La herramienta de código abierto DPAPISnoop ha sido actualizada para permitir la extracción de entradas de CREDHIST. Esta mejora, implementada por Lefteris Panos de LRQA Red Team, facilita la recuperación y el análisis de credenciales históricas de Windows y el descifrado de hashes de claves maestras de DPAPI, permitiendo así el crackeo offline de contraseñas y un estudio más detallado de sus patrones.

Una página de instalación de PHP mal configurada dejó expuesta la infraestructura interna de una plataforma activa de distribución de malware. Esto permitió que un investigador de seguridad obtuviera acceso administrativo accidental al panel de control de un actor de amenazas. Lo que parecía ser un sitio falso de descarga de software resultó ser un sistema backend activo utilizado para distribuir código malicioso.

Ciberdelincuentes están utilizando las herramientas en la nube de Microsoft para localizar discretamente al personal de recursos humanos y nóminas dentro de las redes corporativas. Una vez identificados, los atacantes desvían los salarios de los empleados hacia cuentas bajo su control. Lo más alarmante es que el método es sumamente limpio, ya que no utilizan malware ni explotan vulnerabilidades de software, lo que dificulta la detección por parte de los equipos de seguridad.

Investigadores de Tenet Security descubrieron Agentjacking, un ataque que engaña a agentes de IA para ejecutar código malicioso en máquinas de desarrolladores. El método explota una falla en Sentry mediante la inyección de errores falsos que la IA interpreta como instrucciones legítimas de reparación. Esto permite robar datos sensibles y credenciales, superando las defensas tradicionales ya que el agente actúa con los privilegios del usuario.

Oracle ha alertado sobre una vulnerabilidad crítica de día cero (CVE-2026-35273) en PeopleSoft PeopleTools que permite la ejecución remota de código sin autenticación. El fallo, con una puntuación de riesgo de 9.8, está siendo explotado activamente por el grupo ShinyHunters para robar datos de numerosas organizaciones. Oracle ya ha publicado medidas de mitigación urgentes mientras prepara el parche definitivo.

La Universidad de Nottingham sufrió un ciberataque perpetrado por el grupo ShinyHunters, afectando a más de 450,000 estudiantes y exalumnos. Los atacantes robaron unos 40 GB de datos sensibles, incluyendo información financiera, pasaportes y datos personales. Este incidente es parte de una campaña global que ha comprometido a más de 100 organizaciones mediante vulnerabilidades en el software Oracle PeopleSoft.

Alineados con Corea del Norte están atacando nuevamente a la comunidad de desarrolladores mediante la campaña UNK_DeadDrop. El método consiste en ocultar código malicioso dentro de repositorios de GitHub que parecen legítimos, utilizando ofertas de trabajo falsas y solicitudes de revisión de código para engañar a los programadores y lograr que ejecuten malware en sus propios equipos.

Ha surgido un nuevo grupo de extorsión denominado Pink (rastreado como CL-CRI-1147), que representa una amenaza grave para las organizaciones empresariales. Este grupo utiliza tácticas de ingeniería social para robar credenciales de almacenamiento en la nube y datos sensibles. Pink lanzó su propio sitio de filtración de datos el 31 de mayo de 2026 y ya ha publicado una lista de sus primeras víctimas.

Se ha revelado una vulnerabilidad crítica (CVE-2026-4372) en la librería HuggingFace Transformers que permite a los atacantes lograr la ejecución remota de código (RCE) mediante archivos de configuración de modelos maliciosos. Este fallo representa un riesgo significativo para la cadena de suministro, afectando a desarrolladores, empresas y flujos de trabajo de IA a nivel global.

Cibercriminales están aprovechando el interés por las herramientas de IA mediante el uso de envenenamiento SEO para posicionar páginas falsas de instalación de Claude Code en los primeros resultados de búsqueda. El objetivo de esta campaña es engañar a los usuarios para que visiten un sitio fraudulentamente similar al de Anthropic y así robar sus credenciales mediante la descarga de un infostealer de .NET sin archivos.

Se ha detectado una falla de seguridad crítica en las cámaras de vigilancia KMW CCTV, identificada como CVE-2026-5386. Esta vulnerabilidad, que cuenta con una puntuación de riesgo muy alta (9.1 en CVSS v3), podría permitir que atacantes obtengan acceso total y no autorizado tanto a las transmisiones en vivo como a la configuración de los dispositivos.

Se ha identificado una falla crítica de autenticación en la aplicación de escritorio de StrongDM (CVE-2026-4387) que permite a los atacantes secuestrar sesiones de usuario mediante la reutilización de material de autenticación almacenado localmente. Este fallo, descubierto por SpecterOps, podría exponer infraestructura empresarial sensible y ya ha sido corregido en la versión 23.74.0 de StrongDM Desktop y la versión 53.77.0 de su CLI.

Dashlane informó que un ataque de fuerza bruta permitió descargar las bóvedas cifradas de menos de 20 usuarios con planes personales. El atacante intentó vulnerar la autenticación de dos pasos para registrar nuevos dispositivos, aunque la mayoría de las cuentas fueron suspendidas preventivamente. La empresa aclara que los datos siguen protegidos por la contraseña maestra y recomienda a los usuarios revisar sus dispositivos registrados.

Pentest Swarm AI es la primera plataforma de pruebas de penetración autónoma de código abierto basada en una arquitectura de inteligencia de enjambre. Desarrollada por Armur AI, esta herramienta permite a los profesionales de seguridad coordinar el uso de un conjunto completo de herramientas ofensivas, como nmap, SQLMap, Burp Suite, ZAP y Metasploit, todas impulsadas por inteligencia artificial.

El grupo de hackers norcoreano Kimsuky ha lanzado ataques sofisticados contra entidades militares y corporativas de Corea del Sur utilizando ingeniería social y páginas falsas de Webex y software de seguridad. Emplean el troyano HTTPSpy y otras familias de malware como AppleSeed y PebbleDash para el robo de datos y el control remoto. Además, el grupo ha evolucionado usando herramientas legítimas de VS Code, lenguaje Rust e inteligencia artificial para evadir detecciones.

El framework de seguridad de código abierto ROADtools, diseñado originalmente para el red-teaming, está siendo utilizado por atacantes para comprometer entornos de Microsoft Azure. Los cibercriminales están convirtiendo esta herramienta en un arma para robar tokens de autenticación, registrar dispositivos maliciosos y evadir los controles de autenticación de múltiples factores (MFA).

Ciberdelincuentes han logrado engañar a Gemini, la IA de Google, utilizándola para automatizar flujos de hacking y crear bots naturales con el fin de robar contraseñas, credenciales y carteras de criptomonedas.

El grupo de amenaza persistente avanzada Cloud Atlas ha sido detectado utilizando una técnica peligrosa para secuestrar sistemas Windows sin alertar a la red. El grupo modifica el archivo central de Windows termsrv.dll para habilitar múltiples sesiones simultáneas del Protocolo de Escritorio Remoto (RDP), lo que permite a los atacantes operar en segundo plano en la computadora de la víctima.

Una nueva campaña de ataques de cadena de suministro está dirigiendo su objetivo hacia los desarrolladores. El método consiste en ocultar un guion malicioso dentro de paquetes de software en GitHub que, al instalarse, descarga un binario de Linux disfrazado con un nombre de archivo similar a un proceso estándar del sistema (como SSH) para pasar desapercibido.

Flipper One es la evolución de Flipper Zero, un mini PC con Linux y chip de IA diseñado para realizar hackeos en remoto desde un dispositivo de bolsillo.