El FBI advierte que el grupo Silent Ransom Group sigue atacando firmas de abogados en EE. UU. mediante phishing y suplantación de personal de IT. Los criminales utilizan accesos remotos o incluso se presentan físicamente en las oficinas para robar datos confidenciales a través de USB. Se recomienda bloquear puertos externos, usar autenticación multifactor y capacitar al personal para evitar estas extorsiones.

Un conocido grupo de amenazas iraní ha implementado una nueva táctica para distribuir malware. En lugar de utilizar correos de phishing, crearon un sitio web falso que suplanta una página de descarga de software de bases de datos, empleando técnicas de SEO poisoning (envenenamiento de motores de búsqueda) para aparecer entre los primeros resultados y engañar a los usuarios que buscan la herramienta en línea.

Se detectó un ataque de cadena de suministro contra los paquetes de localización de Laravel Lang, donde los atacantes manipularon las etiquetas de GitHub para distribuir malware a través de Composer. El código malicioso actúa como un "credential stealer" capaz de robar claves de AWS, GitHub, secretos de Kubernetes y datos de navegadores en Windows, macOS y Linux. Se recomienda a los desarrolladores revisar sus versiones, rotar credenciales expuestas y analizar sus sistemas en busca de indicadores de compromiso.

Un ciudadano chino, Song Wu, ejecutó una campaña de spear-phishing contra empleados de la NASA y otras entidades de defensa para robar software confidencial y tecnología aeroespacial, suplantando la identidad de investigadores estadounidenses.

Se ha filtrado en línea información de más de 468,000 usuarios de CTT, el operador postal de Portugal, incluyendo nombres, correos, teléfonos y códigos de seguimiento de paquetes. Este robo de datos es especialmente peligroso ya que permite a los ciberdelincuentes crear campañas de phishing mucho más convincentes. Hasta el momento, la empresa no ha reconocido públicamente el ataque.

El grupo de ciberespionaje Kimsuky, vinculado a Corea del Norte, llevó a cabo cuatro campañas de spear-phishing durante el primer semestre de 2025. Estas operaciones estuvieron dirigidas a diversos perfiles, incluyendo reclutadores corporativos, inversores y desarrolladores de criptomonedas, funcionarios del sector defensa y administradores de escuelas de posgrado.

Ciberdelincuentes utilizan la IA y datos públicos de Instagram para crear campañas de phishing personalizadas y más creíbles, analizando intereses y ubicación de los usuarios para aumentar el éxito de sus ataques.

Una nueva variante del malware SHub llamada Reaper ataca usuarios de macOS suplantando a Apple, Microsoft y Google para robar credenciales y billeteras de criptomonedas. A diferencia de versiones anteriores, utiliza el Editor de Scripts de Apple para evadir defensas y engañar al usuario mediante falsos instaladores. Además de extraer datos sensibles, crea una puerta trasera persistente que permite a los atacantes ejecutar código remoto en el dispositivo infectado.

INTERPOL coordinó la Operación Ramz en Medio Oriente y Norte de África, logrando 201 arrestos y la neutralización de infraestructuras de phishing y malware. La iniciativa contó con la participación de 13 países y empresas privadas para desmantelar estafas financieras y redes criminales. Paralelamente, se destacan diversas condenas internacionales contra administradores de mercados negros y expertos en fraudes criptográficos.

El kit de phishing Tycoon2FA ha resurgido con nueva infraestructura y ahora utiliza ataques de "código de dispositivo" para secuestrar cuentas de Microsoft 365. El método engaña a las víctimas para que autoricen dispositivos maliciosos mediante URLs de seguimiento de Trustifi y páginas falsas de CAPTCHA. Para combatirlo, los expertos recomiendan deshabilitar el flujo de código de dispositivo de OAuth y monitorear estrictamente los registros de autenticación.

Una nueva y creciente ola de ataques de phishing está facilitando el robo de credenciales. Los ciberdelincuentes están utilizando Vercel, una plataforma de desarrollo web basada en inteligencia artificial, para crear páginas de inicio de sesión falsas muy convincentes que imitan sitios reales. Debido al bajo coste y la facilidad de este método, un espectro más amplio de atacantes está aprovechando estas herramientas.