El patrón de esta mañana es claro: los atacantes están ganando abusando de la capa de confianza alrededor del sistema: el portal del firewall, el wrapper de la sandbox, el flujo de colaboración y la página de login que el usuario cree reconocer.
En una línea: restringe ya la exposición del Captive Portal de PAN-OS, parchea vm2 en cualquier sitio donde corra código no confiable, revisa incidentes de acceso remoto y extorsión vía Teams con lente de espionaje y trata el phishing de cumplimiento alojado en la nube como robo de tokens, no solo de contraseñas.
Palo Alto afirma que CVE-2026-0300 es un desbordamiento de búfer crítico en el User-ID Authentication Portal que permite ejecución de código con privilegios root sin autenticación en firewalls PA-Series y VM-Series expuestos. La explotación ya es real: si el portal está accesible desde IP no confiables, el riesgo está activo ahora mismo.
La falla vm2 CVE-2026-26956 permite salir de la sandbox y ejecutar código en el host, y ya existe PoC público. El impacto confirmado afecta a entornos Node.js 25 concretos, pero la lección es más amplia: si tu producto ejecuta JavaScript suministrado por usuarios, el wrapper forma parte del radio de impacto.
Los informes ligados a Rapid7 indican que MuddyWater utilizó Microsoft Teams, screen sharing, captura de credenciales, AnyDesk, DWAgent y mensajes de extorsión sin desplegar cifrado real de archivos. Chaos era el disfraz; la operación verdadera era acceso, persistencia y robo de datos.
Microsoft vio más de 35.000 intentos en unas 13.000 organizaciones usando avisos internos falsos, PDFs señuelo, CAPTCHA de Cloudflare y páginas adversary-in-the-middle que proxifican el login de Microsoft. Eso importa porque el phishing AiTM supera el MFA débil capturando tokens de sesión, no solo contraseñas.
Conclusión: el patrón de hoy es una inversión de confianza. Portales expuestos, runtimes de sandbox, herramientas de colaboración y páginas de inicio de sesión familiares se convierten en superficies de ataque cuando el envoltorio se confunde con el control.
KENSAI ayuda a los equipos a encontrar portales expuestos, sandboxes frágiles, rutas de acceso remoto riesgosas y flujos de identidad que colapsan bajo phishing real.
Iniciar escaneo gratis →Mantente afilado.
🗡️ KENSAI Security Team