Un nuevo troyano de acceso remoto recientemente identificado, llamado KarstoRAT, ha sido detectado en análisis de sandbox y repositorios de malware desde principios de 2026. Este malware proporciona a los atacantes un amplio conjunto de capacidades de control remoto sobre máquinas Windows comprometidas, incluyendo la captura de la webcam, grabación de audio, registro de teclas, robo de capturas de pantalla y la capacidad de descargar y ejecutar cargas útiles adicionales bajo demanda. 

Una nueva aplicación falsa de lectura de documentos, descubierta en la Google Play Store, ha estado instalando silenciosamente Anatsa, un potente troyano bancario para Android, en miles de dispositivos de usuarios. La aplicación maliciosa superó las 10.000 descargas antes de que Google la eliminara, exponiendo a un número significativo de usuarios de Android al riesgo directo de fraude financiero y robo de credenciales. 

Una peligrosa campaña de malware ha estado atacando silenciosamente a usuarios de criptomonedas al ocultarse dentro de una versión falsa de Proxifier, una popular herramienta de software proxy. Los actores de amenazas crearon un repositorio en GitHub diseñado para parecer un descargador legítimo de Proxifier, pero el instalador incluido en realidad es un troyano que monitorea y secuestra la actividad del portapapeles

Un nuevo Troyano de Acceso Remoto conocido como DesckVB ha estado atacando sistemas en 2026, utilizando JavaScript ofuscado y un cargador .NET sin archivos para permanecer oculto de las herramientas de seguridad tradicionales. El malware otorga a los atacantes control remoto total sobre la máquina de la víctima, convirtiéndolo en una grave amenaza tanto para individuos como para organizaciones.

Un troyano de acceso remoto recientemente descubierto, llamado STX RAT, ha surgido como una grave amenaza cibernética en 2026, combinando acceso oculto a escritorio remoto con funciones de robo de credenciales para comprometer sigilosamente máquinas objetivo. El malware recibe su nombre del byte mágico Start of Text (STX) \x02 que antepone a cada mensaje enviado a su servidor de comando y control (C2)

Una campaña de malware recientemente descubierta se ha estado propagando sigilosamente a través de repositorios falsos de GitHub, atacando simultáneamente a desarrolladores de software, gamers, jugadores de Roblox y usuarios de criptomonedas. Conocida internamente como TroyDen’s Lure Factory, la campaña despliega un troyano personalizado basado en LuaJIT, diseñado cuidadosamente para evadir herramientas de seguridad automatizadas.

Un nuevo troyano bancario para Android llamado Perseus ha surgido en la naturaleza, representando el siguiente paso en la evolución continua del malware móvil. Construido sobre el código fuente filtrado de Cerberus y basado directamente en el código de Phoenix, Perseus refina y amplía las capacidades de sus predecesores. Combina el robo de credenciales, la monitorización del dispositivo en tiempo real

Un conocido troyano bancario llamado Horabot ha resurgido en una campaña activa dirigida a usuarios en México, combinando una cadena de infección de múltiples etapas con un gusano de correo electrónico que convierte cada máquina comprometida en un repetidor de phishing. La amenaza incluye un troyano bancario basado en Delphi junto con un propagador impulsado por PowerShell, lo que la convierte en una de las amenazas financieras más complejas y estratificadas

Se ha descubierto una nueva campaña de malware que distribuye un Troyano de Acceso Remoto (RAT) a través de sitios web falsos que suplantan la página oficial de descarga de FileZilla. Los atacantes diseñaron estos sitios fraudulentos para imitar casi a la perfección la página real de FileZilla, engañando a los usuarios para que descarguen archivos de instalación maliciosos. El objetivo es comprometer de forma silenciosa sistemas Windows mientras las víctimas creen que están instalando un software legítimo.

Se ha descubierto una nueva campaña de troyanos botnet, denominada OCRFix, que combina trucos de ingeniería social con una infraestructura de comandos basada en blockchain para construir silenciosamente una red de máquinas comprometidas. La campaña fusiona la conocida técnica de phishing ClickFix con EtherHiding —un método que almacena instrucciones del atacante directamente en una blockchain pública, haciendo que los desmantelamientos sean casi imposibles—. 

El panorama de amenazas móviles está experimentando un cambio significativo hacia operaciones cibercriminales profesionalizadas, impulsado por la creciente disponibilidad de herramientas maliciosas sofisticadas. Recientemente ha surgido una nueva y potente amenaza conocida como SURXRAT, que opera como un troyano de acceso remoto de alto funcionamiento diseñado para comprometer dispositivos Android. 

Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan. El grupo tiene coincidencias con el clúster previamente rastreado como SmartApeSG, también llamado ZPHP o HANEMONEY. 

Se ha descubierto una nueva campaña cibernética sofisticada que utiliza una técnica engañosa conocida como "ClickFix" para distribuir un troyano de acceso remoto personalizado denominado MIMICRAT. Esta operación compromete sitios web legítimos para usarlos como vectores de entrega, eludiendo los controles de seguridad tradicionales al depender de la ingeniería social en lugar de explotar vulnerabilidades de software. 

El malware Massiv es un troyano bancario para Android que se hace pasar por una app de IPTV para robar ahorros mediante control remoto de dispositivos, ataques de superposición y fraudes en cuentas bancarias, afectando principalmente a usuarios en Europa (España, Portugal, Francia). Utiliza técnicas avanzadas como registro de teclas, interceptación de SMS y acceso directo al dispositivo, permitiendo a los ciberdelincuentes abrir cuentas fraudulentas y eludir verificaciones KYC. No está vinculado a otras amenazas conocidas y su distribución aprovecha la costumbre de instalar apps fuera de tiendas oficiales, lo que lo hace especialmente peligroso.

Versiones falsas de 7-Zip distribuidas en un dominio engañoso (7zip[.]com) convierten computadoras en proxies residenciales mediante un instalador troyanizado que instala malware oculto (como hero.exe) en SysWOW64, con persistencia vía servicios de Windows y manipulación de firewall. El ataque explota tutoriales de YouTube y certificados revocados para parecer legítimo, monetizando el tráfico de las víctimas en redes de proxy para fraudes o anonimato. Se recomienda verificar fuentes oficiales (7-zip.org) y revisar servicios no autorizados.

Investigadores han identificado una nueva campaña de malware en Windows que usa Pulsar RAT y Stealerv37, destacando por su interacción en tiempo real con las víctimas mediante chats, rompiendo el modelo tradicional de infecciones silenciosas.

Una nueva ola de ataques dirigidos a sistemas Windows ha surgido a través de un sofisticado troyano de acceso remoto conocido como Pulsar RAT. Este malware establece persistencia utilizando la clave de registro Run por usuario, lo que permite su ejecución automática cada vez que un usuario infectado inicia sesión en su sistema. 

Ha surgido una nueva campaña de malware dirigida a usuarios de Windows, que utiliza archivos LNK engañosos para distribuir MoonPeak, un peligroso troyano de acceso remoto. Este malware, que parece ser una variante de XenoRAT, ha sido vinculado a actores de amenazas afiliados a Corea del Norte. 

Una nueva campaña de malware está explotando advertencias falsas de Pantalla Azul de la Muerte (BSOD) y herramientas de compilación de Microsoft confiables para distribuir un peligroso troyano de acceso remoto. La operación, rastreada como PHALT#BLYX, apunta a empresas del sector hotelero con correos electrónicos engañosos de cancelación de reservas que manipulan a las víctimas para ejecutar código malicioso en sus sistemas.