--[ Anomalía #2]--

–[ Anomalía #2 Cuando el laboratorio se encuentra con el mundo real ]–

  Hola 💚

Hace unos meses, desde ZoqueLabs nos metimos a las entrañas de Android para entender y explotar CVE-2024-31317, un command injection en Zygote. Pues no era un ejercicio gratuito, en ese momento queríamos entender cómo se vería un exploit con capacidades reales: escalar privilegios, impersonar aplicaciones, extraer datos. Pero también queríamos responder algo más grande: ¿qué rastros deja? ¿Podemos detectarlo desde la sociedad civil (desde el sur global)?

Para explotarlo necesitábamos acceso físico y adb. Un escenario que recuerda más a una herramienta forense que a un malware remoto. Algo tipo Cellebrite. Algo que ocurre cuando el teléfono ya está en manos de quien lo quiere examinar.

En paralelo, el 17 de febrero Kaspersky publicó el análisis de un backdoor Android vinculado a una nueva iteración de Triada, inyectado en la cadena de suministro. Dispositivos comprometidos antes de llegar a manos del usuario. Persistencia profunda. Modificación de procesos críticos. Entre ellos, la inyección de código en el proceso responsable de arrancar aplicaciones: el mismo Zygote que nosotres habíamos estado estudiando. Un mecanismo que define qué usuario ejecuta qué proceso y con qué permisos.

Casi al mismo tiempo, Citizen Lab documentó el uso de herramientas de extracción de Cellebrite contra el activista keniano Boniface Mwangi. Allí no había un backdoor en la cadena de suministro, sino acceso físico y capacidades de escalamiento para extraer información del dispositivo. Técnicamente, el escenario se parece mucho más a lo que exploramos en nuestro experimento.

Estos casos —que desarrollamos más abajo— nos interesan no solo por el impacto político o regional, sino porque no están tan lejos de nuestro experimento. Y es justamente ahí donde nuestro trabajo cobra fuerza: que desde la sociedad civil del sur global también podemos investigar a este nivel.

Bienvenides a Anomalía #2, ¡vamoo!

–[ Cibercrimen ]–

Caso judicial expone servicios de spyware por red criminal transnacional Colombiana

Documentos judiciales citados por CBC News indican que el canadiense Ryan Wedding habría pagado por acceso a un software de interceptación en dispositivos móviles para rastrear en tiempo real el teléfono de un objetivo, en el contexto de una investigación por narcotráfico y homicidio por encargo con conexiones en Colombia. Investigadores señalan que el mismo spyware habría sido utilizado en múltiples ocasiones en Canadá y México, mostrando cómo capacidades de vigilancia normalmente asociadas a actores estatales también circulan en entornos de crimen organizado a través de intermediarios privados.

Colombia - medio IFMNoticias reporta ataques de denegación de servicio tras la publicación de investigaciones en contexto electoral

El medio independiente IFMNoticias reportó haber sido víctima de un ataque informático que habría comprometido su sitio web y parte de su infraestructura digital. Al parecer, el incidente podría estar relacionado con investigaciones periodísticas recientes, aunque hasta el momento no se han presentado detalles técnicos públicos que permitan verificar el alcance, vector de acceso o atribución del ataque.

Detectan páginas falsas de Spotify alojadas en sitios de pymes Latinoamericanas comprometidas

ESET Latinoamérica ha identificado campañas de phishing donde atacantes comprometen sitios web vulnerables de pequeñas y medianas empresas para alojar páginas falsas que suplantan a Spotify, con el objetivo de robar credenciales de acceso y datos de pago. Los casos documentados en Chile y Argentina muestran cómo los atacantes aprovechan vulnerabilidades en CMS o complementos para insertar formularios clonados y capturar los datos.

–[ Estado y vigilancia]–

Kenia — Uso de extracción forense contra activista

Citizen Lab documentó el uso de herramientas de extracción de Cellebrite contra el activista y político keniano Boniface Mwangi. El análisis forense del dispositivo reveló indicios de acceso físico y uso de capacidades avanzadas de desbloqueo y extracción de datos. No se trata de spyware remoto ni de una infección persistente, sino de explotación directa del dispositivo bajo custodia, con técnicas que permiten escalar privilegios y acceder al contenido interno de aplicaciones. El artículo no solo se concentra en la identificación del uso de Cellebrite en el teléfono de Mwangi, sino que cuestiona cómo estas herramientas se venden sin verificaciones reales sobre su uso final, terminando en manos de autoridades que las emplean contra personas defensoras, activistas o líderes de oposición -casos mencionados allí como Honduras en contra de personas defensoras ambientales o en Venezuela contra opositores-.

Argentina - denuncian ataques digitales coordinados contra periodistas y organizaciones

Durante una audiencia ante la Comisión Interamericana de Derechos Humanos (CIDH), periodistas y organizaciones de derechos humanos reportaron ataques coordinados que incluyen campañas de difamación masiva, amenazas, intentos de hackeo, robo de identidad y uso de inteligencia artificial para fabricar contenido falso con fines de intimidación, según informó PEN International. La CIDH advirtió sobre una tendencia persistente de estigmatización y amenazas contra periodistas y defensores, y expresó disposición para realizar una visita al país, en un contexto donde organizaciones señalan un deterioro sostenido del entorno para la libertad de expresión mientras el gobierno ha negado restricciones o ataques sistemáticos.

–[ Malware / spyware / supply chain ]–

ZeroDayRAT — plataforma de spyware móvil comercial para Android y iOS

iVerify describe una nueva plataforma de spyware denominada ZeroDayRAT, distribuida abiertamente a través de canales de Telegram con panel de administración y builder para generar cargas maliciosas para Android y iOS. La infección ocurre principalmente mediante enlaces enviados por SMS o mensajería que inducen a instalar aplicaciones falsas, tras lo cual el operador obtiene acceso remoto completo al dispositivo, incluyendo mensajes, ubicación, cámara, micrófono y notificaciones. El toolkit incorpora además un módulo de robo financiero que utiliza overlays para capturar credenciales de banca móvil y billeteras digitales, combinando vigilancia y monetización desde una misma infraestructura. El modelo de distribución —venta directa con soporte y actualizaciones— muestra la consolidación de spyware móvil como servicio accesible a actores sin capacidades técnicas avanzadas.

Android — Backdoor Keenadu (Triada) integrado a nivel de sistema

Kaspersky analizó Keenadu, un backdoor Android vinculado a Triada distribuido mediante compromiso en la cadena de suministro. El implante venía integrado en la imagen del sistema, operando con privilegios elevados desde el primer arranque del dispositivo. Según el reporte, el malware modificaba componentes del framework e inyectaba código en procesos como Zygote, permitiéndole ejecutar carga adicional cada vez que se iniciaban aplicaciones y heredar sus permisos. Este nivel de integración le otorga persistencia profunda y acceso transversal al entorno de usuario. Brasil aparece como uno de los principales mercados afectados.

–[ Filtraciones ]–

Chile - Base de datos expone información personal de millones de personas

Investigadores de WizCase identificaron una base de datos accesible públicamente que contenía información personal de más de 14 millones de personas en Chile, incluyendo registros de identificación asociados a población adulta, en un conjunto de aproximadamente 3 GB cuyo origen no ha sido confirmado. La base estaba alojada en infraestructura de terceros y quedó expuesta sin protección de acceso.

Software fiscal en Argentina expone bases de datos de empresas

Un proveedor argentino de software de gestión impositiva habría sufrido una brecha que expuso aproximadamente 440 bases de datos de empresas clientes, junto con unos 4.7 GB de registros financieros y componentes de infraestructura interna, según reportes publicados en entornos criminales. La información incluiría registros financieros de empresas y datos asociados a organismos públicos, entre ellos ministerios y entidades vinculadas a la administración tributaria (AFIP). Hasta el momento, no hay confirmación pública independiente del incidente.

Perú — exposición de datos ciudadanos vinculados a municipio de Mejía

Actor afirmó haber obtenido y publicado información asociada a la Municipalidad Distrital de Mejía en Perú, incluyendo registros provenientes de formularios ciudadanos con datos personales como nombres, contactos y direcciones, según reportes recopilados por DailyDarkWeb. La base de datos expone miles de entradas y estaría circulando en diferentes foros, aunque hasta el momento no existe confirmación independiente pública sobre el alcance del incidente ni sobre el compromiso directo de sistemas municipales.

–[ Hacktivismo / Stalkerware ]–

Exposición de más de 500 mil registros de pagos vinculados a proveedor de stalkerware

Hacktivista obtuvo más de medio millón de registros de pagos asociados a un proveedor de aplicaciones de vigilancia telefónica, explotando una vulnerabilidad web que permitió acceder a información de transacciones y datos de clientes. Esta acción hace parte de un movimiento que cada vez tiene más fuerza y que busca exponer públicamente a quienes compran y usan estas herramientas. El conjunto incluye detalles de cuentas y pagos vinculados al uso de software de espionaje comercial.

–[ Amenazas ]–

Zero-day en Chrome explotado en la vida real (CVE-2026-2441)

Google corrigió una vulnerabilidad zero-day en Chrome (CVE-2026-2441) que estaba siendo explotada activamente. La falla, un use-after-free en el componente CSS, podría permitir ejecución remota de código cuando la víctima visita contenido web especialmente diseñado, abriendo la puerta al compromiso del sistema. Google restringió los detalles técnicos mientras distribuye el parche en la versión estable del navegador.

–[ ZOLIM - El snapshot de esta semana ]–

En el snapshot más reciente de ZOLIM (nuestro observatorio latinoamericano de infraestructura maliciosa) observamos 87 IPs activas asociadas a 14 frameworks ofensivos, con presencia en 13 países de la región.

Algunas señales que más nos llamaron la atención:

• GoPhish sigue siendo la especie dominante (56 nodos). Brasil concentra la mayor parte de la infraestructura, pero aparecen también instancias en Colombia, México y Perú.
• Colombia mantiene una pequeña pero consistente concentración de DCRat, principalmente en Barranquilla y sobre redes de conectividad móvil.
• Observamos rotación de infraestructura hacia nuevos ASNs y proveedores (incluyendo hosting comercial y telecomunicaciones regionales). No parecen actores nuevos pero sí movilidad moderada de infraestructura.
• Se mantiene la presencia de frameworks de post-explotación como Sliver, Havoc, Cobalt Strike, Quasar y Mythic.

En conjunto, los datos apuntan a un escenario donde el phishing continúa siendo la principal puerta de entrada, mientras la infraestructura ofensiva convive cada vez más con servicios cloud comerciales legítimos (Oracle, Microsoft, Amazon, Google).

En ZOLIM encuentras el snapshot completo y la tabla donde puedes filtrar todas las IPS activas por país para que profundices si quieres :D