Surgió "Prinz Eugen", un nuevo ransomware basado en Go que prioriza la encriptación de los archivos modificados recientemente para maximizar el impacto en el negocio. Los atacantes utilizan credenciales RDP robadas y software de gestión remota (RMM), evitando el modelo RaaS y no dejando notas de rescate en el sistema para evadir la detección. Su estrategia busca reducir el rastro forense, moviendo las comunicaciones de extorsión a canales externos.

Se ha detectado una vulnerabilidad crítica denominada “PixelSmash” (CVE-2026-8461) en el decodificador MagicYUV de FFmpeg. Este fallo, calificado con una puntuación de 8.8 (Alta) en la escala CVSS, consiste en una escritura fuera de los límites del montón en el componente libavcodec. Esto permitiría a los atacantes utilizar archivos multimedia aparentemente inofensivos para lograr la ejecución remota de código (RCE).

Investigadores descubrieron paquetes maliciosos de npm diseñados para instalar un troyano de acceso remoto (RAT) en Windows. Estos paquetes imitan herramientas legítimas para engañar a los usuarios y pueden robar credenciales de Chrome y ejecutar comandos remotos. Se recomienda eliminar cualquier paquete sospechoso y cambiar las contraseñas de inmediato.

Se ha identificado una vulnerabilidad de seguridad crítica en la biblioteca libssh2, identificada como CVE-2026-55200. Este fallo, con una puntuación de CVSS de 9.2, permite que atacantes remotos ejecuten código arbitrario mediante el envío de paquetes SSH especialmente diseñados, debido a un desbordamiento de búfer provocado por un desbordamiento de enteros (CWE-680).

Una campaña global de malware está atacando usuarios de WhatsApp mediante mensajes de cuentas comprometidas que envían archivos VBS disfrazados de documentos financieros. Al ejecutarlos, se instala silenciosamente el software ManageEngine Endpoint Central, otorgando a los atacantes acceso remoto al sistema de la víctima. Kaspersky recomienda precaución con los archivos recibidos, incluso de contactos conocidos, y escanearlos siempre con un antivirus.

Se ha detectado una campaña global que distribuye archivos VBScript maliciosos a través de WhatsApp Desktop y Web, disfrazados de documentos financieros. Al ejecutarlos, se instala software de gestión remota (RMM) que permite a los atacantes controlar el sistema de la víctima. Kaspersky recomienda no abrir archivos ejecutables o scripts provenientes de contactos, incluso si son conocidos.

El servicio de inteligencia de Canadá (CSIS) obtuvo permiso judicial para neutralizar dos botnets extranjeras que utilizaban servidores y dispositivos IoT infectados en suelo canadiense. Esta operación permitió alterar y eliminar datos maliciosos para proteger infraestructuras críticas, marcando la primera vez que el CSIS usa sus facultades de reducción de amenazas de esta manera. El caso resalta la vulnerabilidad de equipos obsoletos y la necesidad de actualizar el hardware para evitar nuevas infecciones.

Gizmodo confirmó haber sufrido un incidente de seguridad donde se inyectaron ventanas falsas de CAPTCHA para engañar a los usuarios y ejecutar código malicioso. El ataque, vinculado al programa ClickFix, intentó instalar el malware NetSupport RAT en Windows y un archivo ZIP en macOS. El sitio ya resolvió el problema eliminando el script y asegurando la cuenta comprometida.

La banda de ransomware-as-a-service (RaaS) Gentlemen ha utilizado un sofisticado framework llamado GentleKiller para desactivar sistemáticamente herramientas de seguridad de endpoints antes de desplegar su carga maliciosa. Según un informe de ESET publicado el 17 de junio de 2026, este grupo —uno de los más activos en el primer trimestre de ese año— proporciona a sus afiliados una suite centralizada mantenida por operadores para eliminar procesos de EDR y evadir la detección.

Se ha descubierto AutoJack, una cadena de tres vulnerabilidades críticas que permite que una sola página web maliciosa tome el control del agente de navegación de AutoGen Studio (la interfaz de Microsoft Research para sistemas de IA multi-agente). Este exploit permite la ejecución de código arbitrario en la máquina anfitriona sin requerir ninguna interacción del usuario más allá del envío de una URL.

Un atacante novato llamado Poisson robó credenciales bancarias y correos de una empresa francesa usando un keylogger y herramientas legítimas. A pesar de que su servidor de control fue desactivado, mantuvo el acceso instalando OpenSSH y Tailscale para crear una puerta trasera independiente. El caso demuestra que eliminar el servidor de mando no es suficiente si el atacante ha establecido otros métodos de persistencia en la red.