< Back
Abst

Tags:

Threat intelligence
06 Febrero 2026

Resumen Semanal de los ciberataques 29 ene-04 fev

DockerDash: dos vías de ataque, una crisis en la cadena de suministro de la IA  

Investigadores de seguridad revelaron una vulnerabilidad crítica en la cadena de suministro de IA denominada DockerDash que afecta al asistente de IA Ask Gordon (beta) de Docker, y revelaron cómo una sola etiqueta de metadatos maliciosa incrustada en una imagen de Docker puede comprometer los entornos de Docker a través de una cadena de ejecución totalmente automatizada. El fallo aprovecha un fallo de confianza en cascada en el flujo de trabajo Ask Gordon AI → MCP Gateway → MCP Tools, donde los metadatos no verificados de la imagen de Docker se interpretan como instrucciones ejecutables y se pasan a través de cada capa sin validación. 

Campaña de phishing falsa de Dropbox a través de PDF y almacenamiento en la nube  

Se ha identificado una campaña activa de phishing que utiliza una cadena de entrega de varias etapas que combina archivos PDF adjuntos, almacenamiento en la nube de confianza y suplantación de identidad de marcas para recopilar las credenciales de los usuarios, eludiendo los controles tradicionales de seguridad del correo electrónico y del contenido. La campaña comienza con un correo electrónico de phishing con temática de adquisiciones que parece formar parte de un proceso legítimo de licitación o solicitud de presupuesto y que contiene un archivo PDF adjunto en lugar de un enlace malicioso directo. El contenido del correo electrónico es mínimo y profesional, lo que le permite eludir los mecanismos de detección comunes y las comprobaciones de autenticación estándar, como SPF, DKIM y DMARC, mientras que la dirección del remitente probablemente sea falsa o esté vinculada a una cuenta comprometida. 

Actualización de DynoWiper: análisis técnico y atribución  

Investigadores de ciberseguridad revelaron nuevos detalles técnicos sobre un ciberataque destructivo que involucraba un malware de borrado de datos no documentado anteriormente, llamado DynoWiper. El incidente representa un caso poco común de despliegue de malware destructivo contra la infraestructura crítica polaca y se atribuye con un nivel de confianza medio al actor malicioso Sandworm. DynoWiper opera en múltiples fases, incluyendo el borrado recursivo de archivos en unidades extraíbles y fijas, exclusiones selectivas de directorios, sobrescritura parcial de archivos más grandes para acelerar la destrucción y un reinicio forzado del sistema para finalizar el daño al sistema. Los atacantes reconstruyeron y reimplantaron el malware varias veces en el mismo día, lo que indica una resolución activa de problemas durante la operación.

Hugging Face utilizado indebidamente para propagar miles de variantes de malware para Android  

Investigadores de ciberseguridad han identificado una campaña a gran escala de troyanos de acceso remoto (RAT) para Android que abusa de la infraestructura legítima de Hugging Face para alojar y distribuir payloads con APK maliciosas. La operación combina ingeniería social, una cadena de infección en dos etapas, un abuso extensivo de los servicios de accesibilidad de Android y un polimorfismo agresivo del lado del servidor para evadir la detección. La cadena de infección comienza con una aplicación maliciosa para Android llamada TrustBastion, que se distribuye a través de anuncios engañosos o mensajes de tipo scareware que afirman que el dispositivo de la víctima está infectado y necesita una solución de seguridad. 

TA584 innova el acceso inicial  

Se ha informado que TA584, uno de los intermediarios de acceso inicial más activos rastreados desde 2020, innovó significativamente sus operaciones de acceso inicial a lo largo de 2025 mediante la rotación rápida de cadenas de ataque, la expansión de los objetivos geográficos, la adopción de ingeniería social ClickFix y la introducción de un nuevo payload conocido como Tsundere Bot. TA584, que se solapa con un grupo rastreado como Storm-0900, aumentó drásticamente su ritmo operativo en 2025, triplicando el volumen mensual de campañas entre marzo y diciembre, y con campañas que a menudo duraban solo horas o días antes de ser sustituidas o modificadas.