-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva actividad de RONINGLOADER en campañas recientes
Publicado: 20/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una nueva actividad maliciosa asociada a RONINGLOADER, un loader altamente sofisticado empleado por ciberdelincuentes para establecer cadenas de infección de múltiples etapas, se caracteriza por desplegar inicialmente dos componentes: uno benigno, que mantiene la apariencia de legitimidad, y otro malicioso, responsable de iniciar la secuencia real del compromiso.
Actividad inicial de Sturnus, troyano Android con capacidades de superposición y vigilancia en tiempo real
Publicado: 20/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.
Nueva campaña distribuye un troyano bancario a través de WhatsApp.
Publicado: 19/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impacto
RAT PlushDaemon compromete dispositivos de red para ejecutar ataques de intermediario.
Publicado: 19/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que se comprometen routers domésticos y empresariales para manipular tráfico DNS y redirigir a las víctimas hacia actualizaciones falsas. Esto permite instalar intermediarios como EdgeStepper y cargas posteriores como SlowStepper en sistemas Windows, afectando la integridad del software y exponiendo a los usuarios a backdoors y ejecución en memoria.
Campaña basada en ClickFix entrega Amatera Stealer y NetSupport RAT
Publicado: 17/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza el vector de acceso ClickFix para distribuir la amenaza Amatera Stealer y, en una fase posterior, el módulo de control remoto NetSupport RAT.
Actividad asociada a GCleaner como vehículo de instalación del troyano AZORult
Publicado: 16/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.
Kraken ransomware: capacidades y alcance de una amenaza emergente.
Publicado: 16/11/2025 | Importancia:
Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida a un grupo de ransomware emergente denominado Kraken, el cual ha enfocado sus operaciones en campañas de big-game hunting, dirigiéndose a organizaciones de alto valor.
Campaña activa de RondoDox explota la vulnerabilidad conocida en Xwiki para expandir su botnet.
Publicado: 15/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.
Nueva actividad asociada al ransomware multiplataforma VanHelsing
Publicado: 15/11/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada al ransomware VanHelsing, una amenaza reciente que opera bajo un modelo de Ransomware-as-a-Service (RaaS) y que destaca por su alto nivel de sofisticación y adaptabilidad.
Campaña de distribución del troyano de acceso remoto XWorm mediante correos de facturación falsa
Publicado: 14/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm que utiliza correos electrónicos de facturación para inducir al usuario a abrir un archivo Visual Basic Script adjunto.
Nuevo infostealer para macos basado en jxa con técnicas avanzadas de evasión y persistencia.
Publicado: 14/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.
Nueva actividad asociada a Lumma Stealer con adopción de técnicas avanzadas de fingerprinting.
Publicado: 13/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó un reciente incremento en la actividad asociada a Lumma Stealer también rastreado como Water Kurita, un malware especializado en la exfiltración de información que ha incorporado nuevas capacidades basadas en fingerprinting del navegador y técnicas de evasión dentro de su infraestructura C2.
Campaña emergente del malware Danabot incluye una nueva variante identificada como “669”
Publicado: 12/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.
DarkComet RAT vuelve a circular disfrazado como ejecutable legítimo
Publicado: 12/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.
Distribución de malware a través de AppleScript para omitir validaciones de seguridad en macOS.
Publicado: 11/11/2025 | Importancia:
Durante actividades de monitoreo efectuadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa dirigida a usuarios de macOS, la cual distribuye archivos AppleScript (.scpt) maliciosos utilizados para evadir los mecanismos de seguridad del sistema, particularmente el Gatekeeper de Apple.
Nueva vinculación operacional entre el malware bancario Maverick y Coyote.
Publicado: 11/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a las familias de troyanos bancarios Maverick y Coyote, los cuales mantienen una relación operativa y comparten infraestructura de comando y control. Estas variantes se distribuyen a través de la plataforma WhatsApp y están dirigidas principalmente al sector financiero brasileño, evidenciando una campaña activa orientada al robo de credenciales y datos sensibles de usuarios e instituciones.
Campaña de phishing multitemática utiliza archivos HTML y bots de Telegram para la captura de credenciales
Publicado: 10/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing multitemática orientada a la captura de credenciales mediante archivos HTML adjuntos en correos electrónicos.
Remcos RAT es utilizado en campañas de acceso remoto y exfiltración de información.
Publicado: 10/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza el troyano de acceso remoto Remcos RAT, una amenaza diseñada para comprometer equipos, obtener control total sobre los sistemas y facilitar la exfiltración de información sensible.
Campaña maliciosa utiliza herramientas RMM para distribuir el troyano PatoRAT
Publicado: 10/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.
Mirai botnet es orientada a dispositivos IoT en campañas de DDOS.
Publicado: 09/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que emplea a Mirai, una botnet especializada en comprometer dispositivos del Internet de las cosas (IoT) con medidas de seguridad mínimas.
Nuevo spyware dirigido a dispositivos Samsung Galaxy
Publicado: 09/11/2025 | Importancia: Media
A través de actividades de monitoreo realizadas por parte del Csirt Financiero, se ha detectado un nuevo spyware que explota la vulnerabilidad CVE-2025-21042 descubierta en la biblioteca de procesamiento de imágenes de Android de dispositivos Samsung.
Distribución de Vidar mediante scripts postinstall en paquetes npm alterados
Publicado: 09/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación aprovechando el ecosistema de código abierto para introducir paquetes que aparentan ser bibliotecas legítimas, pero que en realidad contienen código diseñado para descargar y ejecutar Vidar, un stealer conocido por su capacidad de extraer información sensible de los equipos comprometidos.
Ransomware Cephalus compromete sistemas mediante accesos RDP sin autenticación multifactor
Publicado: 08/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.
Nuevo troyano de acceso remoto Fantasy Hub dirigido a dispositivos Android
Publicado: 07/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto Fantasy Hub dirigida a dispositivos Android y orientada a la captura de credenciales y a la extracción de información sensible en contexto financiero.
Gootloader regresa con nuevas tácticas de evasión mediante archivos ZIP manipulados
Publicado: 05/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.
DonutLoader facilita carga reflectiva y ejecución fileless de amenazas en memoria.
Publicado: 05/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.
Nueva actividad atribuida al grupo de ransomware DragonForce
Publicado: 04/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida al grupo de ransomware DragonForce, que opera desde 2023 y ha evolucionado hacia un modelo de “cartel” de afiliados tras adoptar el código fuente filtrado de Conti v3.
Nueva actividad maliciosa de NGate que permite el retiro de dinero en efectivo a través de NFC
Publicado: 04/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó una campaña maliciosa activa que distribuye NGate, la cual aprovecha la tecnología NFC (Near Field Communication) para realizar retiros de efectivo no autorizados en cajeros automáticos sin necesidad de sustraer físicamente las tarjetas de pago.
Nueva campaña incorpora HttpTroy y una nueva variante de BLINDINGCAN.
Publicado: 03/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.
Nueva actividad maliciosa relacionada con Tycoon 2FA
Publicado: 03/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad del kit de phishing denominado Tycoon 2FA, el cual emergió en agosto de 2023 y está diseñado para evadir las protecciones de autenticación de dos factores (2FA/MFA) empleando un modelo de adversario-en-el-medio (AiTM).