< Back
A man juggling a cube

Tags:

Threat intelligence
08 Abril 2026

Resumen Semanal de los ciberataques 2-8 Abril

El malware para Android «NoVoice» de Google Play infecta 2,3 millones de dispositivos 

Según datos del 31 de marzo de 2026, un malware para Android recién descubierto llamado NoVoice ha infectado más de 2,3 millones de dispositivos a través de más de 50 aplicaciones de Google Play. Los investigadores identificaron la campaña, pero no pudieron atribuirla a ningún grupo concreto. Sin embargo, señalaron similitudes con el troyano para Android Triada. Las apps, que incluían limpiadores, galerías de fotos y juegos, parecían legítimas, no requerían permisos sospechosos y funcionaban tal y como se anunciaban. Una vez instalado, el malware intentaba obtener acceso root aprovechando vulnerabilidades antiguas de Android parcheadas entre 2016 y 2021. Los analistas observaron 22 exploits diferentes utilizados para obtener acceso root. Una vez logrado esto, el malware desactiva protecciones de seguridad clave como SELinux y sustituye bibliotecas críticas del sistema por versiones maliciosas que interceptan la actividad del sistema. También garantiza su persistencia al integrarse profundamente en el sistema, incluso en áreas que no se ven afectadas por los restablecimientos de fábrica. Un proceso de vigilancia supervisa continuamente el sistema y reinstala el malware si se elimina algo. Google ha eliminado las aplicaciones maliciosas de Google Play tras el informe sobre la operación. Dado que el malware se basa en vulnerabilidades antiguas, actualizar el dispositivo con los parches de seguridad recientes puede protegerte eficazmente contra esta amenaza. También se recomienda a los usuarios que instalen aplicaciones solo de desarrolladores de confianza, incluso cuando utilicen tiendas de aplicaciones oficiales.

 

36 paquetes maliciosos de npm aprovechaban vulnerabilidades de Redis y PostgreSQL para instalar implantes persistentes  

Según información del 3 de abril de 2026, una campaña coordinada contra la cadena de suministro de npm utilizó 36 paquetes maliciosos que se hacían pasar por complementos del CMS Strapi para atacar entornos Strapi basados en Linux; las pruebas apuntan a una intrusión muy específica contra una plataforma de pagos de criptomonedas, más que a una operación generalizada y oportunista de spam de paquetes. A lo largo de la campaña, el operador desplegó ocho variantes distintas de carga útil en unas 13 horas, lo que sugiere una sesión de desarrollo de ataques en tiempo real en la que las técnicas se ajustaban rápidamente en función de lo que parecía funcionar contra el objetivo previsto. La campaña comenzó con una explotación agresiva basada en Redis. Los primeros paquetes intentaron abusar de las funciones CONFIG SET y SAVE de Redis para escribir archivos maliciosos en ubicaciones de crontab, carpetas públicas de subida de archivos, directorios de claves SSH y otras rutas accesibles desde el host. Las cargas útiles de mitad de campaña recopilaron archivos .env, volcados completos de variables de entorno, archivos de configuración de Strapi, listados de claves de Redis, cadenas de conexión de PostgreSQL, secretos de Docker y Kubernetes, datos de configuración de la red interna, claves SSH, claves TLS, archivos relacionados con carteras y otros artefactos sensibles. Las cargas útiles posteriores mostraron un conocimiento cada vez más preciso de la infraestructura de la víctima. En conjunto, estos detalles indican claramente que la actividad tenía como objetivo comprometer la infraestructura vinculada a Strapi de una conocida plataforma de pagos con criptomonedas, robar credenciales y secretos, enumerar bases de datos relacionadas con los pagos y mantener un acceso persistente para actividades posteriores.

 

El generador de agentes de IA Flowise está siendo objeto de un ataque activo de ejecución remota de código (RCE) con una puntuación CVSS de 10,0; más de 12 000 instancias expuestas

Según información del 6 de abril de 2026, los atacantes están aprovechando activamente una vulnerabilidad de máxima gravedad en Flowise, una plataforma de código abierto para crear agentes de IA, lo que permite la ejecución remota de código (RCE) y el control total del sistema. La vulnerabilidad, identificada como CVE-2025-59528 con una puntuación CVSS de 10,0, se debe a un problema de inyección de código en el nodo CustomMCP, que analiza incorrectamente los datos de configuración proporcionados por el usuario y ejecuta código JavaScript sin validarlo. Esto permite a los atacantes ejecutar código arbitrario dentro del entorno de ejecución de Node.js, lo que les da acceso a módulos sensibles como child_process para la ejecución de comandos y fs para la manipulación del sistema de archivos. Si se aprovecha con éxito, puede llevar a la toma de control total del servidor, incluyendo la ejecución de comandos, el acceso a archivos y la filtración de datos. Cabe destacar que la explotación solo requiere un token de API, lo que reduce significativamente la barrera de ataque y aumenta el riesgo para las operaciones empresariales y los datos de los clientes. Aunque la vulnerabilidad se reveló en septiembre de 2025 y se corrigió en la versión 3.0.6 del paquete npm de Flowise, sigue siendo explotada activamente en la red, y VulnCheck ha detectado actividad procedente de una única dirección IP de Starlink. Se han identificado más de 12 000 instancias de Flowise expuestas a Internet, lo que supone una amplia superficie de ataque para la explotación oportunista. Esta vulnerabilidad forma parte de un patrón más amplio de problemas de seguridad que afectan a Flowise, tras fallos explotados activamente anteriormente como CVE-2025-8943 (RCE de comando del sistema operativo) y CVE-2025-26319 (carga arbitraria de archivos). Los investigadores de seguridad destacan que la prolongada disponibilidad pública de la vulnerabilidad, combinada con una exposición generalizada y la actividad de escaneo en curso, aumenta significativamente la probabilidad de que se produzcan ataques exitosos contra sistemas sin parches, especialmente entre las organizaciones que utilizan Flowise en entornos de producción.

 

Las autoridades desarticulan una campaña de secuestro de DNS en routers utilizada para robar credenciales de Microsoft 365

Según información del 7 de abril de 2026, una operación policial internacional con el apoyo de socios del sector privado ha desmantelado FrostArmada, una campaña cibernética a gran escala atribuida al grupo de amenazas APT28, vinculado al Estado ruso (también conocido como Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 y Sednit). La campaña aprovechaba routers SOHO comprometidos (principalmente de MikroTik y TP-Link, así como algunos dispositivos Nethesis y Fortinet antiguos) para llevar a cabo ataques de secuestro de DNS destinados a interceptar el tráfico de autenticación y robar credenciales de cuentas de Microsoft, incluidos tokens OAuth. En esta operación, los atacantes modificaban la configuración de DNS en los routers comprometidos, redirigiendo el tráfico a servidores privados virtuales controlados por ellos que actuaban como resolutores de DNS maliciosos. A través de la propagación DHCP, estos cambios afectaron a los dispositivos de la red interna, lo que permitió ataques de tipo «adversario en el medio» (AitM). Las víctimas que intentaban acceder a servicios legítimos eran redirigidas silenciosamente a proxies controlados por los atacantes, donde se podían interceptar los datos de autenticación. Las autoridades y los investigadores recomiendan medidas de mitigación que incluyen actualizaciones de firmware, la sustitución de dispositivos sin soporte, la auditoría de las configuraciones de DNS, la restricción de la exposición a la gestión remota y la implementación de la fijación de certificados a través de dispositivos gestionados por MDM para detectar intentos de interceptación. Esta intervención supone un esfuerzo significativo para desmantelar una operación generalizada de secuestro de DNS utilizada para el robo de credenciales a gran escala.