-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
CAMPAÑA MALICIOSA SUPLANTA INSTALADORES LEGÍTIMOS DE JDOWNLOADER
Publicado: 10/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa asociada con el compromiso del sitio oficial de JDownloader, utilizada para distribuir instaladores contaminados dirigidos a sistemas operativos Windows y Linux.
Campaña de phishing como servicio abusa de OAuth 2.0 para comprometer cuentas de Microsoft 365
Publicado: 10/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña global de phishing distribuida como servicio mediante el panel Kali365 Live, activa desde inicios de abril de 2026. Lo que hace particular a esta operación es que logra comprometer cuentas de Microsoft 365 sin necesidad de conocer contraseñas ni burlar directamente el MFA, abusando en su lugar del flujo OAuth 2.0 Device Authorization Grant, un mecanismo legítimo de Microsoft diseñado para autenticar equipos sin navegador, como televisores inteligentes.
Actividad asociada a FormBook
Publicado: 09/05/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó actividad asociada a FormBook, un troyano clasificado como infostealer y utilizado activamente por ciberdelincuentes bajo el modelo Malware-as-a-Service (MaaS).
Nueva actividad de Vidar Stealer con técnicas avanzadas de evasión y abuso de AutoIt
Publicado: 09/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de Vidar Stealer, desplegado mediante una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas del entorno Windows y técnicas de enmascaramiento de archivos para evadir controles de seguridad y alcanzar la exfiltración de información sensible.
Nueva campaña asociada a Chaos Ransomware es utilizada en operaciones atribuidas a MuddyWater.
Publicado: 09/05/2026 | Importancia: Media
Se observó una campaña dirigida contra entornos corporativos que utiliza técnicas de ingeniería social, herramientas legítimas de administración remota y componentes maliciosos personalizados para mantener acceso persistente dentro de infraestructuras comprometidas. La amenaza emplea mecanismos de evasión y movimiento lateral orientados a ampliar el alcance de la intrusión, priorizando actividades de reconocimiento, exfiltración de credenciales, exfiltración de información sensible y acceso estratégico prolongado sobre los sistemas afectados.
Campaña abusa del framework OpenClaw para desplegar Remcos RAT y GhostLoader
Publicado: 08/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que actores maliciosos publicaron un módulo fraudulento dentro de OpenClaw, un framework de código abierto que permite a agentes de inteligencia artificial ejecutar tareas automatizadas en equipos locales, con el propósito de distribuir el troyano de acceso remoto Remcos RAT y el stealer GhostLoader.
Nuevo backdoor denominado Beagle distribuido desde dominios fraudulentos relacionados con IA.
Publicado: 07/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa orientada a comprometer sistemas Windows mediante la distribución de una versión troyanizada de Claude AI, en la cual los ciberdelincuentes implementan una cadena de infección enfocada en el acceso remoto persistente y la evasión de controles de seguridad tradicionales.
Nueva campaña de PCPJack exfiltra credenciales a escala en entornos cloud expuestos
Publicado: 07/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña protagonizada por PCPJack, un worm orientado a la exfiltración masiva de credenciales en infraestructura cloud expuesta.
Nueva campaña de Remus compromete credenciales mediante evasión de cifrado en navegadores.
Publicado: 05/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a Remus Stealer, un infostealer de 64 bits reconocido como una evolución del Lumma Stealer.
Nueva campaña de CloudZ RAT permite interceptar códigos OTP mediante phone link.
Publicado: 04/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa asociada a CloudZ RAT, acompañado del plugin Pheno, caracterizada por su capacidad de operar como un malware modular que ejecuta código en memoria, incorpora técnicas de evasión avanzadas y establece comunicación con infraestructura C2.
Nueva actividad de Quasar Linux mediante el uso de rootkits y persistencia
Publicado: 04/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza la herramienta maliciosa denominada Quasar Linux o QLNX.
Actividad asociada a QuasarRAT
Publicado: 03/05/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha revisado información relacionada con QuasarRAT, un troyano de acceso remoto (RAT) ampliamente utilizado por ciberdelincuentes y grupos de amenazas a nivel global.
Nueva campaña Mini Shai-Hulud Worm con capacidad de capturar credenciales y persistencia avanzada
Publicado: 03/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al worm Mini Shai-Hulud, el cual presenta un enfoque orientado a la automatización de acciones maliciosas dentro de entornos comprometidos.
Nueva campaña de ingeniería social sobre OpenClaw que distribuye GachiLoader y Rhadamanthys
Publicado: 03/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GachiLoader, la cual utiliza el formato de habilidades para agentes de inteligencia artificial como medio de ingeniería social para que usuarios descarguen ejecutables de Windows que terminan desplegando el stealer Rhadamanthys.
Nueva campaña de APT SHADOW-EARTH-053 emplea técnicas avanzadas de evasión y movimiento lateral
Publicado: 03/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo APT SHADOW-EARTH-053, donde se observó la ejecución de ataques orientados a la obtención y consolidación de acceso a sistemas comprometidos, con el propósito de recolectar información sensible de forma sostenida.
Phoenix System: nueva plataforma PhaaS impulsa campañas globales de smishing
Publicado: 02/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una plataforma de Phishing-as-a-Service (PhaaS) denominada Phoenix System.
Nueva campaña Silver Fox orientada a la distribución de ValleyRat y ABCdoor mediante suplantación de entidades tributarias
Publicado: 01/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo de amenazas Silver Fox, caracterizada por el uso de técnicas de ingeniería social y una cadena de ataque multietapa orientada al compromiso de sistemas corporativos.
MiniRAT: nuevo RAT para macOS distribuido mediante paquete npm malicioso
Publicado: 01/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada con MiniRAT, un RAT desarrollado en lenguaje Go y orientado a sistemas macOS.
Nueva campaña activa de QBot compromete organizaciones mediante phishing basado en correspondencia empresarial
Publicado: 01/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al troyano bancario QBot (QakBot), caracterizado por operar como una plataforma modular altamente adaptable, capaz de ejecutar múltiples funciones maliciosas dentro de los entornos comprometidos, incluyendo la recolección de credenciales sensibles, manipulación de sesiones web y comunicación con infraestructura C2.
Nueva campaña de Lazarus centrada en la distribución del kit de intrusión Mach-O Man
Publicado: 30/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña denominada Mach-O Man, atribuida al grupo de actores de amenaza Lazarus, la cual está dirigida específicamente a sectores de tecnología financiera y criptoactivos en entornos operativos macOS.
Nueva campaña de Deep#Door implementa técnicas avanzadas de evasión y persistencia
Publicado: 30/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Deep#Door, un troyano de acceso remoto (RAT) desarrollado en Python que destaca por su enfoque modular y su capacidad para integrarse de manera discreta en entornos Windows.