El patrón de hoy es directo: los atacantes están abusando del chat de confianza, de la identidad SaaS de confianza y de la infraestructura AI de confianza más rápido de lo que muchos equipos pueden parchear o verificar.
Resumen: Tres historias merecen atención inmediata esta mañana: una cadena de ingeniería social por Microsoft Teams que puede terminar en compromiso de dominio, una brecha real de vishing a SaaS en ADT y un fallo SSRF en una pila de AI sondeado en menos de medio día.
Google Mandiant dice que UNC6692 usa bombardeo de correo e impersonación en Microsoft Teams para presionar a empleados a instalar un falso parche anti-spam. La víctima en realidad ejecuta el conjunto Snow: la extensión de navegador SnowBelt, el túnel SnowGlaze y la puerta trasera Python SnowBasin. Desde ahí, los operadores vuelcan LSASS, se mueven lateralmente, alcanzan controladores de dominio y exfiltran material de Active Directory. No es solo otro phishing; es una ruta de intrusión nativa del chat disfrazada de soporte interno.
ADT dice que atacantes robaron datos de clientes y prospectos, incluidos nombres, números de teléfono, direcciones y, en un subconjunto menor, fechas de nacimiento y los últimos cuatro dígitos de SSN o identificadores fiscales. ShinyHunters dijo a BleepingComputer que la intrusión comenzó con un ataque de vishing contra una cuenta SSO de Okta y luego se expandió a Salesforce. Aunque no todas las afirmaciones del atacante sean ciertas, la lección operativa es obvia: cuando cae una identidad SaaS de confianza, toda la plataforma de negocio conectada se convierte en radio de impacto.
La falla SSRF de LMDeploy, CVE-2026-33626, habría sido explotada dentro de 12 horas y 31 minutos tras su divulgación. Los atacantes usaron el cargador de imágenes vision-language para sondear metadatos de AWS, Redis, MySQL, superficies administrativas locales y un endpoint de callback externo. Eso importa porque LMDeploy es exactamente el tipo de componente de serving de LLM que los equipos despliegan rápido y revisan poco. Cuando una advisory entrega la causa raíz y la ruta de código afectada, los atacantes no esperan a tu próximo sprint.
Conclusión: El patrón de hoy es directo: los atacantes están abusando del chat de confianza, de la identidad SaaS de confianza y de la infraestructura AI de confianza más rápido de lo que muchos equipos pueden parchear o verificar.
KENSAI ayuda a los equipos a sacar a la luz rutas de ataque expuestas en flujos de identidad, plataformas SaaS, herramientas de colaboración e infraestructura AI antes de que los atacantes conviertan la confianza normal del negocio en acceso de brecha.
Escaneo gratis →Mantente alerta.
🗡️ KENSAI Security Team