< Back
Abstract digital background featuring interconnected glowing blue dots and lines forming a network pattern on a dark gradient backdrop.

Tags:

Threat intelligence
06 Marzo 2026

Resumen semanal de ciberataques 26 de febrero-4 de marzo

Coruna: el misterioso viaje de un potente kit de explotación para iOS 

Investigadores del Google Threat Intelligence Group (GTIG) revelaron el descubrimiento de Coruna, un sofisticado kit de explotación para iOS dirigido a los iPhone de Apple con versiones de iOS entre 13.0 y 17.2.1. El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, lo que lo convierte en una de las colecciones más completas de técnicas de explotación de iOS observadas en la naturaleza. Algunos de los exploits se basan en técnicas de explotación no públicas y en eludir las medidas de mitigación, lo que pone de relieve su alto nivel de sofisticación técnica. La cadena de exploits se distribuía a través de un marco de explotación de JavaScript nunca visto anteriormente que utilizaba técnicas de ofuscación para codificar cadenas e enteros. 

Lista de 8,29 millones de identificadores vinculados a sitios web, entre los que se incluyen más de 194 000 franceses.  

Investigadores de ciberseguridad han identificado una enorme colección de credenciales de inicio de sesión robadas, recopiladas a partir de infecciones de malware infostealer, que suman un total de aproximadamente 8,29 millones de pares de nombres de usuario y contraseñas. El conjunto de datos vincula cada credencial directamente con el portal de inicio de sesión correspondiente, lo que proporciona un modelo listo para usar para herramientas de ataque automatizadas dirigidas a servicios web específicos. La instantánea de la filtración destaca una concentración significativa de cuentas de Internet francesas, con más de 194 000 credenciales del dominio .fr incluidas, lo que eclipsa a otros dominios regionales como .ca, .be, .ch y .lu. 

Hackers norcoreanos publican 26 paquetes npm que ocultan Pastebin C2 para RAT multiplataforma  

Investigadores de seguridad revelaron que actores maliciosos vinculados a Corea del Norte publicaron 26 paquetes maliciosos en el registro npm como parte de una campaña continua contra la cadena de suministro. Los paquetes se disfrazaron como utilidades legítimas para desarrolladores, lo que aumentó la probabilidad de que desarrolladores desprevenidos los descargaran e integraran en sus proyectos. Esta actividad se ha asociado con la campaña más amplia "Contagious Interview", que anteriormente se dirigía a desarrolladores mediante ingeniería social y tareas de codificación maliciosas. Los paquetes maliciosos se ejecutan durante la instalación e inician el contacto con Pastebin para recuperar la infraestructura oculta de mando y control (C2). En lugar de incrustar directamente dominios maliciosos, los atacantes utilizaron técnicas de esteganografía para ocultar las direcciones C2 dentro de contenido aparentemente benigno de Pastebin. 

La botnet Aeternum traslada el control de mando a la cadena de bloques Polygon 

Investigadores de ciberseguridad describen el cargador de botnets Aeternum C2, un nuevo tipo de malware que utiliza la cadena de bloques pública Polygon como su principal infraestructura de mando y control (C2). Este enfoque supone una desviación de las arquitecturas de botnets convencionales, que se basan en servidores de comando estáticos, dominios o infraestructuras centralizadas. En su lugar, los operadores de Aeternum publican instrucciones cifradas directamente en los contratos inteligentes de la cadena Polygon, que los hosts infectados luego consultan a través de puntos finales de llamada a procedimiento remoto (RPC) estándar para recuperar los comandos. Esto hace que la capa C2 de la botnet sea inmutable y altamente resistente a los esfuerzos tradicionales de desmantelamiento, ya que las transacciones históricas de la cadena de bloques no pueden ser alteradas o eliminadas por las fuerzas del orden o los defensores. 

GRIDTIDE: Campaña global de ciberespionaje  

El Grupo de Inteligencia sobre Amenazas de Google (GTIG), en colaboración con Mandiant y otros socios del sector, reveló públicamente y actuó para desarticular una campaña mundial de ciberespionaje atribuida a un presunto agente de amenazas rastreado como UNC2814. Esta operación de larga duración, conocida internamente como GRIDTIDE, tenía como objetivo a proveedores de telecomunicaciones y organizaciones gubernamentales en al menos 42 países. Aunque la campaña no explotó ninguna vulnerabilidad específica de los productos, mostró un alto grado de sigilo al abusar de la infraestructura legítima de la nube y las API de SaaS para el mando y control (C2), lo que permitió que el tráfico malicioso se mezclara con los flujos de trabajo normales de las empresas y evadiera la detección tradicional.