El Grupo Konni Utiliza un Backdoor de PowerShell Creado por IA Dirigido a Desarrolladores Blockchain.

TL;DR

El Grupo Konni, una Advanced Persistent Threat (APT) con presunta afiliación norcoreana, ha evolucionado su arsenal cibernético para integrar un backdoor de PowerShell avanzado, parcialmente generado por inteligencia artificial (IA), dirigido específicamente a desarrolladores del ecosistema blockchain. Esta nueva campaña representa un salto significativo en sus TTPs (Tactics, Techniques, and Procedures), empleando ingeniería social sofisticada para obtener acceso inicial y desplegar malware diseñado para exfiltrar credenciales, propiedad intelectual y activos financieros de alta relevancia. La adopción de código generado por IA busca mejorar la evasión de defensas tradicionales, introduciendo nuevas capas de ofuscación y polimorfismo que dificultan la detección y atribución.

Contexto de la Amenaza

El Grupo Konni es un actor de amenaza persistente avanzado, predominantemente asociado con el Estado norcoreano, conocido por sus campañas de espionaje cibernético dirigidas principalmente contra organizaciones e individuos en Corea del Sur, pero con un alcance que se ha expandido globalmente. Históricamente, Konni ha sido prolífico en el uso de spear-phishing y documentos maliciosos (maldocs) con macros para distribuir una variedad de malware, incluyendo backdoors personalizados y herramientas de recolección de información. Su modus operandi tradicional se ha centrado en la recolección de inteligencia política, económica y militar.

La incursión del Grupo Konni en el targeting de desarrolladores blockchain marca una convergencia estratégica de sus objetivos de espionaje con el creciente interés global en activos digitales y tecnologías descentralizadas. Los desarrolladores blockchain son objetivos de alto valor debido a su acceso privilegiado a:
1. Propiedad Intelectual Crítica: Código fuente de contratos inteligentes, algoritmos propietarios, arquitecturas de sistemas y claves criptográficas.
2. Activos Financieros Directos: Criptomonedas almacenadas en monederos personales o de proyectos, así como acceso a exchanges y plataformas de trading.
3. Acceso a Infraestructura Crítica: Credenciales para repositorios de código (GitHub, GitLab), servicios cloud (AWS, Azure, GCP), entornos de desarrollo (IDE) y sistemas de CI/CD.
4. Influencia en el Ecosistema: La capacidad de un desarrollador comprometido para inyectar código malicioso en proyectos legítimos puede dar lugar a ataques de cadena de suministro con consecuencias sistémicas.

La novedad de esta campaña radica en la utilización de un backdoor de PowerShell, cuya particularidad es la inclusión de componentes o incluso la estructura completa generada por IA. Esto no solo sugiere una sofisticación técnica creciente, sino también un esfuerzo por parte de los adversarios para explotar las capacidades emergentes de la IA generativa para crear payloads más evasivos, polimórficos y difíciles de atribuir. Este avance les permite generar variantes de malware con mayor velocidad y menor esfuerzo, dificultando la detección basada en firmas y las contramedidas tradicionales.

El vector inicial más probable para esta campaña continúa siendo el spear-phishing altamente dirigido. Los atacantes probablemente se hacen pasar por reclutadores, colaboradores de proyectos blockchain, o incluso organizaciones legítimas dentro del espacio cripto, utilizando señuelos convincentes como ofertas de trabajo atractivas para proyectos innovadores, solicitudes de colaboración en repositorios de código abierto, o enlaces a «recursos» de desarrollo aparentemente útiles. Una vez que el desarrollador interactúa con el señuelo (abriendo un archivo adjunto, haciendo clic en un enlace), se inicia la cadena de ataque que culmina con la ejecución del backdoor de PowerShell.

Análisis Técnico Detallado (Kill Chain/TTPs)

El ataque del Grupo Konni contra desarrolladores blockchain mediante un backdoor de PowerShell generado por IA sigue una kill chain bien definida, con TTPs que demuestran una evolución en sus capacidades.

1. Initial Access:
* Spear-Phishing: El vector primario. Correos electrónicos altamente personalizados, a menudo disfrazados de ofertas de trabajo de alto perfil para proyectos blockchain innovadores, invitaciones a colaborar en repositorios de GitHub/GitLab, o comunicaciones de plataformas de intercambio de criptomonedas. Estos correos incorporan lures convincentes, como archivos .zip protegidos con contraseña que contienen documentos (PDF, DOCX) o scripts (.ps1, .js) aparentemente legítimos.
* Compromiso de Cuentas/Repositorios: En escenarios más avanzados, Konni podría comprometer cuentas legítimas de desarrolladores o repositorios de código abierto para inyectar su malware, aprovechando la confianza implícita en la cadena de suministro de software.
* Sitios Web Maliciosos: Creación de sitios web clonados de plataformas populares de desarrollo o proyectos blockchain para distribuir el payload.

2. Execution:
* User-Initiated Execution: El payload de PowerShell se activa cuando el desarrollador interactúa con el señuelo. Esto puede ser ejecutando un script .ps1 directamente, o a través de un documento malicioso que utiliza macros para lanzar una instancia de PowerShell.
* Obfuscation: El script de PowerShell está fuertemente ofuscado. Técnicas comunes incluyen:
* Base64 Encoding: Para ocultar el código real.
* String Manipulation: Concatenación, fragmentación y reconstrucción de cadenas para evadir firmas.
* Variable Aliasing: Uso de alias de comandos y variables para dificultar la lectura y el análisis.
* AI-Generated Polymorphism: Aquí es donde entra la IA. El backdoor utiliza un motor generativo para crear variantes únicas de su código ofuscado para cada víctima o sesión, alterando nombres de funciones, variables, comentarios irrelevantes e incluso la estructura lógica del script sin cambiar su funcionalidad. Esto dificulta la creación de firmas estáticas y el análisis de comportamiento basado en patrones conocidos.
* Anti-Analysis Checks: El script puede incluir verificaciones para detectar entornos de sandbox, máquinas virtuales o la presencia de depuradores, saliendo o modificando su comportamiento si se detectan.
* Dropper Functionality: Una vez ejecutado, el script de PowerShell actúa como un dropper, descargando componentes adicionales desde un servidor de Command and Control (C2) o extrayéndolos de datos codificados dentro del propio script.

3. Persistence:
* Registry Run Keys: Modificación de claves del Registro como HKCU\Software\Microsoft\Windows\CurrentVersion\Run o HKLM\Software\Microsoft\Windows\CurrentVersion\Run para asegurar la ejecución del backdoor en cada inicio de sesión o arranque del sistema.
* Scheduled Tasks: Creación de tareas programadas (using schtasks.exe) con nombres benignos para ejecutar el backdoor a intervalos regulares o bajo ciertas condiciones (e.g., inicio de sesión del usuario, actividad de red).
* WMI Event Subscriptions: Uso de Windows Management Instrumentation (WMI) para crear suscripciones a eventos que activan el backdoor, una técnica más sigilosa que las tareas programadas tradicionales.
* Modificación de Archivos de Inicio: Inserción de referencias al backdoor en scripts de inicio de usuario o de sistema.

4. Defense Evasion:
* Living Off The Land (LOTL): Amplio uso de herramientas legítimas del sistema operativo (PowerShell, bitsadmin, certutil, wuauclt.exe, mshta.exe) para realizar sus funciones, haciendo que la actividad maliciosa se confunda con la actividad normal del sistema.
* Fileless Malware: El backdoor puede operar en gran medida en memoria, minimizando la escritura de artefactos en disco que los antivirus tradicionales podrían detectar.
* Code Generation by AI: La capacidad de la IA para generar código polimórfico y ofuscado al vuelo es una ventaja significativa. Esto puede resultar en:
* Generación de C2 Domain/IPs: C2 DGAs (Domain Generation Algorithms) más sofisticados o la rotación rápida de la infraestructura C2.
* Evasión de Sandbox: Generación de payloads que solo se activan después de una serie de interacciones humanas, evadiendo la detección en entornos automatizados.
* Novel Obfuscation: Patrones de ofuscación que no han sido vistos previamente, dificultando la creación de firmas por parte de los investigadores de seguridad.
* Process Hollowing/Injection: Inyección del código malicioso en procesos legítimos (explorer.exe, svchost.exe) para ocultar su ejecución.

5. Credential Access:
* LSASS Dump: Intento de volcar el proceso lsass.exe para extraer credenciales en texto plano o hashes NTLM (mimikatz es una herramienta común, pero pueden usar variantes internas).
* Browser Credential Theft: Exfiltración de credenciales almacenadas en navegadores web (cookies, contraseñas guardadas, tokens de sesión). Esto es crucial para acceder a exchanges de criptomonedas y plataformas de desarrollo basadas en la web.
* Registry Hive Dumping: Extracción de las hives del Registro (SAM, SECURITY, SYSTEM) para obtener hashes de contraseñas.
* Keylogging: Despliegue de un keylogger para capturar entradas de teclado, incluyendo contraseñas, seed phrases de monederos y claves API.
* Stealing Developer Tokens/API Keys: Búsqueda y exfiltración de tokens de acceso para GitHub, GitLab, AWS, Azure, Docker Hub, etc., que a menudo se almacenan en archivos de configuración o variables de entorno.

6. Discovery:
* System Information Gathering: Comandos como whoami, systeminfo, ipconfig, netstat, tasklist para mapear el entorno.
* File and Directory Enumeration: Búsqueda específica de archivos relacionados con el desarrollo blockchain:
* *.sol (Solidity smart contracts), *.js, *.ts, *.py (scripts de dApps).
* Claves SSH (id_rsa, id_ed25519).
* Archivos de configuración de monederos (wallet.dat), seed phrases, claves privadas.
* Credenciales en archivos de texto, .env files, scripts de automatización.
* Contenidos de repositorios de código locales.
* Network Discovery: Mapeo de la red local para identificar otros hosts, servidores de archivos, y recursos compartidos a los que el desarrollador podría tener acceso.

7. Lateral Movement:
* PsExec/WMI: Uso de estas herramientas para ejecutar comandos en sistemas remotos dentro de la red.
* RDP/SMB: Explotación de credenciales robadas para acceder a otras máquinas a través de Remote Desktop Protocol o Server Message Block.
* SSH Hijacking: Si se roban claves SSH, pueden usarse para acceder a servidores de desarrollo, entornos de staging o producción.
* Cloud Credential Reuse: Uso de claves API o credenciales de la nube para comprometer otros servicios en la infraestructura de la organización.

8. Command and Control (C2):
* HTTPS/DNS over HTTPS: Comunicación cifrada para evadir la inspección de tráfico de red. El C2 puede utilizar dominios generados por DGA (Domain Generation Algorithms) o comprometer sitios web legítimos para alojar su infraestructura.
* Cloud Services: Uso de servicios legítimos en la nube (e.g., Pastebin, GitHub gists, Telegram, Discord, servicios de almacenamiento en la nube) para la comunicación C2 o como punto de entrega de payloads.
* Beaconing: La comunicación es a menudo esporádica y con intervalos aleatorios para evitar la detección por patrones de tráfico.
* AI-Driven C2: La IA podría estar involucrada en la generación de dominios C2 o la adaptación de los protocolos de comunicación para imitar el tráfico legítimo con mayor precisión.

9. Exfiltration:
* Data Staging: Recopilación de los datos robados en un directorio temporal en el sistema comprometido, a menudo comprimidos y cifrados.
* Exfiltration Channels:
* El propio canal C2 (HTTPS).
* Servicios de almacenamiento en la nube legítimos (Dropbox, Google Drive, OneDrive) a través de cuentas comprometidas.
* FTP/SFTP a servidores externos.
* DNS exfiltration (codificando datos en consultas DNS).
* Targeted Data:
* Claves Privadas y Seed Phrases: Para el control directo de monederos de criptomonedas.
* Código Fuente y Propiedad Intelectual: Algoritmos, contratos inteligentes, modelos de negocio.
* Credenciales y Tokens: Acceso a exchanges, repositorios de código, cuentas cloud.
* PII: Información de identificación personal de los desarrolladores y usuarios.
* Documentación de Proyectos: Estrategias, planes de lanzamiento, vulnerabilidades conocidas.

Impacto y Riesgos

El éxito de la campaña del Grupo Konni que emplea backdoors de PowerShell generados por IA contra desarrolladores blockchain conlleva una serie de impactos y riesgos significativos, que van desde el nivel individual hasta el ecosistema global de la tecnología blockchain.

1. Para el Desarrollador Individual:
* Pérdida Financiera Directa: Robo de criptomonedas de sus monederos personales, cuentas de exchange, o fondos asignados a proyectos.
* Compromiso de Identidad y Reputación: Exfiltración de datos personales, acceso a otras cuentas en línea (correo electrónico, redes sociales), lo que puede llevar a robo de identidad y daño reputacional.
* Pérdida de Acceso a Activos Digitales: La exfiltración de claves privadas puede resultar en la pérdida irrecuperable de activos.
* Responsabilidad Legal: Un desarrollador cuya cuenta o entorno de desarrollo es comprometido podría ser implicado en ataques de cadena de suministro o el compromiso de la infraestructura de su empleador.

2. Para Proyectos y Empresas Blockchain:
* Robo de Propiedad Intelectual Crítica: La exfiltración de código fuente de contratos inteligentes, algoritmos propietarios, arquitecturas de sistemas y estrategias de proyectos puede comprometer la ventaja competitiva, resultar en pérdidas millonarias y permitir a los adversarios crear exploits o proyectos rivales.
* Ataques a la Cadena de Suministro (Supply Chain Attacks): Si un entorno de desarrollo está comprometido, los atacantes pueden inyectar código malicioso directamente en los repositorios de código del proyecto, bibliotecas de software o herramientas de construcción. Esto puede llevar a la distribución de malware a los usuarios finales de la aplicación blockchain, comprometiendo a un público mucho más amplio y dañando irreparablemente la confianza en el proyecto.
* Pérdidas Financieras Masivas: Acceso a fondos de tesorería del proyecto, monederos multi-firma, o la capacidad de manipular contratos inteligentes para drenar liquidez o tokens. Ataques de este tipo pueden llevar al colapso de un proyecto.
* Daño Reputacional Extenso: Un compromiso de seguridad de esta magnitud erosiona la confianza de inversores, usuarios y la comunidad. Reconstruir la reputación puede ser un proceso largo y costoso, y en muchos casos, irrecuperable.
* Interrupción Operacional: La necesidad de auditar y sanear toda la infraestructura de desarrollo y producción puede paralizar las operaciones de un proyecto por semanas o meses, retrasando lanzamientos y actualizaciones críticas.
* Vulnerabilidades de Día Cero (Zero-Day Vulnerabilities): El análisis de código fuente robado puede revelar vulnerabilidades no descubiertas, que los atacantes pueden explotar antes de que sean parcheadas, tanto en el proyecto original como en otros proyectos que utilicen el mismo código base.

3. Implicaciones para el Ecosistema Blockchain General:
* Erosión de la Confianza en la Seguridad Blockchain: Incidentes de alto perfil minan la percepción pública y la confianza en la seguridad inherente de las tecnologías blockchain, dificultando la adopción masiva.
* Riesgo Sistémico: El compromiso de un número significativo de desarrolladores clave o de proyectos blockchain interconectados podría desencadenar efectos en cascada en todo el ecosistema, afectando la estabilidad de los mercados de criptomonedas y la viabilidad de aplicaciones descentralizadas.
* Desafíos en la Atribución: La naturaleza polimórfica y altamente ofuscada del malware generado por IA dificulta la atribución precisa a actores de amenaza específicos, haciendo que la identificación y persecución de los atacantes sea más compleja. Esto puede dar lugar a un ciclo vicioso donde los atacantes continúan operando con impunidad relativa.
* Carrera Armamentista en Ciberseguridad: La adopción de IA por parte de los atacantes fuerza a los defensores a invertir en contramedidas basadas en IA y aprendizaje automático, escalando la carrera armamentista en ciberseguridad a un nuevo nivel de complejidad y costo.

En resumen, la campaña del Grupo Konni no solo busca el espionaje y el lucro financiero, sino que también tiene el potencial de desestabilizar proyectos blockchain completos y socavar la confianza en una tecnología que es fundamental para el futuro de las finanzas y la infraestructura digital.

Recomendaciones de Mitigación

La sofisticación del Grupo Konni y su uso de malware generado por IA exigen un enfoque de defensa multifacético y proactivo. Las siguientes recomendaciones abordan la prevención, detección y respuesta, con un énfasis particular en el entorno de desarrollo blockchain.

1. Prevención y Endurecimiento (Prevention & Hardening):

Educación y Concienciación Continua:
- Formación sobre Ingeniería Social: Capacitar a los desarrolladores para reconocer y resistir ataques de spear-phishing, especialmente aquellos que implican ofertas de trabajo falsas, colaboraciones de proyectos o solicitudes de acceso a repositorios.
- Conciencia sobre Supply Chain Risks: Enseñar a los desarrolladores la importancia de verificar la autenticidad de todas las dependencias, bibliotecas, paquetes y herramientas de terceros antes de integrarlas en proyectos.
Arquitectura Zero Trust:
- Verificar Siempre, Confiar Nunca: Asumir que cada usuario, dispositivo y aplicación es potencialmente comprometible, requiriendo verificación continua antes de conceder o mantener el acceso a los recursos.
- Segmentación de Red: Aislar rigurosamente los entornos de desarrollo (DevOps, QA, Staging) de la red corporativa general y de los entornos de producción. Utilizar microsegmentación para limitar el movimiento lateral dentro de los entornos de desarrollo.
Autenticación Fuerte:
- Multi-Factor Authentication (MFA) Universal: Implementar MFA en todas las cuentas críticas: cuentas de desarrolladores, repositorios de código (GitHub, GitLab), servicios cloud (AWS, Azure, GCP), exchanges de criptomonedas, monederos de proyectos y sistemas de CI/CD. Preferir MFA basada en hardware (FIDO2/WebAuthn) o aplicaciones TOTP sobre SMS.
- Gestión Segura de Credenciales: Utilizar gestores de contraseñas empresariales y herramientas de secretos para almacenar de forma segura claves API, tokens de acceso y credenciales. Evitar almacenar credenciales en texto plano en archivos o código.
Seguridad del Endpoint:
- Endpoint Detection and Response (EDR) / Extended Detection and Response (XDR): Desplegar soluciones EDR/XDR avanzadas con capacidades de análisis de comportamiento (behavioral analysis) que puedan detectar actividades anómalas de PowerShell, incluso si el código es polimórfico.
- Antivirus de Última Generación (NGAV): Utilizar soluciones NGAV que integren machine learning y heurísticas para detectar malware de día cero y fileless.
- Application Whitelisting / Control de Aplicaciones: Permitir la ejecución solo de aplicaciones y scripts aprobados. Esto puede mitigar la ejecución de backdoors de PowerShell no autorizados.
Endurecimiento de PowerShell:
- PowerShell Script Block Logging: Habilitar el registro de bloques de script de PowerShell y la transcripción completa de PowerShell. Esto es crucial para la visibilidad forense y la detección de actividades maliciosas.
- Constrained Language Mode: Configurar PowerShell para ejecutarse en modo de lenguaje restringido en sistemas críticos, limitando la funcionalidad disponible.
- Deshabilitar Versiones Antiguas: Deshabilitar o desinstalar versiones antiguas de PowerShell (ej. v2) que carecen de funciones de seguridad y registro avanzadas.
Secure Software Development Lifecycle (SSDLC):
- Code Reviews: Realizar revisiones de código exhaustivas, buscando patrones de inyección de código o dependencias sospechosas.
- Static/Dynamic Application Security Testing (SAST/DAST): Integrar herramientas SAST y DAST en el pipeline de CI/CD para identificar vulnerabilidades y posibles inyecciones de código malicioso.
- Análisis de Dependencias: Utilizar herramientas para escanear dependencias de proyectos en busca de vulnerabilidades conocidas y componentes maliciosos.
Principio de Mínimo Privilegio (Principle of Least Privilege):
- Conceder a los desarrolladores y a las aplicaciones solo los permisos mínimos necesarios para realizar sus tareas. Utilizar Just-In-Time (JIT) access y Privileged Access Management (PAM) para el acceso a recursos altamente sensibles.
Backups Seguros:
- Realizar copias de seguridad regulares, cifradas y offline de código fuente, datos de monederos y configuraciones críticas. Probar regularmente el proceso de restauración.

2. Detección (Detection):

Monitoreo y Análisis de Logs Centralizado (SIEM/SOAR):
- Registro Agresivo: Centralizar y correlacionar logs de seguridad de endpoints, redes, sistemas operativos, aplicaciones y servicios cloud.
- Detección de Anomalías: Configurar alertas para actividades inusuales de PowerShell, creación de tareas programadas sospechosas, modificaciones del Registro, conexiones a IPs/dominios maliciosos conocidos, y patrones de exfiltración de datos.
- SOAR para Respuesta Automatizada: Integrar plataformas SOAR para automatizar la respuesta a incidentes detectados.
Threat Hunting:
- Proactivamente buscar indicadores de compromiso (IOCs) y TTPs asociados con el Grupo Konni y malware de PowerShell, utilizando datos de telemetría de EDR y logs.
- Desarrollar reglas YARA y SIGMA basadas en los patrones de ofuscación o comportamiento de los payloads generados por IA, incluso si son polimórficos.
Monitoreo de Red (Network Monitoring):
- Inspección de tráfico cifrado (SSL/TLS decryption, cuando sea legal y técnicamente factible) para detectar C2 y exfiltración de datos.
- Monitorear conexiones salientes a direcciones IP sospechosas, dominios recién registrados o DGAs.
- Implementar IDS/IPS con firmas actualizadas y capacidades de detección basadas en anomalías.
Análisis de Comportamiento (Behavioral Analytics):
- Utilizar herramientas que identifiquen patrones de comportamiento inusuales, como la ejecución de PowerShell por parte de procesos no habituales, acceso a archivos sensibles por usuarios no autorizados, o la comunicación de aplicaciones con destinos atípicos.

3. Respuesta y Recuperación (Response & Recovery):

Plan de Respuesta a Incidentes (IR Plan):
- Tener un plan de respuesta a incidentes bien definido, probado y comunicado. Incluir roles y responsabilidades claras, procedimientos para contención, erradicación, recuperación y análisis post-mortem.
Aislamiento Rápido:
- Capacidad para aislar rápidamente sistemas y redes comprometidos para prevenir el movimiento lateral y la exfiltración de datos.
Análisis Forense:
- Realizar un análisis forense exhaustivo para comprender la extensión del compromiso, los vectores de ataque, los TTPs utilizados y los datos exfiltrados.
Reconstrucción Segura:
- Reconstruir sistemas comprometidos desde cero, utilizando imágenes limpias y aplicando parches y configuraciones de seguridad actualizadas.
Compartir Inteligencia de Amenazas:
- Participar en comunidades de inteligencia de amenazas (ISACs, CERTs) para compartir IOCs y TTPs, contribuyendo a la defensa colectiva del ecosistema blockchain.

La defensa contra adversarios sofisticados como el Grupo Konni, que ahora incorporan IA en su arsenal, exige una postura de seguridad ágil, continuamente actualizada y que priorice la resiliencia sobre la mera prevención.

Fuentes y Referencias

Referencia Primaria:
- The Hacker News. (2026, January 1). Konni Hackers Deploy AI-Generated PowerShell Backdoor Targeting Blockchain Developers. Recuperado de https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html
Fuentes Citadas y Adicionales (Ejemplos para Contexto):
- CISA. (Ongoing). Alerts and Advisories on North Korean Malicious Cyber Activity. (Se refiere a alertas generales de CISA sobre APTs norcoreanas, que a menudo incluyen a Konni/Kimsuky/Lazarus Group).
- Mandiant. (Ongoing). APT Profiles and Threat Research. (Mandiant suele publicar análisis detallados sobre grupos APT, incluyendo sus TTPs históricos).
- Microsoft Threat Intelligence. (Ongoing). Threat Reports and Insights. (Microsoft es una fuente frecuente de investigación sobre actores de amenaza, sus herramientas y tácticas).
- Kaspersky Lab. (Ongoing). Securelist Blog and APT Reports. (Kaspersky ha publicado numerosos informes sobre grupos APT con foco en Corea del Norte).
- MITRE ATT&CK. (Ongoing). Adversary Tactics, Techniques, and Common Knowledge. (La matriz ATT&CK proporciona un marco estandarizado para describir las TTPs de los adversarios, relevante para el análisis detallado).

Fuentes y Referencias

Entradas relacionadas

**Directrices desde la primera línea: Estrategias de defensa proactiva contra el hurto de datos de ShinyHunters con foco en SaaS.**

La botnet AISURU/Kimwolf ejecuta un ataque DDoS de 31.4 Tbps que establece un nuevo récord.

Microsoft crea una herramienta para identificar backdoors en LLM de pesos abiertos.

Alerta de agencias alemanas por ataques de phishing en Signal a políticos, militares y periodistas.

Directrices desde la primera línea: Estrategias de defensa proactiva contra el hurto de datos de ShinyHunters con foco en SaaS.