Una sofisticada campaña de malware está atacando a usuarios coreanos mediante una cadena de engaños. Los atacantes utilizan archivos de acceso directo (LNK) aparentemente inocuos, herramientas integradas de Windows y un payload de Python compilado para instalar el troyano de acceso remoto NarwhalRAT. Esta operación destaca por su capacidad para mimetizarse con la actividad normal del sistema, dificultando su detección.

Ciberdelincuentes están explotando activamente una vulnerabilidad crítica encadenada en LiteLLM, un proxy de puerta de enlace de IA de código abierto. Según investigadores de Horizon3.ai, la combinación de dos CVE permite la ejecución remota de código (RCE) sin necesidad de autenticación. Esta ruta de ataque ha sido calificada con una puntuación CVSS 10.0 (Crítica), basándose principalmente en la inyección de comandos detallada en el CVE-2026-42271.

Investigadores de seguridad advierten sobre campañas de malware que utilizan YouTube, sitios de contenido pirata y mods de Minecraft para infectar sistemas. Entre las amenazas destacan Weedhack, que roba credenciales y permite el acceso remoto, y CountLoader, que distribuye clippers de criptomonedas. Estos ataques buscan controlar dispositivos, robar datos sensibles y realizar minería de criptomonedas sin consentimiento.

Se ha detectado un peligroso malware que infiltra paquetes de software de Red Hat, afectando a miles de servidores Linux y desarrolladores a nivel global para el robo de datos.

Un fallo crítico de lógica en el chatbot de soporte con IA de Instagram permitió a los atacantes evadir completamente la autenticación de dos factores. En lugar de descifrar códigos, los hackers simplemente solicitaron al bot que les otorgara el acceso. Durante el fin de semana, se robaron en cuestión de minutos perfiles verificados, cuentas institucionales inactivas y nombres de usuario de alto valor (OG), los cuales ya están siendo listados para su reventa.

Esstán utilizando nuevas tácticas para engañar a los usuarios, aprovechando la confianza en las herramientas de inteligencia artificial. Se ha detectado una campaña de cryptojacking que manipula las interacciones de los chatbots de IA para redirigir a las personas hacia sitios de descarga de software malicioso.

Se ha detectado un aumento considerable en la actividad de escaneo global dirigida a las interfaces de gestión de los firewalls de SonicWall. Según la firma de inteligencia GreyNoise, se observó un incremento significativo en el escaneo de las APIs de gestión de SonicOS entre el 9 y el 18 de mayo de 2026, lo que sugiere una posible fase de reconocimiento previa a la explotación de nuevas vulnerabilidades.

Al menos dos grupos de atacantes han explotado una falla crítica de inyección SQL en Ghost CMS (identificada como CVE-2026-26980) para infectar silenciosamente más de 700 sitios web con el malware ClickFix, poniendo en grave riesgo a los visitantes. A pesar de que la vulnerabilidad fue revelada el 19 de febrero de 2026, muchos administradores no aplicaron las correcciones necesarias.

Están engañando a desarrolladores de software mediante el uso de envenenamiento de SEO para posicionar páginas de instalación falsas por encima de las oficiales. Estas webs fraudulentas imitan herramientas de IA populares como Gemini CLI y Claude Code, induciendo a los usuarios a ejecutar comandos peligrosos en sus propios equipos.