Investigadores detectaron xlabs_v1, una botnet derivada de Mirai que ataca dispositivos Android e IoT con el servicio ADB expuesto. Este malware se ofrece como un servicio de alquiler para ejecutar ataques DDoS, enfocándose especialmente en servidores de juegos y Minecraft. El sistema clasifica los dispositivos según su ancho de banda para establecer precios y elimina a competidores para maximizar el tráfico generado.

Se ha detectado Quasar Linux (QLNX), un avanzado implante para Linux que ataca entornos de desarrollo y DevOps para robar credenciales y facilitar ataques de cadena de suministro. Este malware combina un rootkit, un backdoor y herramientas de vigilancia, destacando por su capacidad de persistencia y sigilo al ejecutarse en memoria y borrar sus rastros. Su objetivo principal es comprometer estaciones de trabajo de desarrolladores para acceder a infraestructuras críticas y repositorios de código.

Investigadores de Rapid7 detectaron que el grupo iraní MuddyWater simuló ser la banda de ransomware Chaos para encubrir una operación de ciberespionaje. Los atacantes utilizaron phishing y manipulación social para robar credenciales y extraer datos sensibles sin cifrar archivos ni pedir rescate. Esta táctica de bandera falsa busca desviar la atención de los defensores y dificultar la atribución del ataque al estado iraní.

Daemon Tools fue infectada con malware durante el mes de abril, según investigadores de Kaspersky, poniendo en peligro a millones de usuarios.

DAEMON Tools instala puerta trasera en miles de sistemas a través de su sitio web oficial, según alertó Kaspersky.

CloudZ es un nuevo troyano de acceso remoto que utiliza una aplicación de Microsoft para interceptar mensajes y robar contraseñas en Windows al conectar el móvil al ordenador.

Se ha detectado Bluekit, un nuevo kit de phishing avanzado que utiliza IA y plantillas prediseñadas para facilitar el robo de contraseñas y datos, permitiendo incluso el secuestro de sesiones y la suplantación de identidad.

Un nuevo ataque a la cadena de suministro está dirigiéndose al ecosistema de desarrolladores de SAP mediante paquetes npm envenenados. La campaña utiliza un gusano malicioso llamado “Mini Shai-Hulud”, que se ejecuta en silencio antes de que finalice cualquier instalación de npm y roba credenciales de máquinas de desarrolladores, plataformas en la nube y herramientas de codificación con IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y otros.

Bluekit es un kit de phishing "todo en uno" con más de 40 plantillas para servicios como Gmail, Outlook, iCloud o GitHub, que incluye un asistente de IA (Llama, GPT-4.1, Claude) para generar borradores de campañas, aunque en fase experimental. Ofrece gestión integral de ataques, desde dominios hasta extracción de datos vía Telegram, y permite monitorizar sesiones en tiempo real para optimizar fraudes.

Un paquete falso de npm ha sido descubierto robando silenciosamente credenciales sensibles de desarrolladores al hacerse pasar por la ampliamente confiable biblioteca TanStack. El paquete, publicado bajo el nombre sin ámbito “tanstack” en el registro de npm, engañó a los desarrolladores para que lo instalaran en lugar de los paquetes legítimos “@tanstack/*”. Una vez instalado, ejecutó scripts ocultos que enviaban archivos de variables de entorno directamente a un servidor remoto.

Microsoft Defender ha detectado por error certificados raíz como malware, generando problemas de seguridad en sistemas Windows.

 

Un ataque a la cadena de suministro denominado GlassWorm, dirigido al mercado Open VSX, se ha intensificado con el descubrimiento de 73 nuevas extensiones "durmientes". Identificado en abril de 2026, este grupo representa un peligroso cambio en la forma en que los actores de amenazas distribuyen malware a desarrolladores de software. Esta actividad sigue a una gran oleada descubierta en marzo de 2026, donde los investigadores documentaron 72 extensiones maliciosas en Open VSX.

Una vulnerabilidad de seguridad recientemente revelada en el Nessus Agent de Tenable para Windows podría permitir a los atacantes ejecutar código malicioso con los máximos privilegios del sistema, lo que genera serias preocupaciones para los equipos de seguridad empresariales que dependen de esta ampliamente desplegada plataforma de evaluación de vulnerabilidades. La falla permite a un actor malintencionado crear una unión de Windows (junction), un tipo de enlace simbólico en el sistema de archivos, lo que facilita la explotación del fallo.

Un nuevo malware basado en Python, conocido como DEEP#DOOR, ha surgido como una grave amenaza para los usuarios de Windows, combinando una puerta trasera completamente funcional con un potente motor de robo de credenciales. Lo que hace que esta amenaza sea especialmente preocupante es su capacidad para operar de manera sigilosa, incrustándose profundamente en un sistema comprometido mientras recopila datos sensibles de múltiples fuentes al mismo tiempo. 

Un nuevo spyware para Android se está vendiendo abiertamente en internet, y trae consigo algo mucho más peligroso que sus funciones de vigilancia por sí solas. Por un pago, cualquiera puede comprarlo, poner su propio nombre y logotipo, y comenzar a venderlo como su propio producto. 

La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe Global del Panorama de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo aumentó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

Un nuevo botnet de DDoS recientemente descubierto está explotando servidores Jenkins expuestos para lanzar potentes ataques contra la infraestructura de juegos del Valve Source Engine. Investigadores de seguridad de Darktrace identificaron la amenaza tras capturarla en uno de sus sistemas honeypot. Lo que destaca de este malware es su enfoque específico en servidores de videojuegos, combinado con una infección inteligente.

Investigadores han detectado un ransomware defectuoso que destruye archivos en lugar de cifrarlos, imposibilitando su recuperación incluso tras pagar el rescate.

Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Varios paquetes oficiales de SAP npm fueron comprometidos en un ataque a la cadena de suministro para robar credenciales y tokens de autenticación (incluyendo AWS, Azure, GitHub y SSH). Los paquetes afectados (@cap-js/sqlite, @cap-js/postgres, @cap-js/db-service, mbt) ejecutaban un script malicioso al instalarse, descargando un payload ofuscado que extraía secretos de memoria y los subía a repositorios GitHub bajo la cuenta de la víctima. El ataque, vinculado a TeamPCP, se propagaba autónomamente usando credenciales robadas y podría originarse por un token de NPM expuesto en CircleCI.