< Back
red padlock

Tags:

Threat intelligence
20 Marzo 2026

Resumen Semanal de los Ciberataques 12-18 Marzo

El ransomware LeakNet utiliza ClickFix y el entorno de ejecución Deno en ataques sigilosos  

Investigadores de ciberseguridad han informado de que el grupo de ransomware LeakNet está ampliando sus capacidades mediante la introducción de nuevas técnicas de acceso inicial y ejecución, en particular mediante el uso de señuelos ClickFix distribuidos a través de sitios web legítimos comprometidos y un cargador en memoria basado en Deno del que no se había informado anteriormente. Esto supone un cambio estratégico, pasando de depender de los intermediarios de acceso inicial (IAB) a llevar a cabo campañas de intrusión autónomas, lo que permite al grupo ampliar sus operaciones y su base de víctimas mediante una distribución oportunista. 

Un nuevo malware pone de manifiesto un aumento de los ataques sistemáticos contra la infraestructura de red  

Investigadores de ciberseguridad identificaron nuevas muestras de malware que ponen de manifiesto una tendencia creciente y sistemática por parte de los actores maliciosos a utilizar la infraestructura de red como vector de acceso inicial y persistencia. Los hallazgos confirman que esta actividad ya no se limita a los grupos APT de Estados-nación, sino que es cada vez más utilizada por actores con motivaciones económicas, incluidas las operaciones de minería de criptomonedas. Se observaron dos variantes de malware no documentadas anteriormente: una nueva variante de la botnet DDoS CondiBot, derivada del ecosistema Mirai, y Monaco, un escáner SSH y minero de criptomonedas multiarquitectura. 

Hive0163 utiliza el malware Slopoly, asistido por IA, para obtener acceso persistente en ataques de ransomware  

Investigadores de ciberseguridad informaron de que el grupo de amenazas con fines económicos Hive0163 utilizó un marco de malware, probablemente generado por IA, denominado "Slopoly" durante un ataque de ransomware a principios de 2026. Esta actividad pone de manifiesto una adopción temprana, pero notable, de la inteligencia artificial por parte de los grupos de ciberdelincuentes para acelerar el desarrollo de malware y mantener un acceso persistente en los entornos de las víctimas. Hive0163 es conocido por llevar a cabo operaciones de ransomware a gran escala y campañas de exfiltración de datos, desplegando con frecuencia el ransomware Interlock junto con varios cifradores privados y puertas traseras, entre los que se incluyen NodeSnake, InterlockRAT y el cargador JunkFiction. 

Storm-2561 utiliza el "SEO Poisoning" para distribuir clientes VPN falsos con el fin de robar credenciales  

Microsoft Threat Intelligence informó de que el grupo de ciberdelincuentes Storm-2561, motivado por intereses económicos, está llevando a cabo una campaña de robo de credenciales que distribuye clientes VPN falsos mediante el envenenamiento de motores de búsqueda (SEO poisoning) para redirigir a los usuarios que buscan software VPN empresarial legítimo a sitios web controlados por los atacantes y a descargas maliciosas. Activa al menos desde mayo de 2025, la campaña manipula los resultados de los motores de búsqueda para consultas como "descargar Pulse VPN" o "cliente Pulse Secure", lo que lleva a las víctimas a sitios web falsificados diseñados para imitar a proveedores de VPN de confianza. 

Entrevista contagiosa: malware distribuido a través de entrevistas de trabajo falsas para desarrolladores  

Equipo de investigación de seguridad de Microsoft Defender informó de una actividad continua relacionada con la campaña "Contagious Interview", una sofisticada operación de ingeniería social que lleva activa desde al menos diciembre de 2022 y que sigue dirigiéndose a desarrolladores de software de proveedores de soluciones empresariales y empresas de medios de comunicación y comunicaciones. Los atacantes se aprovechan de la confianza en los procesos de selección de personal haciéndose pasar por reclutadores de empresas de comercio de criptomonedas o proveedores de soluciones basadas en inteligencia artificial y llevando a cabo procesos de entrevista de trabajo realistas que incluyen contacto, debates técnicos y tareas de codificación. Durante estas entrevistas simuladas, se instruye a las víctimas para que clonen y ejecuten paquetes NPM maliciosos alojados en plataformas como GitHub, GitLab y Bitbucket, que finalmente distribuyen malware bajo la apariencia de tareas legítimas de evaluación técnica.