La plataforma de mensajería WhatsApp, propiedad de Meta, dijo que alertó a unos 200 usuarios que fueron engañados para que instalaran una versión falsa de su aplicación iOS que estaba infectada con software espía.

Según informes del periódico italiano. La República y agencia de noticias ANSAla gran mayoría de los objetivos se encuentran en Italia. Se evalúa que los actores de amenazas detrás de la actividad utilizaron tácticas de ingeniería social para lograr que los usuarios instalaran software malicioso que imitaba a WhatsApp.

Se cerró la sesión de todos los usuarios afectados y se les recomendó desinstalar las aplicaciones con malware y descargar la aplicación oficial de WhatsApp. WhatsApp no ​​reveló quién fue el objetivo de estos ataques.

El gigante tecnológico dijo que también está tomando medidas contra Asigint, una filial italiana de la empresa de software espía SIO, por supuestamente crear una versión falsificada de WhatsApp.

En su sitio web, la empresa anuncia soluciones para organismos encargados de hacer cumplir la ley, organizaciones gubernamentales y agencias policiales y de inteligencia para monitorear actividades sospechosas, recopilar inteligencia o realizar operaciones encubiertas.

En diciembre de 2025, TechCrunch informó que SIO estaba detrás de un conjunto de aplicaciones maliciosas de Android que se hacían pasar por WhatsApp y otras aplicaciones populares, pero robaban datos privados del dispositivo de un objetivo utilizando una familia de software espía llamada Spyrtacus. Se cree que las aplicaciones fueron utilizadas por un cliente del gobierno para atacar a víctimas desconocidas en Italia.

SIO es una de las muchas empresas italianas que venden herramientas de vigilancia, incluidas Cy4Gate, eSurv, GR Sistemi, Negg, Raxir y RCS Lab, convirtiendo al país en un «centro de software espía«.

A principios del año pasado, WhatsApp alertó a unos 90 usuarios de que habían sido atacados por el software espía de Paragon Solutions conocido como Graphite. Luego, en agosto de 2025, notificó a menos de 200 usuarios que podrían haber sido atacados como parte de una sofisticada campaña que encadenaba vulnerabilidades de día cero en iOS y la aplicación de mensajería.

La noticia se produce poco más de un mes después de que un tribunal griego sentenciado Tal Dilian, fundador del Consorcio Intellexa, y tres asociados, Sara Hamou, Felix Bitzios y Yiannis Lavranos, a prisión por su papel en el uso ilegal del software espía Predator del proveedor para atacar a políticos, líderes empresariales y periodistas del país.

El escándalo de vigilancia de 2022, denominado Predatorgate o Watergate griego, llevó al Parlamento Europeo a iniciar una investigación formal en el uso de tales herramientas. Sin embargo, una nueva ley aprobada ese año legalizó el uso gubernamental bajo condiciones estrictas. En julio de 2024, el Tribunal Supremo griego despejado al servicio de inteligencia estatal y a funcionarios gubernamentales de irregularidades.

«Aún quedan dudas sobre el papel del gobierno griego, que ha negado sistemáticamente haber comprado o utilizado Predator», Amnistía Internacional dicho. «La transparencia es una parte crucial de la rendición de cuentas, al igual que la reparación para las numerosas víctimas de las violaciones de derechos humanos provocadas por el uso ilegal de esta tecnología».

En una declaración compartida con Reuters a finales del mes pasado, Dilian dicho Tiene intención de apelar la decisión y añade: «Creo que una condena sin pruebas no es justicia, podría ser parte de un encubrimiento e incluso un delito».

Italia y Grecia están lejos de ser los únicos países europeos atrapados en el punto de mira de la tecnología de software espía. En enero de 2026, el Tribunal Superior de Justicia de España cerró su investigación sobre el uso de Pegasus del Grupo NSO para espiar a políticos españoles, citando una falta de cooperación de las autoridades israelíes.

El caso se remonta a mayo de 2022, cuando el Gobierno español reveló que el software espía de la empresa israelí se había utilizado para espiar los dispositivos del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles.

Empresas como Intellexa y NSO Group han sostenido constantemente que su tecnología de vigilancia sólo ha sido autorizada a los gobiernos para luchar contra delitos graves y reforzar la seguridad nacional. David Friedman, presidente ejecutivo del grupo NSO dicho «El mundo es un lugar mucho más seguro» cuando las herramientas de la empresa «están en las manos adecuadas y en los países adecuados».

Microsoft ha advertido sobre nuevas campañas que están aprovechando la próxima temporada de impuestos en EE.UU. para recolectar credenciales y distribuir malware.

Las campañas de correo electrónico aprovechan la urgencia y la urgencia de los correos electrónicos para enviar mensajes de phishing disfrazados de avisos de reembolso, formularios de nómina, recordatorios de presentación y solicitudes de profesionales de impuestos para engañar a los destinatarios para que abran archivos adjuntos maliciosos, escaneen códigos QR o interactúen con enlaces sospechosos.

«Muchas campañas se dirigen a personas para el robo de datos personales y financieros, pero otras se dirigen específicamente a contadores y otros profesionales que manejan documentos confidenciales, tienen acceso a datos financieros y están acostumbrados a recibir correos electrónicos relacionados con impuestos durante este período», dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Security Research. dicho en un informe publicado la semana pasada.

Si bien algunos de estos esfuerzos dirigen a los usuarios a páginas incompletas diseñadas a través de plataformas de phishing como servicio (PhaaS), otros resultan en la implementación de herramientas legítimas de administración y monitoreo remoto (RMM), como ConnectWise ScreenConnect, Datto y SimpleHelp, que permiten a los atacantes obtener acceso persistente a los dispositivos comprometidos.

Los detalles de algunas de las campañas se encuentran a continuación:

• Uso de señuelos de contadores públicos certificados (CPA) para entregar páginas de phishing asociadas con el kit Energy365 PhaaS para capturar el correo electrónico y la contraseña de las víctimas. Se estima que el kit de phishing Energy365 envía cientos de miles de correos electrónicos maliciosos diariamente.
• Uso de códigos QR y señuelos W2 para dirigirse a aproximadamente 100 organizaciones, principalmente en las industrias de fabricación, venta minorista y atención médica ubicadas en los EE. UU., para dirigir a los usuarios a páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365 y creadas utilizando la plataforma PhaaS SneakyLog (también conocida como Kratos) para desviar sus credenciales y códigos de autenticación de dos factores (2FA).
• Usar dominios con temas fiscales para su uso en campañas de phishing que engañan a los usuarios para que hagan clic en enlaces falsos con el pretexto de acceder a formularios de impuestos actualizados, solo para distribuir ScreenConnect.
• Hacerse pasar por el Servicio de Impuestos Internos (IRS) con un señuelo de criptomonedas dirigido específicamente al sector de la educación superior en los EE. UU., indicando a los destinatarios que descargaran un «Formulario de impuestos sobre criptomonedas 1099» accediendo a un dominio malicioso («irs-doc[.]com» o «gov-irs216[.]net») para entregar ScreenConnect o SimpleHelp.
• Dirigido a contadores y organizaciones relacionadas, solicitando ayuda para declarar sus impuestos mediante el envío de un enlace malicioso que conduce a la instalación de Datto.

Microsoft dijo que también observó una campaña de phishing a gran escala el 10 de febrero de 2026, en la que más de 29.000 usuarios de 10.000 organizaciones se vieron afectados. Alrededor del 95% de los objetivos estaban ubicados en EE.UU., abarcando industrias como servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%).

«Los correos electrónicos se hacían pasar por el IRS, alegando que se habían presentado declaraciones de impuestos potencialmente irregulares con el Número de identificación de presentación electrónica (EFIN) del destinatario. Los destinatarios recibieron instrucciones de revisar estas declaraciones descargando un ‘Visor de transcripciones del IRS’ supuestamente legítimo», dijo el gigante tecnológico.

Los correos electrónicos, que se enviaron a través de Amazon Simple Email Service (SES), contenían un botón «Descargar IRS Transcript View 5.1» que, al hacer clic, redirigía a los usuarios a smartvault.[.]im, un dominio que se hace pasar por SmartVault, una conocida plataforma de gestión e intercambio de documentos.

El sitio de phishing confió en Cloudflare para mantener a raya a los bots y los escáneres automatizados, garantizando así que solo los usuarios humanos reciban la carga útil principal: un ScreenConnect empaquetado maliciosamente que otorga a los atacantes acceso remoto a sus sistemas y facilita el robo de datos, la recolección de credenciales y otras actividades posteriores a la explotación.

Para mantenerse a salvo de estos ataques, se recomienda a las organizaciones que apliquen 2FA a todos los usuarios, implementen políticas de acceso condicional, monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados, y eviten que los usuarios accedan a dominios maliciosos.

El desarrollo coincide con el descubrimiento de varias campañas que arrojan malware de acceso remoto o realizan robo de datos.

• Usando páginas falsas de Google Meet y Zoom para atraer a los usuarios a videollamadas fraudulentas que, en última instancia, entregar software de acceso remoto como Teramind, una plataforma legítima de seguimiento de empleados, mediante una actualización de software falsa.
• Usando un sitio web fraudulento que aprovecha la marca Avast para engañar a los usuarios de habla francesa para que entreguen los datos completos de su tarjeta de crédito como parte de una estafa de reembolso.
• Usando un sitio web mal escrito haciéndose pasar por el portal oficial de descarga de Telegram («telegrgam[.]com») para distribuir instaladores troyanizados que, además de eliminar un instalador legítimo de Telegram, ejecutan una DLL responsable de lanzar una carga útil en la memoria. Luego, el malware inicia la comunicación con su infraestructura de comando y control para recibir instrucciones, descargar componentes actualizados y mantener un acceso persistente.
• Abusar Notificaciones de alerta de Microsoft Azure Monitor para enviar correos electrónicos de phishing con devolución de llamadas que utilizan facturas y señuelos de pagos no autorizados. «Los atacantes crean reglas de alerta maliciosas de Azure Monitor, incorporando contenido fraudulento en la descripción de la alerta, incluidos detalles de facturación falsos y números de teléfono de soporte controlados por el atacante», dijo LevelBlue. «Luego, las víctimas se agregan al grupo de acción vinculado a la regla de alerta, lo que hace que Azure envíe el mensaje de phishing desde la dirección del remitente legítimo azure-noreply@microsoft.com».
• Usando señuelos con temas de citas en correos electrónicos de phishing para entregar un cuentagotas de JavaScript que se conecta a un servidor externo para descargar un script de PowerShell, que inicia la aplicación confiable de Microsoft «Aspnet_compiler.exe» e inyecta en ella una carga útil XWorm 7.1 mediante una inyección de DLL reflectante. El malware actualizado viene con un componente desarrollado en .NET diseñado para brindar sigilo y persistencia. También se han utilizado solicitudes similares de cotización de señuelos para desencadenar una cadena de infección Remcos RAT sin archivos.
• Usar correos electrónicos de phishing y tácticas de ClickFix para entregar NetSupport rata y obtener acceso no autorizado al sistema, filtrar datos e implementar malware adicional.
• Usando URI de redireccionamiento de registro de aplicaciones de Microsoft («iniciar sesión.microsoftonline[.]com») en correos electrónicos de phishing para abusar de las relaciones de confianza y evitar los filtros de spam de correo electrónico para redirigir a los usuarios a sitios web de phishing que capturan las credenciales de las víctimas y los códigos 2FA.
• Abusar de lo legítimo Servicios de reescritura de URL de Avanan, Barracuda, Bitdefender, Cisco, INKY, Mimecast, Proofpoint, Sophos y Trend Micro para ocultar URL maliciosas en correos electrónicos de phishing evade la detección. «Los actores de amenazas han adoptado cada vez más la redirección encadenada de múltiples proveedores en sus campañas de phishing», dijo LevelBlue. «La actividad anterior normalmente dependía de un único servicio de reescritura, pero las campañas más nuevas acumulan múltiples capas de enlaces ya reescritos. Este anidamiento hace que sea significativamente más difícil para las plataformas de seguridad reconstruir la ruta de redireccionamiento completa e identificar el destino malicioso final».
• Usando archivos ZIP maliciosos haciéndose pasar por una amplia gama de software, incluidos generadores de imágenes de inteligencia artificial (IA), herramientas de cambio de voz, utilidades de negociación del mercado de valores, modificaciones de juegos, VPN y emuladores, para entregar Salat Stealer o MeshAgent, junto con un minero de criptomonedas. La campaña se ha dirigido específicamente a usuarios de EE. UU., Reino Unido, India, Brasil, Francia, Canadá y Australia.
• Usando señuelos de invitación digitales enviado a través de correos electrónicos de phishing para desviar a los usuarios a una página CAPTCHA falsa de Cloudflare que entrega un VBScript, que luego ejecuta código PowerShell para recuperar un cargador .NET evasivo denominado SILENTCONNECT desde Google Drive para eventualmente entregar ScreenConnect.

Los hallazgos se producen tras un aumento en la adopción de RMM por parte de los actores de amenazas, y el abuso de dichas herramientas aumentó un 277% año tras año, según un informe reciente publicado por Huntress.

«Como estas herramientas son utilizadas por departamentos de TI legítimos, normalmente se pasan por alto y se consideran ‘confiables’ en la mayoría de los entornos corporativos», dijeron los investigadores de Elastic Security Labs, Daniel Stepanic y Salim Bitam. «Las organizaciones deben permanecer alerta y auditar sus entornos para detectar el uso no autorizado de RMM».

Los investigadores y cazadores de amenazas están luchando por contener un defecto de máxima gravedad en la aplicación de red UniFi de Ubiquiti que los atacantes podrían aprovechar para apoderarse de las cuentas de los usuarios accediendo y manipulando archivos.

La vulnerabilidad del recorrido del camino CVE-2026-22557 — afecta al software utilizado para administrar dispositivos de red UniFi, incluidos puntos de acceso, puertas de enlace y conmutadores. El proveedor reveló y lanzó parches para el defecto en un aviso de seguridad Miércoles.

«Hasta esta mañana, no hemos observado ninguna prueba pública de explotación de concepto ni informes confirmados de explotación en la naturaleza», dijo a CyberScoop Matthew Guidry, ingeniero senior de detección de productos de Censys.

«Sin embargo, debido a que se trata de una vulnerabilidad de recorrido de ruta, la complejidad técnica para un atacante suele ser menor que la corrupción de la memoria o los errores de desbordamiento del búfer», añadió. «Dado que la clasificación CVSS 10 implica una baja complejidad de ataque, anticipamos que una vez que se identifique el punto final vulnerable específico, la explotación será trivial de automatizar».

Los sensores de Censys observaron casi 88.000 hosts de aplicaciones de red UniFi expuesto públicamente en Internet a partir del viernes por la mañana. El software no expone qué versión está ejecutando, por lo que los análisis no pueden distinguir entre instancias vulnerables y parcheadas.

Aproximadamente un tercio de las instancias expuestas de la aplicación UniFi Network se encuentran en los Estados Unidos.

Como defensor, cuando ve un CVSS 10 para un producto que inmediatamente reconoce y sabe que está en todas partes, probablemente se sienta un poco ansioso», dijo Guidry. «También sabe que es remotamente explotable, no requiere autenticación y no necesita interacción del usuario, porque no sería un 10 si no lo fuera. Ubiquiti es un nombre que se escucha con frecuencia y muchos de esos dispositivos están conectados directamente a Internet”.

Ubiquiti aconseja a los usuarios de la aplicación UniFi Network que actualicen a las últimas versiones del software, lo que también solucionó una segunda vulnerabilidad: CVE-2026-22558 – que los atacantes podrían aprovechar para aumentar los privilegios.