La campaña STAC3725 utiliza indebidamente FTK Imager para eludir los sistemas de defensa, poniendo de manifiesto una técnica sigilosa que adapta las herramientas forenses para garantizar una persistencia discreta en las operaciones previas al ransomware, convirtiendo una vez más en un arma un software de investigación legítimo.

En el panorama en constante evolución del robo de credenciales de Windows, el ataque de suplantación ToastNotify destaca como una clase magistral en el abuso de funciones nativas del sistema para phishing en el endpoint. Al secuestrar el subsistema de notificaciones confiable, los atacantes entregan pop-ups indistinguibles de los genuinos.

SplitDrop revela cómo el grupo Dust Specter, presuntamente vinculado a Irán, hizo uso indebido de la carga lateral de DLL para acelerar la ejecución y eludir los controles de seguridad, manteniendo así la persistencia y permitiendo una cadena de infección sigilosa que se camuflaba entre el comportamiento de las aplicaciones legítimas.

A principios de 2026, los actores de amenazas explotaron vulnerabilidades en SolarWinds Web Help Desk, incluyendo CVE-2025-40551 y CVE-2025-40536, para obtener acceso inicial y escalar privilegios en servidores vulnerables. Los atacantes luego aprovecharon la herramienta de Windows print.exe para extraer información sensible y exfiltrarla.

Telnet es un protocolo de red heredado para el acceso remoto a la línea de comandos a través de TCP/IP, pero es inseguro debido al tráfico sin cifrar. El último CVE, 2026-24061, permite eludir la autenticación en GNU Inetutils telnetd, lo que permite a los atacantes no autenticados obtener acceso root a través de variables de entorno manipuladas.

Una sofisticada campaña de phishing ataca los sectores manufacturero y gubernamental en Italia, Finlandia y Arabia Saudita mediante un cargador TaskScheduler troyanizado. Abusa de RegAsm.exe a través del proceso hollowing para distribuir PureLog Stealer, que ejecuta tráfico de red saliente anómalo desde esta utilidad .NET, informa de la inyección de código y la evasión living-off-the-land.

Matanbuchus 3.0 es un cargador de malware como servicio basado en C++ que representa un importante paso evolutivo con respecto a las ramas anteriores de Matanbuchus. Observado por primera vez como un cargador comercial alrededor de 2020-2021, Matanbuchus se centró originalmente en la descarga de implantes de segunda fase, como QakBot y varios ladrones, pero la versión 3.0 refuerza esta función con una refactorización a nivel de protocolo, una criptografía más sólida y una semántica de ejecución ampliada, adaptada a entornos empresariales de alta fricción y con un uso intensivo de EDR.

Estamos siendo testigos de una importante evolución en las tácticas de los adversarios: los actores maliciosos están aprovechando activamente herramientas legítimas y de código abierto para la respuesta a incidentes, como Velociraptor, con fines maliciosos, adoptando de manera efectiva un «patrón de uso indebido» en lugar de depender únicamente de malware personalizado. Esta táctica en evolución pone de relieve la necesidad de estar alerta en la supervisión y detección del uso no autorizado de Velociraptor para interceptar y mitigar eficazmente el uso indebido antes de que dé lugar a un mayor compromiso o al despliegue de ransomware.