Alertas de seguridad

Para información más detallada por favor revise su suscripción ante el CSIRT.

Actualización de la botnet TuxBot otorga capacidades de propagación y ataques DDoS.

Publicado: 16/07/2026 | Importancia: Media

El equipo de analistas del Csirt Financiero identificó TuxBot v3 Evolution, una botnet IoT de nueva generación desarrollada para comprometer dispositivos Linux conectados a Internet.

Nueva campaña de ClickLock Stealer compromete usuarios de macOS mediante la técnica ClickFix

Publicado: 16/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a ClickLock Stealer, una amenaza modular diseñada para comprometer sistemas macOS, capturar información sensible y establecer acceso remoto persistente.

Nueva campaña utiliza LabubaRAT para obtener acceso remoto a sistemas Windows

Publicado: 15/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada con LabubaRAT, una herramienta de acceso remoto (RAT) desarrollada en Rust y diseñada para comprometer sistemas operativos Windows.

Nueva campaña ClickFix utiliza un sitio legítimo comprometido para desplegar un RAT

Publicado: 13/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ClickFix que comprometió el subdominio new-blog.artlist[.]io, perteneciente a la plataforma de contenido digital Artlist, mediante la inyección de código JavaScript malicioso en las plantillas del sitio.

Nueva campaña distribuye CrashStealer para comprometer dispositivos macOS

Publicado: 13/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada CrashStealer, una familia de malware orientada a dispositivos con sistema operativo macOS la cual se presenta como una aplicación aparentemente legítima y suplanta componentes relacionados con el sistema de reportes de fallos de Apple, utilizando nombres, identificadores y rutas que buscan reducir la sospecha de la víctima durante su ejecución.

Nueva campaña de RedHook amplía sus capacidades de acceso remoto en dispositivos Android

Publicado: 13/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a RedHook, un troyano de acceso remoto dirigido a dispositivos Android que ha reaparecido con mejoras en sus mecanismos de control, persistencia y obtención de privilegios. La amenaza conserva funcionalidades comunes de los troyanos móviles, como la captura de pulsaciones, la supervisión de pantalla y la recopilación de información sensible.

Seguimiento de la actividad asociada a los troyanos de acceso remoto XWorm y QuasarRAT

Publicado: 12/07/2026 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza seguimiento a la actividad asociada con los troyanos de acceso remoto XWorm y Quasar RAT, amenazas utilizadas por ciberdelincuentes en campañas dirigidas contra organizaciones de diversos sectores a nivel global.

GigaWiper: puerta trasera en Golang que integra borrado de disco, ransomware simulado y sabotaje de sistema

Publicado: 11/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la puerta trasera GigaWiper, un implante desarrollado en Golang identificado desde octubre de 2025, que combina capacidades robustas de comando y control con múltiples cargas destructivas, incluyendo borrado de disco, un ransomware simulado y sabotaje a nivel de sistema operativo, integradas como comandos ejecutables bajo demanda dentro de un mismo binario.

Nueva campaña maliciosa asociada a Salat Stealer

Publicado: 11/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de distribución de Salat Stealer, un malware para Windows desarrollado en Go y orientado a la captura de información, vigilancia y exfiltración de datos.

Operation Phnom Penh: nueva campaña de Silver Fox distribuye el RAT MODBEACON

Publicado: 10/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña vinculada a un distribuidor del ecosistema Silver Fox / UTG-Q-1000, caracterizado históricamente por distribuir instaladores de software falsificados mediante campañas de SEO poisoning.

Nueva campaña de GodDamn ransomware combina captura de credenciales, acceso remoto y cifrado de sistemas

Publicado: 09/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada a GodDamn, una variante de ransomware vinculada al ecosistema de amenazas desarrollado por Hyadina. Esta amenaza ha sido identificada como una evolución o rebranding de Beast, familia que previamente derivó de Monster. Esta campaña evidencia que los ciberdelincuentes detrás de la amenaza han mantenido una línea de desarrollo activa, incorporando nuevas capacidades para mejorar la evasión, el control del entorno comprometido y la efectividad del cifrado.

Nueva campaña Scmbanker combina vishing, secuestro de portapapeles y acceso remoto contra banca mexicana

Publicado: 08/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña identificada como REF6045, que distribuye el toolkit de fraude bancario SCMBANKER contra clientes de banca minorista, banca empresarial, fintechs, procesadores de pago y exchanges de criptomonedas en México.

Nueva campaña APT UAT-7810 utiliza backdoors LONGLEASH, DOGLEASH y JARLEASH contra sistemas linux

Publicado: 07/07/2026 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt financiero, se identificó una campaña orientada al compromiso de dispositivos de red expuestos, con el objetivo de integrarlos a una red ORB (Una red ORB es una infraestructura compuesta por dispositivos comprometidos que son usados como puntos intermedios para retransmitir tráfico malicioso).

Nueva actividad de ToddyCat incorpora Umbrij para comprometer cuentas corporativas

Publicado: 07/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña atribuida al grupo APT ToddyCat, en la que los ciberdelincuentes desarrollaron una herramienta personalizada denominada Umbrij para comprometer cuentas corporativas alojadas en Gmail.

RedWing, amenaza para Android que combina control remoto y fraude bancario mediante superposiciones

Publicado: 07/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza RedWing, un spyware bancario para dispositivos Android ofrecido bajo el modelo Malware as a Service (MaaS), distribuido a través de Telegram con posibles vínculos a actores de amenaza rusos.

Nueva campaña del grupo APT Turla utiliza Kazuar backdoor y cargadores PowerShell

Publicado: 06/07/2026 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña Kazuar, un backdoor vinculado al grupo APT Turla. Esta amenaza se destaca por su enfoque sigiloso, su capacidad para permanecer activa dentro de entornos comprometidos y su uso de técnicas orientadas a dificultar la detección mediante controles tradicionales.

Nueva campaña de grupo APT SilverFox fortalece ValleyRAT con evasión y persistencia

Publicado: 05/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a ValleyRAT en la cual el malware presenta una evolución significativa frente a variantes tradicionales de troyanos de acceso remoto. En esta campaña ValleyRAT no se limita a permitir control remoto sobre el sistema comprometido, sino que actúa como una plataforma modular capaz de coordinar múltiples etapas de ejecución, evasión, persistencia y ampliación de capacidades.

Nueva actividad de Armored Likho incorpora BusySnake Stealer para fortalecer campañas de ciberespionaje

Publicado: 05/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña atribuida al grupo Armored Likho, un actor de amenazas previamente no documentado que mantiene operaciones de ciberespionaje dirigidas principalmente contra Rusia, Brasil y Kazajistán.

Nueva campaña ClickFix emplea páginas fraudulentas de Google y Cloudflare para distribuir malware

Publicado: 04/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa basada en la técnica ClickFix, en la que los ciberdelincuentes suplantan páginas de verificación de Google y Cloudflare para inducir a las víctimas a ejecutar manualmente comandos maliciosos de PowerShell.

Nueva actividad del framework Avalon expone credenciales y despliega el ransomware CrownX

Publicado: 04/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al framework malicioso identificado como Avalon, cuyo componente de ransomware es CrownX.

Nueva campaña de troyano bancario Anatsa se distribuye mediante aplicación falsa en Google Play

Publicado: 03/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Anatsa, también conocida como TeaBot, un troyano bancario dirigido a dispositivos Android. Esta amenaza se encuentra orientada al compromiso de usuarios mediante técnicas enfocadas en la captura de credenciales, interceptación de mensajes y manipulación de la interacción del usuario con aplicaciones legítimas.

Nuevo infostealer PamStealer para macOS valida contraseñas antes de exfiltrarlas

Publicado: 02/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer PamStealer, una amenaza para macOS distribuida bajo la apariencia de Maccy, un gestor de portapapeles legítimo y de código abierto ampliamente utilizado en ese sistema operativo.

Nuevo RAT denominado ChocoPoC compromete a investigadores de vulnerabilidades

Publicado: 01/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que distribuye el troyano de acceso remoto (RAT) ChocoPoC, desarrollado en Python y dirigido a investigadores de vulnerabilidades y profesionales de pruebas de penetración a través de repositorios de GitHub que ofrecen pruebas de concepto (PoC) troyanizadas para vulnerabilidades críticas recientemente divulgadas.

Nueva campaña del malware bancario Ousaban emplea ingeniería social y C2 ofuscado

Publicado: 01/07/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Ousaban también conocido como Javali, un troyano bancario desarrollado en Delphi y vinculado al ecosistema Tetrade, conjunto de familias de amenazas financieras originadas en Latinoamérica.

Nueva campaña de The Gentlemen combina backdoor en Go, movimiento lateral y cifrado de archivos

Publicado: 30/06/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a The Gentlemen un grupo de ransomware que opera bajo el modelo RaaS y que ha incrementado su actividad. La campaña destaca por el uso combinado de herramientas legítimas, componentes personalizados y técnicas avanzadas para ampliar el impacto.

Nueva amenaza denominada RustDuck opera como botnet de dos etapas orientada a ataques DDoS

Publicado: 30/06/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la botnet RustDuck, una amenaza que opera bajo una arquitectura de dos etapas conformada por un loader y un componente núcleo (Core), orientada principalmente a la ejecución de ataques de denegación de servicio distribuido (DDoS). Aunque su nivel de actividad actual no alcanza aún el de las botnet más consolidadas, su ritmo de evolución técnica resulta significativo y sostenido en el tiempo.

Nuevo malware para Android denominado Glitch SPY

Publicado: 30/06/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva familia de malware para Android denominada Glitch SPY, distribuida a través de un sitio web fraudulento que suplanta una plataforma polaca.

Campaña explota falla de autenticación en SimpleHelp para desplegar TaskWeaver y Djinn Stealer

Publicado: 29/06/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que aprovecha una falla de autenticación en SimpleHelp, plataforma legítima de administración remota (RMM), para obtener acceso administrativo sin contar con credenciales reales.

Millenium RAT incrementa su actividad global mediante campañas de distribución

Publicado: 28/06/2026 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una evolución de Millenium RAT, una herramienta de acceso remoto (RAT) desarrollada en C++ que utiliza la API de Telegram como infraestructura de C2 y se comercializa bajo un modelo Malware-as-a-Service (MaaS).

Nueva actividad de la botnet Mirai incorpora nuevos exploits contra dispositivos IoT

Publicado: 28/06/2026 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de la botnet Mirai, la cual continúa siendo una de las amenazas más relevantes para los entornos IoT, casi una década después de su aparición inicial.