Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 7-13 marzo
PROMPTFLUX utiliza la API de Gemini para reescribir su propio código en tiempo real durante un ataque
Mandiant ha identificado una evolución significativa en el uso de inteligencia artificial en ciberataques, con actores estatales y criminales integrando LLM y APIs de IA directamente en malware y en la infraestructura de ataque.
A lo largo de 2025, la IA pasó de utilizarse para tareas auxiliares como generación de phishing o asistencia en código a convertirse en un componente operativo. Entre los ejemplos observados destacan PROMPTFLUX, que utiliza la API de Gemini para reescribir dinámicamente su propio código mediante modificaciones en tiempo real, y PROMPTSTEAL, vinculado a APT28, que consulta modelos de lenguaje para generar comandos de Windows destinados al robo de documentos. Otros implantes como FRUITSHELL y QUIETVAULT incorporan capacidades de IA para localizar datos sensibles y automatizar la exfiltración.
El informe también advierte sobre el riesgo creciente de Shadow AI en empresas, donde herramientas de IA se despliegan sin control de seguridad, generando problemas de visibilidad, gestión de activos y control de accesos.
Chrome 146 corrige 29 vulnerabilidades, incluida la falla crítica CVE-2026-3913 en WebML
Google ha publicado la versión 146 de Chrome, corrigiendo 29 vulnerabilidades, incluida CVE-2026-3913 (sin CVSS aún pero considerada crítica por Google), un desbordamiento de búfer en el heap en WebML. El parche aborda además 11 fallos de alta severidad, incluyendo desbordamientos de búfer (CVE-2026-3915), desbordamientos de enteros (CVE-2026-3914) y múltiples condiciones de use after free en componentes como Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI y WindowDialog.
También se corrigen fallos de acceso fuera de límites en Web Speech y WebML. El conjunto se completa con 17 vulnerabilidades de severidad media y baja que afectan a V8, Skia, PDF, DevTools y otros módulos, incluyendo problemas de políticas insuficientes, lecturas fuera de límites y errores de interfaz de seguridad.
Se recomienda actualizar inmediatamente a Chrome 146.0.7680.71, para Linux, y 146.0.7680.71/72, para Windowsy Mac, para mitigar posibles ataques.
BeardShell y Covenant impulsan una nueva oleada de espionaje avanzado de APT28
Investigadores de ESET han identificado la reactivación de APT28, también conocido como Fancy Bear, con un arsenal moderno basado en dos implantes emparejados: BeardShell y Covenant, que emplean proveedores cloud distintos para garantizar resiliencia y persistencia en operaciones de espionaje, especialmente contra personal militar ucraniano.
Entre 2025 y 2026, APT28 desplegó BeardShell junto a un Covenant profundamente modificado para largo plazo, con nuevos protocolos basados en servicios cloud como Filen, Koofr o pCloud. Los cambios estructurales en Covenant, incluyendo un sistema determinista de identificación de máquinas y modificaciones en el flujo de ejecución para evadir detección, evidencian una capacidad de desarrollo activa y sofisticada.
Este resurgimiento indica que la infraestructura de implantes avanzados de APT28 no desapareció, sino que evolucionó en silencio, probablemente reactivada por el conflicto en Ucrania y mantenida fuera del radar de los analistas hasta ahora.
La doctrina cibernética iraní combina aislamiento digital interno y operaciones encubiertas a través de APT estatales
Según un informe de FalconFeeds, el panorama ciberoperativo iraní en 2026 se caracteriza por la combinación de operaciones ofensivas maduras y una doctrina defensiva basada en el aislamiento digital mediante la National Information Network (NIN), que emplea apagones selectivos, manipulación BGP/DNS y supresión de protocolos (HTTP/3, IPv6) para reducir la superficie de ataque, así como controlar a la disidencia.
Esta estrategia limita la visibilidad internacional de su actividad, pero no sus capacidades, complementadas por el uso de soluciones alternativas como enlaces satelitales comerciales. En paralelo, el Ministerio de Inteligencia y Seguridad (MOIS) mantiene operaciones de espionaje técnico continuado a través de MuddyWater, que abusa de cuentas comprometidas, RMM legítimas y VPNs comerciales, y Prince of Persia, que se apoya en malware como Foudre v34 y Tonnerre v50.
Por su parte, la Guardia Revolucionaria Islámica de Irán (IRGC) opera clústeres ofensivos como OilRig/APT34, caracterizado por el abuso de credenciales cloud y DNS tunneling, y Charming Kitten/APT35, que desarrolla frameworks propios y explota vulnerabildades conocidas. Además, actores afines como Handala funcionan como multiplicadores narrativos mediante campañas de hack‑and‑leak y exageración de impacto.
Ataque mediante Microsoft Teams para desplegar A0Backdoor en entidades financieras y sanitarias
Investigadores de BlueVoyant han identificado una campaña dirigida contra organizaciones de los sectores financiero y sanitario que utiliza ingeniería social a través de Microsoft Teams para obtener acceso remoto mediante Quick Assist. El atacante inicia la operación saturando el correo del objetivo con spam y posteriormente se hace pasar por soporte IT para convencer a la víctima de iniciar una sesión remota.
Una vez obtenido el acceso, despliega instaladores MSI firmados digitalmente que simulan componentes de Teams o CrossDeviceService. La intrusión emplea DLL sideloading con una biblioteca maliciosa (hostfxr.dll) que descifra shellcode en memoria y despliega A0Backdoor, cifrado con AES y protegido mediante detección de sandbox. El malware recopila información del sistema mediante las API de Windows y establece comunicación C2 mediante consultas DNS MX con subdominios codificados, técnica diseñada para evadir controles de detección de DNS tunneling. La campaña muestra fuertes similitudes con las tácticas de BlackBasta.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
