El patrón de esta mañana es feo y consistente: canales de soporte confiables, infraestructura confiable, tiendas de apps confiables y tooling de IA confiable se están convirtiendo en rutas de ataque de alta velocidad.
Resumen: Cuatro historias importan antes de que muchos equipos terminen el standup: ingeniería social por chat con consecuencias a nivel de dominio, una intrusión en red interna del sector utility, robo de wallets desde App Store y una falla de serving de IA explotada en menos de medio día.
Google Mandiant dice que UNC6692 combina email bombing con falsos contactos de helpdesk en Microsoft Teams para empujar a las víctimas a instalar un supuesto parche anti-spam. Ese parche despliega el conjunto Snow: SnowBelt para persistencia en el navegador, SnowGlaze para tunneling y SnowBasin para ejecución de comandos. Después los operadores hacen dump de LSASS, se mueven lateralmente y exfiltran material de Active Directory. Ya no es phishing común: es confianza en soporte convertida en acceso profundo a la red.
Itron informó acceso no autorizado a ciertos sistemas internos y afirma que bloqueó la actividad, inició una investigación y por ahora no ve interrupción operativa material. Eso es positivo, pero no suficiente. Itron está muy integrado en tecnología utility para energía y agua. Cuando un proveedor tan incrustado reporta una intrusión interna, utilities y operadores vecinos deben leerlo como una advertencia sobre segmentación, acceso de terceros y preparación de respuesta.
Investigadores hallaron 26 apps FakeWallet en el App Store de Apple dirigidas a recovery phrases y claves privadas, incluidas imitaciones de wallets conocidas. En algunos casos las apps redirigían a los usuarios a flujos de instalación trojanizados, con disponibilidad reportada en el App Store de China. La lección va más allá de cripto: incluso una tienda de apps confiable puede convertirse en canal de robo de credenciales y activos cuando la imitación de marca y la confianza móvil son suficientemente convincentes.
LMDeploy CVE-2026-33626, una SSRF en una pila open source de serving de LLM, fue explotada según los reportes en 12 horas y 31 minutos desde su divulgación. Eso debería preocupar a cualquiera que gestione infraestructura de IA como si fuera software interno normal. Los advisories ya están tan cerca de prompts de exploit que la latencia de parcheo se vuelve exposición.
Conclusión: El patrón de esta mañana es feo y consistente: canales de soporte confiables, infraestructura confiable, tiendas de apps confiables y tooling de IA confiable se están convirtiendo en rutas de ataque de alta velocidad.
KENSAI ayuda a los equipos a sacar a la luz rutas de ataque expuestas en flujos de identidad, infraestructura interna, cadenas móviles de software y stacks de serving de IA antes de que los atacantes conviertan la confianza en acceso.
Escaneo gratuito →Mantente alerta.
🗡️ KENSAI Security Team