Rootkits de Linux, enrutador de día 0, intrusiones de IA, kits de estafa y 25 historias nuevas

El concurso de piratería Pwn2Own Berlin 2026 concluyó y los investigadores de seguridad obtuvieron 1.298.250 dólares en recompensas después de explotar 47 fallas de día cero en varios productos de Windows, Linux, VMware y NVIDIA. DEVCORE ganó el evento con 50,5 puntos Master of Pwn y 505.000 dólares en recompensas durante el concurso de tres días después de piratear Microsoft SharePoint, Microsoft Exchange, Microsoft Edge y Windows 11. STARLabs SG y Out Of Bounds le siguieron con 242.500 dólares (25 puntos) y 95.750 dólares (12,75 puntos).

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha publicado una nueva guía para que las organizaciones implementen controles de seguridad adecuados al implementar herramientas de inteligencia artificial (IA) en entornos empresariales. “Si un agente tiene demasiados privilegios o está mal diseñado, un solo fallo puede convertirse rápidamente en un incidente grave”, afirmó el NCSC. “Por lo tanto, es crucial pensar antes de desplegar”.

El gobierno polaco está instando a los funcionarios públicos y a las “entidades dentro del Sistema Nacional de Ciberseguridad” a que dejen de usar Signal y, en su lugar, les indica que utilicen un mensajero cifrado llamado mSzyfr desarrollado por una importante organización de investigación polaca, citando ataques de ingeniería social orquestados por grupos de amenazas persistentes avanzadas (APT). El desarrollo se produce cuando varios gobiernos han advertido sobre un aumento en los ataques de ingeniería social, incluidos esfuerzos que involucran a actores de amenazas que se hacen pasar por el soporte de Signal, para tomar el control de las cuentas de las víctimas.

La policía holandesa dijo que la identidad de 74 de 100 sospechosos ha sido desenmascarada tras el lanzamiento de una iniciativa llamada Game Over?! que muestra fotografías borrosas de 100 presuntos estafadores en vallas publicitarias en varios lugares públicos, así como en anuncios de televisión y en línea, dando a los delincuentes dos semanas para entregarse antes de que las imágenes desaparezcan. De ellos, 34 sospechosos se presentaron voluntariamente a las autoridades, mientras que los sospechosos restantes fueron identificados a través de información proporcionada por el público. El sospechoso más joven tiene sólo 14 años y el mayor tiene 42 años. ¡¿Juego terminado?! se lanzó en marzo de 2026.

El presidente estadounidense, Donald Trump, dijo que él y el presidente chino, Xi Jinping, discutieron los ataques cibernéticos y las actividades de espionaje llevados a cabo por ambas naciones durante las reuniones bilaterales de la semana pasada. “Están hablando de espionaje. Bueno, nosotros también lo hacemos”, dijo Trump durante su vuelo de regreso a Estados Unidos. “También los espiamos muchísimo”, y agregó: “Le dije: ‘te hacemos muchas cosas que tú no sabes y tú nos estás haciendo cosas que probablemente sí sabemos'”. Si bien Trump no dio más detalles sobre los ataques llevados a cabo contra China, el reconocimiento se produce cuando China ha sido acusada de realizar intrusiones radicales en las redes estadounidenses.

La familia de ransomware conocida como Gunra se ha dirigido a cinco empresas surcoreanas desde que fue descubierta por primera vez en abril de 2025, dijo S2W. “Cuando se descubrió por primera vez el ransomware Gunra, utilizaba ransomware basado en Conti”, señaló el proveedor de seguridad de Corea del Sur. “Sin embargo, después de hacer la transición a un modelo RaaS (Ransomware-as-a-Service), el grupo desarrolló y utilizó su propio ransomware”. En marzo de 2026, el grupo se ha cobrado 32 víctimas.

Composer, un administrador de dependencias para el lenguaje de programación PHP, ha instado a sus usuarios a actualizar Composer a la versión 2.9.8 o 2.2.28 (LTS). “Las nuevas versiones solucionan una vulnerabilidad en la que Composer filtra el contenido completo de los tokens de instalación de GitHub Actions emitidos por GITHUB_TOKEN o la aplicación GitHub a los registros de GitHub Actions”, dijo Composer. A la vulnerabilidad se le ha asignado el identificador CVE CVE-2026-45793 (puntuación CVSS: 7,5). El desarrollo se produjo después de que GitHub introdujera un nuevo formato para estos tokens a finales del mes pasado. “El nuevo formato, que incluye un – (guión), no pasa la validación de Composer y conduce a la divulgación de GITHUB_TOKEN en los registros”, dijo Composer. Como solución alternativa, se recomienda deshabilitar cualquier flujo de trabajo de GitHub Actions que ejecute comandos de Composer hasta que Composer se haya actualizado.

En julio de 2022, la empresa de ciberseguridad Intezer detalló un malware de Linux llamado OrBit que implementa técnicas de evasión avanzadas, gana persistencia en la máquina al conectar funciones clave, proporciona a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY. Casi cuatro años después, se han identificado varios artefactos nuevos del rootkit del usuario, lo que indica que sus operadores están refinando y manteniendo activamente el malware. “Descubrimos dos linajes paralelos: una compilación ‘Lineage A’ con todas las funciones que sigue de cerca al original de 2022, y una bifurcación ‘Lineage B’ ligera que elimina dominios de capacidad completos (PAM, pcap, ocultación de puertos TCP) a cambio de una huella más pequeña”, dijo la investigadora Nicole Fishbein. “A lo largo del camino, los operadores rotan claves XOR, mezclan rutas de instalación, intercambian credenciales de puerta trasera, agregan ganchos de evasión auditada y, finalmente, incorporan una primitiva de suplantación de PAM del lado del servicio”. OrBit ha sido utilizado por Blockade Spider, un grupo de cibercrimen que ejecuta campañas de ransomware Embargo. Se evalúa que OrBit es una bifurcación de un rootkit de código abierto llamado Medusa, que apareció públicamente por primera vez en diciembre de 2022. “Según esta información, hay dos opciones: o el autor de Medusa publicó una fuente de rootkit de circulación privada que ya se había implementado operativamente, o la primera muestra de OrBit se creó a partir de una instantánea previa a la publicación del mismo árbol”, dijo Intezer. “De cualquier manera, la muestra de OrBit de 2022 y el árbol fuente de Medusa de diciembre de 2022 son la misma base de código. Esto sugiere que la puerta trasera se creó antes de su lanzamiento público y desde entonces ha sido bifurcada, configurada y reimplementada selectivamente por múltiples operadores durante cuatro años”.

Dos campañas emergentes, denominadas SHADOW-AETHER-040 y SHADOW-AETHER-064, han desplegado de forma independiente IA agente con “tácticas sorprendentemente similares” para facilitar operaciones de intrusión contra gobiernos y organizaciones financieras en América Latina. “Ambas campañas establecieron túneles de tráfico hacia los sistemas de las víctimas, permitiendo a los agentes de IA realizar ataques maliciosos directamente en los entornos de red internos de las víctimas a través de ProxyChains y SSH”, dijo Trend Micro. “Los agentes de IA generaron dinámicamente múltiples herramientas y scripts de piratería, en lugar de depender de herramientas de piratería prediseñadas. Esto redujo la probabilidad de detección por parte de soluciones de seguridad tradicionales que dependen de firmas de herramientas conocidas”. Se dice que los dos grupos de actividades son el trabajo de entidades separadas. Los atacantes eludieron los controles de seguridad de la IA al presentar sus solicitudes como pruebas de penetración autorizadas y ejercicios de formación de equipos rojos. Realizada por un actor de amenazas de habla hispana, SHADOW-AETHER-040 ha comprometido seis entidades gubernamentales en México entre el 27 de diciembre de 2025 y el 4 de enero de 2026. Esta actividad es consistente con el informe de Gambit Security sobre el compromiso a gran escala de múltiples organizaciones gubernamentales mexicanas entre diciembre de 2025 y febrero de 2026 por parte de un adversario desconocido que utiliza los modelos de IA Claude de Anthropic y GPT de OpenAI para llevar a cabo la actividades de intrusión. Según Dragos, que rastrea la actividad como TAT26-12, uno de estos ataques tuvo como objetivo una empresa municipal de agua y drenaje en enero de 2026, lo que llevó a un intento fallido de violar su entorno tecnológico operativo. “Claude actuó como el principal ejecutor técnico e identificó de forma independiente la relevancia del entorno OT para la infraestructura crítica, evaluó su potencial como activo joya de la corona e investigó posibles vías de acceso para traspasar el límite TI-OT”, dijo Dragos. La segunda campaña, vinculada a un grupo de hackers de habla portuguesa llamado SHADOW-AETHER-064, ha estado activa desde abril y ha señalado a organizaciones financieras en Brasil. Los hallazgos muestran cómo las herramientas comerciales de IA están comprimiendo la cadena de ataque tradicional, acelerando tareas como el reconocimiento y el desarrollo de exploits que históricamente requerían mucho tiempo y experiencia del operador. Como en el caso de VoidLink, si bien las herramientas reunidas para estos ataques pueden no ser particularmente sofisticadas o novedosas, la velocidad a la que los modelos de IA las generan y las mejoran es operativamente significativa, esencialmente colapsando en horas lo que habría llevado días o semanas de esfuerzo de desarrollo manual.

Según el Wall Street Journal, Anthropic ha comenzado a permitir que los usuarios de su modelo Mythos AI compartan amenazas de ciberseguridad con otras personas que puedan enfrentar vulnerabilidades similares. “La semana pasada, Anthropic comenzó a decirles a las empresas que podían compartir información sobre amenazas cibernéticas y hallazgos de Mythos con otras entidades siempre que se hiciera de manera responsable”, dijo un portavoz de la empresa. “A medida que el programa ha madurado, los hemos adaptado para garantizar que la información clave se pueda compartir ampliamente, incluso fuera del programa, para lograr el máximo impacto defensivo”. El desarrollo se produce cuando Cloudflare dijo que Mythos es un “verdadero paso adelante” y es capaz de encadenar “pequeños ataques primitivos en un exploit funcional”. También está equipado para encontrar vulnerabilidades y demostrar que son explotables. La compañía de seguridad e infraestructura web también dijo que ha diseñado un arnés de descubrimiento de vulnerabilidades de múltiples etapas para escanear bases de código en “tiempo de ejecución, ruta de datos perimetrales, pila de protocolos, plano de control y los proyectos de código abierto de los que dependemos”. Al igual que MDASH de Microsoft, diferentes agentes manejan diferentes responsabilidades: los agentes “cazadores” identifican vulnerabilidades candidatas, otros argumentan a favor o en contra de su explotabilidad, mientras que una etapa de deduplicación colapsa los hallazgos que comparten la misma causa raíz. Un agente rastreador comprueba si la entrada controlada por el atacante realmente llega al error desde fuera del sistema, mientras que un agente final de “información” escribe un informe estructurado.

Discord ha anunciado que todas las llamadas de voz y vídeo a través de la plataforma de comunicación ahora están protegidas de forma predeterminada con cifrado de extremo a extremo (E2EE). La solución funciona con el protocolo DAVE. “El protocolo DAVE es abierto y la implementación es de código abierto”, dijo Discord. “A partir de principios de marzo de 2026, todas las llamadas de voz y video en Discord, ya sea en DM, DM grupales, canales de voz o transmisiones Go Live, están cifradas de extremo a extremo de forma predeterminada”. Discord dijo que no hay planes de extenderlo a los mensajes de texto. “Muchas de las funciones que la gente usa en Discord se crearon asumiendo que el texto no está cifrado de extremo a extremo, y reconstruirlos para que funcionen con cifrado es un desafío de ingeniería significativo”, agregó.

Microsoft ha arrojado luz sobre un “ataque metódico, sofisticado y de múltiples capas” orquestado por Storm-2949 con el objetivo de extraer datos confidenciales de los activos de alto valor de una organización anónima. El ataque, que se destaca por abusar del proceso de restablecimiento de contraseña de autoservicio (SSPR) de Microsoft para engañar al objetivo para que complete las solicitudes de autenticación multifactor (MFA), provocó la exfiltración de datos de aplicaciones de Microsoft 365, servicios de alojamiento de archivos y entornos de producción alojados en Azure. El ataque de ingeniería social se dirigió al personal de TI y a los altos directivos con el fin de comprometer sus identidades para acciones posteriores al compromiso. También se dice que el atacante realizó actividades de descubrimiento, instaló ScreenConnect e intentó deshabilitar las protecciones antivirus de Microsoft Defender. “Storm-2949 no se basó en el malware tradicional ni en otras tácticas, técnicas y procedimientos (TTP) locales”, dijo Microsoft. “En lugar de eso, aprovecharon las características legítimas de administración de la nube y de Azure para obtener acceso al plano de control y al plano de datos, que luego usaron para ejecutar código de forma remota en máquinas virtuales y acceder a recursos confidenciales de la nube, como Key Vaults y cuentas de almacenamiento, entre otros. Estas actividades les permitieron moverse lateralmente a través de entornos de nube y terminales mientras se integraban en el comportamiento administrativo esperado”.

Apple dijo que su App Store detuvo más de 2.200 millones de dólares en transacciones potencialmente fraudulentas y rechazó más de 2 millones de envíos de aplicaciones problemáticas en 2025. “El año pasado, los sistemas de Apple también rechazaron con éxito 1.100 millones de creaciones fraudulentas de cuentas de clientes, bloqueando a los malos actores desde el principio, y desactivaron 40,4 millones de cuentas de clientes adicionales por fraude y abuso”, dijo Apple. “En 2025, Apple canceló 193.000 cuentas de desarrolladores por preocupaciones de fraude y rechazó más de 138.000 inscripciones de desarrolladores. Para proteger aún más a los usuarios del software dañino, Apple en 2025 detectó y bloqueó 28.000 aplicaciones ilegítimas en escaparates piratas, que incluyen malware, aplicaciones de pornografía, aplicaciones de juegos de azar y versiones pirateadas de aplicaciones legítimas de la App Store”. Apple también rechazó más de 22.000 envíos por contener características ocultas o no documentadas y más de 443.000 envíos por violaciones de privacidad. Sólo en el último mes, el fabricante del iPhone dijo que evitó 2,9 millones de intentos de instalar o iniciar aplicaciones distribuidas ilícitamente fuera de la App Store o mercados de aplicaciones alternativos aprobados.

Dos ciudadanos estadounidenses, el director ejecutivo Adam Young, de 42 años, de Miami, y Harrison Gevirtz, de 33 años, de Las Vegas, se declararon culpables de administrar una empresa que brindaba servicios a clientes involucrados en esquemas generalizados de fraude de telemercadeo y soporte técnico dirigidos a víctimas en todo el país. Los servicios, que incluían números de teléfono, servicios de enrutamiento de llamadas, seguimiento de llamadas y servicios de desvío de llamadas, se ofrecieron a clientes que participaban en esquemas de fraude de soporte técnico. Está previsto que sean sentenciados el 16 de junio de 2026. La investigación también condujo a la condena de cinco estafadores de telemercadeo con sede en India y un ex empleado de su empresa de enrutamiento de llamadas (Sahil Narang, Chirag Sachdeva, Abrar Anjum, Manish Kumar y Jagmeet Singh Virk) por atacar y defraudar a estadounidenses. “Los centros de llamadas con sede en India utilizaron el negocio de Young y Gervitz para encaminar sus llamadas de ‘fraude tecnológico’ y, en algunos casos, asesoraron a esos estafadores sobre métodos destinados a reducir las quejas y evitar la cancelación de cuentas”, dijo el Departamento de Justicia de Estados Unidos. Los esquemas utilizaban mensajes emergentes engañosos para convencer falsamente a los usuarios de que sus computadoras habían sido infectadas con virus o malware, instándolos a comunicarse con un número para solucionar el problema. En realidad, los números conectaban a las víctimas con centros de llamadas, donde las engañaban para que pagaran cientos de dólares por servicios de soporte técnico innecesarios o ficticios. En algunos casos, los agentes del centro de llamadas obtuvieron acceso remoto a las computadoras de las víctimas y obtuvieron información personal y financiera.

HP ha publicado correcciones para CVE-2026-8631 (puntuación CVSS: 9,3), una vulnerabilidad crítica de desbordamiento de búfer basada en montón en HPLIP que podría permitir la escalada de privilegios y/o la ejecución de código arbitrario. “Debido a que HPLIP está profundamente integrado en la arquitectura de impresión estándar de Linux (CUPS), esta falla expone millones de puntos finales de Linux y servidores de impresión empresariales”, dijo a The Hacker News el investigador de seguridad Mohamed Lemine Ahmed Jidou, quien descubrió la falla. “Un atacante no autenticado en la red – o un usuario local con pocos privilegios – puede explotar esto silenciosamente simplemente enviando un trabajo de impresión creado con fines malintencionados. La explotación exitosa otorga al atacante la ejecución de comandos arbitrarios en la máquina host. Esto permite un compromiso inmediato del sistema, acceso no autorizado a documentos confidenciales que pasan a través de la cola de impresión y proporciona un punto de apoyo sigiloso para el movimiento lateral a través de las redes corporativas”.

AhnLab advierte sobre una nueva campaña de smishing orientada a Telegram que está diseñada para tomar el control de las cuentas de las víctimas y robar información de las cuentas mediante mensajes SMS que afirman tratar sobre problemas de seguridad inexistentes. “Los actores de amenazas secuestran cuentas de Telegram engañando a los usuarios para que ingresen sus números de teléfono y códigos de inicio de sesión en sitios de phishing”, dijo AhnLab. “Una vez que una cuenta se ve comprometida, se puede filtrar información personal y chats, así como daños secundarios”.

Se ha observado que una nueva y sofisticada campaña de malware para Android denominada Premium Deception realiza fraude en la facturación del operador mediante el abuso de SMS premium en Malasia, Tailandia, Rumania y Croacia entre marzo de 2025 y enero de 2026. La actividad involucra más de 250 aplicaciones maliciosas que se dirigen selectivamente a los usuarios según su operador móvil, suscribiendo sigilosamente a los usuarios a servicios premium sin su conocimiento o consentimiento. Los metadatos del dispositivo y las confirmaciones de suscripción se envían a los operadores a través de un canal de exfiltración basado en Telegram. “Cuando se implementa en dispositivos con operadores no objetivo, el malware emplea un mecanismo alternativo para mostrar contenido benigno, evadiendo así la detección y manteniendo la persistencia”, dijo Zimperium zLabs. Se han identificado tres variantes distintas de malware, cada una con distintos niveles de sofisticación. No hay evidencia de que estas aplicaciones circularan a través de Google Play Store. En cambio, el plan se basa en plataformas de redes sociales como Facebook y TikTok para su distribución.

Un nuevo troyano bancario brasileño denominado Banana RAT se ha convertido en el último malware dirigido a instituciones financieras de la región. A diferencia de otros programas maliciosos bancarios latinoamericanos que normalmente se escriben en Delphi, Banana RAT es un cliente solo de PowerShell orquestado por un motor de polimorfismo del lado del servidor Python (FastAPI). Una vez activo, permite el fraude impulsado por operadores a través de control de entrada remoto, registro de teclas, monitoreo del portapapeles, transmisión de pantalla, superposiciones falsas e interceptación de códigos QR Pix dirigidos a bancos brasileños. También monitorea los títulos de las ventanas en primer plano y ofrece una superposición de recolección de credenciales falsa cuando una víctima abre un sitio web que coincide con una lista de objetivos de más de 30 intercambios bancarios y de criptomonedas. Trend Micro, que está rastreando la actividad bajo el nombre SHADOW-WATER-063, dijo que el diseño difiere “significativamente” de la arquitectura binaria Delphi históricamente asociada con el ecosistema de malware bancario que comprende Grandoreiro, Mekotio, Casbaneiro, Guildma y CHAVECLOAK. “Los cárteles brasileños del cibercrimen son muy sofisticados y organizados, y han sido una pesadilla para el sector financiero desde 2000”, dijo Tom Kellermann, vicepresidente de Investigación de Amenazas y Seguridad de IA de TrendAI. “Los RAT y rootkits que desarrollan están a la par de los que hemos visto en Rusia. No se está prestando suficiente atención al cibercrimen en LATAM, y el sector financiero tiene buenas razones para preocuparse porque algo malo sucede en este camino”.

Un módulo Go malicioso publicado como github.com/shopsprint/decimal ha sido marcado como un typosquat de la biblioteca aritmética de precisión arbitraria ampliamente utilizada github.com/shopspring/decimal. Se publicó por primera vez en noviembre de 2017 y se utilizó como arma en agosto de 2023 cuando la versión v1.3.3 agregó una funcionalidad maliciosa que “abre un canal de comando y control de registros DNS TXT a un subdominio controlado por un actor de amenazas en un proveedor de DNS dinámico gratuito”, según Socket. Aunque el repositorio de GitHub y la cuenta del propietario de Shopsprint se eliminaron desde entonces, la biblioteca continúa siendo atendida por proxy.golang(.)org. La carga útil “encuesta net.LookupTXT(“dnslog-cdn-images.freemyip.com”) cada cinco minutos y duerme ante una falla de DNS sin registrar ni señalar un error”, dijo el investigador Kush Pandya. “Cada valor TXT devuelto se pasa directamente a os/exec.Command y se ejecuta”.

El paquete npm art-template, un motor de plantillas de JavaScript con aproximadamente 26.000 descargas semanales, se ha visto comprometido a través de una toma de control de la cuenta del mantenedor para impulsar versiones maliciosas (de 4.13.3 a 4.13.6) diseñadas para cargar JavaScript externo desde dominios de terceros. “El código no autorizado en template-web.js inyecta archivos externos

Un juego malicioso distribuido a través de Steam ha sido eliminado de Valve después de que se observara perfilando los sistemas de los jugadores y comunicándose con una infraestructura externa que le permite implementar cargas útiles secundarias. El juego, titulado Beyond The Dark, se hizo pasar por un título de terror independiente gratuito en Steam. El descubrimiento fue documentado por el YouTuber Eric Parker.

La explotación de una vulnerabilidad de día cero en el software del enrutador empresarial de Huawei provocó una interrupción de las telecomunicaciones a nivel nacional en Luxemburgo el 23 de julio de 2025, informó The Record esta semana. El incidente interrumpió las comunicaciones móviles, fijas y de emergencia durante más de tres horas. Se dice que el ataque provocó que los enrutadores empresariales de Huawei entraran en un ciclo de reinicio continuo, colapsando partes de la infraestructura de POST Luxemburgo. Actualmente no hay detalles sobre la vulnerabilidad y no está claro si Huawei solucionó el problema.

La Oficina Federal de Investigaciones (FBI) de EE. UU. ha revelado que los estadounidenses perdieron más de 388 millones de dólares el año pasado debido a estafas que utilizan quioscos de criptomonedas (también conocidos como cajeros automáticos criptográficos o cajeros automáticos de Bitcoin). “Los quioscos de criptomonedas son dispositivos similares a cajeros automáticos o terminales electrónicas que permiten a los usuarios intercambiar efectivo y criptomonedas”, dijo el FBI. “Los delincuentes pueden indicar a las víctimas que envíen fondos a través de quioscos de criptomonedas”. El desarrollo se produce cuando CertiK señaló que los ataques de coerción física (también conocidos como ataques con llave inglesa) a los poseedores de criptomonedas aumentaron un 75% año tras año a 72 casos confirmados en todo el mundo y $41 millones en pérdidas conocidas en 2025, un 44% más que en 2024. Solo este año, se han registrado 34 incidentes verificados a nivel internacional, en comparación con 24 durante el mismo período en 2025.

La empresa de seguridad de tecnología operativa Nozomi Networks dijo que detectó 29 eventos entre julio de 2025 y enero de 2026 que “se identificaron de manera concluyente como actividad de Sandworm”. Según los datos recopilados de las interacciones con clientes y socios, la investigación de la miel y la telemetría, la actividad sigue un modelo de ejecución burocrática, “con un pico entre semana y durante el horario laboral posterior al almuerzo, siendo el miércoles aproximadamente a las 2:00 p. m., hora de Moscú, el mayor volumen de alerta”. En todo el conjunto de datos, se identificaron 17 máquinas infectadas con Sandworm en los 10 clientes. Estos sistemas realizaron movimientos laterales contra 923 objetivos internos únicos. “A pesar de la amplia conciencia y la disponibilidad de parches, Sandworm continúa dependiendo de cadenas de exploits más antiguas pero probadas, incluidas EternalBlue, DoublePulsar y WannaCry”, dijo Nozomi Networks. “Quizás el hallazgo más crítico: cada sistema infectado por Sandworm produjo entre 20 y 155 días de alertas de advertencia antes de la actividad de Sandworm”.

Se ha observado una nueva campaña de phishing que utiliza señuelos con temas de facturas para distribuir archivos maliciosos para activar la ejecución de código JavaScript, que emplea variables de entorno para ocultar comandos maliciosos y utiliza un cargador esteganográfico denominado PawsRunner para implementar el malware de robo de información PureLogs. “El JavaScript incorporado utiliza una técnica sofisticada para almacenar comandos maliciosos decodificados en variables de entorno, lo que luego activa un cargador .NET esteganográfico descifrado”, dijo Fortinet. “Este cargador recupera la carga útil final extrayendo datos cifrados ocultos dentro de una imagen de gato. Esta versión de PureLogs utiliza amplios patrones asíncronos/de espera para mejorar la eficiencia de las tareas y complicar el análisis”. Swiss Post Cybersecurity detalló una campaña similar en enero de 2026.

El famoso mercado de tarjetas de la web oscura Stash de B1ack ha anunciado la descarga gratuita de 4,6 millones de registros de tarjetas de crédito robadas. Según SOCRadar, los datos publicados incluyen números completos de tarjetas, fechas de vencimiento, códigos CVV2, nombres de titulares de tarjetas, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP. De ellos, 4,3 millones de registros parecen ser nuevos y utilizables para actividades ilícitas. La mayoría de los registros pertenecen a víctimas de Estados Unidos, Canadá, Reino Unido, Francia y Malasia.

Un nuevo kit de scareware basado en la web llamado CypherLoc es capaz de combinar “evasión avanzada, controles agresivos del navegador y manipulación psicológica” para inducir a las víctimas a llamar a números de teléfono de soporte técnico fraudulentos. Barracuda Networks dijo que ha observado alrededor de 2,8 millones de ataques con el kit desde principios de 2026. “El ataque generalmente comienza con un correo electrónico de phishing que dirige a la víctima a una página web maliciosa a través de un enlace que está incrustado en el cuerpo del correo electrónico o en un archivo adjunto”, dijo Barracuda. “La página web inicialmente parece inofensiva, pero gradualmente pasa a un entorno de scareware totalmente controlado. El desencadenante de esta transición está oculto en la página web y sólo se descifrará si se cumplen ciertas condiciones”. El resultado final es una interfaz de scareware de pantalla completa que bloquea el navegador y muestra mensajes de seguridad falsos que instan a las víctimas a comunicarse con el soporte técnico de inmediato.

Una nueva investigación ha demostrado que “los datos de las redes sociales disponibles públicamente y la IA generativa (GenAI) pueden utilizarse indebidamente para automatizar y escalar campañas de phishing altamente personalizadas y conscientes del contexto”. Investigadores de la Universidad de Texas en Arlington y la Universidad Estatal de Luisiana, Baton Rouge, dijeron que una “pequeña cantidad de actividad pública por objetivo” es suficiente para que los modelos de IA extraigan intereses y señales contextuales que podrían explotarse para llevar a cabo campañas de phishing persuasivas que reflejen el estilo de un objetivo. Los hallazgos muestran que los delincuentes no tienen que depender de bases de datos robadas ni de un reconocimiento exhaustivo para llevar a cabo campañas de phishing específicas.

Bitdefender ha revelado que los atacantes continúan explotando Microsoft HTML Application Host (MSHTA), una utilidad heredada disponible de forma predeterminada en los sistemas Windows, para campañas de malware. “MSHTA sigue siendo un binario Living-off-the-Land (LOLBIN) del que se abusa mucho a pesar de ser una utilidad heredada”, dijo Bitdefender. “Los atacantes lo utilizan en múltiples categorías de malware, desde ladrones de productos básicos hasta amenazas avanzadas. Las campañas frecuentemente dependen de cadenas de ejecución sin archivos de múltiples etapas que involucran scripts PowerShell y HTA”. Se ha abusado de MSHTA en cadenas de entrega para ladrones de productos básicos como Lumma Stealer y Amatera, cargadores como CountLoader y Emmenhtal Loader (también conocido como PEAKLIGHT), malware clipper y amenazas más avanzadas como Purple Fox.

Un contratista de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) mantuvo credenciales para varias cuentas de AWS GovCloud altamente privilegiadas y una gran cantidad de sistemas CISA internos expuestos en un repositorio público de GitHub (irónicamente llamado “Private-CISA”) desde noviembre de 2025. El repositorio fue descubierto por GitGuardian el 14 de mayo de 2026. Albergaba 844 MB de contraseñas de texto sin formato, tokens de AWS y Entra ID. Certificados SAML pertenecientes a la agencia. Desde entonces, el repositorio se ha desconectado tras una divulgación responsable. No hay evidencia de que algún dato confidencial haya sido comprometido como resultado de este incidente.

La Unidad 42 de Palo Alto Networks dijo que ha identificado 4.000 muestras en 100 variantes únicas asociadas con una amenaza conocida como TamperedChef (también conocido como EvilAI), que implica el uso de versiones troyanizadas de software de productividad para entregar cargas útiles maliciosas mediante anuncios maliciosos que dirigen a los usuarios a sitios que alojan las aplicaciones. “Las muestras de malware estilo TamperedChef comparten características con programas potencialmente no deseados (PUP) y adware”, dijo la Unidad 42. “Estos incluyen mecanismos sólidos para permanecer persistentes y acuerdos de licencia de usuario final (EULA) que intentan cubrir legalmente las acciones cuestionables del software. Sin embargo, el malware estilo TamperedChef es mucho más sigiloso que los programas basura o el adware, y permanece inactivo durante semanas o meses antes de activarse. Esto incluye métodos de comando y control continuo (C2) que permiten a los adversarios recuperar cargas útiles adicionales, como ladrones de información, herramientas proxy o troyanos de acceso remoto (RAT)”. La actividad se ha atribuido a tres grupos distintos que distribuyen aplicaciones maliciosas desde principios de 2023: CL-CRI-1089 (Calendaromatic, DocuFlex y AppSuite PDF), CL-UNK-1090 (CrystalPDF, Easy2Convert y PDF-Ezy) y CL-UNK-1110 (JustAskJacky, GoCookMate, RocketPDFPro, ManualReaderPro). Si bien CL-CRI-1089 parece apuntar a credenciales e implementar adware y cargas útiles de estilo proxy, se desconocen las motivaciones de los otros dos grupos.