← Volver al blog
Security Briefing4 min de lectura2026-04-26

Security Briefing, 26 de abril de 2026: malware Snow entregado por Teams, brecha de ADT ligada a ShinyHunters y ventana de explotación de 13 horas en LMDeploy

El patrón de hoy es directo: los atacantes están abusando del chat de confianza, de la identidad SaaS de confianza y de la infraestructura AI de confianza más rápido de lo que muchos equipos pueden parchear o verificar.


Resumen: Tres historias merecen atención inmediata esta mañana: una cadena de ingeniería social por Microsoft Teams que puede terminar en compromiso de dominio, una brecha real de vishing a SaaS en ADT y un fallo SSRF en una pila de AI sondeado en menos de medio día.


1. UNC6692 convierte la confianza en el helpdesk de Microsoft Teams en una cadena completa del malware Snow

Google Mandiant dice que UNC6692 usa bombardeo de correo e impersonación en Microsoft Teams para presionar a empleados a instalar un falso parche anti-spam. La víctima en realidad ejecuta el conjunto Snow: la extensión de navegador SnowBelt, el túnel SnowGlaze y la puerta trasera Python SnowBasin. Desde ahí, los operadores vuelcan LSASS, se mueven lateralmente, alcanzan controladores de dominio y exfiltran material de Active Directory. No es solo otro phishing; es una ruta de intrusión nativa del chat disfrazada de soporte interno.


2. ADT confirma una brecha tras el supuesto phishing por voz de una cuenta de empleado respaldada por Okta

ADT dice que atacantes robaron datos de clientes y prospectos, incluidos nombres, números de teléfono, direcciones y, en un subconjunto menor, fechas de nacimiento y los últimos cuatro dígitos de SSN o identificadores fiscales. ShinyHunters dijo a BleepingComputer que la intrusión comenzó con un ataque de vishing contra una cuenta SSO de Okta y luego se expandió a Salesforce. Aunque no todas las afirmaciones del atacante sean ciertas, la lección operativa es obvia: cuando cae una identidad SaaS de confianza, toda la plataforma de negocio conectada se convierte en radio de impacto.


3. LMDeploy demuestra que la ventana de explotación AI se está derrumbando a horas

La falla SSRF de LMDeploy, CVE-2026-33626, habría sido explotada dentro de 12 horas y 31 minutos tras su divulgación. Los atacantes usaron el cargador de imágenes vision-language para sondear metadatos de AWS, Redis, MySQL, superficies administrativas locales y un endpoint de callback externo. Eso importa porque LMDeploy es exactamente el tipo de componente de serving de LLM que los equipos despliegan rápido y revisan poco. Cuando una advisory entrega la causa raíz y la ruta de código afectada, los atacantes no esperan a tu próximo sprint.


Qué deben hacer hoy los equipos de seguridad

  1. Asegura los flujos de soporte basados en Teams y vuelve a verificar eventos recientes de asistencia remota.
  2. Ejecuta una revisión de incidente de identidad SaaS si tu entorno depende de Okta, Salesforce o conectores de alta confianza similares.
  3. Inventaria componentes de AI expuestos o alcanzables y parchea LMDeploy antes de la próxima ola de escaneo.
  4. Usa esta mañana para cerrar brechas de confianza, no solo tickets.

Fuentes


Conclusión: El patrón de hoy es directo: los atacantes están abusando del chat de confianza, de la identidad SaaS de confianza y de la infraestructura AI de confianza más rápido de lo que muchos equipos pueden parchear o verificar.

Encuentra las roturas de confianza antes de que se conviertan en incidentes

KENSAI ayuda a los equipos a sacar a la luz rutas de ataque expuestas en flujos de identidad, plataformas SaaS, herramientas de colaboración e infraestructura AI antes de que los atacantes conviertan la confianza normal del negocio en acceso de brecha.

Escaneo gratis →

Mantente alerta.

🗡️ KENSAI Security Team