad KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →