-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Actividad asociada a Amos Stealer
Publicado: 18/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a Amos Stealer, una amenaza de tipo stealer orientada a la captura o exfiltración de información sensible desde equipos comprometidos.
Actividad asociada a PromptSpy
Publicado: 18/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a PromptSpy, un troyano de acceso remoto para dispositivos Android que incorpora inteligencia artificial generativa en su flujo de ejecución.
Nueva campaña Stealc basada en Clickfix e ingeniería social
Publicado: 18/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña que combina ingeniería social ClickFix, ejecución fileless, carga reflexiva de binarios e inyección de procesos, culminando con la ejecución del framework modular StealC en memoria.
Nueva campaña de ingeniería social con Clickfix y loader de ejecución progresiva
Publicado: 17/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de intrusión que se inicia mediante la técnica conocida como ClickFix, una modalidad de ingeniería social que induce al usuario a copiar y ejecutar manualmente un comando en una consola local.
Nueva campaña de backdoor Keenadu afecta dispositivos Android
Publicado: 17/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al malware Keenadu, un backdoor que se distingue por su integración directa en el firmware de dispositivos Android.
Nueva campaña de SmartLoader clona proyecto Oura MCP para distribuir StealC.
Publicado: 17/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a operadores vinculados con SmartLoader, en la cual se clonó un proyecto legítimo denominado Oura MCP Server con el objetivo de distribuir el Infostealer StealC.
XWorm RAT: nueva actividad de troyano de acceso remoto mediante señuelos financieros
Publicado: 16/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa en América Latina, donde actores de amenaza están distribuyendo el troyano de acceso remoto XWorm RAT como parte de una operación enfocada principalmente en Brasil y otros países de la región.
Nueva actividad de LockBit 5.0 con alcance multiplataforma
Publicado: 16/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a LockBit 5.0, un ransomware con versiones para Windows, Linux y ESXi.
Actividad asociada a CoinMiner
Publicado: 16/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a CoinMiner, un minero de criptomonedas orientado a la explotación no autorizada de los recursos de procesamiento de los Equipos comprometidos.
Nueva campaña de ingeniería social ClickFix utiliza Matryoshka para comprometer dispositivos macOS
Publicado: 16/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social “ClickFix”, la cual ahora ha sido adaptada para atacar específicamente a usuarios de macOS mediante una nueva variante denominada Matryoshka.
Nueva campaña que combina ingeniería social y software legitimo para suplantar servicios de videoconferencia
Publicado: 15/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa de ingeniería social que emplea invitaciones fraudulentas a videoconferencias, suplantando plataformas ampliamente utilizadas como Zoom, Microsoft Teams y Google Meet.
Actividad asociada a Ninja Browser y Lumma infostealer
Publicado: 15/02/2026 | Importancia: Media
El equipo de analistas del Csirt financiero, en sus actividades de monitoreo e investigación identificó una campaña activa atribuida a ciberdelincuentes que explotan servicios legítimos de Google, particularmente Google Groups y plataformas de alojamiento como Google Docs y Drive, con el propósito de distribuir el infostealer Lumma y un troyano disfrazado de navegador legítimo denominado Ninja Browser.
The Gentlemen: grupo emergente de ransomware emplea cifrado avanzado y tácticas de doble extorsión
Publicado: 15/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware conocido como The Gentlemen, que se ha identificado como una amenaza emergente y altamente sofisticada dentro del panorama global de cibercrimen.
Nueva botnet SSHStalker compromete servidores Linux a escala y mantiene control remoto por IRC
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a una botnet para Linux denominada SSHStalker, orientada a comprometer servidores a gran escala y mantener control remoto mediante IRC, un protocolo de mensajería que en este caso se utiliza como canal de comando y control.
Nueva campaña activa de la Botnet Kimwolf explota dispositivos IoT y afecta redes P2P.
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet Kimwolf, la cual ha generado afectaciones significativas en la red descentralizada de anonimato I2P. La actividad se originó cuando los ciberdelincuentes intentaron incorporar cientos de miles de dispositivos IoT comprometidos como nodos dentro de la red, provocando un comportamiento consistente con un ataque tipo Sybil.
BADIIS: Backdoor dirigido a servidores IIS utilizado en campañas de SEO Poisoning
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa a gran escala asociada con el backdoor denominado BADIIS, el cual ha sido utilizado para comprometer a más de 1.800 servidores web Windows que ejecutan Internet Information Services (IIS) en todo el mundo, formando parte de una actividad de manipulación de tráfico conocida como SEO poisoning, cuyo objetivo principal es alterar resultados de búsqueda para redirigir a usuarios hacia contenido fraudulento.
Campaña reciente de OysterLoader con ejecución multietapa
Publicado: 13/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader OysterLoader, también identificado como Broomstick y CleanUp, utilizado como componente de descarga para facilitar la instalación de otras amenazas. La actividad se vincula con campañas que derivan en Rhysida ransomware y también con la distribución de amenazas tipo stealer como Vidar.
XWorm RAT: Nueva ola de infecciones utilizando adjuntos maliciosos en Excel Add-ins
Publicado: 13/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de distribución del troyano de acceso remoto XWorm RAT, una amenaza activa desde al menos 2022 que continúa evolucionando mediante el uso de vectores de infección variados y técnicas sofisticadas orientadas a comprometer sistemas Windows.
Actividad asociada a DonutLoader
Publicado: 13/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero durante sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada al uso de DonutLoader en diferentes cadenas de infección orientadas al despliegue encubierto de amenazas en entornos Windows y Windows Server.
Nueva campaña de CastleLoader distribuye LummaStealer
Publicado: 12/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa que involucra a LummaStealer y CastleLoader, dos componentes que operan de manera complementaria dentro de una misma cadena de infección
Nueva campaña de proxyware distribuida a través de suplantacion del sitio oficial de 7-zip
Publicado: 12/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de proxyware mediante la técnica typosquating, que consiste en registrar un dominio web muy similar al del sitio web original, pero modificando alguna parte de la escritura del dominio, con el fin de engañar a los usuarios y redirigirlos a sitios maliciosos.
Seguimiento a actividad maliciosa de GuLoader
Publicado: 11/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a GuLoader, un descargador de malware que ha mantenido una evolución constante y que se caracteriza por integrar técnicas avanzadas de ofuscación diseñadas para entorpecer cualquier intento de análisis o detección temprana.
Nueva campaña activa del ransomware Crazy explota herramienta legítima “SimpleHelp”
Publicado: 11/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña en la que ciberdelincuentes utilizan software de gestión remota SimpleHelp RMM como mecanismo para establecer acceso persistente, ejecutar comandos remotos y desplegar el ransomware Crazy.
Nuevo troyano bancario denominado Datzbro
Publicado: 11/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a Datzbro, un troyano bancario con capacidades de espionaje orientado a dispositivos Android, observado en campañas activas desde al menos agosto de 2025.
Actividad asociada a la cadena de infección Phorpiex y al ransomware Global Group
Publicado: 11/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida relacionada con la botnet Phorpiex y el ransomware GLOBAL GROUP, utilizados en campañas de phishing de alto volumen orientadas a comprometer Equipos mediante archivos adjuntos que aparentan ser documentos legítimos..
Campaña activa del ransomware Reynolds integra técnicas BYOVD para evadir controles de seguridad.
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del ransomware Reynolds que incorpora de forma nativa una técnica de evasión de defensas mediante BYOVD Bring Your Own Vulnerable Driver dentro de su propio payload malicioso.
Nueva campaña asociada al stealer Socelars
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña vinculada a Socelars, un stealer diseñado para sistemas Windows que se centra en la extracción silenciosa de datos sensibles de sesiones de usuario y credenciales almacenadas.
Nueva campaña de PythonStealer
Publicado: 09/02/2026 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero se identificó una campaña asociada a PythonStealer, un stealer desarrollado en Python que concentra sus esfuerzos en extraer información sensible de equipos y sistemas comprometidos.
Stan Ghouls reutiliza NetSupport RAT en ataques de spear-phishing contra sectores críticos
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo cibercriminal conocido como Stan Ghouls, también denominado Bloody Wolf, que desde al menos 2023 ha dirigido ataques contra organizaciones en Uzbekistán, Rusia, Kazajistán y Kirguistán.
LTX Stealer: amenaza emergente tipo Stealer-as-a-Service en sistemas Windows
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada LTX Stealer, un malware especializado en la captura de credenciales que representa un riesgo creciente para usuarios y organizaciones.