Un ciudadano chino, Song Wu, ejecutó una campaña de spear-phishing contra empleados de la NASA y otras entidades de defensa para robar software confidencial y tecnología aeroespacial, suplantando la identidad de investigadores estadounidenses.

Se ha filtrado en línea información de más de 468,000 usuarios de CTT, el operador postal de Portugal, incluyendo nombres, correos, teléfonos y códigos de seguimiento de paquetes. Este robo de datos es especialmente peligroso ya que permite a los ciberdelincuentes crear campañas de phishing mucho más convincentes. Hasta el momento, la empresa no ha reconocido públicamente el ataque.

El grupo de ciberespionaje Kimsuky, vinculado a Corea del Norte, llevó a cabo cuatro campañas de spear-phishing durante el primer semestre de 2025. Estas operaciones estuvieron dirigidas a diversos perfiles, incluyendo reclutadores corporativos, inversores y desarrolladores de criptomonedas, funcionarios del sector defensa y administradores de escuelas de posgrado.

Ciberdelincuentes utilizan la IA y datos públicos de Instagram para crear campañas de phishing personalizadas y más creíbles, analizando intereses y ubicación de los usuarios para aumentar el éxito de sus ataques.

Una nueva variante del malware SHub llamada Reaper ataca usuarios de macOS suplantando a Apple, Microsoft y Google para robar credenciales y billeteras de criptomonedas. A diferencia de versiones anteriores, utiliza el Editor de Scripts de Apple para evadir defensas y engañar al usuario mediante falsos instaladores. Además de extraer datos sensibles, crea una puerta trasera persistente que permite a los atacantes ejecutar código remoto en el dispositivo infectado.

INTERPOL coordinó la Operación Ramz en Medio Oriente y Norte de África, logrando 201 arrestos y la neutralización de infraestructuras de phishing y malware. La iniciativa contó con la participación de 13 países y empresas privadas para desmantelar estafas financieras y redes criminales. Paralelamente, se destacan diversas condenas internacionales contra administradores de mercados negros y expertos en fraudes criptográficos.

El kit de phishing Tycoon2FA ha resurgido con nueva infraestructura y ahora utiliza ataques de "código de dispositivo" para secuestrar cuentas de Microsoft 365. El método engaña a las víctimas para que autoricen dispositivos maliciosos mediante URLs de seguimiento de Trustifi y páginas falsas de CAPTCHA. Para combatirlo, los expertos recomiendan deshabilitar el flujo de código de dispositivo de OAuth y monitorear estrictamente los registros de autenticación.

Una nueva y creciente ola de ataques de phishing está facilitando el robo de credenciales. Los ciberdelincuentes están utilizando Vercel, una plataforma de desarrollo web basada en inteligencia artificial, para crear páginas de inicio de sesión falsas muy convincentes que imitan sitios reales. Debido al bajo coste y la facilidad de este método, un espectro más amplio de atacantes está aprovechando estas herramientas.

BWH Hotels informó sobre una filtración de datos causada por un tercero que afectó a clientes de sus diversas marcas entre octubre y abril. Se accedió a información personal y detalles de reservas, aunque se confirmó que no hubo robo de datos bancarios o de pago. La empresa ya tomó medidas de seguridad y recomienda a los huéspedes estar alerta ante posibles mensajes sospechosos o intentos de phishing.

Las passkeys son una alternativa a las contraseñas que mejoran la seguridad y protegen al usuario frente al phishing y las filtraciones de datos.

Investigadores de Rapid7 detectaron que el grupo iraní MuddyWater simuló ser la banda de ransomware Chaos para encubrir una operación de ciberespionaje. Los atacantes utilizaron phishing y manipulación social para robar credenciales y extraer datos sensibles sin cifrar archivos ni pedir rescate. Esta táctica de bandera falsa busca desviar la atención de los defensores y dificultar la atribución del ataque al estado iraní.

Se ha detectado Bluekit, un nuevo kit de phishing avanzado que utiliza IA y plantillas prediseñadas para facilitar el robo de contraseñas y datos, permitiendo incluso el secuestro de sesiones y la suplantación de identidad.