Infy, n8n y React2Shell: Ciberespionaje estatal, ejecución remota y secuestro de servidores NGINX
Resumen del día
El grupo Infy reanuda el ciberespionaje con el malware Tornado v51, mientras una falla crítica en n8n permite la ejecución remota de comandos mediante webhooks. Simultáneamente, la vulnerabilidad React2Shell es explotada masivamente para inyectar configuraciones maliciosas en NGINX y secuestrar tráfico web global.
EL GRUPO DE CIBERESPIONAJE "INFY" REANUDA SUS OPERACIONES TRAS EL APAGÓN DE INTERNET EN IRÁN CON NUEVAS TÁCTICAS DE EVASIÓN
TEHERÁN – Tras el levantamiento del estricto bloqueo de internet impuesto por el régimen iraní a principios de enero de 2026, el sofisticado grupo de amenazas conocido como Infy (también denominado Prince of Persia) ha retomado sus actividades. Según investigaciones recientes de la firma de ciberseguridad SafeBreach, el grupo ha desplegado una nueva infraestructura de comando y control (C2) y ha actualizado sus herramientas de malware para mejorar su capacidad de ocultamiento.La reactivación de Infy se detectó formalmente el pasado 26 de enero de 2026, apenas un día antes de que el gobierno iraní comenzara a relajar las restricciones de conectividad en el país. Para los analistas de SafeBreach, la sincronía entre las decisiones gubernamentales y los movimientos técnicos del...
LONDRES – Una grave falla de seguridad ha sido descubierta en la popular plataforma de automatización de flujos de trabajo n8n, la cual podría permitir a atacantes ejecutar comandos arbitrarios en los servidores que alojan la herramienta. La vulnerabilidad, identificada como CVE-2026-25049 y con una puntuación de severidad CVSS de 9.4, ha sido revelada tras una investigación de la firma de ciberseguridad SecureLayer7.El fallo técnico surge como consecuencia de una sanitización insuficiente de datos, lo que permite eludir las protecciones implementadas anteriormente para mitigar otra vulnerabilidad crítica (CVE-2025-68613) parcheada a finales del año pasado.El mecanismo del ataque: Expresiones maliciosasSegún el reporte técnico de SecureLayer7, un usuario autenticado con...
NUEVA YORK – Una sofisticada campaña de secuestro de tráfico web está afectando a miles de servidores en todo el mundo. Según un reciente informe de Datadog Security Labs, diversos grupos de actores de amenazas están explotando la vulnerabilidad crítica conocida como React2Shell (CVE-2025-55182) para inyectar configuraciones maliciosas en servidores NGINX y paneles de gestión como Baota (BT).Esta ofensiva permite a los atacantes interceptar y redirigir las solicitudes legítimas de los usuarios hacia infraestructuras controladas por criminales, facilitando el robo de datos y la distribución de malware a gran escala.El método: De la ejecución de código al control de redLa vulnerabilidad React2Shell, que posee la máxima puntuación de severidad (CVSS 10.0), permite la...
