Check Point lanzó actualizaciones críticas para corregir dos vulnerabilidades en sus servicios de VPN (especialmente en el protocolo obsoleto IKEv1) que permiten el salto de autenticación. Se ha detectado que atacantes remotos ya explotaron la falla CVE-2026-50751 en varias organizaciones, vinculándose en un caso al ransomware Qilin. La empresa insta a los usuarios a aplicar los parches inmediatamente o migrar a IKEv2 para mitigar el riesgo.

Un reporte indica que la NSA está utilizando el modelo Mythos de Anthropic para operaciones cibernéticas ofensivas, contando con ingenieros de la empresa integrados en la agencia. Esto resulta sorprendente ya que el Departamento de Defensa previamente había calificado a Anthropic como un riesgo de seguridad y prohibido sus servicios. Se cree que la medida busca contrarrestar el uso de IA similar por parte de adversarios como China o Irán.

Investigadores de seguridad advierten sobre campañas de malware que utilizan YouTube, sitios de contenido pirata y mods de Minecraft para infectar sistemas. Entre las amenazas destacan Weedhack, que roba credenciales y permite el acceso remoto, y CountLoader, que distribuye clippers de criptomonedas. Estos ataques buscan controlar dispositivos, robar datos sensibles y realizar minería de criptomonedas sin consentimiento.

El grupo SideCopy, vinculado a Pakistán, lanzó la operación XENOFISCAL mediante spear-phishing contra el Ministerio de Finanzas y funcionarios de Afganistán. Utilizan el troyano Xeno RAT para robar datos, monitorear dispositivos y ejecutar comandos remotos. Esta actividad forma parte de una campaña más amplia de ciberataques dirigida a entidades del sur de Asia, incluyendo al ejército de la India.

Investigadores descubrieron el paquete malicioso mouse5212-super-formatter en npm, diseñado para robar archivos de usuarios de la IA Claude. El software finge ser una utilidad de sincronización para enviar datos privados a una cuenta de GitHub controlada por atacantes. Se sospecha que el malware fue creado con IA debido a errores graves de seguridad que expusieron el token privado del propio autor.

Investigadores detectaron Trapdoor, una operación de fraude publicitario que utilizó cientos de aplicaciones maliciosas para Android disfrazadas de herramientas útiles. El esquema engañaba a los usuarios para instalar apps secundarias que generaban ingresos ilícitos mediante anuncios ocultos, afectando principalmente a usuarios en EE. UU. Google ya ha eliminado las aplicaciones implicadas para neutralizar la amenaza.

La agencia CISA de EE. UU. dejó expuesto durante seis meses un repositorio de GitHub con contraseñas, claves privadas y credenciales de AWS y Azure. Un investigador de GitGuardian descubrió la filtración, que incluía prácticas de seguridad deficientes, y alertó a la agencia para que eliminara el contenido. Aunque CISA investiga el incidente, afirma que no hay indicios de que los datos sensibles hayan sido comprometidos.

Una nueva variante del malware SHub llamada Reaper ataca usuarios de macOS suplantando a Apple, Microsoft y Google para robar credenciales y billeteras de criptomonedas. A diferencia de versiones anteriores, utiliza el Editor de Scripts de Apple para evadir defensas y engañar al usuario mediante falsos instaladores. Además de extraer datos sensibles, crea una puerta trasera persistente que permite a los atacantes ejecutar código remoto en el dispositivo infectado.

El grupo TeamPCP ha publicado el código fuente del gusano Shai-Hulud en GitHub, permitiendo que otros atacantes creen sus propias variantes. Este malware infecta paquetes de npm para robar credenciales de servicios como AWS y Azure, pudiendo borrar entornos locales si falla. Expertos advierten que ya existen imitadores expandiendo el alcance de esta herramienta destructiva.

Checkmarx detectó una versión maliciosa de su plugin de Jenkins, publicada por el grupo TeamPCP, que contiene el malware Shai-Hulud. Esta brecha es peligrosa ya que permite el acceso a códigos fuente y secretos en los procesos de compilación. La empresa insta a los usuarios a verificar que utilicen la versión oficial y trabaja en eliminar la versión comprometida.

Se ha detectado una nueva variante del malware bancario para Android llamada TrickMo.C, que se disfraza de aplicaciones de streaming o TikTok para robar credenciales bancarias y de criptomonedas en Europa. Esta versión destaca por usar la red descentralizada TON para ocultar sus comunicaciones, dificultando su detección y bloqueo. El malware es modular y capaz de realizar capturas de pantalla, interceptar SMS y ejecutar comandos remotos avanzados.

Se han detectado graves vulnerabilidades en Ollama, destacando Bleeding Llama, que permite a atacantes remotos filtrar memoria sensible como claves API y datos de usuarios. Asimismo, se hallaron fallos en la actualización de Windows que podrían permitir la ejecución persistente de código malicioso. Se recomienda actualizar a la versión más reciente, restringir el acceso a la red y desactivar las actualizaciones automáticas en Windows.