OpenPetya es un proyecto educativo que reconstruye la lógica de un bootkit para analizar cómo el malware toma el control del proceso de arranque, sustituyendo el MBR y cifrando la Master File Table (MFT) mediante el algoritmo Salsa20 antes de iniciar el sistema operativo.

PyrsistenceSniper es una herramienta avanzada diseñada para detectar la persistencia offline, permitiendo a los analistas de ciberseguridad identificar 117 mecanismos de persistencia distintos en plataformas Windows, Linux y macOS. Desarrollada por Hexastrike y basada en Python, esta solución permite realizar un triaje rápido de colecciones forenses sin necesidad de acceder al sistema en vivo.

Un sofisticado grupo vinculados a China ha sido detectado atacando routers de borde en el sudeste asiático. Para lograrlo, utilizan un implante de Linux personalizado que les otorga un control profundo sobre el tráfico de red. Esta campaña ha sido calificada con una severidad crítica, ya que su impacto se extiende más allá de los dispositivos inicialmente comprometidos mediante la instalación de un archivo malicioso denominado router.elf.

Se ha detectado una vulnerabilidad de día cero en el sistema de gestión de aprendizaje (LMS) KnowledgeDeliver, identificada como CVE-2026-5426. Según Mandiant, este fallo permite la ejecución remota de código (RCE) sin necesidad de autenticación, afectando a las instalaciones que utilizan configuraciones predeterminadas de ASP.NET. Esta vulnerabilidad ha sido explotada activamente para desplegar la web shell en memoria conocida como BLUEBEAM.

Se ha revelado una vulnerabilidad crítica de desbordamiento de búfer en heap en la versión 26.00 de 7-Zip. Este fallo, identificado como CVE-2026-48095 (GHSL-2026-140), se encuentra en la función CInStream::GetCuSize() del manejador de archivos NTFS, lo que permitiría a los atacantes lograr la ejecución arbitraria de código mediante el secuestro de una vtable.

El grupo de amenaza persistente avanzada Cloud Atlas ha sido detectado utilizando una técnica peligrosa para secuestrar sistemas Windows sin alertar a la red. El grupo modifica el archivo central de Windows termsrv.dll para habilitar múltiples sesiones simultáneas del Protocolo de Escritorio Remoto (RDP), lo que permite a los atacantes operar en segundo plano en la computadora de la víctima.

Ciberdelincuentes están explotando una vulnerabilidad crítica de inyección SQL en Ghost CMS para obtener claves de administrador e inyectar código JavaScript malicioso. Esta campaña ha comprometido a más de 700 sitios web, utilizando falsos CAPTCHAs para engañar a los usuarios y ejecutar ataques de ClickFix. El objetivo final es instalar software malicioso en Windows que permite el control remoto de las víctimas.

Se ha descubierto una campaña de malware para Android que, durante casi diez meses, ha estado robando dinero a usuarios de cuatro países. El fraude consistía en suscribir a las víctimas a servicios de pago sin su consentimiento, utilizando versiones falsas de aplicaciones conocidas como puerta de entrada para ejecutar el fraude financiero de forma invisible.

Una nueva campaña de ataques de cadena de suministro está dirigiendo su objetivo hacia los desarrolladores. El método consiste en ocultar un guion malicioso dentro de paquetes de software en GitHub que, al instalarse, descarga un binario de Linux disfrazado con un nombre de archivo similar a un proceso estándar del sistema (como SSH) para pasar desapercibido.

Un conocido grupo de amenazas iraní ha implementado una nueva táctica para distribuir malware. En lugar de utilizar correos de phishing, crearon un sitio web falso que suplanta una página de descarga de software de bases de datos, empleando técnicas de SEO poisoning (envenenamiento de motores de búsqueda) para aparecer entre los primeros resultados y engañar a los usuarios que buscan la herramienta en línea.

Se ha detectado una campaña de ataques coordinados llamada TrapDoor que distribuye malware a través de npm, PyPI y Crates.io. El objetivo es robar credenciales, claves SSH y billeteras de criptomonedas, especialmente de desarrolladores en las áreas de IA y DeFi. Los atacantes utilizan diversos métodos de ejecución y hasta intentan engañar a asistentes de IA para exfiltrar datos secretos.

El grupo Lazarus, vinculado a Corea del Norte, utiliza el malware RemotePE para atacar organizaciones financieras y de criptomonedas. Este troyano de acceso remoto se ejecuta totalmente en memoria para evadir detecciones y no dejar rastros en el disco. El ataque comienza con ingeniería social en Telegram y busca mantener un acceso sigiloso a largo plazo para ejecutar robos de datos o financieros.

Microsoft lanza una solución de urgencia para YellowKey, un fallo en Windows 11 que permite eludir el cifrado BitLocker mediante el uso de una memoria USB.

Investigadores detectaron la campaña Megalodon, que infectó más de 5,500 repositorios de GitHub mediante commits maliciosos para robar credenciales de nube, claves SSH y secretos de CI/CD. El ataque, vinculado al grupo TeamPCP, utiliza cuentas desechables y flujos de trabajo automatizados para exfiltrar datos a gran escala. Además, se reportaron paquetes maliciosos en npm que suplantan herramientas de Polymarket para robar claves privadas de criptomonedas.

La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha incluido una vulnerabilidad crítica en Trend Micro Apex One en su catálogo de vulnerabilidades explotadas. El fallo, identificado como CVE-2026-34926, afecta a las instalaciones locales y podría permitir que los atacantes manipulen los sistemas de seguridad de los endpoints.

Una nueva campaña de ataques a la cadena de suministro llamada "Shai-Hulud" ha publicado más de 600 paquetes maliciosos en npm, afectando principalmente al ecosistema @antv. El malware roba credenciales de desarrolladores y entornos CI/CD, utilizando técnicas avanzadas de cifrado y GitHub para exfiltrar los datos. Se recomienda desinstalar los paquetes afectados inmediatamente y rotar todas las claves y secretos comprometidos.

La policía ucraniana y estadounidense identificaron a un joven de 18 años de Odesa sospechoso de dirigir una operación de malware "infostealer" contra una tienda en California. El ataque afectó a 28,000 cuentas, resultando en compras no autorizadas por 721,000 dólares y el robo de credenciales y sesiones. Las autoridades ya han incautado equipos y evidencia digital en sus domicilios para avanzar en el caso.

Se detectó un ataque de cadena de suministro contra los paquetes de localización de Laravel Lang, donde los atacantes manipularon las etiquetas de GitHub para distribuir malware a través de Composer. El código malicioso actúa como un "credential stealer" capaz de robar claves de AWS, GitHub, secretos de Kubernetes y datos de navegadores en Windows, macOS y Linux. Se recomienda a los desarrolladores revisar sus versiones, rotar credenciales expuestas y analizar sus sistemas en busca de indicadores de compromiso.

Grupos vinculados a Corea del Norte han encontrado una forma alarmante de manipular Hugging Face, una de las plataformas de IA y aprendizaje automático más confiables. El atacante ha incrustado malware de segunda etapa dentro del centro, convirtiéndolo en un canal para la distribución de software malicioso y la exfiltración de datos en vivo.

Se ha descubierto un sofisticado ataque de cadena de suministro denominado "Mini Shai-Hulud". Esta campaña tuvo como objetivo el ecosistema de paquetes npm @antv, que consiste en librerías de visualización de datos ampliamente utilizadas por desarrolladores en todo el mundo para crear aplicaciones y paneles de control. El ataque se caracterizó por ser silencioso y preciso.