-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Puerta trasera WARMCOOKIE incorpora nuevas capacidades
Publicado: 05/10/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.
Nueva variante de ransomware denominada Obscura
Publicado: 05/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva variante de ransomware denominada Obscura, identificada por primera vez el 29 de agosto de 2025
Grupo Confucius adopta nuevos backdoors basados en Python para sus campañas de espionaje
Publicado: 04/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al grupo APT Confucius.
Campaña activa distribuye el RAT XWorm V6
Publicado: 04/10/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye el troyano de acceso remoto XWorm en su versión 6.0, una amenaza que ha resurgido tras su aparente abandono en 2024, esta operación, activa desde junio de 2025, tiene como propósito otorgar control total del equipo comprometido a los ciberdelincuentes, quienes despliegan una variedad de plugins para vigilancia remota, exfiltración de información y cifrado de archivos.
Rhadamanthys Stealer 0.9.2 evoluciona con técnicas de evasión y fingerprinting
Publicado: 03/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.
Nuevo malware enfocado en Brasil
Publicado: 03/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SORVEPOTEL.
Campaña activa distribuye remcosRAT mediante phishing
Publicado: 02/10/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña activa en la que ciberdelincuentes están distribuyendo el troyano de acceso remoto RemcosRAT a través de correos electrónicos maliciosos que incluyen archivos Office con macros embebidas, así como páginas web comprometidas que implementan técnicas de HTML Smuggling.
Nueva actividad de Qilin ransomware
Publicado: 30/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del ransomware Qilin.
Nueva campaña distribuye la puerta trasera Oyster mediante instaladores de Microsoft Teams
Publicado: 30/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.
Nuevo troyano bancario para Android denominado Klopatra
Publicado: 29/09/2025 | Importancia: Media
Durante el monitoreo del Csirt Financiero se observó un nuevo troyano denominado Klopatra, el cual permite a los ciberdelincuentes tomar control remoto de los dispositivos comprometidos, sustraer credenciales financieras y ejecutar transacciones fraudulentas.
Amenaza multiplataforma explota MS-SQL
Publicado: 29/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado XiebroC2.
Campaña maliciosa distribuye BankBot.Remo mediante aplicaciones fraudulentas
Publicado: 29/09/2025 | Importancia: Media
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.
Nueva actividad de LockBit 5.0 compromete sistemas Windows, Linux y ESXi
Publicado: 28/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del ransomware LockBit en su versión 5.0, la cual destaca por su capacidad multiplataforma al contar con variantes diseñadas para equipos Windows, sistemas Linux y entornos de virtualización VMware ESXi.
Nueva campaña de Nimbus Manticore entrega la backdoor Minijunk y el stealer MiniBrowse
El equipo de analistas del Csirt Financiero identificó actividad atribuida a Nimbus Manticore enfocada en utilizar portales falsos de “carreras” con URL y credenciales únicas por objetivo para entregar archivos comprimidos que activan una cadena de carga de DLL en múltiples etapas, con una puerta trasera identificada como MiniJunk y un stealer denominado MiniBrowse.
Campaña de XWorm RAT distribuida mediante shellcode en archivos de Office
Publicado: 28/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.
Nueva actividad de BQTLOCK
Publicado: 27/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.
Campaña de phishing utiliza archivos SVG para distribuir Amatera Stealer y PureMiner
Publicado: 27/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.
Nueva variante de XCSSET amplía sus capacidades con persistencia en macOS
Publicado: 26/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.
Nueva actividad de Zloader: evolución de un troyano bancario con capacidades avanzadas
Publicado: 22/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.
Nueva campaña de que usa archivos SVG entrega el RAT AsyncRAT en Colombia
Publicado: 22/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa en Colombia que utiliza archivos SVG como vector de entrega para propagar AsyncRAT, un troyano de acceso remoto con capacidades de vigilancia, exfiltración de credenciales y control remoto de equipos comprometidos.
Nueva actividad relacionada con Kawa4096
Publicado: 21/09/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.
Aplicaciones troyanizadas en Google Play propagan el spyware Joker
Publicado: 21/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
Nueva campaña de BeaverTail distribuido mediante repositorios maliciosos y señuelos ClickFix
Publicado: 20/09/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña activa que distribuye al stealer BeaverTail junto con el módulo secundario InvisibleFerret. Esta amenaza, observada desde mayo de 2025, se caracteriza por su capacidad de exfiltrar credenciales del sistema, navegadores y monederos de criptomonedas, además de incorporar funciones de acceso remoto.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digital
Publicado: 20/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Nueva campaña de distribución del RAT SilentSync mediante paquetes maliciosos en PyPI
Publicado: 20/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto SilentSync, el cual se distribuye a través de paquetes maliciosos en el repositorio público de Python (PyPI). Estos paquetes se hacen pasar por librerías legítimas para engañar a desarrolladores.
Nueva actividad relacionada con Raven Stealer
Publicado: 20/09/2025 | Importancia: Media
A través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.
Nueva campaña de Atomic infostealer
Publicado: 19/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.
Nueva campaña de distribución de DeerStealer
Publicado: 19/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.
Nuevo loader detectado
Publicado: 19/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.
Nueva campaña de phishing en Latinoamérica distribuye el troyano de acceso remoto Ratty
Publicado: 18/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.