-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
capacidades y técnicas de quirkyloader
Publicado: 20/08/2025 | Importancia: Media
QuirkyLoader es un cargador malicioso recientemente identificado cuyo propósito principal es servir como componente inicial dentro de la cadena de infección para desplegar cargas útiles secundarias. Se caracteriza por un diseño modular y por emplear técnicas avanzadas de ofuscación y antianálisis.
Nueva campaña de PipeMagic
Publicado: 20/08/2025 | Importancia:
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de PipeMagic.
Nuevo troyano de acceso remoto GodRAT distribuido mediante esteganografía
Publicado: 20/08/2025 | Importancia:
Mediante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actividad maliciosa dirigida contra empresas de diversos sectores, como el financiero y el de comercio, relacionada con la distribución de archivos maliciosos que permiten la descarga y ejecución de GodRAT.
Nueva campaña de distribución de Noodlophile stealer a través de señuelos phishing
Publicado: 18/08/2025 | Importancia: Media
Mediante actividades de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad reciente asociada a Noodlophile stealer, una amenaza que ha evolucionado en los últimos meses y que actualmente se distribuye mediante campañas de phishing dirigidas.
Nuevo malware para Android llamado Lazarus Stealer
Publicado: 18/08/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza móvil denominada Lazarus Stealer, un malware para Android orientado a la captura de credenciales de aplicaciones bancarias rusas. A pesar de la coincidencia en el nombre, este no guarda relación con el grupo norcoreano Lazarus.
Nueva campaña maliciosa “Operación Gecko Assault” dirigida a Latinoamérica
Publicado: 17/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.
Nueva campaña que emplea crossc2 para expandir el alcance de balizas Cobalt Strike en Linux y Macos
Publicado: 17/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Cobalt Strike.
Lumma Stealer descarga SectopRAT a través de instaladores falsos
Publicado: 16/08/2025 | Importancia: Media
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.
EncryptHub aprovecha CVE-2025-26633 y Brave Support para desplegar cargas maliciosas
Publicado: 15/08/2025 | Importancia: Media
Durante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.
PhantomCard: nuevo troyano NFC impacta banca en Brasil
Publicado: 14/08/2025 | Importancia: Media
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
PhantomCard: nuevo troyano NFC impacta banca en Brasil
Publicado: 13/08/2025 | Importancia: Media
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
Campaña ClickFix en macOS para la distribución de Odyssey Stealer
Publicado: 11/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada con una campaña dirigida a usuarios de macOS, en la cual se emplea la técnica ClickFix para desplegar el stealer Odyssey.
Nueva actividad relacionada al grupo APT Red Akodon
Publicado: 10/08/2025 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT Red Akodon, activo desde abril de 2024 y con un historial de operaciones centradas en Colombia.
Nueva actividad maliciosa relacionada con XLoader
Publicado: 10/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero observó nuevas actividades relacionadas con XLoader, un malware de tipo troyano y stealer que constituye la evolución del conocido FormBook.
Campaña de CastleBot distribuye múltiples familias de malware
Publicado: 09/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña de distribución de malware.
Nueva campaña de Efimer
Publicado: 09/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Efimer.
Nueva campaña dirigida a dispositivos Android atribuido a PlayPraetors
Publicado: 08/08/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una operación a gran escala basada en un modelo de Malware-as-a-Service (MaaS), operada por actores de habla china, que distribuye el troyano de acceso remoto (RAT) y botnet para Android denominado PlayPraetors.
Nueva campaña maliciosa relacionada con DarkCloud
Publicado: 08/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña relacionado con DarkCloud, un stealer activo desde 2022 conocido por su sigilo y eficacia en la captura de información confidencial en sistemas Windows.
Actividad maliciosa del grupo INCRamson
Publicado: 07/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con el grupo de ciberdelincuencia conocido como INCRamson, el cual ha sido vinculado a campañas de ransomware altamente dirigidas.
Archivos SVG implementan malware
Publicado: 07/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.
Actividad maliciosa asociada a PyLangGhost RAT afecta al sector financiero
Publicado: 06/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.
Nueva campaña propaga Lumma Stealer mediante suplantación de Telegram Premium
Publicado: 06/08/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña dirigida a equipos con sistema operativo Windows, la cual distribuye una variante de la amenaza conocida como Lumma Stealer. Esta actividad maliciosa se caracteriza por su capacidad para sustraer diferentes tipos de información confidencial, entre los que se encuentran credenciales almacenadas en navegadores, datos vinculados a billeteras de criptomonedas y detalles técnicos del equipo comprometido.
Nueva campaña entrega Bumblebee y despliega Akira Ransomware
Publicado: 05/08/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.
Nueva versión de Raspberry Robin
Publicado: 04/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Raspberry Robin.
Actividad Maliciosa Asociada a Akira
Publicado: 02/08/2025 | Importancia: Media
Durante el monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con Akira, un ransomware que ha mantenido una operatividad constante desde su aparición en 2023 y que, recientemente, ha presentado un incremento significativo en sus campañas durante julio de 2025.
Nueva campaña ToolShell aprovecha vulnerabilidades en Microsoft SharePoint Server
Publicado: 02/08/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.
Nueva variante del troyano bancario DoubleTrouble
Publicado: 01/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de DoubleTrouble.
UNC2891 y el uso encubierto de Raspberry Pi para comprometer cajeros automáticos (ATM)
Publicado: 31/07/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.
Nueva actividad de Anubis en Android y Windows
Publicado: 31/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Anubis.
GOLD BLADE despliega campaña avanzada utilizando nuevas estrategias para propagar RedLoader
Publicado: 30/07/2025 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa atribuida al grupo cibercriminal GOLD BLADE, también conocido como RedCurl, Red Wolf o Earth Kapre.