GREYVIBE es un grupo vinculado a intereses rusos que ataca a entidades ucranianas mediante phishing, sitios fraudulentos y malware. El grupo utiliza inteligencia artificial generativa para acelerar el desarrollo de sus herramientas y evadir la detección, aunque comete errores técnicos básicos. Se estima que operan en una zona gris entre el ciberespionaje estatal y el cibercrimen organizado.

El grupo de extorsión ShinyHunters hackeó a la empresa de telecomunicaciones Charter Communications mediante un ataque de vishing a un empleado. Aunque la compañía negó la pérdida de datos sensibles, el servicio Have I Been Pwned confirmó la filtración de información de 4.9 millones de cuentas. Tras la negativa de Charter a pagar el rescate, los atacantes publicaron los datos robados en la dark web.

Se ha detectado una creciente ola de campañas de vishing (phishing de voz) donde los atacantes utilizan las funciones de colaboración externa de Microsoft Teams para suplantar a personal de soporte técnico e investigadores. Para analizar estos incidentes, se está recurriendo al Registro de Auditoría Unificado (UAL) de Microsoft 365 como fuente de datos forenses clave para reconstruir la cronología de los ataques.

El grupo de hackers norcoreano Kimsuky ha lanzado ataques sofisticados contra entidades militares y corporativas de Corea del Sur utilizando ingeniería social y páginas falsas de Webex y software de seguridad. Emplean el troyano HTTPSpy y otras familias de malware como AppleSeed y PebbleDash para el robo de datos y el control remoto. Además, el grupo ha evolucionado usando herramientas legítimas de VS Code, lenguaje Rust e inteligencia artificial para evadir detecciones.

El troyano bancario Grandoreiro, activo desde 2016 y uno de los malwares más extendidos a nivel mundial, ha resurgido con nuevas campañas. Estos ataques, descritos como sofisticados y bien organizados, están dirigidos principalmente a bancos portugueses y empresas en España, México y Latinoamérica.

Catalin Dragomir, un ciudadano rumano de 46 años, fue condenado a 56 meses de prisión federal por hackear la red del Departamento de Gestión de Emergencias de Oregón y otras víctimas en EE. UU. El acusado se declaró culpable de robo de identidad agravado y acceso no autorizado a computadoras, vendiendo información confidencial y accesos a redes. Además de la pena de cárcel, deberá pagar una multa de 250,000 dólares y entregar criptomonedas Monero.

Una vulnerabilidad de inyección SQL en Ghost CMS ha permitido el secuestro de más de 700 sitios web mediante el robo de claves de API para desplegar campañas ClickFix que instalan malware en usuarios de Windows.

Un sofisticado grupo vinculados a China ha sido detectado atacando routers de borde en el sudeste asiático. Para lograrlo, utilizan un implante de Linux personalizado que les otorga un control profundo sobre el tráfico de red. Esta campaña ha sido calificada con una severidad crítica, ya que su impacto se extiende más allá de los dispositivos inicialmente comprometidos mediante la instalación de un archivo malicioso denominado router.elf.

Un actor de amenazas de habla rusa utilizó una instancia de Google Gemini con "jailbreak" para ejecutar una operación de influencia temática MAGA durante cinco años. Mediante el uso de claves API robadas, el atacante logró robar credenciales de administrador de WordPress y vaciar al menos una billetera de criptomonedas, todo con un coste casi nulo. La infraestructura completa de esta operación fue descubierta en mayo de 2026 por TrendAI™ Research.

Una nueva campaña de ataques de cadena de suministro está dirigiendo su objetivo hacia los desarrolladores. El método consiste en ocultar un guion malicioso dentro de paquetes de software en GitHub que, al instalarse, descarga un binario de Linux disfrazado con un nombre de archivo similar a un proceso estándar del sistema (como SSH) para pasar desapercibido.

Un conocido grupo de amenazas iraní ha implementado una nueva táctica para distribuir malware. En lugar de utilizar correos de phishing, crearon un sitio web falso que suplanta una página de descarga de software de bases de datos, empleando técnicas de SEO poisoning (envenenamiento de motores de búsqueda) para aparecer entre los primeros resultados y engañar a los usuarios que buscan la herramienta en línea.

Se ha detectado una campaña de ataques coordinados llamada TrapDoor que distribuye malware a través de npm, PyPI y Crates.io. El objetivo es robar credenciales, claves SSH y billeteras de criptomonedas, especialmente de desarrolladores en las áreas de IA y DeFi. Los atacantes utilizan diversos métodos de ejecución y hasta intentan engañar a asistentes de IA para exfiltrar datos secretos.

GitHub ha implementado una mejora de seguridad significativa en el ecosistema npm mediante la disponibilidad general de publicaciones escalonadas (staged publishing) y nuevos controles durante la instalación. El objetivo principal de estas medidas es reducir los ataques automatizados a la cadena de suministro que afectan a los paquetes de código abierto, cambiando la forma en que se publican y distribuyen los paquetes para evitar que estén disponibles de manera inmediata y sin control tras su publicación.

Una nueva campaña de ataques a la cadena de suministro llamada "Shai-Hulud" ha publicado más de 600 paquetes maliciosos en npm, afectando principalmente al ecosistema @antv. El malware roba credenciales de desarrolladores y entornos CI/CD, utilizando técnicas avanzadas de cifrado y GitHub para exfiltrar los datos. Se recomienda desinstalar los paquetes afectados inmediatamente y rotar todas las claves y secretos comprometidos.

El FBI ha emitido una alerta sobre Kali365, una plataforma de phishing-as-a-service (PhaaS) que busca robar tokens de acceso y evadir la autenticación de múltiples factores (MFA) de los usuarios de Microsoft 365. Este servicio se distribuye principalmente a través de canales de Telegram, permitiendo que los atacantes lancen campañas de phishing con muy poco esfuerzo.

El 18 de mayo de 2026, GitHub sufrió un masivo ataque automatizado de cadena de suministro denominado "Megalodon". En menos de seis horas, la campaña logró inyectar puertas traseras maliciosas de CI/CD en más de 5.500 repositorios, convirtiéndose en una de las acciones de envenenamiento de GitHub Actions más agresivas registradas hasta la fecha, según el descubrimiento de SafeDep.

GitHub confirmó que el 18 de mayo de 2026 sufrió una brecha de seguridad significativa. Unos atacantes utilizaron una extensión maliciosa de Visual Studio Code para comprometer el dispositivo de un empleado y exfiltrar datos de los repositorios internos de código fuente de la compañía. El incidente fue detectado y contenido el mismo lunes por el equipo de seguridad de GitHub tras identificar actividad sospechosa.

Una nueva campaña de amenazas, denominada TAX#TRIDENT, está atacando a usuarios de Windows en la India. Los atacantes utilizan archivos maliciosos disfrazados de documentos oficiales de impuestos para infectar los sistemas, adaptando sus métodos de entrega pero manteniendo el mismo engaño convincente.

El grupo de ransomware The Gentlemen ha desarrollado una de las operaciones cibercriminales más agresivas de los últimos años. Tras surgir públicamente en la segunda mitad de 2025, escalaron rápidamente su actividad hasta convertirse, a principios de 2026, en una de las dos amenazas de ransomware más activas a nivel mundial.

Se ha detectado una nueva cadena de ataque vinculada al grupo de amenazas UAC-0184. Esta campaña utiliza la herramienta bitsadmin de Windows y archivos HTA para infiltrar cargas maliciosas en los sistemas. El ataque está dirigido principalmente a Ucrania, enfocándose específicamente en objetivos relacionados con el ámbito militar y personas vinculadas a las Fuerzas de Defensa Ucranianas.