Detención de los secuestradores de cuentas de Roblox cerca de Lviv, hackeo del planificador de tareas chino con fines de minería y otros eventos de ciberseguridad - ForkLog: criptomonedas, IA, singularidad, futuro

# Arresto de los secuestradores de cuentas de Roblox cerca de Lviv, hackeo del planificador de tareas chino con fines de minería y otros eventos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Las autoridades llevaron a cabo operaciones contra centros de estafas en Europa, EAU y Tailandia.
• Expertos descubrieron un kit de phishing con funciones de IA.
• Hackers de Drohobych vendieron credenciales de jugadores de Roblox por casi 10 millones de hryvnias.
• Un error crítico en el software de ransomware conduce a la pérdida irreversible de datos.

Las autoridades llevaron a cabo operaciones contra centros de estafas en Europa, EAU y Tailandia

En una operación conjunta, las fuerzas del orden de EE. UU., China, EAU y Tailandia interrumpieron las actividades de nueve centros de estafas con criptomonedas y arrestaron a 276 sospechosos. La Oficina del Fiscal General de EE. UU. publicó un informe al respecto.

Los detenidos en EAU y Tailandia utilizaban esquemas de “matanza de cerdos”. Tras la aceptación de la víctima, perdían el acceso a la criptomoneda “invertida”. Los delincuentes también persuadían a las víctimas para que pidieran dinero a familiares y tomaran préstamos.

Al ciudadano de Myanmar, Tet Min Nyi, se le imputan cargos de conspiración para cometer fraude y lavado de dinero. Según la investigación, era gerente y reclutador en una de las estructuras criminales conocida como Ko Thet Company. También se esperan audiencias para miembros de los grupos Sanduo Group y Giant Company.

En Europa, la semana pasada se desmanteló una red de estafadores que, según se presume, causó daños a víctimas en todo el mundo por más de 50 millones de euros.

La operación conjunta de Europol y Eurojust, iniciada en junio de 2023, llevó a la detención de 10 sospechosos, así como a registros en tres centros de llamadas y nueve residencias privadas en Austria y Albania.

Centro de estafas en Tirana. Fuente: Europol. Según la investigación, las víctimas eran atraídas a plataformas de inversión falsas mediante anuncios en motores de búsqueda y redes sociales. En realidad, los fondos se dirigían a un esquema internacional de lavado de dinero. En casos de doble engaño, los delincuentes contactaban nuevamente a los “clientes” para ofrecer ayuda en recuperar activos perdidos. Se exigía a las personas que depositaran otros 500 euros en criptomonedas como cuota de entrada.

La red de estafadores estaba registrada como una empresa legal con 450 empleados. Los operadores trabajaban en grupos de seis a ocho personas, divididos por idioma, y recibían un salario mensual de aproximadamente 800 euros, además de bonificaciones.

Expertos descubrieron un kit de phishing con funciones de IA

Los especialistas en ciberseguridad de Varonis descubrieron un kit de herramientas de phishing llamado Bluekit. Ofrece a los atacantes más de 40 plantillas que imitan servicios populares, además de incluir un asistente de IA integrado para crear borradores de campañas maliciosas.

El kit ofrece scripts dirigidos a correo electrónico (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub y monederos de criptomonedas Ledger.

La principal característica de Bluekit es el panel AI Assistant, que soporta varios modelos de IA, incluyendo Llama, GPT-4.1, Claude, Gemini y DeepSeek. La herramienta ayuda a los ciberdelincuentes a redactar textos de correos de phishing.

Según Varonis, la función está en fase experimental. Un borrador de ataque probado tenía una estructura útil, pero contenía campos genéricos para enlaces, marcadores de posición para códigos QR y texto que requería mejoras antes de su uso.

Fuente: Varonis. Además de IA, Bluekit combina en un panel la gestión de todo el ciclo del ataque:

• registro de dominios. Compra y configuración de direcciones directamente desde la interfaz;
• gestión de campañas. Creación de páginas de phishing con diseño realista y logotipos de marcas conocidas como Zara, Zoho y Ledger;
• ajustes finos. Bloqueo de tráfico mediante VPN y proxies, bloqueo de sistemas automatizados de análisis y establecimiento de filtros basados en huellas digitales de dispositivos;
• intercepción de datos. Transmisión de información robada a través de Telegram a canales privados de hackers.

Fuente: Varonis. La plataforma permite monitorear sesiones de víctimas en tiempo real, incluyendo cookies, almacenamiento local y estado de la sesión activa tras el ingreso. Esto ayuda a los hackers a ajustar los ataques para maximizar su eficacia.

Según los expertos, aunque aún está en fase de desarrollo activo, el producto evoluciona rápidamente y podría difundirse ampliamente.

Hackers de Drohobych vendieron credenciales de jugadores de Roblox por casi 10 millones de hryvnias

Las autoridades de Lviv arrestaron a estafadores que robaron cuentas en Roblox por 10 millones de hryvnias, informó la Oficina del Fiscal General de Ucrania.

Según la investigación, tres residentes de Drohobych promovían infostilers disfrazados de herramientas para mejorar el juego. Con un malware, los hackers accedían a las credenciales de las víctimas.

Fuente: Oficina del Fiscal General de Ucrania. Los accesos obtenidos se verificaban con un programa especial (chequeador), que mostraba el contenido de la cuenta. Desde octubre de 2025 hasta enero de 2026, se filtraron más de 610,000 cuentas para buscar las más valiosas. Los datos se vendían por criptomonedas en recursos rusos.

Como resultado, en 10 registros, las fuerzas del orden confiscaron equipos, grabaciones, más de 2,500 euros y aproximadamente 35,000 dólares. A los implicados se les imputan cargos por robo y ciberdelitos.

Un error crítico en el software de ransomware conduce a la pérdida irreversible de datos

Los expertos de Check Point descubrieron un fallo grave en el mecanismo de procesamiento de números de un solo uso criptográficos (nonce) en el ransomware VECT 2.0. En lugar de cifrar, el error conduce a la destrucción de datos sin posibilidad de recuperación.

El problema radica en cómo VECT 2.0 maneja archivos de más de 128 KB. Para acelerar el proceso, el programa divide los objetos en cuatro partes y las cifra por separado. Sin embargo, errores en la lógica del código provocan consecuencias catastróficas:

1. Todas las partes del archivo usan el mismo búfer de memoria para la salida del nonce. Cada clave generada sobrescribe la anterior.
2. Como resultado, solo queda una parte, que se escribe en disco.
3. Solo se puede recuperar el 25% final del archivo. Las tres primeras partes no se pueden descifrar porque los números únicos necesarios se perdieron irremediablemente durante el proceso.

Incluso si la víctima paga el rescate, los atacantes no podrán descifrar los datos, ya que los nonce eliminados no se transmiten a los servidores de los hackers.

Los investigadores señalaron que el umbral de 128 KB es extremadamente bajo. Prácticamente toda la información empresarial valiosa cae bajo este límite:

• imágenes de máquinas virtuales;
• bases de datos y copias de seguridad;
• documentos de oficina, hojas de cálculo y buzones de correo.

Esto convierte al malware de ransomware en un simple destructor de datos (wiper), haciendo que pagar el rescate sea inútil. El error está presente en todas las versiones de VECT 2.0 — para Windows, Linux y ESXi.

Nombre incorrecto del algoritmo de cifrado en la publicidad del ransomware. Fuente: Check Point. Según los expertos, VECT se promocionaba activamente en la plataforma de hackers BreachForums. Los operadores invitaban a los usuarios a convertirse en socios y enviaban claves de acceso mediante mensajes privados.

Posteriormente, el grupo anunció una asociación con TeamPCP, el equipo responsable de recientes ataques a cadenas de suministro Trivy, LiteLLM, Telnyx, así como a la Comisión Europea. El objetivo de la alianza era usar a las víctimas para desplegar ransomware.

Hackers hackearon el planificador de tareas Qinglong con fines de minería

Los atacantes aprovecharon dos vulnerabilidades de omisión de autenticación en el planificador de tareas Qinglong para minar criptomonedas de forma oculta en los servidores de los desarrolladores. Lo informaron expertos en ciberseguridad de Snyk.

Qinglong es una plataforma de gestión de tareas en Python/JS de código abierto, popular entre desarrolladores chinos.

La cadena de infección para la ejecución remota de código afectó a Qinglong versión 2.20.1 y superiores.

Según los especialistas, la causa principal de las vulnerabilidades radica en la discrepancia entre la lógica de autorización del middleware y el comportamiento del enrutamiento del framework web Express.js. El nivel de autenticación asumía que ciertos patrones de URL siempre serían tratados de una forma, mientras que Express.js usaba otra.

De acuerdo con Snyk, la campaña de los atacantes comenzó el 7 de febrero de 2026. Los usuarios de Qinglong detectaron primero un proceso malicioso oculto llamado .FULLGC. Para mantener el sigilo, su nombre imita una tarea estándar que consume muchos recursos.

El minero utilizaba entre el 85 y el 100% de la potencia del procesador y estaba dirigido a sistemas Linux, ARM64 y macOS. Los desarrolladores de Qinglong corrigieron la vulnerabilidad en el PR 2941.

También en ForkLog:

• Abril rompió récords de hackeos en la industria cripto.
• Un hacker sacó más de 5 millones de dólares del protocolo Wasabi.
• En ZetaChain se revelaron detalles de un ataque cross-chain por $334,000.
• Hackers atacaron el protocolo DeFi Scallop.
• En Litecoin se reorganizaron bloques debido a un error de día cero.

¿Qué leer este fin de semana?

Especialmente para quienes se perdieron lo más importante del mes, ForkLog preparó un resumen breve.