-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Actividad de Storm-1175 explota vulnerabilidades para desplegar ransomware Medusa
Publicado: 06/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al actor de amenazas Storm-1175, el cual ha intensificado sus operaciones asociadas al ransomware Medusa mediante un enfoque agresivo sobre activos expuestos a internet.
Actividad asociada al troyano de acceso remoto Gh0stRAT
Publicado: 06/04/2026 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada al troyano de acceso remoto Gh0stRAT, el cual presenta capacidades orientadas al control remoto de los equipos comprometidos, así como a la captura y exfiltración de información sensible.
Campaña masiva de credential harvesting atribuida a UAT-10608
Publicado: 06/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación a gran escala de recolección automatizada de credenciales, atribuida a un grupo de amenazas llamado UAT-10608.
Actividad asociada al troyano de acceso remoto DcRAT
Publicado: 05/04/2026 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada al troyano de acceso remoto DcRAT, el cual presenta un conjunto de capacidades orientadas al control remoto de los equipos comprometidos
Campaña de TeamPCP distribuye malware en SDK de Telnyx
Publicado: 04/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad y evolución significativa en las operaciones del grupo TeamPCP, evidenciando un cambio en sus tácticas hacia ataques más sofisticados en la cadena de suministro.
Nueva actividad de la amenaza Qilin orientada a la anulación de defensas
Publicado: 04/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la amenaza Qilin, la cual utiliza una cadena de infección diseñada para desactivar herramientas de protección EDR.
Nueva actividad asociada al grupo Kimsuky
Publicado: 03/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad y la evolución en las tácticas del grupo de amenazas Kimsuky, particularmente en el uso de archivos de acceso directo (LNK) como vector inicial de infección, las cuales son distribuidas mediante campañas de ingeniería social, en las que los ciberdelincuentes engañan a las víctimas para ejecutar el archivo, iniciando así la cadena de compromiso.
Nueva campaña del ransomware Yurei basada en toolkit modular y doble extorsión.
Publicado: 03/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada al ransomware Yurei, una operación activa desde septiembre de 2025 que implementa un modelo de doble extorsión. Esta amenaza integra un toolkit modular compuesto por herramientas legítimas y ofensivas que permiten a los ciberdelincuentes ejecutar de forma completa el ciclo de intrusión, incluyendo reconocimiento, persistencia, movimiento lateral, evasión de controles de seguridad y cifrado de la información en sistemas comprometidos.
Campaña de ransomware en Sudamérica mediante suplantación de Akira
Publicado: 02/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de un ransomware que imita la identidad del grupo Akira para afectar a organizaciones en Sudamérica. Esta operación utiliza la reputación de actores conocidos para presionar a las víctimas, empleando una infraestructura que simula los sitios de filtración originales y notas de rescate con una estructura y redacción idénticas a las del grupo suplantado.
Actividad asociada al stealer Phantom Stealer
Publicado: 01/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada al stealer Phantom Stealer, una amenaza orientada a la captura y exfiltración de información sensible desde equipos comprometidos.
Actividad asociada al troyano de acceso remoto CrystalX RAT
Publicado: 01/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado la actividad asociada a CrystalX RAT, un troyano de acceso remoto distribuido bajo un modelo malware-as-a-service (MaaS) y promovido a través de canales privados en Telegram.
Nueva actividad asociada a Phantom Stealer
Publicado: 01/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad de Phantom Stealer, un malware tipo stealer que opera bajo un modelo de Credential Theft as a Service (CTaaS).
Nueva campaña activa de Xloader fortalece sus mecanismos de ofuscación y comunicación.
Publicado: 31/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña relacionada con Xloader, una familia de malware orientada a la exfiltración de información que evolucionó a partir de Formbook, esta amenaza mantiene un desarrollo activo y continuo, con la versión 8.7 como la más reciente observada, desde la versión 8.1, el ciberdelincuente introdujo cambios relevantes en la ofuscación del código con el objetivo de dificultar tanto la ingeniería inversa como el análisis automatizado.
Actividad asociada al loader SmokeLoader
Publicado: 31/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente asociada a SmokeLoader, un loader utilizado en campañas dirigidas a múltiples sectores a nivel global.
Nueva campaña distribuye ResokerRAT mediante archivos ejecutables
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada con ResokerRAT, diseñado para otorgar acceso y control remoto sobre sistemas comprometidos. Esta amenaza utiliza la plataforma Telegram como canal C2, permitiendo a los ciberdelincuentes emitir instrucciones, recibir información del host afectado y ejecutar acciones de forma encubierta.
Nueva campaña de EtherRAT incorpora perfilamiento avanzado y C2 encubierto
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña avanzada asociada al malware EtherRAT, un backdoor desarrollado en Node.js que ha sido vinculado a actores de amenazas con alto nivel de sofisticación.
Nueva campaña de la amenaza DeepLoad mediante técnicas de evasión y persistencia en WMI
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza la técnica de ingeniería social denominada ClickFix para distribuir el loader DeepLoad.
Actividad asociada al stealer de información PXA Stealer
Publicado: 29/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente asociada al stealer de información PXA Stealer, una amenaza orientada a la captura y exfiltración de información sensible desde equipos comprometidos.
BRUSHWORM y BRUSHLOGGER: herramientas de ciberespionaje en ataques dirigidos
Publicado: 28/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación maliciosa orientada a organizaciones del sector financiero en la región del sur de Asia, en la cual se evidenció el uso de dos familias de malware denominadas BRUSHWORM y BRUSHLOGGER, empleadas de forma conjunta como parte de una campaña dirigida para comprometer sistemas y recolectar información sensible.
Actividad asociada al keylogger VipKeyLogger
Publicado: 28/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad relacionada con VipKeyLogger, un keylogger orientado a la captura y exfiltración de información sensible en equipos comprometidos.
Nueva variante de VoidStealer compromete la seguridad de datos en Google Chrome
Publicado: 28/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de VoidStealer, el cual ha incorporado una técnica avanzada para evadir el mecanismo de protección Application-Bound Encryption (ABE) implementado en el navegador Google Chrome.
Campaña activa de BlankGrabber y XWorm detectada
Publicado: 27/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer BlankGrabber en equipos Windows, la cual utiliza un falso cargador de certificado para ocultar una cadena de ejecución por etapas y dificultar su identificación.
Nueva actividad de la botnet KadNap orientada a dispositivos expuestos
Publicado: 27/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad de la botnet KadNap, una amenaza identificada desde agosto de 2025 que se ha logrado expandir de manera progresiva hasta comprometer más de 14.000 dispositivos a nivel global y la cual se enfoca en comprometer routers Asus, con el objetivo de integrarlos en una botnet distribuida.
Nueva campaña distribuye CrySome RAT para exfiltrar datos
Publicado: 27/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la campaña de CrySome RAT, un troyano de acceso remoto desarrollado en C# sobre el ecosistema .NET, el cual ha sido diseñado con un enfoque en la persistencia, el control encubierto y la resistencia a procesos de remediación tradicionales.
Nueva amenaza Infiniti Stealer dirigida a sistemas macOS
Publicado: 26/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada Infiniti Stealer, orientada a equipos con macOS cuya carga final está desarrollada en Python y compilada con Nuitka, lo que le permite presentarse como un binario nativo y reducir la visibilidad de su lógica interna.
Nueva amenaza dirigida a MacOS denominada MioLab stealer
Publicado: 25/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de MioLab, una plataforma de malware tipo stealer dirigida a sistemas macOS y comercializada bajo el modelo de Malware-as-a-Service (MaaS).
Actividad asociada al stealer de información AuraStealer
Publicado: 24/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a AuraStealer, un stealer distribuido bajo un modelo MaaS orientado a la captura o exfiltración de información sensible desde equipos comprometidos.
Actividad asociada al troyano de acceso remoto OblivionRAT
Publicado: 23/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado la actividad asociada a OblivionRAT, un troyano de acceso remoto distribuido bajo un modelo malware-as-a-service en entornos globales y tiene como objetivo principal el control remoto de dispositivos móviles comprometidos, así como la captura y exfiltración de información sensible.
Campaña de SEO poisoning para la distribución de AsyncRAT
Publicado: 23/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de AsyncRAT que suplanta portales de descarga de más de 25 aplicaciones populares.
Explotación de vulnerabilidad crítica en Cisco FMC para la distribución de ransomware Interlock
Publicado: 22/03/2026 | Importancia: Media
Durante actividades de monitoreo y el seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó una campaña reciente que realiza la explotación activa de una vulnerabilidad de día cero identificada como CVE-2026-20131 en el software Cisco Secure Firewall Management Center