El grupo de ransomware Qilin está desplegando una cadena de infección sofisticada y de múltiples etapas a través de una DLL maliciosa msimg32.dll que puede desactivar más de 300 controladores de detección y respuesta en endpoints (EDR) de prácticamente todos los principales proveedores de seguridad. A medida que las organizaciones dependen cada vez más de las soluciones EDR, que ofrecen una visibilidad conductual mucho mayor que los antivirus tradicionales, los actores de amenazas han adaptado sus tácticas desarrollando asesinos de EDR 

Una vulnerabilidad crítica de secuestro de DLL (DLL hijacking) ha sido descubierta en Notepad++, el popular editor de código fuente utilizado por millones de desarrolladores en todo el mundo. El fallo, identificado como CVE-2025-56383, afecta a la versión 8.8.3 y podría impactar a todas las instalaciones existentes del software.

El Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) ha informado sobre el uso indebido de mavinject.exe, una utilidad legítima de Microsoft, por parte de cibercriminales para inyectar cargas útiles de DLL maliciosas en procesos legítimos. Esta técnica permite a los atacantes eludir las medidas de seguridad y ocultar sus actividades maliciosas.

Investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han descubierto una sofisticada campaña de malware dirigida al ampliamente utilizado editor de texto Notepad++. Este ataque, denominado "WikiLoader", demuestra el alarmante ingenio de los actores de amenazas modernos y los riesgos asociados incluso con el software aparentemente confiable.

Una nueva campaña de malware de acceso inicial "Nitrogen" utiliza anuncios de búsqueda de Google y Bing para promocionar sitios de software falsos que infectan a usuarios desprevenidos con Cobalt Strike y cargas útiles de ransomware. El objetivo del malware Nitrogen es proporcionar a los actores de la amenaza acceso inicial a las redes corporativas, lo que les permite llevar a cabo el robo de datos, el ciberespionaje y, en última instancia, desplegar el ransomware BlackCat/ALPHV.

El malware QBot ha comenzado a abusar de secuestro de DLL en el programa WordPad de Windows 10 para infectar ordenadores, utilizando el programa legítimo para evadir la detección del software de seguridad.

Una actividad maliciosa de DLL sideloading que se basa en el escenario clásico de sideloading, pero añade complejidad y capas a su ejecución. Además, la investigación indica que el actor o actores responsables de la amenaza les gusta tanto esta adaptación del escenario original que utilizaron múltiples variaciones del mismo, intercambiando repetidamente un componente concreto en el proceso para eludir la detección en este paso de la cadena de ataque.