← Alertas
Otro Activa

CloudZ RAT activo desde enero 2026 roba mensajes OTP mediante el plugin 'Pheno'

Cisco Talos documentó una intrusión activa desde enero 2026 donde un atacante desplegó el RAT CloudZ junto con un plugin inédito llamado 'Pheno' capaz de interceptar mensajes OTP, neutralizando la autenticación de dos factores.

2026-05-23 · Cisco Talos Blog

Contexto

Cisco Talos documentó una intrusión activa desde al menos enero de 2026 en la que un actor desconocido implantó CloudZ, un troyano de acceso remoto (RAT), junto con un plugin previamente no documentado denominado “Pheno”. La función principal de Pheno es interceptar mensajes OTP — los códigos de un solo uso enviados por SMS o apps de autenticación para verificar la identidad en banca, correo y sistemas empresariales. Al robar el OTP en el momento en que llega al dispositivo, el atacante puede eludir completamente la autenticación de dos factores.

Impacto potencial

La combinación de un RAT con capacidad de robo de OTP es especialmente peligrosa para organizaciones que dependen del 2FA por SMS para proteger cuentas bancarias, sistemas de nómina o accesos a plataformas críticas. Un atacante con CloudZ+Pheno instalado puede vaciar cuentas o hacer transferencias no autorizadas incluso con 2FA activo, porque intercepta el código antes de que el usuario lo use.

Recomendaciones

Leer fuente original →