-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de Infostealers dirigida a entornos macOS
Publicado: 04/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que refleja la evolución reciente de los infostealers hacia un escenario orientando a entornos macOS
Nueva actividad del ransomware Interlock integra técnicas avanzadas de evasión y compromiso.
Publicado: 04/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada reciente asociada al ransomware Interlock, una amenaza de motivación financiera caracterizada por el uso de herramientas propias y técnicas avanzadas de evasión para comprometer entornos corporativos de forma progresiva y sigilosa, Interlock se distingue por no operar bajo el modelo de Ransomware-as-a-Service, ya que el grupo de ciberdelincuentes desarrolla y mantiene su propio ecosistema de malware.
Seguimiento a campaña activa del RAT XWorm
Publicado: 03/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva campaña asociada a XWorm, un malware de tipo RAT mencionado en foros clandestinos y reconocido por su arquitectura modular, que facilita a los ciberdelincuentes adaptar sus funciones según la campaña que estén ejecutando.
Nueva actividad relacionada con el ransomware Nova
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa asociada al grupo de ransomware Nova, en la cual los actores de amenaza afirmaron haber exfiltrado información sensible y establecido un ultimátum de diez días para iniciar negociaciones antes de publicar los datos presuntamente capturados.
Nueva campaña phishing con documento pdf que suplanta a dropbox
Publicado: 03/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de phishing estructurada en múltiples fases, orientada a la captura de credenciales corporativas mediante el uso de documentos PDF señuelo y la suplantación de la plataforma Dropbox.
Nueva campaña del APT 28 aprovecha vulnerabilidad de Microsoft
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo APT28, en la cual se aprovecha la vulnerabilidad CVE-2026-21509 mediante documentos RTF diseñados para iniciar una cadena de infección que se ejecuta en varias etapas.
ShadowHS: framework fileless de post-explotación en sistemas Linux
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo framework de post-explotación llamado ShadowHS para sistemas Linux que destaca por su capacidad de operar de forma completamente fileless, ejecutándose íntegramente en memoria. Esta característica reduce de manera significativa la huella forense en los sistemas comprometidos y dificulta su detección mediante mecanismos de seguridad tradicionales que dependen de la inspección de archivos en disco.
Nueva campaña del backdoor Chrysalis atribuida al APT Lotus Blossom
Publicado: 02/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada a una campaña avanzada atribuida al grupo APT Lotus Blossom, la campaña involucra el despliegue de un backdoor personalizado denominado Chrysalis, acompañado por loaders desarrollados específicamente para esta operación, lo que evidencia una evolución en las capacidades del grupo de ciberdelincuentes.
Seguimiento a actividad asociada al stealer SalatStealer
Publicado: 01/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a SalatStealer, un stealer desarrollado en el lenguaje Go, orientado al compromiso de equipos con el objetivo de facilitar la exfiltración encubierta de información sensible y habilitar la vigilancia activa de las víctimas en tiempo real.
Seguimiento a actividad asociada al stealer PureLogStealer
Publicado: 01/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a PureLogStealer, un stealer utilizado por cibercriminales con fines financieros.
Nueva campaña maliciosa asociada al framework Havoc
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa vinculada al uso del framework de comando y control de código abierto conocido como Havoc.
Campaña de fraude digital identificada a través de aplicación distribuida en Google Play
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha la distribución de aplicaciones móviles a través de Google Play Store para ocultar actividades de fraude financiero.
Campaña de Pulsar RAT y Stealerv37 orientada a control remoto interactivo y exfiltración de información
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en Windows que emplea el troyano de acceso remoto Pulsar RAT junto con el stealer Stealerv37, caracterizada por ejecución en memoria y por la posibilidad de interacción directa con el usuario mediante un chat en vivo.
Infraestructura C2 utilizada por el framework BYOB en campañas activas
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó infraestructura de comando y control (C2) asociada al framework malicioso BYOB (Build Your Own Botnet), mediante un servidor con directorios abiertos que alojaban múltiples componentes utilizados en campañas activas de despliegue de malware.
Nueva campaña de troyano de acceso remoto Android abusa de infraestructura legítima.
Publicado: 30/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña activa de malware dirigida a dispositivos Android, en la cual se distribuye un troyano de acceso remoto mediante aplicaciones fraudulentas y técnicas de ingeniería social. La actividad se caracteriza por el uso de infraestructura legítima en la nube para el alojamiento y entrega de las cargas maliciosas, lo que le permite evadir mecanismos tradicionales de detección.
Nueva campaña de Matanbuchus demuestra evolución del downloader
Publicado: 29/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de Matanbuchus, la cual refleja una evolución en su arquitectura y en las técnicas empleadas para alcanzar la ejecución y persistencia dentro de los sistemas comprometidos.
Nueva actividad de Amatera Stealer se distribuye a través de captcha falso
Publicado: 28/01/2026 | Importancia: Media
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa que emplea ingeniería social y el abuso de herramientas legítimas de Windows (LOLBins) para distribuir Amatera, un stealer orientado a la captura y exfiltración de información sensible.
Seguimiento a actividad asociada a familias de acceso remoto: Gh0stRAT, DarkCrystalRAT y CrimsonRAT
Publicado: 28/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a las familias Gh0stRAT, DarkCrystalRAT (DCRat) y CrimsonRAT, caracterizadas por su capacidad para comprometer sistemas, mantener vigilancia persistente, ejercer control remoto completo y realizar exfiltración encubierta de información sensible.
Nueva campaña de HoneyMyte emplea la variante actualizada del backdoor CoolClient
Publicado: 28/01/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña atribuida al grupo APT HoneyMyte que distribuye una versión actualizada y activamente utilizada del backdoor CoolClient
Nueva campaña aprovecha sitios Vercel para instalar RCE mediante GoTo Resolve
Publicado: 27/01/2026 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña que utiliza páginas alojadas en vercel.app para desplegar supuestos documentos financieros principalmente facturas vencidas y estados de cuenta con el fin de generar confianza en el usuario. Una vez descargados y ejecutados, estos archivos instalan de manera silenciosa GoTo Resolve, una herramienta legítima de acceso remoto que, en este caso, está siendo empleada de forma inapropiada dentro de la campaña.
Nueva campaña denominada PeckbBirdy incorpora ejecución remota y persistencia mediante LOLbins legítimos.
Publicado: 26/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó el uso de un framework denominado PeckBirdy, el cual permite la ejecución remota de scripts, la comunicación persistente con infraestructura C2 y la adaptación dinámica al entorno comprometido, aprovechando componentes nativos como navegadores web, MSHTA, WScript, Classic ASP, Node.js y entornos .NET.
Seguimiento a actividad asociada a FormBook
Publicado: 25/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.
Seguimiento a actividad asociada a Gh0stRAT en el sector financiero
Publicado: 24/01/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.
Explotación de WinRAR permite la ejecución de Quasar RAT en sistemas Windows
Publicado: 24/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.
Nueva campaña distribuye Python RAT mediante versiones manipuladas de librerías
Publicado: 24/01/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.
Nueva campaña incluye herramientas legítimas utilizadas como puerta trasera persistente.
Publicado: 24/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.
Campaña de dropper Winzipper apoyada en la suplantación de instaladores de WinRAR
Publicado: 23/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución de amenazas que utiliza instaladores falsos de WinRAR como señuelo. La actividad se apoya en el uso de archivos comprimidos maliciosos que integran componentes legítimos junto con código ofuscado, con el objetivo de facilitar la ejecución encubierta de un dropper identificado como Winzipper en equipos Windows.
Nueva campaña denominada Android.Phantom troyano distribuido a través de tiendas de aplicaciones
Publicado: 23/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa denominada Android.Phantom, correspondiente a una familia de troyanos que afecta a dispositivos Android y se distribuye principalmente a través de aplicaciones modificadas, versiones de juegos y aplicaciones populares. Estas aplicaciones son ofrecidas mediante tiendas de aplicaciones no oficiales y repositorios alternativos, presentándose como software legítimo para inducir su instalación por parte del usuario. Una vez ejecutada, la amenaza establece comunicación con infraestructura C2 y utiliza componentes de navegación WebView ocultos para cargar contenido publicitario y simular interacción humana, incorporando técnicas avanzadas de automatización y aprendizaje automático con el fin de evadir mecanismos de detección y generar actividad fraudulenta de forma persistente.
Nueva campaña de proxyjacking: secuestrando ancho de banda a gran escala
Publicado: 22/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.
ClearFake incorpora nuevas técnicas LOTL para evadir detección y facilitar acceso inicial.
Publicado: 22/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa conocida como ClearFake, orientada a facilitar el acceso inicial a través del compromiso de sitios web legítimos.