-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Campaña suplanta portales de entidades públicas para distribuir NexusRAT mediante falsas notificaciones judiciales.
Publicado: 28/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de distribución de malware que emplea técnicas de ingeniería social mediante notificaciones judiciales falsas, en la cual los ciberdelincuentes suplantan portales de entidades públicas como la Fiscalía General de la Nación para inducir a las víctimas a interactuar con contenido malicioso y comprometer sus sistemas mediante el uso del troyano de acceso remoto NexusRAT.
Nueva campaña de LofyStealer implementa técnicas avanzadas de exfiltración y evasión
Publicado: 28/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada al stealer Lofy, compuesta por dos elementos que operan de forma coordinada. En primera instancia, se emplea un cargador desarrollado sobre Node.js empaquetado como un ejecutable independiente, seguido de una carga útil escrita en C++ que se ejecuta directamente en memoria.
Nuevo ransomware VECT 2.0 destruye datos irreversiblemente en entornos empresariales
Publicado: 28/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó información relacionada con la operación del ransomware VECT 2.0, bajo el modelo Ransomware-as-a-Service (RaaS) que ha ganado visibilidad por su expansión reciente y por presuntas alianzas con otros actores criminales.
Nueva actividad relacionada a XenoRAT
Publicado: 27/04/2026 | Importancia: Media
Al revisar la actividad de una variante del troyano de acceso remoto (RAT) XenoRAT, se encontró que este tiene como objetivo principal permitir a los ciberdelincuentes obtener control remoto total sobre los equipos comprometidos donde una vez ejecutado, el archivo malicioso establece comunicación persistente con un servidor de comando y control (C2), empleando dominios específicos, lo que facilita la administración remota del equipo afectado y la ejecución de instrucciones de manera encubierta.
Vidar Stealer evoluciona con técnicas avanzadas de ocultamiento
Publicado: 26/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con nuevas variantes de Vidar Stealer, las cuales incorporan mecanismos avanzados para ocultar cargas útiles maliciosas, evadir controles de seguridad y mejorar la recolección de información sensible en sistemas comprometidos.
Nueva campaña asociada a AsyncRAT
Publicado: 26/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada a AsyncRAT, caracterizada por emplear mecanismos de comunicación asincrónica con servidores C2.
Nuevo stealer denominado NWHStealer dirigido a sistemas Windows
Publicado: 25/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una campaña activa que distribuye un stealer para sistemas Windows denominado NWHStealer.
Nueva campaña denominada fast16 compromete la integridad de sistemas mediante modificaciones en memoria.
Publicado: 25/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de la amenaza fast16, un malware de sabotaje cibernético altamente especializado, diseñado para intervenir procesos críticos mediante la modificación dinámica de código en memoria.
Nuevo backdoor DinDoor distribuido mediante archivos MSI
Publicado: 24/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza tipo puerta trasera (backdoor) llamada DinDoor, que se aprovecha del entorno de ejecución legítimo Deno para ejecutar código malicioso en sistemas Windows.
Nueva campaña del ransomware Trigona incorpora herramienta de exfiltración personalizada.
Publicado: 24/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad reciente asociada al ransomware Trigona, en la cual los ciberdelincuentes han incorporado el uso de una herramienta personalizada para optimizar la exfiltración de información desde entornos comprometidos.
Campaña activa de la amenaza KYCShadow con afectación al sector financiero
Publicado: 24/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución de la herramienta maliciosa denominada KYCShadow. Esta amenaza, clasificada como un troyano bancario, se orienta a la exfiltración de credenciales financieras y códigos de un solo uso mediante el despliegue de interfaces de suplantación de identidad en dispositivos con sistema operativo Android.
Campaña financiera en Brasil distribuye AgenteV2 mediante phishing
Publicado: 24/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing bancario dirigida a usuarios en Brasil, en la cual no solo se emplean portales fraudulentos para capturar credenciales, sino también la distribución de un malware denominado AgenteV2.
Nueva campaña denominada SNOW integra ingeniería social y malware modular
Publicado: 23/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al grupo UNC6692, caracterizada por el uso de un ecosistema de malware modular denominado SNOW, orientado a comprometer entornos corporativos mediante técnicas de ingeniería social y el uso de herramientas legítimas adaptadas para fines maliciosos.
Nueva campaña de Mustang Panda afecta sector financiero en India
Publicado: 23/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de ciberespionaje vinculada al grupo APT Mustang Panda que se dirige principalmente al sector bancario en India y círculos diplomáticos en Corea del Sur mediante el uso de una variante actualizada de la herramienta maliciosa LOTUSLITE.
Nueva actividad asociada a RemcosRAT
Publicado: 22/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una campaña asociada a RemcosRAT, un troyano de acceso remoto (RAT) utilizado por ciberdelincuentes para comprometer sistemas y mantener control persistente sobre los mismos.
Nueva campaña del malware Mirai explota vulnerabilidad RCE en routers D-Link EoL
Publicado: 22/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una campaña activa asociada a una variante de Mirai, orientada a la explotación de la vulnerabilidad CVE-2025-29635, la cual afecta a dispositivos de red de D-Link y permite la ejecución remota de comandos sobre los dispositivos comprometidos, facilitando su toma de control por parte de ciberdelincuentes.
Nueva campaña distribuye The Gentlemen y compromete organizaciones mediante acceso privilegiado y movimiento lateral
Publicado: 22/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a al ransomware The Gentlemen, orientada a compromisos dirigidos en entornos corporativos, donde los ciberdelincuentes combinan múltiples herramientas de post-explotación con el fin de consolidar el control sobre la infraestructura afectada.
Nueva variante de NGate llamada PhantomCard
Publicado: 21/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una nueva variante del troyano NGate para Android llamada PhantomCard.
Nueva campaña distribuye PureRAT con ejecución en memoria y evasión avanzada
Publicado: 20/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a PureRAT, un troyano de acceso remoto que destaca por su arquitectura multietapa y su capacidad para operar completamente en memoria.
UNC1069 emplea ingeniería social avanzada contra organizaciones financieras
Publicado: 20/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con UNC1069, actor de amenazas vinculado a Corea del Norte, el cual ha sido asociado con campañas recientes orientadas a la captura de datos financieros mediante técnicas avanzadas de ingeniería social.
Nueva campaña distribuye de manera conjunta Gh0st RAT y el adware CloverPlus
Publicado: 20/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que distribuye de manera conjunta el troyano de acceso remoto Gh0st RAT y el adware CloverPlus.
AdaptixC2: framework ofensivo reutilizado en campañas maliciosas
Publicado: 19/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relevante asociada a AdaptixC2, un framework de post-explotación y comando y control (C2) originalmente desarrollado para ejercicios legítimos de red teaming, pero que actualmente está siendo adoptado por actores maliciosos en campañas reales.
Nuevo framework postexplotacion abusa de servicios legítimos
Publicado: 18/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado un nuevo framework de postexplotación que abusa de mecanismos legítimos del entorno .NET en sistemas Windows, permitiendo la ejecución de código malicioso dentro de binarios confiables firmados digitalmente.
Nueva campaña de phishing BlobPhish orientado a servicios financieros y corporativos
Publicado: 18/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing avanzada identificada como BlobPhish, caracterizada por usar técnicas evasivas que dificultan significativamente su detección.
Identificación de troyanos de acceso remoto dirigidos al sector financiero
Publicado: 18/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de los troyanos bancarios RecruitRat, SaferRat, Astrinox y Massiv
Nueva campaña PHANTOMPULSE combina ingeniería social y ejecución fileless.
Publicado: 17/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña avanzada asociada a la amenaza PHANTOMPULSE RAT. Esta amenaza se caracteriza por el abuso de aplicaciones legítimas como mecanismo de ejecución de código malicioso, combinando técnicas de ingeniería social, ejecución en memoria y evasión avanzada para comprometer sistemas sin generar artefactos evidentes en disco y dificultar su detección por controles tradicionales.
Nueva campaña de botnet PowMix emplea técnicas avanzadas de ejecución en memoria y evasión
Publicado: 16/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a PowMix, la cual emplea técnicas avanzadas de ejecución en memoria y evasión de controles de seguridad.
Nueva actividad de JanelaRat dirigida al sector bancario en México con técnicas avanzadas de evasión
Publicado: 15/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa de JanelaRAT dirigida al sector bancario en México. Esta amenaza, en constante evolución en América Latina, emplea cadenas de infección en múltiples etapas que incluyen scripts, instaladores MSI y técnicas de carga lateral de DLL, permitiendo la ejecución encubierta de su carga maliciosa y la evasión de controles de seguridad.
Nueva actividad maliciosa relacionada con NJRat
Publicado: 15/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a NJRat, también conocido como Bladabindi, un troyano de acceso remoto (RAT) que continúa siendo utilizado por ciberdelincuentes para comprometer equipos y mantener control remoto sobre las víctimas.
JanaWare: nuevo ransomware distribuido mediante Adwind RAT
Publicado: 15/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado JanaWare, el cual es distribuido mediante una variante del troyano de acceso remoto Adwind RAT.