Las autoridades rusas han detenido a los presuntos administradores de Meduza Stealer, un malware diseñado para el robo de información que habría sido utilizado, entre otros delitos, en un ataque contra una organización estatal rusa. Según los reportes, los sospechosos habrían comprometido sistemas internos y accedido a datos sensibles, lo que finalmente condujo a su identificación y arresto, tras una investigación coordinada por las fuerzas de seguridad locales.

Meduza Stealer es un programa malicioso especializado en robar credenciales, archivos y cookies de navegadores, y vender el acceso obtenido a otros actores en foros clandestinos. Disponible como malware as a service, su modelo permitía que distintos usuarios alquilaran sus funciones mediante suscripción, lo que facilitó su rápida expansión a nivel global. Tras las detenciones, los investigadores advierten que, aunque parte de la infraestructura del malware fue desmantelada, su código sigue circulando y podría ser reutilizado por otros grupos.

Mientras tanto, tres profesionales de ciberseguridad han sido acusados por fiscales federales de utilizar su acceso y conocimientos para lanzar una serie de ataques de ransomware contra al menos cinco empresas en Estados Unidos. Los individuos, que estaban contratados como expertos para mitigar y (paradójicamente) negociar en incidentes de seguridad, habrían operado durante el periodo de mayo de 2023 a abril de 2025, empleando la variante ALPHV/BlackCat de ransmoware.

Entre las víctimas se encuentran una empresa médica de Florida, una farmacéutica de Maryland, un consultorio médico y una empresa de ingeniería de California, y un fabricante de drones en Virginia. Los acusados habrían recibido cerca de 1.3 millones de dólares por al menos uno de los rescates, y ahora enfrentan penas que podrían alcanzar hasta 50 años de prisión.

Si bien ambos casos responden a operaciones en Rusia y EE.UU., ambas variantes de malware han sido detectadas en ataques contra objetivos en Latinoamérica.

Mientras tanto, en el cibercrimen: alianzas y reapariciones

Al mismo tiempo, el mundo del cibercrimen continúa con su ya clásica reconversión y adaptación constante.

Una nueva amenaza en el mundo del ciberdelito ha emergido con la alianza de los grupos Scattered Spider, LAPSUS$ y ShinyHunters, que desde agosto de 2025 han creado al menos 16 canales en Telegram para coordinar y promover actividades de extorsión de datos. Este colectivo, identificado como SLH (Scattered LAPSUS$ Hunters), opera un modelo “extorsión-como-servicio” que permite que afiliados utilicen su marca y recursos para atacar organizaciones, mientras emplean presencia mediática y tácticas de ingeniería social sofisticadas. Lo particular de esta alianza, es la fusión de elementos de ciberdelincuencia económica tradicional, con una lógica de hacktivismo orientada a la visibilidad y validación pública.

Esta es una práctica que parecería estar volviéndose recurrente, teniendo en cuenta la reciente alianza informada semanas atrás, entre LockBit, Qilin y DragonForce.

Por otro lado, el malware Gootloader ha reaparecido tras una pausa de siete meses, reactivando su campaña de distribución y lanzando nuevas técnicas de evasión.

Este cargador malicioso basado en JavaScript, se propaga a través de sitios web falsos optimizados para aparecer en buscadores o mediante anuncios falsos que simulan ofrecer plantillas de documentos legales. Una vez que el usuario descarga y ejecuta un archivo, instala cargas útiles adicionales como backdoors, ofrece acceso remoto a redes corporativas y prepara el terreno para ataques de ransomware. En su última versión, el malware emplea trucos más sofisticados para aparentar contener documentos inocuos cuando se extraen con herramientas de análisis, pero al abrirlos desde Windows se ejecuta el código malicioso.