-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de distribución de malware Herodotus dirigida a italia y brasil
Publicado: 28/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.
Nueva técnica de evasión implementada por SharkStealer
Publicado: 24/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva técnica de evasión utilizada por SharkStealer.
Nueva campaña de Coldriver y su más reciente herramienta de espionaje digital
Publicado: 22/10/2025 | Importancia: Media
El equipo del Csirt Financiero observó una nueva campaña de malware atribuida al grupo COLDRIVER, actor vinculado al Estado ruso y conocido por sus operaciones de espionaje cibernético contra organizaciones políticas, académicas y de derechos humanos.
DiskWriter: malware diseñado para la destrucción masiva de datos
Publicado: 19/10/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a DiskWriter, un wiper o borrador de disco diseñado para inutilizar sistemas comprometidos mediante la sobrescritura de datos y estructuras críticas, como el Master Boot Record (MBR).
Nueva actividad maliciosa atribuida al grupo APT UNC5142
Publicado: 18/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad del grupo APT UNC5142, el cual se especializa en la distribución de infostealers y otros tipos de malware mediante una infraestructura híbrida que combina sitios web comprometidos con contratos inteligentes en la BNB Smart Chain.
Resurgimiento de GhostBat RAT
Publicado: 17/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad de GhostBat RAT.
Nueva campaña distribuye BeaverTail, OtterCookie e InvisibleFerret mediante software troyanizado
Publicado: 16/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que empleó una aplicación troyanizada denominada Chessfi para lograr la ejecución de código malicioso en equipos de una organización.
Nueva campaña maliciosa usa tareas programadas y carga lateral de dll para entregar ValleyRAT
Publicado: 16/10/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña activa denominada “Silk Lure”, la cual emplea ingeniería social dirigida y una cadena multietapa para distribuir el troyano de acceso remoto ValleyRAT.
Nueva actividad de RondoDox dirigida a dispositivos IoT
Publicado: 12/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva campaña de la botnet denominada RondoDox.
Nueva actividad identificada de GuLoader
Publicado: 12/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó reciente actividad del cargador GuLoader.
Campaña de infostealer que abusa de sideloading y telegram para exfiltración masiva
Publicado: 12/10/2025 | Importancia: Media
El equipo del Csirt Financiero ha analizado la campaña global asociada a PXA Stealer, un infostealer creado en Python, activo desde finales de 2024 y con variantes más maduras en 2025, PXA Stealer está diseñado para recopilar credenciales, cookies, datos de autofill y datos relacionados con servicios y monederos de criptomonedas.
Nueva campaña de Olymp Loader suplanta software legítimos
Publicado: 12/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a Olymp Loader, una herramienta comercializada bajo el modelo de Malware-as-a-Service (MaaS) y desarrollada completamente en assembly. Este loader, ofrecido por el actor conocido como OLYMPO, se utiliza para cargar y ocultar otras amenazas dentro de los equipos comprometidos, destacando por su capacidad de mantener persistencia, evadir controles de seguridad y operar de forma encubierta frente a las defensas de Windows.
Nuevo backdoor denominado ChaosBot ejecuta órdenes vía PowerShell
Publicado: 11/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad que afectó a una entidad financiera en Vietnam, vinculada a un backdoor escrito en Rust denominado ChaosBot. La amenaza utiliza servicios legítimos de Discord para Comando y Control, valida su token, crea un canal con el nombre del equipo comprometido y consulta de forma continua los mensajes en un canal de texto para ejecutar instrucciones.
Nueva campaña de Snake Keylogger
Publicado: 11/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña de Snake Keylogger.
Chaos-C++: una nueva variante de Chaos Ransomware
Publicado: 11/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de Chaos-C++, una variante de la familia Chaos reescrita en C++, lo que supone un cambio significativo respecto a versiones previas basadas en .NET.
Nueva campaña utiliza la herramienta Nezha para distribuir Gh0st RAT
Publicado: 08/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a actores con presunta vinculación a China, quienes emplean la herramienta legítima de código abierto Nezha como medio de intrusión para distribuir el troyano de acceso remoto Gh0st RAT.
Puerta trasera WARMCOOKIE incorpora nuevas capacidades
Publicado: 05/10/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.
Nueva variante de ransomware denominada Obscura
Publicado: 05/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva variante de ransomware denominada Obscura, identificada por primera vez el 29 de agosto de 2025
Grupo Confucius adopta nuevos backdoors basados en Python para sus campañas de espionaje
Publicado: 04/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al grupo APT Confucius.
Campaña activa distribuye el RAT XWorm V6
Publicado: 04/10/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye el troyano de acceso remoto XWorm en su versión 6.0, una amenaza que ha resurgido tras su aparente abandono en 2024, esta operación, activa desde junio de 2025, tiene como propósito otorgar control total del equipo comprometido a los ciberdelincuentes, quienes despliegan una variedad de plugins para vigilancia remota, exfiltración de información y cifrado de archivos.
Rhadamanthys Stealer 0.9.2 evoluciona con técnicas de evasión y fingerprinting
Publicado: 03/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.
Nuevo malware enfocado en Brasil
Publicado: 03/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SORVEPOTEL.
Campaña activa distribuye remcosRAT mediante phishing
Publicado: 02/10/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña activa en la que ciberdelincuentes están distribuyendo el troyano de acceso remoto RemcosRAT a través de correos electrónicos maliciosos que incluyen archivos Office con macros embebidas, así como páginas web comprometidas que implementan técnicas de HTML Smuggling.
Nueva actividad de Qilin ransomware
Publicado: 30/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del ransomware Qilin.
Nueva campaña distribuye la puerta trasera Oyster mediante instaladores de Microsoft Teams
Publicado: 30/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.
Nuevo troyano bancario para Android denominado Klopatra
Publicado: 29/09/2025 | Importancia: Media
Durante el monitoreo del Csirt Financiero se observó un nuevo troyano denominado Klopatra, el cual permite a los ciberdelincuentes tomar control remoto de los dispositivos comprometidos, sustraer credenciales financieras y ejecutar transacciones fraudulentas.
Amenaza multiplataforma explota MS-SQL
Publicado: 29/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado XiebroC2.
Campaña maliciosa distribuye BankBot.Remo mediante aplicaciones fraudulentas
Publicado: 29/09/2025 | Importancia: Media
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.
Nueva actividad de LockBit 5.0 compromete sistemas Windows, Linux y ESXi
Publicado: 28/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del ransomware LockBit en su versión 5.0, la cual destaca por su capacidad multiplataforma al contar con variantes diseñadas para equipos Windows, sistemas Linux y entornos de virtualización VMware ESXi.
Nueva campaña de Nimbus Manticore entrega la backdoor Minijunk y el stealer MiniBrowse
El equipo de analistas del Csirt Financiero identificó actividad atribuida a Nimbus Manticore enfocada en utilizar portales falsos de “carreras” con URL y credenciales únicas por objetivo para entregar archivos comprimidos que activan una cadena de carga de DLL en múltiples etapas, con una puerta trasera identificada como MiniJunk y un stealer denominado MiniBrowse.