GreyVibe, un grupo de amenazas probablemente vinculado a Rusia, está llevando a cabo una campaña de ciberespionaje contra organizaciones ucranianas utilizando IA para crear señuelos y malware personalizados. El grupo emplea diversas tácticas, desde phishing y sitios web falsos hasta troyanos y spyware, para robar datos y espiar sectores gubernamentales y militares. Aunque sus objetivos alinean con intereses estatales, WithSecure señala que su falta de disciplina operativa sugiere la participación de exmiembros de redes cibercriminales.

El grupo de ciberespionaje Kimsuky, vinculado a Corea del Norte, llevó a cabo cuatro campañas de spear-phishing durante el primer semestre de 2025. Estas operaciones estuvieron dirigidas a diversos perfiles, incluyendo reclutadores corporativos, inversores y desarrolladores de criptomonedas, funcionarios del sector defensa y administradores de escuelas de posgrado.

El grupo de hacking MuddyWater, vinculado a Irán, lanzó una campaña de ciberespionaje contra nueve organizaciones globales, incluyendo un gigante electrónico surcoreano y agencias gubernamentales. Utilizaron técnicas de *DLL sideloading* y herramientas legítimas para robar propiedad intelectual, credenciales y datos de navegadores. Symantec destaca la madurez operativa del grupo y su capacidad para evadir detecciones mediante ataques más silenciosos y sofisticados.

Se ha identificado una nueva campaña de malware llamada Operation GriefLure que afecta a altos ejecutivos e investigadores gubernamentales en el Sudeste Asiático. Los atacantes utilizan un Remote Access Trojan (RAT) modular capaz de robar credenciales, capturar capturas de pantalla y mantener persistencia en los sistemas infectados. Actualmente, la operación se centra en dos objetivos principales: el sector de telecomunicaciones vinculado al ejército en Vietnam y la industria sanitaria en Filipinas.

Investigadores de Rapid7 detectaron que el grupo iraní MuddyWater simuló ser la banda de ransomware Chaos para encubrir una operación de ciberespionaje. Los atacantes utilizaron phishing y manipulación social para robar credenciales y extraer datos sensibles sin cifrar archivos ni pedir rescate. Esta táctica de bandera falsa busca desviar la atención de los defensores y dificultar la atribución del ataque al estado iraní.

Un nuevo malware llamado Morpheus, vinculado a una empresa italiana de vigilancia, ha sido descubierto. Este software malicioso infecta dispositivos Android mediante un falso aviso de actualización, lo que permite a los atacantes espiar a las víctimas.

La investigación revela que Morpheus se utiliza para comprometer la seguridad de los dispositivos, exponiendo información sensible y facilitando el acceso no autorizado.

Este caso pone de manifiesto los riesgos asociados con herramientas de vigilancia encubiertas y la importancia de proteger los dispositivos móviles.

Investigadores descubren Fast16, un malware basado en LUA creado en 2005, cinco años antes que Stuxnet, diseñado para sabotear software de ingeniería de alta precisión mediante cálculos inexactos. Vinculado a The Shadow Brokers y posiblemente a la NSA, Fast16 es el primer malware en integrar un motor Lua y usaba un controlador de kernel para interceptar ejecutables. Su descubrimiento reevalúa la cronología del ciberespionaje estatal, mostrando que el sabotaje cibernético ya estaba avanzado a mediados de los 2000.

Un grupo de amenazas vinculado a un estado ha sido descubierto ejecutando una operación de espionaje silenciosa pero cuidadosamente planificada contra el sector bancario de la India, utilizando un archivo firmado por Microsoft para introducir malware sin ser detectado por las defensas de seguridad. La campaña distribuye una nueva versión del backdoor LOTUSLITE mediante una técnica conocida como carga lateral de DLL (DLL sideloading), que aprovecha la confianza que los sistemas operativos depositan en archivos legítimos.

 

TA416 ha regresado a Europa con una nueva oleada de correos de espionaje dirigidos a personal gubernamental y diplomático. La campaña combina reconocimiento sigiloso con entrega de malware, demostrando cómo un actor de amenazas paciente puede probar quién abre un mensaje antes de enviar un seguimiento más peligroso. Desde mediados de 2025 hasta principios de 2026, el grupo alineado con China ha atacado misiones diplomáticas

Un grave fallo en la seguridad operativa del grupo vinculado al Estado ruso, FancyBear, ha brindado a los investigadores de seguridad una visión inusualmente clara de una campaña de espionaje activa dirigida a organizaciones gubernamentales y militares en toda Europa. El 11 de marzo de 2026, la firma de inteligencia de amenazas Hunt.io publicó hallazgos sobre una campaña que rastrea como Operación Roundish, basada en un directorio abierto expuesto

Un potente kit de explotación para iPhone llamado Coruna, creado inicialmente para servicios de inteligencia occidentales por el contratista estadounidense L3Harris, ha caído en manos de espías rusos y ciberdelincuentes chinos. El kit Coruna incluye 23 componentes diferentes de hacking diseñados para comprometer iPhones de Apple. Trenchant, la división de hacking del contratista militar estadounidense L3Harris.

Un grupo de hackers vinculado presuntamente al estado chino ha sido descubierto ejecutando una de las operaciones de ciberespionaje más extensas jamás detectadas, infiltrándose silenciosamente en proveedores de telecomunicaciones y organismos gubernamentales en cuatro continentes durante casi una década. Google ha intervenido ahora para desmantelar por completo esta operación, cortando el acceso persistente del grupo y publicando inteligencia sobre amenazas.

El grupo APT28 (Fancy Bear), vinculado a Rusia, explotó en 24 horas la vulnerabilidad CVE-2026-21509 en Microsoft Office para espiar a objetivos militares y gubernamentales de la OTAN (Polonia, Ucrania) mediante phishing sofisticado con señuelos como alertas de armas o entrenamientos. El ataque usa objetos OLE para ejecutar código sin macros, descargando malware como BeardShell (que abusa de servicios en la nube legítimos como filen[.]io) y NotDoor (espía correos de Outlook y se autodestruye). La campaña destaca por su velocidad, evasión y alineación con intereses estratégicos rusos.

PDFSIDER es un malware APT que usa carga lateral de DLL (con un cryptbase.dll falso) para eludir detecciones, implementando una puerta trasera cifrada con capacidades C2. Distribuido vía phishing con un PDF24 App legítimo, opera en memoria, incluye anti-VM, comunicaciones AES-256-GCM y ejecución remota de comandos. Ya es usado por actores de ransomware para ataques dirigidos.

Actores de amenazas vinculados a infraestructura de alojamiento china han establecido una enorme red de más de 18.000 servidores de comando y control (C2) activos en 48 proveedores de alojamiento diferentes en los últimos meses. Este abuso generalizado pone de relieve un grave problema en cómo la infraestructura maliciosa puede ocultarse dentro de redes y servicios en la nube de confianza. 

Los mejores ciberespías y hackers de élite del mundo se reunieron en secreto en España, específicamente en Barcelona, bajo el lema "Sol, marisco y spyware" para analizar vulnerabilidades en un evento de máxima confidencialidad.

 Un equipo de investigadores chino ha desarrollado un robot transparente que imita la apariencia y movimientos de una medusa real para operaciones de vigilancia y monitoreo bajo el agua. Según sus creadores, la medusa tiene un muy bajo consumo energético, un movimiento casi silencioso y un diseño que la hacen casi indetectable.

El Ministerio de Seguridad del Estado (MSS, la principal agencia de inteligencia de China) acusó hoy a Estados Unidos de llevar a cabo un ciberataque contra el Centro Nacional de Servicio Horario, institución encargada de mantener la hora oficial exacta del país.

 

 

Los medios holandeses han informado de la detención de dos jóvenes ciudadanos de 17 años, sospechosos de actividades de espionaje para Rusia.

 

 El Servicio Secreto de EE.UU. desmanteló una red de dispositivos electrónicos ubicados en el área triestatal de Nueva York, utilizados para ejecutar múltiples amenazas de telecomunicaciones dirigidas a altos funcionarios del gobierno estadounidense, lo que representaba una amenaza inminente para las operaciones de protección de la agencia.