-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Actividad asociada a Ninja Browser y Lumma infostealer
Publicado: 15/02/2026 | Importancia: Media
El equipo de analistas del Csirt financiero, en sus actividades de monitoreo e investigación identificó una campaña activa atribuida a ciberdelincuentes que explotan servicios legítimos de Google, particularmente Google Groups y plataformas de alojamiento como Google Docs y Drive, con el propósito de distribuir el infostealer Lumma y un troyano disfrazado de navegador legítimo denominado Ninja Browser.
The Gentlemen: grupo emergente de ransomware emplea cifrado avanzado y tácticas de doble extorsión
Publicado: 15/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware conocido como The Gentlemen, que se ha identificado como una amenaza emergente y altamente sofisticada dentro del panorama global de cibercrimen.
Nueva botnet SSHStalker compromete servidores Linux a escala y mantiene control remoto por IRC
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a una botnet para Linux denominada SSHStalker, orientada a comprometer servidores a gran escala y mantener control remoto mediante IRC, un protocolo de mensajería que en este caso se utiliza como canal de comando y control.
Nueva campaña activa de la Botnet Kimwolf explota dispositivos IoT y afecta redes P2P.
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet Kimwolf, la cual ha generado afectaciones significativas en la red descentralizada de anonimato I2P. La actividad se originó cuando los ciberdelincuentes intentaron incorporar cientos de miles de dispositivos IoT comprometidos como nodos dentro de la red, provocando un comportamiento consistente con un ataque tipo Sybil.
BADIIS: Backdoor dirigido a servidores IIS utilizado en campañas de SEO Poisoning
Publicado: 14/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa a gran escala asociada con el backdoor denominado BADIIS, el cual ha sido utilizado para comprometer a más de 1.800 servidores web Windows que ejecutan Internet Information Services (IIS) en todo el mundo, formando parte de una actividad de manipulación de tráfico conocida como SEO poisoning, cuyo objetivo principal es alterar resultados de búsqueda para redirigir a usuarios hacia contenido fraudulento.
Campaña reciente de OysterLoader con ejecución multietapa
Publicado: 13/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader OysterLoader, también identificado como Broomstick y CleanUp, utilizado como componente de descarga para facilitar la instalación de otras amenazas. La actividad se vincula con campañas que derivan en Rhysida ransomware y también con la distribución de amenazas tipo stealer como Vidar.
XWorm RAT: Nueva ola de infecciones utilizando adjuntos maliciosos en Excel Add-ins
Publicado: 13/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de distribución del troyano de acceso remoto XWorm RAT, una amenaza activa desde al menos 2022 que continúa evolucionando mediante el uso de vectores de infección variados y técnicas sofisticadas orientadas a comprometer sistemas Windows.
Actividad asociada a DonutLoader
Publicado: 13/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero durante sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada al uso de DonutLoader en diferentes cadenas de infección orientadas al despliegue encubierto de amenazas en entornos Windows y Windows Server.
Nueva campaña de CastleLoader distribuye LummaStealer
Publicado: 12/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa que involucra a LummaStealer y CastleLoader, dos componentes que operan de manera complementaria dentro de una misma cadena de infección
Nueva campaña de proxyware distribuida a través de suplantacion del sitio oficial de 7-zip
Publicado: 12/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de proxyware mediante la técnica typosquating, que consiste en registrar un dominio web muy similar al del sitio web original, pero modificando alguna parte de la escritura del dominio, con el fin de engañar a los usuarios y redirigirlos a sitios maliciosos.
Seguimiento a actividad maliciosa de GuLoader
Publicado: 11/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a GuLoader, un descargador de malware que ha mantenido una evolución constante y que se caracteriza por integrar técnicas avanzadas de ofuscación diseñadas para entorpecer cualquier intento de análisis o detección temprana.
Nueva campaña activa del ransomware Crazy explota herramienta legítima “SimpleHelp”
Publicado: 11/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña en la que ciberdelincuentes utilizan software de gestión remota SimpleHelp RMM como mecanismo para establecer acceso persistente, ejecutar comandos remotos y desplegar el ransomware Crazy.
Nuevo troyano bancario denominado Datzbro
Publicado: 11/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a Datzbro, un troyano bancario con capacidades de espionaje orientado a dispositivos Android, observado en campañas activas desde al menos agosto de 2025.
Actividad asociada a la cadena de infección Phorpiex y al ransomware Global Group
Publicado: 11/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida relacionada con la botnet Phorpiex y el ransomware GLOBAL GROUP, utilizados en campañas de phishing de alto volumen orientadas a comprometer Equipos mediante archivos adjuntos que aparentan ser documentos legítimos..
Campaña activa del ransomware Reynolds integra técnicas BYOVD para evadir controles de seguridad.
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del ransomware Reynolds que incorpora de forma nativa una técnica de evasión de defensas mediante BYOVD Bring Your Own Vulnerable Driver dentro de su propio payload malicioso.
Nueva campaña asociada al stealer Socelars
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña vinculada a Socelars, un stealer diseñado para sistemas Windows que se centra en la extracción silenciosa de datos sensibles de sesiones de usuario y credenciales almacenadas.
Nueva campaña de PythonStealer
Publicado: 09/02/2026 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero se identificó una campaña asociada a PythonStealer, un stealer desarrollado en Python que concentra sus esfuerzos en extraer información sensible de equipos y sistemas comprometidos.
Stan Ghouls reutiliza NetSupport RAT en ataques de spear-phishing contra sectores críticos
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo cibercriminal conocido como Stan Ghouls, también denominado Bloody Wolf, que desde al menos 2023 ha dirigido ataques contra organizaciones en Uzbekistán, Rusia, Kazajistán y Kirguistán.
LTX Stealer: amenaza emergente tipo Stealer-as-a-Service en sistemas Windows
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada LTX Stealer, un malware especializado en la captura de credenciales que representa un riesgo creciente para usuarios y organizaciones.
Seguimiento a actividad asociada al infostealer ACRStealer
Publicado: 08/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida asociada a ACRStealer, un infostealer orientado al compromiso de Equipos con sistemas operativos Windows y enfocado en la captura de credenciales y datos de sesión.
Campaña DKnife en routers Linux para entrega de ShadowPad y DarkNimbus
Publicado: 08/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a DKnife, un framework malicioso de monitoreo de gateway y adversary in the middle diseñado para ejecutarse en equipos Linux de borde, como routers.
Seguimiento a actividad asociada al troyano Amadey
Publicado: 08/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero informa sobre la actividad sostenida asociada a Amadey, un troyano que opera como bot y cargador de amenazas adicionales utilizado por ciberdelincuentes en campañas dirigidas a organizaciones de los sectores financiero, gubernamental e industrial a nivel global.
Nuevos indicadores de compromiso relacionados con Agent Tesla
Publicado: 07/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizados por el equipo de analistas del Csirt Financiero, se observaron nuevos indicadores de compromiso relacionados con Agent Tesla, un Troyano de Acceso Remoto ampliamente conocido por su capacidad para capturar información en sistemas Windows
Nueva actividad asociada a Akira Stealer
Publicado: 07/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del stealer Akira Stealer, el cual se ofrece bajo el modelo Malware as a Service (MaaS) en un sitio web dedicado y se promociona con la etiqueta Akira Undetector.
Nueva campaña de stealer distribuida mediante spearphishing enfocado a sistemas macos
Publicado: 07/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de spearphishing dirigida con temáticas empresariales como auditoría externa, cumplimiento fiscal, adquisición de tokens, entre otros, para utilizarlo como señuelo. El propósito de estos mensajes es generar confianza y una sensación de urgencia operativa, con el fin de motivar al destinatario a abrir el archivo adjunto, el cual aparenta ser un documento corporativo válido.
Nueva campaña DesckVB RAT v2.9 a través de JavaScript y PowerShell
Publicado: 06/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que emplea DesckVB RAT v2.9, un RAT modular desarrollado en .NET cuya distribución se apoya en una cadena de infección multietapa estructurada.
Nueva campaña del Spyware Joker en ecosistemas Android
Publicado: 06/02/2026 | Importancia: Media
Durante las actividades de monitoreo y seguimiento de amenazas adelantadas por el equipo de analistas del Csirt Financiero, se observó una campaña que conecta dos frentes de riesgo. Por un lado, se observó una explotación sistemática de proxies mal configurados, los cuales permiten redirigir tráfico externo hacia servicios de modelos de lenguaje de pago en la nube y facilitan que los ciberdelincuentes utilicen la infraestructura corporativa como puente de confianza, ocultando su actividad dentro de flujos legítimos y evadiendo los mecanismos convencionales de autenticación y control de acceso.
Nueva campaña de spam con PDF falsos de Adobe Reader
Publicado: 06/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña de spam que emplea técnicas de ingeniería social para instalar, sin autorización, software legítimo de monitoreo y gestión remota (RMM) en los dispositivos.
Campaña activa abusa de herramientas RMM legítimas “Datto RMM” para acceso remoto no autorizado.
Publicado: 05/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero observó actividad maliciosa asociada al abuso de la herramienta legítima de gestión remota Datto RMM.
Nueva campaña de Infostealers dirigida a entornos macOS
Publicado: 04/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que refleja la evolución reciente de los infostealers hacia un escenario orientando a entornos macOS