La campaña STAC3725 utiliza indebidamente FTK Imager para eludir los sistemas de defensa, poniendo de manifiesto una técnica sigilosa que adapta las herramientas forenses para garantizar una persistencia discreta en las operaciones previas al ransomware, convirtiendo una vez más en un arma un software de investigación legítimo.

Desarrollado por Nightmare-Eclipse, el mismo investigador responsable de BlueHammer, RedSun es un exploit de día cero sin parche para la escalada de privilegios a nivel local. Aprovecha la lógica de corrección de Microsoft Defender mediante oplocks y junctions, lo que le permite obtener privilegios de sistema al colocar binarios maliciosos en directorios protegidos.

El 3 de abril de 2026, un investigador de seguridad que opera bajo el seudónimo «Chaotic Eclipse» publicó en GitHub un exploit totalmente funcional para la escalada de privilegios locales en Windows. No se llevó a cabo ninguna divulgación coordinada, ni se proporcionó ningún CVE ni ningún parche. El exploit es una vulnerabilidad de día cero de escalada de privilegios que permite a los atacantes leer la base de datos SAM y generar un shell con privilegios de nivel SYSTEM.

En el panorama en constante evolución del robo de credenciales de Windows, el ataque de suplantación ToastNotify destaca como una clase magistral en el abuso de funciones nativas del sistema para phishing en el endpoint. Al secuestrar el subsistema de notificaciones confiable, los atacantes entregan pop-ups indistinguibles de los genuinos.

Telnet es un protocolo de red heredado para el acceso remoto a la línea de comandos a través de TCP/IP, pero es inseguro debido al tráfico sin cifrar. El último CVE, 2026-24061, permite eludir la autenticación en GNU Inetutils telnetd, lo que permite a los atacantes no autenticados obtener acceso root a través de variables de entorno manipuladas.

Estamos siendo testigos de una importante evolución en las tácticas de los adversarios: los actores maliciosos están aprovechando activamente herramientas legítimas y de código abierto para la respuesta a incidentes, como Velociraptor, con fines maliciosos, adoptando de manera efectiva un «patrón de uso indebido» en lugar de depender únicamente de malware personalizado. Esta táctica en evolución pone de relieve la necesidad de estar alerta en la supervisión y detección del uso no autorizado de Velociraptor para interceptar y mitigar eficazmente el uso indebido antes de que dé lugar a un mayor compromiso o al despliegue de ransomware.