< Back
Abstract background

Tags:

Threat intelligence
26 Febrero 2026

Resumen Semanal de los Ciberataques 19-25 feb

El grupo norcoreano Lazarus ahora trabaja con el ransomware Medusa  

Investigadores de ciberseguridad informaron de que el grupo Lazarus, vinculado al Estado norcoreano, ha ampliado su repertorio operativo para incluir el ransomware Medusa, una prolífica variante de ransomware como servicio (RaaS) gestionada por la operación ciberdelictiva Spearwing, en campañas de extorsión en curso dirigidas a sectores críticos como la sanidad. Medusa ha sido observado en cientos de ataques desde su aparición como oferta RaaS en 2023, con actores afiliados que cifran las redes de las víctimas y extorsionan a las organizaciones mediante una combinación de tácticas de doble extorsión (cifrado de archivos y amenaza de publicar los datos exfiltrados) y técnicas de presión más agresivas. 

SURXRAT: RAT para Android descarga un gran módulo LLM de Hugging Face  

SURXRAT, un troyano de acceso remoto (RAT) comercial para Android, ha ido evolucionando para aprovechar los módulos de modelos de lenguaje grande (LLM) alojados en la plataforma Hugging Face como parte de su comportamiento operativo. SURXRAT se comercializa y distribuye activamente a través de un ecosistema de malware como servicio (MaaS) basado en Telegram bajo la marca SURXRAT V5, lo que permite a los afiliados y revendedores crear y desplegar versiones personalizadas de malware, mientras que los operadores centrales mantienen el control de la infraestructura y las actualizaciones. Este marco modular de malware combina las capacidades tradicionales de los RAT para Android con experimentos cada vez más sofisticados, como la recopilación exhaustiva de datos y las descargas condicionales de grandes componentes de IA desde repositorios de modelos públicos. 

Un actor malicioso asistido por IA compromete más de 600 dispositivos en 55 países  

Se ha identificado un actor malicioso de habla rusa con motivaciones económicas que aprovechó múltiples servicios comerciales de IA generativa para comprometer más de 600 dispositivos en más de 55 países entre el 11 de enero y el 18 de febrero de 2026. La campaña no explotó ninguna vulnerabilidad, sino que se basó en interfaces de gestión expuestas y credenciales de autenticación débiles y de un solo factor, lo que demuestra cómo la IA puede amplificar las capacidades de los actores con habilidades bajas o medias para operar a gran escala. 

Starkiller: Nuevo Framework de Phishing que Proxyfica Páginas de Inicio de Sesión Reales para Evadir MFA  

Ha surgido un nuevo framework comercial de phishing conocido como Starkiller, presentado como una plataforma de ciberdelincuencia de nivel empresarial diseñada para actuar como proxy de páginas legítimas de inicio de sesión en tiempo real y evadir la autenticación multifactor (MFA). Comercializado por un grupo de amenazas que se hace llamar Jinkusu y explícitamente diferenciado de la herramienta legítima de red team de BC Security con el mismo nombre, Starkiller se distribuye como un producto estilo SaaS que permite a operadores con baja cualificación técnica desplegar campañas sofisticadas de phishing man-in-the-middle con conocimientos técnicos mínimos. A diferencia de los kits de phishing tradicionales que dependen de clones HTML estáticos de páginas de inicio de sesión, Starkiller lanza una instancia headless de Chrome dentro de un contenedor Docker, carga el sitio web auténtico y opera como un reverse proxy entre la víctima y el servicio legítimo. Como resultado, las víctimas reciben contenido HTML, CSS y JavaScript genuino directamente desde el sitio real a través de infraestructura controlada por el atacante, eliminando plantillas desactualizadas y reduciendo la efectividad de las defensas basadas en page fingerprinting y blocklisting. 

GrayCharlie hackea sitios web de bufetes de abogados en un presunto ataque a la cadena de suministro  

 GrayCharlie, un actor malicioso activo desde mediados de 2023 y relacionado con SmartApeSG (también conocido como ZPHP o HANEYMANEY), está llevando a cabo ataques generalizados a sitios web de WordPress para distribuir malware de acceso remoto. El grupo hackea sitios legítimos inyectando JavaScript malicioso que redirige a los visitantes a una infraestructura controlada por los atacantes, para finalmente distribuir NetSupport RAT a través de páginas falsas de actualización del navegador o señuelos ClickFix. En varios casos, las infecciones han progresado hasta el despliegue de StealC y SectopRAT, lo que sugiere un conjunto de herramientas más amplio tras el compromiso, centrado en el acceso remoto y el robo de datos. La actividad de GrayCharlie abarca múltiples sectores a nivel mundial, pero se ha identificado un notable grupo de al menos quince sitios web de bufetes de abogados estadounidenses comprometidos. Los investigadores estiman que este grupo puede tener su origen en un compromiso de la cadena de suministro que involucra a un proveedor de TI compartido .