Mensajes recientes
#91
Hacking / Arabian-Attacker v1.2.2
Último mensaje por redlineking - Julio 01, 2026, 01:15:52 PM
Arabian-Attacker v1.2.2
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Arabian-Attacker v1.2.2 is often referenced in cybersecurity discussions as a tool associated with automated attack simulation. It is studied in controlled environments to understand offensive security patterns.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#92
Hacking / Black Worm Creator Malware v2....
Último mensaje por redlineking - Julio 01, 2026, 01:15:27 PM
Black Worm Creator Malware v2.1 TOOL
Black Worm Creator Malware v2.1 TOOL
This document covers the malware creation and generation tools available in the hack-tools repository. These tools are designed for creating various types of malicious software including VBScript viruses, executable malware, and credential harvesting utilities. For information about exploitation frameworks and payload generators, see Exploitation Frameworks. For credential attack tools that work with existing systems, see Credential Attack Tools.
Overview
The malware creation tools in this repository fall into three main categories:
VBScript-based virus generators that create self-propagating script malware
Executable malware builders that generate compiled malicious binaries
Specialized malware frameworks for .NET assembly manipulation and advanced persistence
These tools demonstrate various malware development techniques including file infection, email propagation, IRC client compromise, registry persistence, and anti-analysis features.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
#93
Hacking / Fudsonly Stealer 0.1
Último mensaje por redlineking - Julio 01, 2026, 01:14:59 PMFudsonly Stealer 0.1
Fudsonly Stealer 0.1
Fudsonly Stealer 0.1 is analyzed as a malware sample associated with data theft behavior patterns.
Security Risks
Credential theft behavior
Sensitive data exposure
System compromise risks
Defensive Insight
Endpoint protection is critical
User awareness reduces infection risk
Monitoring suspicious processes helps detection

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#94
Criptografía / Cryptoware Your go-to Web3 Dev...
Último mensaje por redlineking - Julio 01, 2026, 01:13:25 PM
Cryptoware Your go-to Web3 Development Package
Cryptoware
Cryptoware/core:
Required Dependecies:
"@metamask/eth-sig-util": "^4.0.0"
"@solana/web3.js": "^1.39.1"
"tweetnacl": "^1.0.3"
Installation
yarn add @Cryptocare/core
Cryptogate/react-providers:
Required Dependecies:
"@ethersproject/contracts": "^5.6.0"
"@solana/wallet-adapter-base": "^0.9.5"
"@solana/wallet-adapter-react": "^0.15.4"
"@solana/wallet-adapter-wallets": "^0.15.5"
"@solana/web3.js": "^1.37.1"
"@usedapp/core": "^0.12.9"
"@web3-react/ledger-connector": "^6.1.9"
"@web3-react/trezor-connector": "^6.1.9"
"@web3-react/walletconnect-connector": "^6.2.13"
"@web3-react/walletlink-connector": "^6.2.14"
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
#95
Cursos, manuales y libros / Re:English magazine collection
Último mensaje por Proculin - Julio 01, 2026, 06:54:18 AMAndroid Complete Manual – 26th Edition 2026

Language: English | Format: pdf |2026| Size: 25 MB

Código: text

Language: English | Format: pdf |2026| Size: 25 MB

https://www.up-4ever.net/9a0e292o34n8
https://mega4upload.net/gsc8g9qugysy
https://shareverge.com/Wobj3jVr3DxJ/file
https://rg.to/file/eb064717f0fdd7d18620cc3c7501f447 #96
Dudas y pedidos generales / Re:qa tester
Último mensaje por blackdrake - Julio 01, 2026, 03:06:05 AM #97
Noticias Informáticas / Kali Linux 2026.2: novedades, ...
Último mensaje por Dragora - Junio 30, 2026, 07:38:12 PM
El equipo de Offensive Security ha anunciado el lanzamiento oficial de Kali Linux 2026.2, la segunda gran actualización de la popular distribución Linux especializada en ciberseguridad y pruebas de penetración durante este año. La nueva versión llega con importantes novedades dirigidas a profesionales de la seguridad informática, pentesters, investigadores forenses y hackers éticos, incorporando nueve nuevas herramientas, una actualización del kernel de Linux, mejoras de rendimiento en máquinas virtuales y una evolución significativa de Kali NetHunter, la plataforma para pruebas de penetración en dispositivos Android.
Con cada nueva versión, Kali Linux continúa consolidándose como una de las distribuciones más completas para auditorías de seguridad, análisis de vulnerabilidades y pruebas ofensivas. Kali Linux 2026.2 no es la excepción y presenta optimizaciones que mejoran tanto la experiencia del usuario como el rendimiento general del sistema.
Kali Linux 2026.2 apuesta por un mejor rendimiento y mayor productividad
Kali Linux es una distribución basada en Debian desarrollada específicamente para tareas relacionadas con la ciberseguridad. Su amplio catálogo de herramientas permite realizar pruebas de penetración, análisis forense digital, auditorías de redes, ingeniería inversa, análisis de malware, investigación OSINT y evaluación de infraestructuras críticas.
La distribución puede instalarse como sistema operativo principal, ejecutarse en modo Live o utilizarse desde máquinas virtuales, además de ofrecer compatibilidad con dispositivos ARM, Raspberry Pi y teléfonos Android mediante Kali NetHunter.
En esta nueva edición, Offensive Security ha realizado una actualización integral del sistema que incluye nuevos paquetes, bibliotecas actualizadas y la integración del kernel Linux 6.19 como versión predeterminada. Asimismo, quienes deseen probar características experimentales podrán acceder al kernel Linux 7.0 a través del repositorio kali-experimental.
Nueve nuevas herramientas fortalecen el arsenal de Kali Linux
Uno de los principales atractivos de Kali Linux 2026.2 es la incorporación de nueve nuevas herramientas diseñadas para cubrir distintas áreas de la ciberseguridad.
arsenal-ng
Se incorpora arsenal-ng, una biblioteca escrita en Go que reúne más de 200 cheat sheets orientadas a profesionales de la seguridad informática. Esta herramienta facilita el acceso rápido a comandos utilizados en auditorías, pentesting y análisis de sistemas.
hydra-gtk
Regresa hydra-gtk, la interfaz gráfica basada en GTK para la conocida herramienta Hydra. Su objetivo es simplificar la realización de auditorías de autenticación y pruebas de fuerza bruta sobre múltiples protocolos de red.
legba
Otra incorporación destacada es Legba, una solución especializada en ataques de fuerza bruta, pulverización de contraseñas (password spraying) y enumeración de credenciales compatibles con numerosos protocolos.
oletools
Los analistas forenses y especialistas en respuesta a incidentes dispondrán ahora de oletools, una utilidad destinada al análisis de documentos Microsoft Office y archivos OLE2 en busca de macros maliciosas y otros indicadores de compromiso.
Penelope
También llega Penelope, una potente herramienta para la administración y gestión avanzada de shells remotas, especialmente útil durante ejercicios de post-explotación.
shell-gpt
La inteligencia artificial también se integra oficialmente en Kali Linux mediante shell-gpt, una utilidad de línea de comandos que aprovecha grandes modelos de lenguaje (LLM) para asistir a administradores y profesionales de ciberseguridad en diversas tareas.
Tailscale
Kali Linux añade igualmente Tailscale, una plataforma de conectividad segura basada en redes privadas virtuales modernas, facilitando conexiones protegidas entre múltiples dispositivos.
tookie-osint
Los especialistas en inteligencia de fuentes abiertas (OSINT) disponen ahora de tookie-osint, una herramienta diseñada para localizar perfiles de usuarios en diversas redes sociales e identificar presencia digital.
uro
Finalmente, se incorpora uro, una utilidad orientada al ordenamiento y depuración de listas de URL para optimizar procesos de rastreo web, reconocimiento y pruebas de penetración.
Scripts auxiliares mejorados para facilitar la administración
Además de ampliar su catálogo de herramientas, Kali Linux 2026.2 introduce mejoras en los scripts auxiliares encargados de administrar servicios del sistema.
Estos scripts ahora permiten:
- Comprobar rápidamente si un servicio se encuentra en ejecución.
- Consultar el estado operativo de los servicios instalados.
- Mostrar credenciales predeterminadas asociadas a determinados servicios.
- Obtener información sobre cómo acceder correctamente a cada servicio.
- Facilitar tareas administrativas durante auditorías y laboratorios de pruebas.
Estas mejoras reducen el tiempo necesario para preparar entornos de trabajo y agilizan numerosas tareas habituales en evaluaciones de seguridad.
Arranque mucho más rápido en máquinas virtuales
Uno de los cambios técnicos más importantes de Kali Linux 2026.2 afecta directamente a quienes utilizan la distribución en entornos virtualizados.
Las imágenes precompiladas para máquinas virtuales ya no incluyen firmware gráfico innecesario, reduciendo considerablemente el tamaño inicial del sistema.
Además, el instalador detecta automáticamente cuando la distribución se instala sobre una máquina virtual y evita instalar componentes gráficos que no serán utilizados.
Según Offensive Security, esta optimización permite:
- Reducir el consumo inicial de memoria de aproximadamente 200 MB a tan solo 60 MB.
- Disminuir el tiempo de arranque hasta tres veces en determinadas configuraciones virtualizadas.
- Mejorar significativamente la velocidad de inicio en plataformas como QEMU.
Para quienes ejecutan Kali Linux directamente sobre hardware físico (bare metal), el comportamiento permanece sin cambios, manteniendo la instalación completa con todos los controladores gráficos disponibles.
GNOME 50 y KDE Plasma 6.6 modernizan la experiencia de escritorio
La actualización también alcanza los principales entornos gráficos incluidos en la distribución.
Kali Linux 2026.2 incorpora:
- GNOME 50, que ofrece mejoras de rendimiento, nuevas funciones de accesibilidad y una interfaz más refinada.
- KDE Plasma 6.6, con optimizaciones en estabilidad, eficiencia energética y experiencia visual.
Estas versiones permiten que tanto usuarios avanzados como nuevos profesionales disfruten de un entorno más moderno sin renunciar a las herramientas especializadas de Kali.
Kali NetHunter recibe una importante actualización
Uno de los apartados más reforzados en esta versión es Kali NetHunter, la plataforma orientada a realizar pruebas de penetración desde dispositivos Android.
La actualización incorpora numerosas novedades destinadas a ampliar la compatibilidad y mejorar la experiencia de uso.
Entre las principales mejoras destacan:
- Soporte para flasheo independiente del kernel mediante Magisk.
- Nuevos kernels compatibles con inyección inalámbrica QCACLD3.
- Compatibilidad ampliada con nuevos teléfonos y versiones de Android.
- Mayor soporte para instalaciones bare metal mediante NetHunter Pro.
- Inicio prácticamente instantáneo de la aplicación NetHunter.
- Corrección de errores en el gestor chroot.
- Mejor funcionamiento de los comandos personalizados.
Nueva función EvilTwin para auditorías Wi-Fi
Una de las funciones más interesantes incorporadas en Kali NetHunter es la nueva pestaña EvilTwin, diseñada para crear puntos de acceso Wi-Fi falsos durante auditorías de seguridad inalámbrica.
La herramienta incluye un portal cautivo destinado a realizar pruebas de verificación de credenciales en entornos autorizados y educativos.
Además, los desarrolladores solucionaron antiguos problemas relacionados con las reglas de iptables, permitiendo que el punto de acceso Android continúe funcionando correctamente tras utilizar herramientas como WiFiPumpkin3 o la propia función EvilTwin.
Compatibilidad mejorada con Magisk
Otra novedad relevante es la compatibilidad con el flasheo independiente del kernel utilizando Magisk.
A partir de Kali Linux 2026.2, los usuarios pueden instalar kernels compatibles simplemente abriendo los archivos ZIP generados mediante el instalador oficial de Kali NetHunter directamente desde la aplicación Magisk, simplificando considerablemente el proceso de instalación y actualización.
Kali Linux continúa evolucionando como referencia en ciberseguridad
Con esta nueva versión, Kali Linux reafirma su posición como una de las distribuciones más completas y utilizadas por profesionales de la ciberseguridad en todo el mundo. La incorporación de nuevas herramientas, las mejoras de rendimiento en máquinas virtuales, la actualización de los entornos gráficos y la evolución constante de Kali NetHunter demuestran el compromiso de Offensive Security por ofrecer una plataforma moderna, eficiente y preparada para afrontar los desafíos actuales del pentesting y la investigación de vulnerabilidades.
Para analistas de seguridad, consultores, administradores de sistemas y hackers éticos, Kali Linux 2026.2 representa una actualización altamente recomendable que combina nuevas capacidades ofensivas, optimizaciones de rendimiento y una mejor integración con tecnologías emergentes como la inteligencia artificial, consolidándose como una herramienta imprescindible para cualquier laboratorio de ciberseguridad.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#98
Noticias Informáticas / Operación Navy Ghost: malware ...
Último mensaje por Dragora - Junio 30, 2026, 07:26:47 PM
La seguridad de la cadena de suministro de software vuelve a estar bajo la lupa tras el descubrimiento de Operación Navy Ghost, una campaña maliciosa que ha estado distribuyendo versiones troyanizadas de Pyrogram a través del Python Package Index (PyPI). La operación, activa desde noviembre de 2025, tiene como objetivo a desarrolladores que crean bots de Telegram utilizando Python, permitiendo a los atacantes obtener acceso remoto a servidores comprometidos, ejecutar comandos arbitrarios y robar información confidencial.
La investigación, realizada por Checkmarx, revela que los ciberdelincuentes publicaron múltiples bifurcaciones (forks) aparentemente legítimas de Pyrogram que incorporan una puerta trasera oculta. Una vez instalados estos paquetes, los atacantes pueden controlar completamente los bots infectados y acceder a recursos críticos como bases de datos, variables de entorno, credenciales, tokens de acceso y archivos del sistema.
¿Qué es Pyrogram y por qué los atacantes lo eligieron?
Pyrogram es un popular framework de Python que implementa la API MTProto de Telegram, permitiendo desarrollar bots automatizados y aplicaciones conocidas como userbots. Aunque el proyecto dejó de mantenerse oficialmente y su última actualización se publicó en abril de 2023, continúa siendo ampliamente utilizado por la comunidad de desarrolladores.
Actualmente, Pyrogram registra cerca de 350.000 descargas mensuales en PyPI y cuenta con más de 1.400 bifurcaciones en GitHub, lo que lo convierte en un objetivo atractivo para campañas de ataque contra la cadena de suministro (software supply chain attacks).
Los investigadores consideran que los atacantes aprovecharon precisamente esta popularidad para distribuir versiones modificadas que resultan prácticamente idénticas al proyecto original.
Ocho paquetes maliciosos publicados en PyPI
Checkmarx identificó al menos ocho paquetes maliciosos publicados entre noviembre de 2025 y junio de 2026.
Los paquetes detectados son:
- VLifeGram (9 versiones y aproximadamente 4.150 descargas).
- VLife-Gram (5 versiones y unas 1.030 descargas).
- Pyrogram-Navy (6 versiones con alrededor de 2.530 descargas).
- Pirogram Style (más de 16 versiones y unas 15.370 descargas).
- Pyrogram-Zeeb (1 versión con 432 descargas).
- Kelragram (3 versiones con aproximadamente 1.041 descargas).
- Sepgram (1 versión con 264 descargas).
- Pyrogram-Kelra (1 versión con 672 descargas).
Todos estos paquetes incluyen el código legítimo de Pyrogram, lo que dificulta detectar modificaciones sospechosas durante una revisión superficial del código fuente.
Sin embargo, además del código original, incorporan un archivo oculto denominado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, ubicado dentro de los módulos auxiliares del proyecto, responsable de instalar la puerta trasera.
Así funciona la puerta trasera oculta
La funcionalidad maliciosa se activa automáticamente cuando el desarrollador importa Pyrogram o cuando el bot de Telegram inicia su ejecución.
En ese momento, el archivo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login registra de forma invisible varios manejadores de comandos de Telegram que únicamente pueden ser utilizados por los operadores de la campaña.
Estos comandos permiten ejecutar código Python arbitrario directamente sobre el servidor comprometido.
Por ejemplo, cuando el atacante envía el comando:
/asu print(os.environ)
el malware ejecuta el código Python recibido y devuelve información extremadamente sensible, incluyendo:
- Variables de entorno.
- Tokens de autenticación.
- Credenciales almacenadas.
- Información de configuración.
- Datos de la sesión activa del bot.
Pero las capacidades del malware van mucho más allá.
Ejecución remota de comandos en Linux
Además del intérprete de Python, la puerta trasera incorpora comandos destinados a ejecutar directamente órdenes del sistema operativo.
Un ejemplo documentado por Checkmarx consiste en el siguiente comando:
/asi cat /etc/passwd
La orden es enviada mediante Telegram, ejecutada utilizando /bin/bash en el servidor comprometido y posteriormente la salida se devuelve automáticamente al atacante.
En la práctica, esto concede al ciberdelincuente las mismas capacidades que tendría un usuario con acceso legítimo a la aplicación.
Entre las acciones posibles destacan:
- Leer cualquier archivo accesible para la aplicación.
- Extraer bases de datos completas.
- Obtener secretos almacenados.
- Robar claves API.
- Descargar certificados.
- Acceder a credenciales cloud.
- Instalar malware adicional.
- Crear mecanismos de persistencia.
Cuando la respuesta supera el límite de 4.096 caracteres permitido por Telegram, el malware envía automáticamente el resultado como archivo adjunto.
La puerta trasera solo responde a los atacantes
Uno de los aspectos más sofisticados de Operación Navy Ghost es su sistema de autenticación.
La puerta trasera contiene una lista codificada denominada OWNERS, integrada por varios identificadores de usuarios de Telegram autorizados.
Únicamente estos IDs pueden activar los comandos ocultos.
Este mecanismo ofrece dos ventajas a los operadores:
- Evita que otros investigadores descubran fácilmente la funcionalidad maliciosa.
- Desactiva automáticamente la puerta trasera cuando el software se ejecuta en la infraestructura del propio atacante.
Este nivel de detalle demuestra una planificación considerable y un conocimiento avanzado del funcionamiento interno de Telegram y Pyrogram.
Los objetivos principales son entornos de producción
Otro hallazgo relevante del informe es que la puerta trasera solo se activa cuando detecta que está funcionando sobre una cuenta de bot de Telegram, descartando otros escenarios de prueba o desarrollo.
Según Checkmarx, esta decisión parece completamente intencionada.
Los ciberdelincuentes buscan comprometer servidores en producción donde normalmente se almacenan activos de alto valor, entre ellos:
- Bases de datos corporativas.
- Credenciales administrativas.
- Tokens de acceso.
- Claves API.
- Infraestructura en la nube.
- Variables de entorno.
- Información privada de clientes.
Además del acceso al servidor, el malware también puede consultar conversaciones, contactos, archivos compartidos y cualquier información accesible mediante la sesión activa del bot.
Todo apunta a un único actor de amenazas
Aunque los paquetes fueron publicados utilizando diferentes cuentas dentro de PyPI, los investigadores consideran que detrás de toda la campaña se encuentra un único actor malicioso.
Esta atribución se basa en múltiples evidencias técnicas compartidas entre todos los paquetes:
- Código de puerta trasera idéntico.
- Misma lista de usuarios autorizados (OWNERS).
- Nombres de comandos exactamente iguales.
- Infraestructura compartida.
- Técnicas de persistencia similares.
Estos elementos permiten vincular todas las bifurcaciones maliciosas con una única operación organizada, bautizada por Checkmarx como Operación Navy Ghost.
Cómo protegerse frente a este ataque en PyPI
Los desarrolladores que hayan instalado cualquiera de los paquetes identificados deben actuar de inmediato para minimizar el impacto.
Las principales recomendaciones incluyen:
- Eliminar inmediatamente los paquetes comprometidos.
- Revisar todas las dependencias instaladas mediante PyPI.
- Rotar todas las credenciales almacenadas en el servidor.
- Revocar los tokens de bots de Telegram.
- Generar nuevas claves API.
- Revisar los registros del sistema en busca de actividad sospechosa.
- Buscar mecanismos de persistencia o malware adicional.
- Actualizar las herramientas de seguridad de la cadena de suministro.
Asimismo, resulta recomendable utilizar herramientas de análisis de dependencias, firmas digitales de paquetes y soluciones de seguridad capaces de detectar modificaciones maliciosas antes de incorporar bibliotecas de terceros a proyectos de producción.
La cadena de suministro sigue siendo uno de los mayores riesgos para Python
Operación Navy Ghost vuelve a demostrar que los repositorios públicos de software continúan siendo uno de los objetivos favoritos de los ciberdelincuentes. Al aprovechar la confianza depositada por los desarrolladores en proyectos populares como Pyrogram, los atacantes logran distribuir malware altamente sofisticado que pasa desapercibido durante largos periodos.
La creciente adopción de Python en proyectos de automatización, inteligencia artificial, DevOps y desarrollo backend convierte a plataformas como PyPI en un objetivo prioritario para campañas de compromiso de la cadena de suministro. Por ello, verificar cuidadosamente el origen de las dependencias, mantener un inventario actualizado de bibliotecas y aplicar controles de seguridad antes de desplegar aplicaciones en producción se ha convertido en una práctica esencial para reducir el riesgo de ataques como Operación Navy Ghost.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#99
Noticias Informáticas / El 63% de las apps de chatbots...
Último mensaje por Dragora - Junio 30, 2026, 07:14:18 PM
La rápida adopción de la inteligencia artificial generativa ha impulsado el desarrollo de miles de aplicaciones móviles capaces de interactuar con modelos de lenguaje avanzados como OpenAI, Google Gemini y otros proveedores de IA. Sin embargo, un reciente estudio académico ha puesto de manifiesto un grave problema de seguridad que afecta a una gran parte de este ecosistema: la exposición de claves API y credenciales sensibles dentro de las aplicaciones para iPhone.
Investigadores de la Universidad de Wake Forest analizaron 444 aplicaciones de chatbots de inteligencia artificial disponibles para iPhone y descubrieron que 282 de ellas, aproximadamente el 63%, filtraban mecanismos de acceso a servicios de IA de pago, permitiendo que terceros pudieran utilizar los recursos contratados por los desarrolladores sin autorización.
El hallazgo no solo representa un importante riesgo económico para los propietarios de estas aplicaciones, sino que también demuestra que muchos desarrolladores continúan implementando prácticas inseguras para integrar modelos de lenguaje (LLM), facilitando una modalidad de abuso conocida como LLMjacking.
Un estudio revela una preocupante falta de protección de las claves API
El trabajo constituye la primera investigación exhaustiva centrada exclusivamente en aplicaciones de inteligencia artificial para iOS. Los investigadores desarrollaron una herramienta denominada LLMKeyLens, diseñada para inspeccionar el tráfico de red generado por las aplicaciones mientras interactúan con servicios de IA.
Lo más preocupante del estudio es que no fue necesario realizar jailbreak, modificar las aplicaciones ni emplear técnicas avanzadas de ingeniería inversa. Bastó con monitorizar las comunicaciones entre la aplicación y los servidores remotos para identificar las credenciales utilizadas.
En numerosos casos, la información crítica viajaba directamente dentro del tráfico de red en forma de:
- Claves API visibles en texto plano.
- Tokens de autenticación reutilizables.
- Servidores backend que aceptaban solicitudes sin verificar la identidad del usuario.
Cualquiera que lograra interceptar estas comunicaciones podía reutilizar dichas credenciales para enviar consultas a modelos de inteligencia artificial utilizando la cuenta del desarrollador, quien terminaría asumiendo todos los costos generados.
Tres tipos de vulnerabilidades dominaron el análisis
Los investigadores clasificaron las aplicaciones vulnerables en tres grandes categorías según el tipo de exposición detectada.
1. Claves API expuestas en texto plano
Un total de 54 aplicaciones enviaban directamente la clave API dentro de las solicitudes HTTP.
Esto significa que cualquier persona con acceso al tráfico podía copiar la credencial completa y comenzar a utilizar inmediatamente los servicios contratados por el desarrollador.
La situación resulta especialmente crítica porque estas claves permiten autenticarse directamente frente a plataformas de inteligencia artificial como OpenAI o Google Gemini.
2. Servidores sin autenticación
En 92 aplicaciones, los investigadores descubrieron un problema todavía más grave.
Las solicitudes eran enviadas a servidores intermedios que no verificaban ningún mecanismo de autenticación, permitiendo que cualquier usuario pudiera enviar peticiones libremente.
En la práctica, estos servidores funcionaban como una puerta abierta hacia modelos de IA comerciales, facilitando el consumo ilimitado de recursos de pago.
3. Tokens reutilizables
La categoría más numerosa correspondió a 136 aplicaciones que utilizaban tokens temporales de acceso.
Aunque este enfoque pretende mejorar la seguridad frente al uso de claves API permanentes, los investigadores comprobaron que los tokens podían capturarse fácilmente durante la comunicación y reutilizarse posteriormente.
En numerosos casos, estos tokens permanecían activos mucho más tiempo del previsto.
Uno de los ejemplos más llamativos fue una aplicación con más de 100.000 valoraciones, cuyo token de acceso estaba configurado para expirar en el año 2125, eliminando completamente el concepto de autenticación temporal.
En otro caso, un token con una vigencia teórica de apenas una hora seguía siendo completamente funcional 128 días después de haber caducado.
También quedaron expuestos los prompts internos de los asistentes
Además de las credenciales de acceso, los investigadores identificaron otra filtración especialmente sensible.
En 28 de las 54 aplicaciones que exponían claves API en texto plano, también fue posible recuperar los prompts del sistema, es decir, las instrucciones internas que determinan el comportamiento del chatbot.
Estos prompts contienen información estratégica sobre el funcionamiento del asistente, reglas internas, restricciones, personalidad del modelo y lógica empresarial implementada por los desarrolladores.
En otras palabras, una única captura de tráfico permitía obtener tanto la credencial de acceso como la configuración completa del sistema de inteligencia artificial.
OpenAI lidera la lista de proveedores afectados
Las filtraciones no se limitaron a un único proveedor.
El estudio identificó credenciales pertenecientes a al menos diez plataformas distintas de inteligencia artificial, siendo OpenAI el proveedor más frecuente.
Las aplicaciones afectadas pertenecían a 13 categorías diferentes, lo que demuestra que el problema se encuentra ampliamente distribuido dentro del ecosistema móvil.
Las aplicaciones de productividad representaron el mayor volumen de casos vulnerables.
Sin embargo, las aplicaciones de salud y fitness registraron el porcentaje más elevado de filtraciones.
En contraste, las aplicaciones financieras y médicas analizadas no mostraron exposiciones de este tipo, lo que sugiere la aplicación de controles de seguridad considerablemente más estrictos.
Aunque muchas aplicaciones afectadas eran proyectos pequeños, los investigadores también encontraron casos con más de dos millones de valoraciones, demostrando que incluso aplicaciones ampliamente utilizadas pueden presentar graves errores de implementación.
LLMjacking: una amenaza con importantes consecuencias económicas
El robo de claves API no constituye únicamente un problema técnico.
Actualmente existe una práctica conocida como LLMjacking, mediante la cual los ciberdelincuentes utilizan credenciales robadas para acceder gratuitamente a modelos comerciales de inteligencia artificial.
Las consecuencias financieras pueden ser extremadamente elevadas.
Investigaciones previas realizadas por la empresa de ciberseguridad Sysdig estiman que una única clave comprometida podría generar más de 46.000 dólares diarios en consumo fraudulento, dependiendo del modelo de IA utilizado y del volumen de consultas realizadas.
Dado que muchos proveedores cobran por número de tokens procesados, el uso no autorizado puede disparar rápidamente la factura del desarrollador afectado.
La mayoría de los desarrolladores aún no corrigen el problema
Tras completar el análisis, los investigadores notificaron responsablemente las vulnerabilidades a los 282 desarrolladores afectados y concedieron un plazo de tres meses para implementar soluciones.
Los resultados fueron decepcionantes.
Solo el 28% corrigió claramente la exposición de credenciales.
Otro 23% seguía permitiendo el acceso mediante las claves o tokens filtrados.
El resto de las aplicaciones dejó de responder, fue retirada o devolvía errores que impidieron verificar si el problema había sido solucionado.
Estos resultados reflejan la escasa prioridad que muchos desarrolladores continúan otorgando a la protección de las credenciales de acceso utilizadas por sus aplicaciones.
Cómo evitar la exposición de claves API en aplicaciones de IA
Los investigadores insisten en que la solución es bien conocida desde hace años.
Las claves API nunca deben almacenarse ni enviarse directamente desde la aplicación cliente.
En su lugar, todas las solicitudes hacia los modelos de inteligencia artificial deben pasar por un servidor backend controlado por el desarrollador.
Este servidor debe:
- Autenticar correctamente a cada usuario.
- Gestionar las claves API de forma segura.
- Revocar inmediatamente cualquier credencial comprometida.
- Aplicar límites de uso y monitorización para detectar comportamientos anómalos.
Asimismo, el estudio propone que los proveedores de servicios de IA mejoren su documentación para advertir explícitamente sobre los riesgos de utilizar claves del lado del cliente.
También recomiendan implementar sistemas capaces de detectar automáticamente cuando una misma clave comienza a utilizarse desde miles de dispositivos distintos, un claro indicador de compromiso.
Por último, solicitan que Apple incorpore este tipo de comprobaciones durante el proceso de revisión de aplicaciones en la App Store para impedir que aplicaciones vulnerables lleguen a los usuarios.
En fin...
El estudio de la Universidad de Wake Forest pone de manifiesto un problema de seguridad que afecta a una gran parte de las aplicaciones de inteligencia artificial disponibles para iPhone. La exposición de claves API, tokens reutilizables y servidores sin autenticación facilita el crecimiento del LLMjacking, una amenaza que puede generar pérdidas económicas millonarias y comprometer la infraestructura de servicios de IA.
A medida que la inteligencia artificial continúa integrándose en aplicaciones móviles de todos los sectores, la protección de las credenciales de acceso debe convertirse en una prioridad absoluta. Implementar arquitecturas backend seguras, evitar el almacenamiento de claves en el cliente y aplicar mecanismos adecuados de autenticación serán medidas esenciales para impedir que este tipo de vulnerabilidades siga creciendo en el ecosistema de aplicaciones basadas en modelos de lenguaje.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#100
Noticias Informáticas / RustDuck: el nuevo malware DDo...
Último mensaje por Dragora - Junio 30, 2026, 07:09:10 PM
Una nueva amenaza cibernética denominada RustDuck está captando la atención de la comunidad de ciberseguridad por su capacidad para comprometer miles de dispositivos conectados a Internet y convertirlos en parte de una botnet especializada en ataques de denegación de servicio distribuida (DDoS).
De acuerdo con una investigación realizada por XLab, el laboratorio de seguridad de QiAnXin, esta familia de malware ha permanecido activa desde febrero de 2026 y destaca no solo por la diversidad de dispositivos que puede infectar, sino también por la rapidez con la que evoluciona. Los expertos consideran que RustDuck representa una nueva generación de malware para dispositivos IoT, ya que incorpora técnicas avanzadas de evasión, cifrado moderno y una migración progresiva del tradicional lenguaje C hacia Rust, dificultando considerablemente su análisis.
¿Qué es RustDuck?
RustDuck es una botnet de dos etapas diseñada para secuestrar dispositivos vulnerables como:
- Routers domésticos.
- Cámaras IP.
- Grabadores digitales de video (DVR).
- Decodificadores Android.
- Servidores Linux expuestos a Internet.
Una vez comprometidos, estos equipos pasan a formar parte de una infraestructura controlada remotamente por los operadores del malware, quienes pueden utilizarlos para lanzar ataques DDoS masivos contra sitios web, plataformas empresariales, servicios en línea o cualquier objetivo conectado a Internet.
Aunque actualmente la botnet aún no alcanza el tamaño de campañas históricas como Mirai o AISURU, los investigadores advierten que el verdadero peligro reside en la velocidad con la que sus desarrolladores están incorporando nuevas capacidades.
Cómo infecta RustDuck los dispositivos
A diferencia de otras familias de malware que explotan una única vulnerabilidad, RustDuck emplea múltiples vectores de ataque simultáneamente para aumentar sus probabilidades de éxito.
1. Contraseñas débiles y credenciales por defecto
El método más sencillo sigue siendo uno de los más efectivos.
RustDuck busca dispositivos con servicios Telnet y SSH expuestos a Internet que aún utilizan credenciales predeterminadas o contraseñas débiles. Mediante ataques automatizados de fuerza bruta logra acceder al sistema e instalar el malware.
2. Explotación de vulnerabilidades conocidas
La botnet también aprovecha numerosas vulnerabilidades críticas que continúan presentes en dispositivos sin actualizar.
Entre las más relevantes destacan:
- CVE-2017-17215, vulnerabilidad de ejecución remota de código en routers Huawei HG532, ampliamente utilizada por variantes de Mirai.
- CVE-2025-29635, falla de inyección de comandos en routers D-Link DIR-823X que continúa siendo explotada activamente.
- CVE-2024-1781, vulnerabilidad de ejecución de comandos en routers Totolink X6000R.
- CVE-2018-8007, vulnerabilidad de ejecución remota de código en Apache CouchDB.
Muchas de estas fallas permanecen activas porque los dispositivos afectados han llegado al final de su ciclo de vida y ya no reciben actualizaciones de seguridad.
3. Ataques contra aplicaciones y servidores web
RustDuck no limita sus ataques al hardware doméstico.
También intenta comprometer servidores vulnerables que ejecutan tecnologías ampliamente utilizadas, entre ellas:
- ThinkPHP
- Jenkins
- Hadoop YARN
Esta estrategia amplía significativamente la superficie de ataque, permitiendo que tanto pequeñas redes domésticas como infraestructuras empresariales puedan verse comprometidas.
Una arquitectura de malware mucho más sofisticada
Uno de los aspectos más llamativos de RustDuck es su diseño modular.
La infección comienza con un pequeño cargador (loader), cuyo objetivo consiste en descargar, descifrar y descomprimir el módulo principal del malware.
Es precisamente este núcleo donde reside la mayor parte de la inteligencia del botnet.
Los investigadores observaron que las versiones recientes están siendo reescritas en Rust, un lenguaje moderno que ofrece ventajas tanto para desarrolladores legítimos como para ciberdelincuentes.
Desde el punto de vista del análisis forense, los binarios compilados en Rust resultan considerablemente más complejos de desensamblar que aquellos escritos en C, dificultando la ingeniería inversa y ralentizando las investigaciones.
Técnicas avanzadas para evitar ser detectado
RustDuck incorpora un amplio conjunto de mecanismos diseñados específicamente para impedir que los investigadores analicen su funcionamiento.
Antes de ejecutar cualquier acción maliciosa, realiza numerosas comprobaciones para determinar si se encuentra dentro de un entorno de análisis.
Entre ellas destacan:
- Detección de herramientas como Wireshark y GDB.
- Identificación de depuradores conectados al proceso.
- Búsqueda de indicadores típicos de honeypots.
- Detección de máquinas virtuales.
- Comprobación de hardware utilizado en laboratorios de análisis.
Cada indicador encontrado incrementa una puntuación de riesgo.
Si el malware concluye que está siendo observado por un investigador, elimina parte de su actividad y finaliza inmediatamente su ejecución, dificultando enormemente la obtención de evidencias.
Dos técnicas resultan especialmente ingeniosas.
La primera consiste en conectarse a una dirección IP reservada para pruebas que jamás debería responder. Si obtiene respuesta, interpreta que se encuentra dentro de un entorno artificial y abandona la ejecución.
La segunda compara distintos relojes internos del sistema para detectar sandboxes que aceleran el paso del tiempo con el objetivo de obligar al malware a revelar su comportamiento antes de lo previsto.
Comunicaciones cifradas y resistentes
RustDuck también protege cuidadosamente las comunicaciones con sus servidores de mando y control (C2).
Para ello utiliza algoritmos criptográficos modernos como:
- ChaCha20-Poly1305.
- AES-GCM.
- HKDF-SHA256.
- Curve25519 para el intercambio seguro de claves.
Además, las claves criptográficas se renuevan aproximadamente cada diez minutos y el tráfico se disfraza para parecer conexiones HTTPS normales, dificultando su detección mediante herramientas tradicionales de monitorización.
Una vez registrado un dispositivo, los operadores pueden enviar diversas órdenes, entre ellas:
- Iniciar ataques DDoS.
- Detener campañas activas.
- Consultar el estado del equipo comprometido.
- Cambiar el servidor de control.
- Actualizar silenciosamente el malware.
Para mantener la infraestructura flexible, RustDuck utiliza servicios gratuitos de DNS dinámico, especialmente DuckDNS, origen del término "Duck" utilizado en su nombre.
RustDuck sigue una preocupante tendencia en las botnets modernas
La utilización de Rust en el desarrollo de malware no constituye un caso aislado.
Durante 2025 ya se documentó RustoBot, otra botnet basada en Rust orientada a infectar routers Totolink y otros dispositivos IoT para ejecutar ataques DDoS.
RustDuck representa un paso más en esta evolución, confirmando que los ciberdelincuentes están adoptando tecnologías modernas para desarrollar malware más resistente al análisis y más difícil de detectar.
Esta evolución resulta especialmente preocupante en un año marcado por algunos de los mayores ataques DDoS jamás registrados, con campañas que han alcanzado volúmenes cercanos a los 30 Tbps, impulsadas por enormes botnets formadas por millones de dispositivos comprometidos.
Cómo protegerse frente a RustDuck
Aunque no existe un parche específico contra RustDuck, sí es posible reducir significativamente el riesgo aplicando buenas prácticas de seguridad.
Las principales recomendaciones incluyen:
Desactivar Telnet, SSH y Android Debug Bridge (ADB) cuando no sean necesarios.
Nunca utilizar contraseñas predeterminadas o credenciales débiles.
Mantener routers, cámaras IP, DVR y servidores completamente actualizados.
Sustituir equipos que ya no reciben soporte del fabricante.
Eliminar dispositivos obsoletos como determinados modelos de routers D-Link o Totolink que nunca recibirán correcciones.
Supervisar la red para detectar conexiones sospechosas hacia dominios de control conocidos.
Incorporar los indicadores de compromiso (IoC), hashes y direcciones IP publicados por XLab en las herramientas de monitorización y detección.
En fin...
RustDuck aún no es una de las botnets más grandes del panorama mundial, pero sí representa un claro indicador hacia dónde evoluciona el malware moderno. Su combinación de múltiples vectores de infección, sofisticadas técnicas anti-análisis, comunicaciones cifradas y una arquitectura reescrita en Rust demuestra un importante nivel de desarrollo que podría servir de modelo para futuras campañas maliciosas.
Para organizaciones y usuarios particulares, la principal defensa continúa siendo la misma: mantener los dispositivos actualizados, eliminar servicios expuestos innecesarios, reemplazar equipos sin soporte y aplicar controles de monitorización capaces de detectar comportamientos anómalos antes de que un dispositivo termine formando parte de una botnet utilizada para lanzar devastadores ataques DDoS.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

