Investigadores detectaron que el grupo Webworm, vinculado a China, ha desplegado en 2025 nuevas puertas traseras llamadas EchoCreep y GraphWorm que utilizan Discord y Microsoft Graph API para comunicaciones. El grupo ha expandido sus objetivos hacia entidades gubernamentales en Europa y Asia, sustituyendo troyanos tradicionales por herramientas proxy más sigilosas. Para evadir detecciones, emplean repositorios de GitHub falsos y servicios de VPN para ocultar sus rastros.

Se ha identificado una nueva campaña de malware llamada Operation GriefLure que afecta a altos ejecutivos e investigadores gubernamentales en el Sudeste Asiático. Los atacantes utilizan un Remote Access Trojan (RAT) modular capaz de robar credenciales, capturar capturas de pantalla y mantener persistencia en los sistemas infectados. Actualmente, la operación se centra en dos objetivos principales: el sector de telecomunicaciones vinculado al ejército en Vietnam y la industria sanitaria en Filipinas.

Se ha detectado Quasar Linux RAT (QLNX), un malware avanzado que ataca a desarrolladores y DevOps para robar credenciales críticas de la cadena de suministro de software. El implante opera de forma sigilosa en memoria, utiliza rootkits a nivel de usuario y kernel para ocultarse y puede manipular archivos, registrar teclas y crear túneles de red. Su objetivo principal es obtener acceso a infraestructuras en la nube y pipelines de CI/CD para desplegar paquetes maliciosos.

Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Un nuevo Troyano de Acceso Remoto conocido como DesckVB ha estado atacando sistemas en 2026, utilizando JavaScript ofuscado y un cargador .NET sin archivos para permanecer oculto de las herramientas de seguridad tradicionales. El malware otorga a los atacantes control remoto total sobre la máquina de la víctima, convirtiéndolo en una grave amenaza tanto para individuos como para organizaciones.

Un troyano de acceso remoto recientemente descubierto, llamado STX RAT, ha surgido como una grave amenaza cibernética en 2026, combinando acceso oculto a escritorio remoto con funciones de robo de credenciales para comprometer sigilosamente máquinas objetivo. El malware recibe su nombre del byte mágico Start of Text (STX) \x02 que antepone a cada mensaje enviado a su servidor de comando y control (C2)

Dos versiones maliciosas de la popular biblioteca HTTP de JavaScript Axios se publicaron brevemente en el registro de npm el 31 de marzo de 2026. Cada versión incluía una dependencia oculta que instalaba un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux. 

Atacantes subieron versiones maliciosas de Axios (1.14.1 y 0.30.4) en npm que incluían una dependencia fraudulenta (plain-crypto-js) para distribuir un RAT multiplataforma en Windows, macOS y Linux mediante un ataque de software supply chain.

Los atacantes han encontrado una nueva forma de distribuir malware al aprovechar una de las herramientas cotidianas más confiables: Google Forms. Una campaña recientemente identificada está explotando señuelos con temática empresarial, incluyendo falsas entrevistas de trabajo, briefs de proyectos y documentos financieros, para instalar un Troyano de Acceso Remoto (RAT) conocido como PureHVNC en los equipos de las víctimas. 

Una popular extensión de editor de código listada en el registro Open VSX fue descubierta conteniendo malware oculto que descarga y ejecuta de forma silenciosa un troyano de acceso remoto (RAT) y un infostealer completo directamente en las máquinas de los desarrolladores sin ninguna señal de advertencia visible. La extensión, conocida como fast-draft bajo la cuenta del editor KhangNghiem, había acumulado más de 26,000 descargas antes de que se detectara la actividad maliciosa incrustada

Se ha descubierto una nueva campaña cibernética sofisticada que utiliza una técnica engañosa conocida como "ClickFix" para distribuir un troyano de acceso remoto personalizado denominado MIMICRAT. Esta operación compromete sitios web legítimos para usarlos como vectores de entrega, eludiendo los controles de seguridad tradicionales al depender de la ingeniería social en lugar de explotar vulnerabilidades de software. 

Microsoft alerta sobre ClickFix, una técnica de ingeniería social que engaña a usuarios de Windows y Mac para ejecutar comandos maliciosos mediante DNS, descargando malware como ModeloRAT o Lumma Stealer. Se distribuye vía phishing, malvertising o CAPTCHAs falsos, con variantes como FileFix o CrashFix. Los atacantes usan dominios antiguos y herramientas como CastleLoader para evadir detecciones, afectando principalmente a India, EE.UU. y Europa. La amenaza explota la confianza del usuario y prioriza el robo de criptomonedas, incluso en Mac, donde los cibercriminales firman malware con certificados válidos de Apple.

Investigadores han identificado una nueva campaña de malware en Windows que usa Pulsar RAT y Stealerv37, destacando por su interacción en tiempo real con las víctimas mediante chats, rompiendo el modelo tradicional de infecciones silenciosas.

Una nueva ola de ataques dirigidos a sistemas Windows ha surgido a través de un sofisticado troyano de acceso remoto conocido como Pulsar RAT. Este malware establece persistencia utilizando la clave de registro Run por usuario, lo que permite su ejecución automática cada vez que un usuario infectado inicia sesión en su sistema. 

Una extensión maliciosa de VS Code ha surgido en el panorama de amenazas digitales, atacando a desarrolladores que dependen diariamente de herramientas de programación. Descubierta el 27 de enero de 2026, la falsa extensión “ClawdBot Agent” se hacía pasar por un asistente legítimo impulsado por IA, pero ocultaba una carga peligrosa bajo su apariencia. 

Ha surgido una nueva campaña de spear-phishing conocida como Operación Poseidón, que explota la infraestructura publicitaria de Google para distribuir el malware EndRAT, eludiendo medidas de seguridad tradicionales. El ataque aprovecha dominios legítimos de seguimiento de clics en anuncios para ocultar URLs maliciosas, haciéndolas parecer tráfico publicitario confiable. Esta técnica logra burlar los filtros de seguridad en correos electrónicos y reduce la sospecha de los usuarios durante el proceso.

Los actores de amenazas están aprovechando una peligrosa nueva campaña que arma documentos de envío de apariencia ordinaria para distribuir Remcos, un potente troyano de acceso remoto. Este esquema de phishing utiliza correos electrónicos falsos de envío como punto de entrada, engañando a los usuarios para que abran documentos de Word maliciosos disfrazados de documentación de carga legítima. 

 

Una reciente campaña de AsyncRAT está utilizando los servicios de nivel gratuito de Cloudflare y los túneles TryCloudflare para ocultar actividades de acceso remoto dentro del tráfico en la nube que parece normal. En estos ataques, los actores de amenazas envían correos electrónicos de phishing que enlazan a un archivo ZIP alojado en Dropbox, nombrado para parecer una factura en alemán, engañando a los usuarios

Investigadores del Centro de Defensa Cibernética de Ontinue han descubierto una amenaza significativa: atacantes están utilizando Nezha, una herramienta legítima de monitoreo de servidores de código abierto, para acceder a sistemas comprometidos después de una explotación inicial. El descubrimiento revela cómo actores de amenazas sofisticados reutilizan software benigno para obtener control total sobre los sistemas comprometidos, al tiempo que evaden los mecanismos de detección de seguridad tradicionales. Nezha, originalmente desarrollada para la comunidad de TI china