Investigadores de Cisco Talos han alertado sobre una nueva versión del troyano de acceso remoto CloudZ. Utilizando un plugin oculto llamado "Pheno", el malware abusa de la aplicación nativa 'Phone Link' de Windows para acceder a su base de datos local e interceptar mensajes SMS sincronizados, incluyendo códigos OTP. Esto permite a los atacantes evadir el doble factor de autenticación (2FA) directamente desde el PC infectado, sin necesidad de comprometer el dispositivo móvil de la víctima. La cadena de infección se oculta tras falsas actualizaciones de ScreenConnect e incluye mecanismos para evadir entornos de análisis de seguridad.

Palo Alto Networks alerta sobre la explotación activa de la falla crítica CVE-2026-0300 en PAN-OS, la cual permite ejecución remota de código (RCE) como root sin autenticación. Actores estatales presuntamente vinculados a China (CL-STA-1132) aprovechan esta vulnerabilidad con extrema cautela: inyectan shellcode, borran los registros de fallos del sistema para ocultar su intrusión y utilizan herramientas open-source para moverse lateralmente por la red evadiendo las detecciones tradicionales.

Descubierto el "Quasar Linux RAT" (QLNX), un implante fileless altamente sigiloso que ataca entornos Linux y DevOps evadiendo detecciones mediante un rootkit dual. Su objetivo central: robar credenciales críticas (NPM, AWS, Kubernetes) para secuestrar pipelines CI/CD y distribuir código malicioso, poniendo en grave riesgo la cadena de suministro de software global.

"Bleeding Llama" (CVE-2026-7482) es una falla crítica en el framework Ollama que permite a atacantes remotos extraer de la memoria del servidor claves API, prompts y conversaciones de usuarios mediante la carga de archivos GGUF maliciosos. Además, dos vulnerabilidades aún sin parchear en su versión para Windows (CVE-2026-42248 y CVE-2026-42249) habilitan la ejecución silenciosa y persistente de código abusando del sistema de actualizaciones.

El grupo de ransomware Lamashtu ha publicado en su portal de filtraciones a la empresa mexicana Sertec, especialista en automatización industrial y telecomunicaciones. Se presume la exfiltración de 65 GB de datos sensibles (aproximadamente 30,000 archivos), que incluirían planos de ingeniería técnica, registros financieros y documentación confidencial de diversos proyectos vinculados tanto al sector público como al privado. Los atacantes han iniciado una cuenta regresiva para la publicación total de los archivos bajo un esquema de extorsión.

La vulnerabilidad crítica CVE-2026-41096 (CVSS 9.8) en el servicio Windows DNS permite a atacantes no autenticados ejecutar código de forma remota (RCE) a través de la red sin interacción del usuario. Dada la gravedad de este desbordamiento de búfer, que podría resultar en el compromiso total del sistema, se recomienda aplicar los parches de seguridad de Microsoft de manera urgente.

Se publicaron dos nuevos zero-days en Windows: "YellowKey", que permite evadir el cifrado BitLocker con acceso físico usando una USB modificada en el entorno WinRE; y "GreenPlasma", que escala privilegios a nivel SYSTEM explotando el proceso CTFMON. Simultáneamente, expertos advierten sobre ataques de downgrade que vulneran BitLocker abusando de certificados de arranque antiguos.

El subdominio caadiccsh[.]uaa[.]mx de la Universidad Autónoma de Aguascalientes (UAA) sufrió un ataque de defacement. Su página principal fue alterada y reemplazada por un mensaje del atacante "./topimiring", vinculado al grupo "Black Illusion Security".

Se publicó un PoC para "DirtyDecrypt" (CVE-2026-31635), una falla en el kernel de Linux que permite a atacantes locales escalar privilegios a root modificando archivos de solo lectura mediante la evasión de protecciones COW. Esta amenaza crítica, que facilita escapes de contenedores en sistemas vulnerables, ha impulsado a los desarrolladores a debatir la implementación de un "Killswitch" de emergencia en el kernel.

GitHub ha confirmado una severa brecha de seguridad en su infraestructura interna. El actor de amenazas "TeamPCP" logró infiltrarse y ha puesto a la venta el código fuente de aproximadamente 4,000 repositorios privados de la organización. Exigiendo un mínimo de $50,000 USD, los atacantes amenazan con hacer pública la información si no encuentran comprador. Este incidente expone datos críticos como tokens API, configuraciones CI/CD e infraestructura interna, representando un riesgo masivo de ataques a la cadena de suministro de software a nivel global.

El grupo de ransomware Titan anunció un posible ataque contra la constructora Grupo Mezta. En su portal de la Dark Web, los atacantes exhiben una supuesta filtración de documentos internos, actas legales y hojas de cálculo con registros financieros y costos de obras. De confirmarse, esta presunta brecha comprometería de forma crítica la información corporativa y contable de la empresa.

La campaña automatizada "Megalodon" inyectó flujos CI/CD maliciosos en más de 5,500 repositorios de GitHub en solo seis horas. Atribuido a "TeamPCP", el ataque abusa de GitHub ActiActions para exfiltrarivamentedenciales en la nube (AWS, GCP), claves SSH y secretos de desarrollo, comprometiendo gravemente la cadena de suministro global.

Foros de la Dark Web reportan una supuesta filtración masiva de OnlyFans con 340 millones de registros de creadores y suscriptores. De confirmarse, la exposición de correos, teléfonos, metadatos financieros y redes sociales vinculadas representaría un riesgo crítico de desanonimización. Expertos señalan que el peligro principal no es el robo financiero, sino el potencial para campañas de extorsión y doxxing. La autenticidad de los datos sigue sin verificarse.