Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 6 marzo
Expuestas herramientas internas para clonado y manipulación de paquetes maliciosos en NuGet
Una investigación de ReversingLabs explica cómo los actores de amenazas industrializan la creación, publicación y popularización artificial de paquetes maliciosos en NuGet tras descubrir dos paquetes (8y234rtv8yvf y 3rugfbe8rivferiuv) que contenían las herramientas internas utilizadas en campañas previas.
Estos paquetes, publicados por accidente por los actores de amenaza, incluían una cadena completa de tres componentes: un cloner capaz de replicar automáticamente metadatos de paquetes legítimos; un poster que generaba y publicaba paquetes clonados (incluyendo versiones “futuras” para aparentar mantenimiento activo); y un botter, un script multihilo diseñado para inflar artificialmente los contadores de descarga mediante rotación de IPs, proxies y user-agents.
Este hallazgo confirma de forma definitiva prácticas que hasta ahora solo se sospechaban: campañas sistemáticas de typosquatting, manipulación de reputación y preparación masiva de paquetes aparentemente legítimos como antesala para introducir cargas maliciosas. Además, los métodos coinciden con campañas recientes que imitan paquetes populares, incluidos objetivos financieros como Nethereum o Stripe.net, demostrando que se trata de un modelo operativo escalable, automatizado y orientado a abusar de la confianza de desarrolladores en el ecosistema NuGet.
CyberStrikeAI: plataforma ofensiva con vínculos al MSS chino usada contra FortiGate
Team Cymru ha analizado el uso de CyberStrikeAI, una herramienta ofensiva de seguridad basada en IA y desarrollada en Go, en actividades de reconocimiento y explotación contra dispositivos Fortinet FortiGate.
En la infraestructura asociada al ataque se usó la IP 212.11.64[.]250, donde se observó un banner activo de CyberStrikeAI y comunicaciones dirigidas contra dispositivos Fortinet FortiGate. La adopción de CyberStrikeAI aumentó desde el pasado 8 de noviembre, con 21 direcciones IP únicas ejecutándolo entre el 20 de enero y el 26 de febrero de 2026, principalmente en China, Singapur y Hong Kong.
El desarrollador de CyberStrikeAI, Ed1s0nZ, mantiene otros proyectos orientados a explotación y escalada de privilegios como PrivHunterAI e InfiltrateX, y ha mostrado interacciones con entidades vinculadas al Ministerio de Seguridad del Estado de China, incluyendo Knownsec y el programa CNNVD gestionado por CNITSEC. La posterior eliminación de referencias al CNNVD en su perfil sugiere un intento de ocultar dichas conexiones.
Aeternum: botnet que emplea la blockchain de Polygon como infraestructura C2
Investigadores de Qrator Labs han identificado Aeternum, una infraestructura de C2 que utiliza la blockchain de Polygon para alojar comandos de forma descentralizada. La campaña emplea un loader en C++ para implementar distintas cargas maliciosas (como ladrones de información, mineros y RAT) y permite controlar bots individualmente mediante su Hardware ID. Su diseño persistente dificulta su interrupción y refuerza la necesidad de mejorar la detección en endpoints y el monitoreo del tráfico hacia redes blockchain.
Para eludir la detección, Aeternum incorpora mecanismos antianálisis que impiden su ejecución en entornos virtualizados o sandbox, y además integra un escáner antivirus en tiempo real mediante la API de Kleenscan para verificar el estado de los sistemas. No se ha detallado un impacto cuantitativo de víctimas o sectores concretos.
Abuso de flujos legítimos de OAuth en campañas para despliegue de malware
Microsoft ha publicado una alerta sobre campañas de phishing que instrumentalizan la funcionalidad nativa de redirección de flujos OAuth para evadir defensas perimetrales. El vector de ataque emplea aplicaciones maliciosas en entornos controlados por el atacante, configuradas con parámetros manipulados, como el parámetro state para persistencia de datos, que redirigen a las víctimas a infraestructuras de comando y control tras un error de autenticación inducido. Esta técnica facilita la distribución de archivos ZIP con archivos LNK que inician la ejecución de PowerShell y técnicas de DLL side-loading mediante binarios legítimos como steam_monitor.exe.
La carga útil final, de carácter residente en memoria, permite el reconocimiento del host y actividades de post-explotación orientadas al despliegue de ransomware. Además del despliegue de malware, se ha detectado el uso de frameworks AitM como EvilProxy para la interceptación de cookies de sesión y omisión de MFA.
Se recomienda restringir el consentimiento de aplicaciones y auditar periódicamente los permisos de aplicaciones de terceros para mitigar este riesgo de identidad.
Europol desmantela Tycoon2FA, PhaaS responsable de comprometer más de 500.000 organizaciones
Una operación internacional coordinada por Europol ha desmantelado Tycoon2FA, una plataforma de phishing-as-a-service activa desde agosto de 2023 y responsable de decenas de millones de correos de phishing mensuales. Se incautaron 330 dominios vinculados a paneles de control y páginas de phishing, en una acción ejecutada por autoridades de Letonia, Lituania, Portugal, Polonia, España y Reino Unido. Tycoon2FA permitía ataques adversary‑in‑the‑middle mediante reverse proxy, interceptando credenciales y cookies de sesión en tiempo real para vulnerar MFA en servicios de Microsoft y Google.
A mediados de 2025 generaba decenas de millones de correos al mes, alcanzando más de 500.000 organizaciones, y representaba el 60% de los intentos de phishing bloqueados por Microsoft. La plataforma facilitaba la suplantación de páginas de inicio de Microsoft 365, OneDrive, Outlook, SharePoint y Gmail, permitiendo persistencia incluso tras cambios de contraseña si no se revocaban sesiones activas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
