剣 KENSAI
← Back to archive

🛡️ Informe de Investigación en Seguridad

Domingo, 29 de marzo de 2026 — 04:00 CET · Generado a partir de BleepingComputer, The Hacker News, SecurityWeek

TL;DR: Hackers vinculados a Irán comprometieron el correo personal del Director del FBI y atacaron a Stryker con un wiper. CVEs críticos en Citrix NetScaler (9.3) y F5 BIG-IP están siendo explotados activamente. Un ataque importante a la cadena de suministro por TeamPCP comprometió el paquete Telnyx en PyPI utilizando esteganografía en archivos WAV. El grupo chino Red Menshen fue detectado infiltrado en la infraestructura troncal de telecomunicaciones. La Comisión Europea está investigando una brecha en una cuenta de AWS. Múltiples kits de exploits para iOS están circulando — Apple ahora envía alertas en la pantalla de bloqueo a dispositivos desactualizados.

🔓 Filtraciones de Datos e Incidentes

Correo personal del Director del FBI Kash Patel comprometido por grupo vinculado a Irán

CRÍTICOESTADO-NACIÓN

El grupo proiraní Handala Hack Team comprometió con éxito la cuenta de correo personal del Director del FBI, Kash Patel. El grupo filtró fotos y documentos en línea. Además, afirmaron haber realizado un ataque wiper contra Stryker, una importante empresa de tecnología médica y defensa.

Comisión Europea investiga brecha en cuenta de AWS Cloud

CRÍTICONUBE

La Comisión Europea está investigando una brecha de seguridad después de que un actor de amenazas obtuviera acceso a su entorno en la nube de Amazon. El alcance de la brecha aún está siendo evaluado.

Filtración de datos de Hightower Holding afecta a 130.000 personas

ALTOPII

Hightower Holding reveló que hackers robaron nombres, números de Seguro Social y números de licencia de conducir que afectan a 130.000 personas.

Fuente: SecurityWeek

Policía holandesa revela brecha tras ataque de phishing

PHISHING

La Policía Nacional de los Países Bajos (Politie) informó de una brecha de seguridad provocada por un ataque de phishing exitoso. El impacto se describe como limitado, sin datos de ciudadanos afectados.

Hackeo al Ajax Football Club expuso datos de aficionados y permitió el secuestro de entradas

FILTRACIÓN DE DATOS

Los sistemas del Ajax Amsterdam fueron vulnerados, exponiendo datos de aficionados y permitiendo el secuestro de entradas.

🚨 Vulnerabilidades Críticas

CVE-2026-3055 — Sobrelectura de memoria en Citrix NetScaler (CVSS 9.3)

CRÍTICORECONOCIMIENTO ACTIVO

Una vulnerabilidad crítica de sobrelectura de memoria en Citrix NetScaler ADC y Gateway está bajo reconocimiento activo. Una validación insuficiente de entradas permite a los atacantes filtrar información sensible de la memoria. Parches disponibles — aplique inmediatamente.

CVE-2025-53521 — RCE en F5 BIG-IP APM añadido al catálogo KEV de CISA (CVSS 9.3)

CRÍTICOEXPLOTACIÓN ACTIVA

CISA añadió esta vulnerabilidad RCE en F5 BIG-IP Access Policy Manager al catálogo de Vulnerabilidades Explotadas Conocidas. Se confirma explotación activa en entornos reales. Aplique el parche inmediatamente.

CVE-2026-4681 — Fallo crítico en PTC Windchill (policía alemana movilizada)

CRÍTICOICS/OT

CISA señaló una vulnerabilidad crítica en PTC Windchill lo suficientemente grave como para que la policía alemana visitara físicamente a las organizaciones para advertirles. Entornos industriales y de fabricación en riesgo.

Fuente: SecurityWeek

Vulnerabilidades en LangChain y LangGraph exponen archivos, secretos y bases de datos

ALTOAI/ML

Tres vulnerabilidades en los populares frameworks de IA LangChain y LangGraph (más de 52 millones de descargas semanales) exponen datos del sistema de archivos, secretos de entorno e historial de conversaciones a través de vectores de ataque independientes.

Vulnerabilidades de alta severidad en routers TP-Link parcheadas

ALTOREDES

TP-Link parcheó fallos que permitían eludir la autenticación, ejecutar comandos arbitrarios y descifrar archivos de configuración en sus routers.

Fuente: SecurityWeek

Vulnerabilidades de alta severidad en el resolvedor DNS BIND

ALTODNS

Dominios especialmente diseñados podrían provocar condiciones de falta de memoria y fugas de memoria en los resolvedores BIND. Actualizaciones disponibles.

Fuente: SecurityWeek

Múltiples vulnerabilidades en Cisco IOS

ALTOREDES

Múltiples fallos de severidad alta y media en Cisco IOS podrían provocar denegación de servicio, elusión de arranque seguro, divulgación de información y escalada de privilegios.

Fuente: SecurityWeek

🎯 Actores de Amenazas y Campañas

Red Menshen, vinculado a China, infiltrado en la infraestructura troncal de telecomunicaciones

APTCHINACRÍTICO

Rapid7 descubrió que el grupo patrocinado por el estado chino Red Menshen (Earth Bluecrow / DecisiveArchitect) ha mantenido acceso sigiloso a largo plazo dentro de redes de telecomunicaciones utilizando implantes de kernel BPFDoor, puertas traseras pasivas y frameworks de comando multiplataforma — descritos como "algunas de las células durmientes digitales más sigilosas" jamás encontradas en telecomunicaciones. Objetivos: operadoras de Oriente Medio y Asia.

TA446 de Rusia despliega el kit de exploits DarkSword para iOS mediante spear-phishing

APTRUSIA

El grupo patrocinado por el estado ruso TA446 (Callisto) está aprovechando el kit de exploits DarkSword dirigido a dispositivos iOS a través de campañas de correo dirigidas. Por separado, el kit de exploits Coruna para iOS parece ser una versión actualizada del exploit de kernel de la Operación Triangulation de 2023.

Campaña de phishing AitM apunta a cuentas de TikTok Business

PHISHINGREDES SOCIALES

Páginas de phishing con interceptación de adversario en el medio (AitM) que utilizan evasión de Cloudflare Turnstile están siendo usadas para secuestrar cuentas de TikTok for Business. Las cuentas comprometidas se utilizan luego para publicidad maliciosa y distribución de malware.

Infinity Stealer — Nuevo info-stealer para macOS vía ClickFix

MALWAREMACOS

Un nuevo info-stealer dirigido a macOS utiliza páginas falsas de CAPTCHA con temática de Cloudflare, scripts Bash, un cargador compilado con Nuitka y un payload basado en Python. Se distribuye mediante señuelos de ingeniería social ClickFix.

Alertas de seguridad falsas de VS Code en GitHub propagan malware

CADENA DE SUMINISTRODESARROLLADORES

Una campaña a gran escala publica alertas de seguridad falsas de VS Code en las secciones de Discusiones de GitHub para engañar a los desarrolladores y que descarguen malware. Por separado, un fallo en Open VSX permitió que extensiones maliciosas de VS Code eludieran el escaneo previo a la publicación.

Administrador del malware RedLine extraditado a EE.UU.

FUERZAS DEL ORDEN

Hambardzum Minasyan de Armenia, presunto administrador del infostealer RedLine, ha sido extraditado a Estados Unidos para enfrentar cargos.

Fuente: SecurityWeek

📦 Ataques a la Cadena de Suministro

TeamPCP compromete el paquete Telnyx en PyPI — Stealer oculto en archivos WAV

CADENA DE SUMINISTROCRÍTICO

El actor de amenazas TeamPCP (previamente responsable de comprometer Trivy, KICS y litellm) publicó las versiones maliciosas 4.87.1 y 4.87.2 de Telnyx en PyPI. El ataque utiliza una cadena de tres etapas: entrega mediante esteganografía de audio (credenciales ocultas en archivos WAV), ejecución en memoria y luego exfiltración de datos. Afecta a Windows, Linux y macOS. Reviertan a la versión 4.87.0 inmediatamente. El proyecto en PyPI está en cuarentena.

🔧 Herramientas de Seguridad y Anuncios

OpenAI lanza programa de recompensas por fallos para riesgos de abuso y seguridad

SEGURIDAD IA

OpenAI amplió su programa de recompensas por fallos para cubrir problemas de diseño o implementación que conduzcan a daños materiales, enfocándose específicamente en riesgos de abuso y seguridad en sistemas de IA.

Fuente: SecurityWeek

Apple envía alertas en la pantalla de bloqueo para dispositivos iOS desactualizados

DEFENSAMÓVIL

Apple ahora envía notificaciones en la pantalla de bloqueo a iPhones y iPads con versiones anteriores de iOS/iPadOS, alertando a los usuarios sobre exploits activos basados en web e instándolos a actualizar de inmediato.

Windows 11 KB5079391 — Mejoras en Smart App Control

DEFENSAWINDOWS

Microsoft lanzó una actualización preliminar para Windows 11 24H2/25H2 con 29 cambios que incluyen mejoras en las funciones de seguridad de Smart App Control.

Anuncios de la Conferencia RSAC 2026 (Días 3-4)

INDUSTRIA

Los anuncios de proveedores del tercer y cuarto día de la Conferencia RSAC 2026 continúan llegando, con múltiples lanzamientos de productos de seguridad y actualizaciones de plataformas.

Fuente: SecurityWeek

Tendencias clave de esta semana

1. iOS bajo asedio: Múltiples kits de exploits para iOS activos simultáneamente — DarkSword (Rusia/TA446), Coruna (sucesor de Operation Triangulation), además de exploits web activos que provocaron las alertas sin precedentes de Apple en la pantalla de bloqueo. iOS ya no es la plataforma móvil «segura».

2. Esteganografía en la cadena de suministro: El uso por parte de TeamPCP de esteganografía en audio WAV para ocultar stealers de credenciales en paquetes de PyPI representa una evolución en la sofisticación de los ataques a la cadena de suministro. Se espera más ocultación de payloads en archivos multimedia.

3. Herramientas de desarrollo como superficie de ataque: VS Code, Open VSX, GitHub Discussions, PyPI — el ecosistema de desarrollo está siendo atacado sistemáticamente. Las alertas de seguridad falsas y los pipelines de escaneo eludidos demuestran que los atacantes comprenden los modelos de confianza de los desarrolladores.

4. Persistencia de estados-nación en telecomunicaciones: Los implantes BPFDoor de Red Menshen en la infraestructura troncal de telecomunicaciones, descritos como «células durmientes digitales», destacan la profundidad del espionaje chino en la infraestructura de comunicaciones.

5. Oleada de CVEs en dispositivos de red: CVEs críticos en Citrix NetScaler, F5 BIG-IP, routers TP-Link y Cisco IOS, todos en el mismo ciclo. Los dispositivos perimetrales de red siguen siendo el vector de acceso inicial número 1.