Cellik representa una evolución significativa en las capacidades de los troyanos de acceso remoto (RAT) para Android, introduciendo funciones sofisticadas de control y vigilancia del dispositivo que antes estaban reservadas para spyware avanzado. Este RAT recientemente identificado combina el control total del dispositivo con una conexión integrada a la Google Play Store, lo que permite a los atacantes incrustar sin problemas código malicioso en aplicaciones legítimas. 

Google Threat Intelligence Group (GTIG) ha emitido una advertencia sobre la explotación generalizada de una falla de seguridad crítica en React Server Components. Conocida como React2Shell (CVE-2025-55182), esta vulnerabilidad permite a los atacantes tomar el control de los servidores de forma remota sin necesidad de una contraseña.

Descargas ilegales de películas, especialmente las de DiCaprio y otros estrenos, contienen malware oculto en los subtítulos; aunque los archivos de texto no suelen ser peligrosos, se ha descubierto un sofisticado malware que explota esta vulnerabilidad.

El popular editor de texto Notepad++ ha corregido una grave vulnerabilidad en su mecanismo de actualización que podría permitir a los atacantes secuestrar el tráfico de red y enviar ejecutables maliciosos a los usuarios haciéndolos pasar por actualizaciones legítimas. 

Cuidado con los anuncios falsos en Google que simulan conversaciones de ChatGPT o Grok, ya que pueden contener malware como AMOS, capaz de robar credenciales, datos de navegadores, criptomonedas y claves Wi-Fi. Protege tu dispositivo con sentido común, antivirus actualizado y mantén el sistema operativo actualizado para evitar ser víctima de esta amenaza que afecta a macOS.

 DroidLock es un nuevo ransomware que bloquea dispositivos Android, amenazando con eliminar archivos si no se paga un rescate. Investigadores de Zimperium descubrieron esta amenaza que se instala a través de una aplicación maliciosa y solicita permisos de administrador. Se recomienda no instalar apps fuera de Google Play, mantener el dispositivo actualizado y usar un antivirus. En caso de ataque, no se debe pagar el rescate y se puede buscar ayuda en INCIBE o NoMoreRansom.

Investigadores de seguridad han descubierto una amenaza significativa dirigida a desarrolladores a través del VS Code Marketplace. Una campaña coordinada que involucra a 19 extensiones maliciosas ha estado infiltrándose activamente en la plataforma, permaneciendo el ataque sin ser detectado desde febrero de 2025. Estas extensiones engañosas llevan malware oculto en sus carpetas de dependencias, diseñado para evadir la detección de seguridad y comprometer las máquinas de los desarrolladores.

Un grupo de ataque con base en China ha lanzado una campaña dirigida contra empresas japonesas de transporte marítimo y terrestre explotando vulnerabilidades críticas en Ivanti Connect Secure (ICS). La campaña, descubierta en abril de 2025, aprovecha dos vulnerabilidades graves para obtener acceso inicial a las redes objetivo y desplegar múltiples variantes del malware PlugX, incluyendo el MetaRAT y el Talisman PlugX, recientemente identificados.

Están comprometiendo a desarrolladores con extensiones maliciosas de VS Code y Cursor AI. Las herramientas de desarrollo utilizadas por millones de programadores en todo el mundo se han convertido en un objetivo principal para los atacantes que buscan comprometer a organizaciones enteras. Visual Studio Code y los IDE impulsados por IA como Cursor AI, combinados con sus mercados de extensiones, presentan una vulnerabilidad crítica en la cadena de suministro de software. 

Grupos de ransomware utilizan el servicio HeartCrypt para evadir la detección de EDR mediante la descarga de herramientas como AVKiller, empaquetadas y firmadas con certificados comprometidos, aprovechando una vulnerabilidad en la validación de controladores de Windows. Se ha detectado su uso en ataques de ransomware como Blacksuit, Medusa y RansomHub, evidenciando un posible intercambio de herramientas y conocimiento técnico entre estos grupos, lo que supone una amenaza creciente para la seguridad.

Extensiones de Chrome y Edge se han vuelto maliciosas, afectando a más de 4 millones de ordenadores a nivel mundial con spyware, tras ser actualizadas con código malicioso.

 Cyble Research and Intelligence Labs (CRIL) ha descubierto una campaña de phishing activa y en evolución dirigida a usuarios en Brasil. Denominada RelayNFC, esta familia de malware para Android está diseñada específicamente para realizar ataques de retransmisión NFC para pagos sin contacto fraudulentos.

Samsung está en el ojo del huracán por culpa de una aplicación que viene preinstalada en algunos de sus móviles más baratos. Conocida como AppCloud, esta app ofrece recomendaciones sobre aplicaciones de terceros que podrían interesarte. A primera vista parece inofensiva; sin embargo, la aplicación esconde un secreto que ha provocado que defensores de la privacidad exijan a Samsung que la elimine.

 

 Inteligencia artificial que comanda ciberataques y envía órdenes a los virus que lo llevan a cabo, haciéndolos mutar en tiempo real para sortear las barreras de ciberseguridad. Es la alerta que el Grupo de Inteligencia de Amenazas de Google (GTIG) ha enviado este miércoles, tras detectar que los ciberdelincuentes ya no solo utilizan esta tecnología como un asistente, sino como un cerebro autónomo que las potencia para hacerlas más dañinas e indetectables mientras el ataque se lleva a cabo.

 Una nueva campaña de malware ha sido detectada por los investigadores de Koi Security: bautizada como GlassWorm, se propaga mediante extensiones de Visual Studio Code y utiliza mecanismos avanzados de control y comando vía cadena de bloques.

Usuarios brasileños se han convertido en el objetivo de un nuevo malware que se propaga de forma automática a través de WhatsApp para Windows.

Nueva amenaza de seguridad: un nuevo y sofisticado malware denominado Klopatra, dirigido a dispositivos Android y que ha puesto el foco en los usuarios españoles.

 

 Investigadores han detectado MalTerminal, el ejemplo más antiguo conocido de malware que incorpora capacidades de modelos de lenguaje amplio (LLM), como GPT-4, para crear ransomware y reverse shells bajo demanda. Esta nueva tendencia supone un cambio en las tácticas de los atacantes y plantea retos inéditos para los defensores.

 Investigadores de ESET Latinoamérica han descubierto una campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). Los atacantes utilizan documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, en la región.