Una nueva ola de malware, denominada TamperedChef (o EvilAI), se está propagando a través de internet disfrazada de herramientas de productividad cotidianas. Estas aplicaciones maliciosas están diseñadas para robar credenciales de usuario y otorgar a los atacantes el control remoto de los sistemas infectados.

Un ciudadano chino, Song Wu, ejecutó una campaña de spear-phishing contra empleados de la NASA y otras entidades de defensa para robar software confidencial y tecnología aeroespacial, suplantando la identidad de investigadores estadounidenses.

Investigadores detectaron que el grupo Webworm, vinculado a China, ha desplegado en 2025 nuevas puertas traseras llamadas EchoCreep y GraphWorm que utilizan Discord y Microsoft Graph API para comunicaciones. El grupo ha expandido sus objetivos hacia entidades gubernamentales en Europa y Asia, sustituyendo troyanos tradicionales por herramientas proxy más sigilosas. Para evadir detecciones, emplean repositorios de GitHub falsos y servicios de VPN para ocultar sus rastros.

Los usuarios de macOS se enfrentan a una amenaza sofisticada llamada “Reaper”, una variante del malware robador de información SHub. Este software malicioso logra mantener el acceso persistente en los equipos infectados mediante la instalación de un falso agente de actualización de software de Google, ocultándose bajo la identidad de marcas confiables para evitar ser detectado.

Se ha detectado una nueva cadena de ataque vinculada al grupo de amenazas UAC-0184. Esta campaña utiliza la herramienta bitsadmin de Windows y archivos HTA para infiltrar cargas maliciosas en los sistemas. El ataque está dirigido principalmente a Ucrania, enfocándose específicamente en objetivos relacionados con el ámbito militar y personas vinculadas a las Fuerzas de Defensa Ucranianas.

El grupo ruso Turla ha transformado su backdoor Kazuar en una botnet modular P2P diseñada para el espionaje persistente y sigiloso. Esta herramienta, vinculada al FSB ruso, utiliza tres módulos (Kernel, Bridge y Worker) para coordinar tareas, evadir detecciones y recolectar datos de gobiernos y sectores de defensa. El objetivo final es obtener acceso a largo plazo para la recolección de inteligencia estratégica para el Kremlin.

El malware de estado-nación conocido como Kazuar ha reaparecido con un diseño mucho más peligroso. Lo que comenzó como un backdoor estándar ha evolucionado hacia una botnet peer-to-peer totalmente modular, diseñada específicamente para el espionaje encubierto a largo plazo contra objetivos diplomáticos y gubernamentales de alto valor, operada por el grupo Secret Blizzard.

El grupo FamousSparrow, vinculado al estado chino, infiltró una compañía de gas y petróleo de Azerbaiyán. Para lograrlo, aprovecharon un servidor de Microsoft Exchange sin parchear para instalar múltiples puertas traseras en la red. El ataque ocurrió entre finales de diciembre de 2025 y finales de febrero de 2026, siendo una de las intrusiones de APT china más detalladas contra infraestructuras energéticas.

El grupo Ghostwriter, vinculado a Bielorrusia, ha lanzado nuevos ataques de ciberespionaje contra entidades gubernamentales en Ucrania, Polonia y Lituania usando malware como PicassoLoader. Simultáneamente, el grupo ruso Gamaredon ataca instituciones ucranianas, mientras que BO Team y Hive0117 dirigen ofensivas contra organizaciones rusas con fines políticos y económicos. Estas operaciones destacan una constante evolución en las técnicas de phishing y evasión para comprometer sistemas críticos.

El grupo  vinculado a Irán conocido como Seedworm (también llamado MuddyWater) ha llevado a cabo una campaña sofisticada durante el primer trimestre de 2026. El grupo ha logrado infiltrarse en redes de al menos nueve organizaciones distribuidas en nueve países de cuatro continentes distintos.

Empresas israelíes han desarrollado tecnología comercial para localizar terminales de Starlink e identificar a sus usuarios, herramienta disponible para organismos gubernamentales.

Palo Alto Networks reportó una vulnerabilidad crítica (CVE-2026-0300) en PAN-OS que permite la ejecución remota de código con privilegios de root. Atacantes, posiblemente vinculados a China, han explotado este fallo para infiltrarse en redes, enumerar directorios activos e instalar malware. Se recomienda restringir el acceso al portal de autenticación User-ID o desactivarlo hasta que se apliquen los parches.

En Canadá han detectado un fraude electoral utilizando la trampa del canario, un método clásico de espionaje que permite identificar filtraciones sin necesidad de tecnología.

Un nuevo spyware para Android se está vendiendo abiertamente en internet, y trae consigo algo mucho más peligroso que sus funciones de vigilancia por sí solas. Por un pago, cualquiera puede comprarlo, poner su propio nombre y logotipo, y comenzar a venderlo como su propio producto. 

Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Un grupo APT vinculado a China, conocido como GopherWhisper, está explotando servicios legítimos para llevar a cabo ataques contra gobiernos. Investigadores han descubierto recientemente que esta amenaza persistente avanzada (APT) utiliza plataformas y herramientas comunes para evadir detecciones y comprometer objetivos gubernamentales.

El malware fast16 es una amenaza recientemente descubierta con capacidad de sabotaje, diseñada para atacar entornos de alto valor y sistemas ultra costosos con precisión. A diferencia del malware común que busca infecciones masivas, este se enfoca en víctimas específicas donde la interrupción o el control a largo plazo pueden causar graves daños operativos y financieros. La campaña parece estar dirigida a objetivos estratégicos, aunque los detalles completos aún no han sido revelados.

Un grupo de amenazas vinculado a Corea del Norte está siendo contratado discretamente por empresas reales. Jasper Sleet, un actor de amenazas asociado a Corea del Norte, ha estado creando identidades profesionales falsas y utilizándolas para conseguir empleos legítimos en TI de forma remota, lo que les proporciona acceso directo a entornos en la nube y datos internos sensibles.

Ha surgido una nueva y rápida amenaza cibernética, donde hackers vinculados a China están construyendo silenciosamente grandes redes de routers comprometidos y dispositivos de borde para llevar a cabo operaciones cibernéticas encubiertas contra organizaciones en todo el mundo. 

Corea del Norte ha estado llevando a cabo una de las operaciones de fraude cibernético más discretamente efectivas en los últimos años. Operativos patrocinados por el Estado y vinculados al régimen de Pyongyang se han hecho pasar por trabajadores remotos legítimos de TI para ser contratados por empresas de todo el mundo, obteniendo salarios que fluyen directamente para financiar los programas de armas del país.