english
ZoqueLabs

--[ Anomalía #9 - Zoque-Cumpleaños, 1 año a la caza ]--

Mayo 29, 2026

Por: ZoqueLabs

Este escrito se distribuye con una licencia Creative Commons CC BY-SA (Reconocimiento - Compartir Igual).

English version

 

¡Hola, hola!

Hace un año arrancamos ZoqueLabs.

La verdad es que no teníamos muy claro qué iba a pasar después. Lo que sí teníamos era una costumbre que sigue intacta: cuando algo nos da curiosidad, intentamos desarmarlo y aprender en el proceso. Durante este año descubrimos que una pregunta suele llevar a otra.

Empezamos queriendo entender una vulnerabilidad en Android y terminamos escribiendo un exploit funcional. No nos bastó con leer sobre la vulnerabilidad o ejecutar una prueba de concepto. Queríamos entender cómo funcionaba, qué tan lejos podíamos llevarla y qué rastros dejaría en un dispositivo real. La idea era sencilla: si queremos investigar ataques, también tenemos que entender cómo se construyen.

Después apareció Seeker. Lo que comenzó como una excusa para aprender cómo funcionaba una herramienta de phishing para geolocalizar terminó convertido en un ejercicio de cacería de infraestructura, búsqueda de huellas, generación de indicadores y un taller para compartir metodologías de rastreo utilizando herramientas abiertas. Queríamos encontrar instancias activas. Terminamos aprendiendo sobre OpSec, infraestructura, fingerprints, feeds de inteligencia y formas de compartir hallazgos para que otras personas pudieran reutilizarlos.

Más adelante llegaron Los Diarios de Blind Eagle. Empezamos por un capítulo donde analizamos un archivo SVG utilizado en campañas atribuidas a uno de los actores más persistentes de la región. Como suele pasar, el archivo terminó siendo una puerta de entrada para entender tácticas, infraestructura y una cadena de infección mucho más interesante de lo que parecía a simple vista.

En algún punto también apareció Anomalía. Lo que comenzó como la necesidad de organizar información dispersa sobre amenazas digitales en América Latina terminó convirtiéndose en un espacio donde intentamos hacer algo que nos sigue pareciendo necesario: hablar de inteligencia de amenazas desde nuestros territorios. No porque el resto del mundo no produzca análisis valiosos, sino porque muchas de las amenazas que afectan a activistas, periodistas, defensoras, organizaciones y comunidades de la región rara vez aparecen como prioridad en otros lugares.

Y quizás ahí empezamos a notar un patrón.

Muchas de las preguntas que nos hacíamos tenían algo en común: no encontrábamos suficientes datos para responderlas.

Queríamos observar infraestructura maliciosa en América Latina y terminamos construyendo ZOLIM, un observatorio pensado para documentar sistemas de comando y control y tooling asociado en la región. No nació porque quisiéramos hacer un observatorio. Nació porque queríamos saber qué estaba pasando.

Algo parecido ocurrió con Exfiltradaz. Durante meses vimos aparecer filtraciones en foros, canales, marketplaces y espacios que rara vez llegan a las noticias. Queríamos seguirles el rastro, entender qué circulaba, dónde aparecía y cómo se movía la información expuesta en la región. Lo que empezó como una necesidad de observación terminó convertido en otro experimento abierto.

Mirando hacia atrás, nos damos cuenta de que casi todo lo que hicimos este año nació de la misma forma: alguien nos contó algo, apareció un incidente, encontramos una muestra, vimos una campaña o nos obsesionó una pregunta.

Después vino el resto.

Seguimos pensando que hace falta más investigación técnica producida desde el sur global. Más documentación abierta. Más datos compartidos. Más experimentos reproducibles. Más personas publicando procesos en lugar de guardar resultados. Más espacios donde la inteligencia de amenazas pueda construirse colectivamente.

Nos gusta pensar que ZoqueLabs es apenas una pequeña contribución a todo eso.

Por ahora seguimos haciendo lo mismo que hace un año: seguir preguntas hasta donde nos lleven.

Y a quienes leen, aportan, comentan, reutilizan, replican o simplemente acompañan este proyecto: gracias por seguir el hilo con nosotres.

Con cariño, El equipo de ZoqueLabs 💚

--[ Inteligencia de Amenazas ]–

Argentina — desenmascarando al autor de Valkyrie y Prysmax

En esta segunda entrega sobre Valkyrie Stealer, DeXpose muestra cómo pasó del análisis técnico del malware a la atribución de su presunto desarrollador en Argentina. La investigación usa técnicas de OSINT y el cruce de información de múltiples fuentes para construir un perfil detallado del operador detrás de Valkyrie y Prysmax. Más allá de los detalles del caso, resulta interesante como ejemplo de una investigación que conecta el análisis de malware con la identificación de las personas que lo desarrollan y operan.

Coruna aparece en un paquete npm con miles de descargas

El exploit kit Coruna, conocido por haber sido filtrado desde Trenchant (L3Harris) tras la acción de un empleado, fue descubierto por SafeDep dentro de versiones comprometidas de art-template, una librería de JavaScript con más de 26.000 descargas semanales. Según el análisis, la cadena desplegaba múltiples exploits para iOS y terminaba instalando payloads orientadas al robo de criptomonedas. El caso desmonta uno de los argumentos recurrentes de la industria de vigilancia comercial: que estas capacidades pueden mantenerse bajo control y limitarse a usos específicos. Una vez que herramientas de este nivel se filtran, dejan de pertenecer a gobiernos, contratistas o clientes concretos y pasan a formar parte del arsenal disponible para otros actores. Esta vez aparecieron en una campaña de supply chain compromise; la próxima podrían aparecer en cualquier otro lugar. Quienes terminan asumiendo el riesgo son, como siempre, los usuarios y organizaciones que quedan expuestas ante estas capacidades.

Irán / LATAM — Seedworm amplía operaciones de espionaje en varias regiones

Investigadores reportaron una nueva campaña atribuida a Seedworm (también conocido como MuddyWater), un actor vinculado históricamente a operaciones de espionaje alineadas con intereses iraníes. La actividad observada durante 2026 afectó organizaciones en distintos sectores y países, incluyendo algunos casos en América Latina, y utilizó técnicas como DLL sideloading mediante software legítimo firmado para ejecutar cargas maliciosas y mantener acceso dentro de las redes comprometidas. La mezcla de sectores, países y regiones afectados deja ver una operación con capacidad para mantener campañas activas sobre objetivos distribuidos geográficamente.

--[ Vigilancia y espionaje]–

Brasil — Nuevas revelaciones demuestran el intento de hackeo a un periodista en caso de Daniel Vorcaro

El caso de Daniel Vorcaro, que mezcla acusaciones de fraude financiero, influencia política y operaciones clandestinas, sigue sumando capítulos. A las conversaciones ya conocidas sobre posibles planes para intimidar físicamente al periodista Lauro Jardim (O Globo), se sumaron recientemente capturas de pantalla que muestran discusiones sobre comprometer sus dispositivos mediante algún tipo de phishing. Según los mensajes, el plan consistía en enviar enlaces disfrazados de invitaciones a entrevistas o contactos periodísticos con el objetivo de obtener acceso a información del reportero. El caso ilustra cómo las operaciones contra periodistas suelen combinar tácticas digitales y presenciales cuando las investigaciones afectan intereses económicos o políticos de alto perfil.

Signal — campañas de phishing apuntan a respaldos de conversaciones

Investigadores reportaron campañas de phishing diseñadas para obtener acceso a respaldos de Signal mediante páginas falsas que imitan procesos legítimos de migración o recuperación de cuentas. A diferencia de otros ataques dirigidos contra aplicaciones de mensajería, la operación se enfoca en los mecanismos de respaldo y no en vulnerabilidades de la plataforma. Entre los objetivos identificados aparecen perfiles vinculados a periodismo, activismo y asuntos políticos.

--[ Privacidad y Anonimato]–

Tails elimina Thunderbird de la instalación base

La versión 7.8 de Tails elimina Thunderbird de la instalación por defecto. La decisión responde a un problema de mantenimiento: debido a la forma en que coinciden los ciclos de publicación de Firefox, Thunderbird y Tails, el cliente de correo permanecía con frecuencia varias semanas distribuyéndose con vulnerabilidades ya conocidas. A partir de ahora, quienes necesiten Thunderbird podrán instalarlo como software adicional desde el almacenamiento persistente, permitiendo recibir versiones más recientes sin esperar a una nueva publicación de Tails. Es un cambio pequeño, pero interesante: menos software preinstalado y menos ventanas de exposición para quienes dependen de Tails en contextos sensibles.

--[ Análisis ténicos]–

Linux - Acuatro años de OrBit

Un análisis histórico de Intezer muestra cómo OrBit, un rootkit para Linux observado desde 2022, evolucionó de una muestra aparentemente única a un ecosistema de variantes utilizadas por múltiples actores. La investigación concluye que OrBit deriva del proyecto abierto Medusa y ha sido reutilizado por operadores de ransomware, campañas criminales y grupos de espionaje. Más que una nueva familia de malware, el caso ilustra cómo una misma base de código puede mantenerse vigente durante años mediante pequeñas modificaciones, cambios de configuración y nuevos métodos de despliegue.

Brasil - Banana RAT y el valor de estudiar el cibercrimen común

Trend Micro publicó un análisis muy completo de Banana RAT, un troyano bancario enfocado exclusivamente en Brasil que combina control remoto del dispositivo, captura de pantalla, keylogging, superposición de ventanas bancarias falsas y manipulación de transacciones Pix. Lo más interesante del reporte es que los investigadores tuvieron acceso tanto a la infraestructura de los operadores como a sistemas comprometidos, permitiendo reconstruir toda la cadena de ataque, desde la generación de cargas polimórficas hasta la ejecución en memoria y el control remoto de las víctimas. Aunque este tipo de malware normalmente no apunta a organizaciones de la sociedad civil directamente, investigaciones como esta son valiosas porque exponen técnicas de infección, evasión, persistencia y operación que terminan siendo reutilizadas por otros actores y en otros contextos.

--[ Filtraciones ]–

Guatemala — aplicación para migrantes expuso datos sensibles de más de 38 mil personas

Una auditoría en Guatemala reveló que ConsulApp, una aplicación creada para brindar asistencia a personas migrantes guatemaltecas en Estados Unidos, dejó expuesta información sensible de más de 38 mil personas. La plataforma, desarrollada por una empresa estadounidense contratada por el Ministerio de Relaciones Exteriores, fue deshabilitada posteriormente tras los hallazgos de la Contraloría. Más allá de la exposición de datos, el caso resulta especialmente sensible porque afecta a una población que ya enfrenta riesgos asociados a procesos migratorios, detención y acceso a derechos fuera de su país de origen.

México — Filtración de datos educativos atribuidos a grupo hacktivista

Dentro del flujo constante de filtraciones que se registran en América Latina, algunas destacan por apartarse del modelo habitual de extorsión o venta de acceso. En este caso, bases de datos del Instituto Tecnológico del Istmo fueron publicadas sin restricciones ni demandas económicas aparentes por los actores Z3r00 y MagoSpeak, que operan bajo el nombre SpeakTeam. El incidente también refleja una tendencia que hemos venido observando en Exfiltradaz: actores que anteriormente publicaban hallazgos de forma individual están comenzando a agruparse bajo identidades colectivas para anunciar intrusiones y filtraciones.

Latinoamérica — Las bases de datos gubernamentales de LATAM están siendo saqueadas.

No es un secreto que durante el último año las filtraciones de datos en América Latina han aumentado de forma significativa. Aunque el fenómeno no se limita al sector público, llama la atención la cantidad de incidentes que involucran bases de datos gubernamentales y el surgimiento de grupos aparentemente especializados en la exfiltración y comercialización de información personal. Si bien las motivaciones suelen presentarse como económicas, no siempre es evidente dónde termina el cibercrimen y dónde empiezan otras agendas, ya sean hacktivistas, políticas o incluso vinculadas a actores estatales. También resulta interesante que muchos de estos grupos parecen haber abandonado el modelo clásico de ransomware: en lugar de cifrar sistemas, pasan directamente a la extorsión basada en la publicación de datos o a su venta en foros especializados. Y no todas las filtraciones son lo que aparentan ser. En algunos casos, los datos anunciados como resultado de una intrusión son en realidad recopilaciones de información previamente expuesta o disponible públicamente, utilizadas para amplificar el impacto mediático o generar daño reputacional contra las organizaciones afectadas.

--[ ZOLIM - El snapshot de esta semana (29/05/2026) ]–

ZOLIM reporta 11 nuevas IPs, se destaca:

Puedes consultar toda la información y explorar por país, IP, ciudad, amenaza y otros filtros en el dashboard de ZOLIM.

--[ Exfiltradaz - Snapshot del 15/05/2026 al 29/05/2026 ]–

Durante este periodo se registraron 16 referencias a filtraciones vinculadas a 7 países de la región. Brasil concentra como siempre la mayor parte de la actividad observada, mientras Argentina mantiene una presencia constante por segundo reporte consecutivo. También aparecen más referencias asociadas a entidades gubernamentales, particularmente en Argentina, Ecuador y México.

La actividad continúa distribuida principalmente en plataformas como darkweb, xforums y shadowcarders, donde circulan bases de datos, credenciales y accesos asociados a sectores como gobierno, salud, banca, telecomunicaciones y educación. Durante este período también aparecen tres nuevos actores: omartaha, peps33 y server1172.

Más detalles de estas filtraciones en Exfiltradaz.