-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña denominada PeckbBirdy incorpora ejecución remota y persistencia mediante LOLbins legítimos.
Publicado: 26/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó el uso de un framework denominado PeckBirdy, el cual permite la ejecución remota de scripts, la comunicación persistente con infraestructura C2 y la adaptación dinámica al entorno comprometido, aprovechando componentes nativos como navegadores web, MSHTA, WScript, Classic ASP, Node.js y entornos .NET.
Seguimiento a actividad asociada a FormBook
Publicado: 25/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.
Seguimiento a actividad asociada a Gh0stRAT en el sector financiero
Publicado: 24/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.
Explotación de WinRAR permite la ejecución de Quasar RAT en sistemas Windows
Publicado: 24/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.
Nueva campaña distribuye Python RAT mediante versiones manipuladas de librerías
Publicado: 24/01/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.
Nueva campaña incluye herramientas legítimas utilizadas como puerta trasera persistente.
Publicado: 24/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.
Campaña de dropper Winzipper apoyada en la suplantación de instaladores de WinRAR
Publicado: 23/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución de amenazas que utiliza instaladores falsos de WinRAR como señuelo. La actividad se apoya en el uso de archivos comprimidos maliciosos que integran componentes legítimos junto con código ofuscado, con el objetivo de facilitar la ejecución encubierta de un dropper identificado como Winzipper en equipos Windows.
Nueva campaña denominada Android.Phantom troyano distribuido a través de tiendas de aplicaciones
Publicado: 23/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa denominada Android.Phantom, correspondiente a una familia de troyanos que afecta a dispositivos Android y se distribuye principalmente a través de aplicaciones modificadas, versiones de juegos y aplicaciones populares. Estas aplicaciones son ofrecidas mediante tiendas de aplicaciones no oficiales y repositorios alternativos, presentándose como software legítimo para inducir su instalación por parte del usuario. Una vez ejecutada, la amenaza establece comunicación con infraestructura C2 y utiliza componentes de navegación WebView ocultos para cargar contenido publicitario y simular interacción humana, incorporando técnicas avanzadas de automatización y aprendizaje automático con el fin de evadir mecanismos de detección y generar actividad fraudulenta de forma persistente.
Nueva campaña de proxyjacking: secuestrando ancho de banda a gran escala
Publicado: 22/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.
ClearFake incorpora nuevas técnicas LOTL para evadir detección y facilitar acceso inicial.
Publicado: 22/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa conocida como ClearFake, orientada a facilitar el acceso inicial a través del compromiso de sitios web legítimos.
Nueva campaña malware en Windows captura y cifra información
Publicado: 21/01/2026 | Importancia: Media
Durante las actividades de monitoreo y análisis realizadas por el equipo de analistas del CSIRT Financiero, se observó una campaña de malware multietapa dirigida a usuarios de Windows que inicia mediante documentos señuelo y archivos LNK
Nuevo ransomware denominado Osiris
Publicado: 21/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado la aparición de una nueva familia de ransomware denominada Osiris, una amenaza orientada al compromiso de entornos corporativos mediante procesos de cifrado avanzado, deterioro de defensas y control operativo del sistema afectado.
Nueva campaña distribuye Remcos través de documento Word
Publicado: 21/01/2026 | Importancia: Media
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de una variante de Remcos RAT distribuida mediante un correo de phishing que simula provenir de una empresa y cuyo propósito es inducir a la víctima a abrir un archivo Word aparentemente legítimo.
Puerta trasera distribuida mediante dll side-loading y comunicación cifrada
Publicado: 21/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a PDFSIDER, una puerta trasera avanzada vinculada a operaciones de ciberespionaje.
Monetastealer: nueva amenaza para macos con capacidades para la captura de datos financieros
Publicado: 20/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza financiera identificada como MonetaStealer, un stealer dirigido específicamente a sistemas macOS, descubierto en enero de 2026.
Campaña activa distribuye EndRAT a través de spearphishing
Publicado: 20/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la distribución del troyano de acceso remoto EndRAT, orientada al compromiso dirigido de equipos mediante campañas de spearphishing.
NUEVA CAMPAÑA DE RONDODOX EXPLOTA VULNERABILIDAD CRÍTICA EN HPE ONEVIEW
Publicado: 20/01/2026 | Importancia: Media
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet RondoDox, la cual se ha centrado en la explotación de una vulnerabilidad crítica registrada como CVE-2025-37164, que afecta a HPE OneView. Esta falla, ubicada en el endpoint executeCommand de la API REST, permite la ejecución de comandos sin autenticación, lo que facilita que la botnet envíe cargas maliciosas y amplifique la actividad de explotación mediante procesos completamente automatizados. La campaña mostró un incremento significativo en el volumen de intentos, afectando principalmente sistemas expuestos a Internet y reflejando un riesgo real para organizaciones que aún no han aplicado las medidas de mitigación correspondientes.
Actualización de Windows provoca errores de autenticación en entornos de Escritorio Remoto
Publicado: 19/01/2026 | Importancia: Alta
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con una actualización de seguridad de Microsoft que genera fallos en conexiones de Escritorio Remoto en equipos Windows.
Campaña ClickFix/CrashFix orientada a entornos corporativos
Publicado: 18/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que emplea una variante de la técnica de ingeniería social conocida como ClickFix, denominada CrashFix, para comprometer sistemas a través de extensiones de navegador fraudulentas.
Nuevo stealer distribuido mediante software pirata y crypters modulares
Publicado: 18/01/2026 | Importancia: Media
El equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del stealer Aura, una nueva amenaza ofrecida como servicio que permite a los ciberdelincuentes capturar información sensible almacenada en navegadores, clientes de mensajería, gestores de correo y billeteras de criptomonedas
Nueva actividad de Emotet orientada a la distribución de amenazas adicionales
Publicado: 18/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano Emotet, caracterizada por su capacidad de autopropagación y su rol como distribuidor de otras amenazas.
Nueva actividad asociada a la botnet Mirai
Publicado: 17/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa asociada a la botnet Mirai, caracterizada por el uso de un script Bash con capacidades de dropper multiarquitectura.
Gootloader y su evolución como vector de acceso inicial
Publicado: 16/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una evolución en la operativa de Gootloader, un malware utilizado como vector de acceso inicial para la distribución de amenazas más avanzadas.
Nueva campaña de Botnet GoBruteforcer compromete servicios FTP, MySQL y phpMyAdmin
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet GoBruteforcer, orientada a comprometer servidores Linux expuestos a Internet mediante ataques de fuerza bruta contra credenciales débiles y configuraciones por defecto.
Campaña activa distribuye QuasarRAT mediante técnicas de ingeniería social
Publicado: 15/01/2026 | Importancia: Media
El equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del troyano de acceso remoto QuasarRAT, una herramienta ampliamente utilizada por grupos de cibercriminales para establecer control persistente sobre los sistemas comprometidos, facilitar la exfiltración de datos y ejecutar acciones encubiertas a través de infraestructura remota
Nueva campaña de malware basada en extensiones de navegador captura y exfiltra claves API
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una amenaza financiera basada en extensiones maliciosas de navegador, orientada a capturar de claves API en plataformas de intercambio de criptomonedas. La campaña aprovecha sesiones web legítimas ya autenticadas para facilitar la captura de credenciales con permisos críticos, lo que habilita la toma de control programático de cuentas y la ejecución de operaciones financieras no autorizadas.
Campaña activa distribuye AsyncRAT mediante phishing y cargas en python
Publicado: 13/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye AsyncRAT, un troyano de acceso remoto empleado por ciberdelincuentes para establecer control persistente sobre equipos comprometidos, ejecutar comandos remotos y desplegar cargas adicionales.
Nuevas actividades asociadas a LummaStealer
Publicado: 13/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de LummaStealer, un malware comercializado bajo el modelo de Malware-as-a-Service (MaaS).
Campaña de phishing distribuye Guloader y habilita acceso remoto mediante Remcos RAT
Publicado: 11/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza correos de phishing con supuestos informes de desempeño laboral como señuelo para distribuir la amenaza Guloader y, en una etapa posterior, instalar el troyano de acceso remoto Remcos RAT en equipos comprometidos.
Campaña activa distribuye HijackLoader mediante phishing
Publicado: 11/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de HijackLoader, un loader modular que se distribuye mediante campañas de phishing dirigidas a entornos empresariales, financieros y gubernamentales, utilizando mensajes de correo electrónico con archivos ZIP maliciosos que contienen ejecutables legítimos y DLL manipuladas.