Se ha descubierto un nuevo malware para Linux llamado Quasar Linux (QLNX), el cual está dirigido específicamente a ingenieros de DevOps y desarrolladores de software. Este malware destaca por su sofisticación, ya que se ejecuta casi totalmente en memoria, lo que dificulta enormemente su detección por parte de las herramientas de seguridad tradicionales al evitar el almacenamiento de archivos en el disco.

Investigadores detectaron que el grupo Webworm, vinculado a China, ha desplegado en 2025 nuevas puertas traseras llamadas EchoCreep y GraphWorm que utilizan Discord y Microsoft Graph API para comunicaciones. El grupo ha expandido sus objetivos hacia entidades gubernamentales en Europa y Asia, sustituyendo troyanos tradicionales por herramientas proxy más sigilosas. Para evadir detecciones, emplean repositorios de GitHub falsos y servicios de VPN para ocultar sus rastros.

Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Un nuevo Troyano de Acceso Remoto conocido como DesckVB ha estado atacando sistemas en 2026, utilizando JavaScript ofuscado y un cargador .NET sin archivos para permanecer oculto de las herramientas de seguridad tradicionales. El malware otorga a los atacantes control remoto total sobre la máquina de la víctima, convirtiéndolo en una grave amenaza tanto para individuos como para organizaciones.

Un troyano de acceso remoto recientemente descubierto, llamado STX RAT, ha surgido como una grave amenaza cibernética en 2026, combinando acceso oculto a escritorio remoto con funciones de robo de credenciales para comprometer sigilosamente máquinas objetivo. El malware recibe su nombre del byte mágico Start of Text (STX) \x02 que antepone a cada mensaje enviado a su servidor de comando y control (C2)

Dos versiones maliciosas de la popular biblioteca HTTP de JavaScript Axios se publicaron brevemente en el registro de npm el 31 de marzo de 2026. Cada versión incluía una dependencia oculta que instalaba un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux. 

Los atacantes han encontrado una nueva forma de distribuir malware al aprovechar una de las herramientas cotidianas más confiables: Google Forms. Una campaña recientemente identificada está explotando señuelos con temática empresarial, incluyendo falsas entrevistas de trabajo, briefs de proyectos y documentos financieros, para instalar un Troyano de Acceso Remoto (RAT) conocido como PureHVNC en los equipos de las víctimas. 

Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que descarga y ejecuta de forma silenciosa un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como fast-draft bajo la cuenta del editor KhangNghiem, había acumulado más de 26,000 descargas antes de que se detectara la actividad maliciosa incrustada

Se ha descubierto una nueva campaña cibernética sofisticada que utiliza una técnica engañosa conocida como "ClickFix" para distribuir un troyano de acceso remoto personalizado denominado MIMICRAT. Esta operación compromete sitios web legítimos para usarlos como vectores de entrega, eludiendo los controles de seguridad tradicionales al depender de la ingeniería social en lugar de explotar vulnerabilidades de software. 

Investigadores han identificado una nueva campaña de malware en Windows que usa Pulsar RAT y Stealerv37, destacando por su interacción en tiempo real con las víctimas mediante chats, rompiendo el modelo tradicional de infecciones silenciosas.

Una nueva ola de ataques dirigidos a sistemas Windows ha surgido a través de un sofisticado troyano de acceso remoto conocido como Pulsar RAT. Este malware establece persistencia utilizando la clave de registro Run por usuario, lo que permite su ejecución automática cada vez que un usuario infectado inicia sesión en su sistema. 

Una extensión maliciosa de VS Code ha surgido en el panorama de amenazas digitales, atacando a desarrolladores que dependen diariamente de herramientas de programación. Descubierta el 27 de enero de 2026, la falsa extensión “ClawdBot Agent” se hacía pasar por un asistente legítimo impulsado por IA, pero ocultaba una carga peligrosa bajo su apariencia. 

Ha surgido una nueva campaña de spear-phishing conocida como Operación Poseidón, que explota la infraestructura publicitaria de Google para distribuir el malware EndRAT, eludiendo medidas de seguridad tradicionales. El ataque aprovecha dominios legítimos de seguimiento de clics en anuncios para ocultar URLs maliciosas, haciéndolas parecer tráfico publicitario confiable. Esta técnica logra burlar los filtros de seguridad en correos electrónicos y reduce la sospecha de los usuarios durante el proceso.

Los actores de amenazas están aprovechando una peligrosa nueva campaña que arma documentos de envío de apariencia ordinaria para distribuir Remcos, un potente troyano de acceso remoto. Este esquema de phishing utiliza correos electrónicos falsos de envío como punto de entrada, engañando a los usuarios para que abran documentos de Word maliciosos disfrazados de documentación de carga legítima. 

Una reciente campaña de AsyncRAT está utilizando los servicios de nivel gratuito de Cloudflare y los túneles TryCloudflare para ocultar actividades de acceso remoto dentro del tráfico en la nube que parece normal. En estos ataques, los actores de amenazas envían correos electrónicos de phishing que enlazan a un archivo ZIP alojado en Dropbox, nombrado para parecer una factura en alemán, engañando a los usuarios