< Back
word map background

Tags:

Threat intelligence
13 Febrero 2026

Resumen Semanal de las ciberamenazas 05-11 febrero

UNC1069 apunta al sector de las criptomonedas con nuevas herramientas y ingeniería social basada en inteligencia artificial  

El actor malicioso UNC1069, motivado por intereses económicos y del que se cree con gran certeza que tiene vínculos con Corea del Norte, atacó el ecosistema de las criptomonedas y las finanzas descentralizadas (DeFi) en una intrusión personalizada contra una entidad FinTech. La operación combinó ingeniería social basada en inteligencia artificial con una cadena de infección macOS de múltiples etapas y herramientas inusualmente pesadas en un solo host, lo que dio lugar al despliegue de siete familias distintas de malware destinadas a recopilar credenciales, datos del navegador y artefactos de sesión que podrían permitir el robo de criptomonedas y apoyar futuras acciones de ingeniería social. 

La campaña de phishing Phorpix distribuye el ransomware GLOBAL GROUP  

Se ha observado una campaña de phishing de gran volumen que aprovecha el malware Phorpiex, en funcionamiento desde hace tiempo, para distribuir el ransomware GLOBAL GROUP a través de archivos adjuntos de accesos directos de Windows (.lnk) convertidos en armas. La campaña utiliza correos electrónicos de phishing con el asunto "Tu documento", un señuelo que se ha utilizado ampliamente en operaciones a gran escala a lo largo de 2024 y 2025. Los correos electrónicos contienen un archivo adjunto que se hace pasar por un documento legítimo de Word utilizando una doble extensión (Document.doc.lnk), aprovechando la configuración predeterminada de Windows que oculta las extensiones de archivo conocidas y confiando en iconos de estilo documento de confianza procedentes de shell32.dll para reducir las sospechas de los usuarios. Cuando se abre el archivo adjunto, el acceso directo ejecuta silenciosamente cmd.exe con argumentos incrustados, lo que a su vez invoca PowerShell para realizar una secuencia de descarga y ejecución sin mostrar ningún instalador visible ni solicitudes al usuario. PowerShell recupera un payload de segunda fase a través de HTTP o HTTPS desde un servidor remoto y lo escribe en el disco con un nombre de archivo similar al del sistema, como windrv.exe, que normalmente se coloca en directorios de usuario o del sistema para que se mezcle con los componentes legítimos de Windows. A continuación, el payload se ejecuta a través de PowerShell o cmd.exe, completando la cadena de infección con una actividad mínima observable. En esta campaña, Phorpiex facilita en última instancia el despliegue del ransomware GLOBAL GROUP, una operación de ransomware como servicio que surgió como sucesora de la familia de ransomware Mamona.

Nueva variante de Clickfix “CrashFix” que despliega un troyano de acceso remoto de Python  

Los expertos de Microsoft Defender informaron de una nueva evolución de la campaña ClickFix en curso, conocida como CrashFix, que introduce un comportamiento deliberado de bloqueo del navegador combinado con ingeniería social para coaccionar a las víctimas a ejecutar comandos maliciosos. A diferencia de las variantes anteriores de ClickFix, CrashFix aumenta el éxito de la ejecución al interrumpir intencionadamente la experiencia del usuario y presentar avisos de reparación falsos, en lugar de basarse en la entrega tradicional de exploits. 

Black Basta: capacidad de evasión de defensas integrada en el payload del ransomware  

Una campaña reciente de ransomware vinculada a Black Basta reveló una evolución inusual en las técnicas de evasión de defensas, con una capacidad bring-your-own-vulnerable-driver (BYOVD) integrada directamente dentro del propio payload del ransomware, en lugar de entregarse como una herramienta independiente previa al cifrado. En esta actividad, el ransomware soltó e intentó cargar un controlador vulnerable de Windows en modo kernel, NSecKrnl, desarrollado por NsecSoft, que posteriormente fue explotado para finalizar procesos relacionados con la seguridad antes de que se produjera el cifrado. Este enfoque difiere del modelo más habitual en ransomware, donde se despliega una herramienta de evasión independiente antes de la fase de cifrado, y representa el primer caso conocido de este tipo de empaquetado observado en operaciones de Black Basta. 

La herramienta EDR Killer utiliza un controlador de kernel firmado procedente de un software forense  

Se ha revelado una intrusión en la que los actores maliciosos utilizaron credenciales SSLVPN de SonicWall comprometidas para obtener acceso inicial a la red de la víctima e intentaron desactivar la seguridad de los puntos finales utilizando un EDR killer a nivel del núcleo. Tras autenticarse en la VPN desde direcciones IP externas maliciosas, los atacantes llevaron a cabo un agresivo reconocimiento interno, que incluyó barridos de ping ICMP, sondeos del servicio de nombres NetBIOS y actividades centradas en SMB que mostraron un comportamiento de inundación SYN superior a 370 paquetes SYN por segundo. Durante la intrusión, los atacantes desplegaron un ejecutable de Windows de 64 bits que se hacía pasar por una utilidad legítima de actualización de firmware y que funcionaba como un eliminador de EDR.