-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña malware tipo troyano denominado Dohdoor
Publicado: 01/03/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de troyano que emplea carga lateral de DLL (DLL side-loading) para ejecutar una biblioteca maliciosa a través de un ejecutable legítimo de Windows.
Nueva campaña que falsifica página web de Zoom
Publicado: 01/03/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña en la que los ciberdelincuentes configuran un sitio web falso que suplanta de manera precisa a una sala de espera del aplicativo de videoconferencias Zoom, utilizando un dominio visualmente convincente.
Campaña de phishing con distribución de troyanos de acceso remoto mediante Webdav en Windows
Publicado: 28/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que abusa de Windows File Explorer para facilitar la entrega de amenazas, en particular troyanos de acceso remoto.
Actividad asociada a un nuevo ransomware denominado 0APT
Publicado: 28/02/2026 | Importancia: Media
Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al supuesto grupo de ransomware denominado como 0APT, el cual comenzó a ganar visibilidad a finales de enero de 2026 tras publicar en foros de la dark web anuncios sobre presuntas intrusiones dirigidas a organizaciones de diversos sectores.
Nuevos indicadores de compromiso relacionados con Ploutus-D
Publicado: 28/02/2026 | Importancia: Media
Durante actividades de monitoreo y el seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observaron se nuevos indicadores de compromiso asociados con la amenaza Ploutus-D, una variante avanzada de malware de tipo ATM jackpotting diseñada para infectar cajeros automáticos y facilitar la extracción fraudulenta de dinero en efectivo.
OCRFix: nueva amenaza botnet distribuida mediante técnicas ClickFix y EtherHiding
Publicado: 27/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un troyano tipo botnet denominado OCRFix y distribuido mediante una campaña avanzada que combina técnicas de ingeniería social “ClickFix”, phishing y abuso de infraestructura descentralizada.
Nueva campaña distribuye Agent Tesla mediante cargas cifradas
Publicado: 26/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada con la distribución del stealer Agent Tesla, la cual opera a través de una cadena de infección multietapa que permite la ejecución en memoria y la evasión de controles.
Actividad asociada al stealer DarkCloud
Publicado: 26/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a DarkCloud, un stealer comercializado bajo un modelo malware-as-a-service (MaaS), promovido públicamente como supuesto “software de vigilancia” o keylogger para encubrir su verdadera funcionalidad.
Nueva campaña asociada a Aeternum Loader utiliza Smart Contracts como mecanismo C2.
Publicado: 26/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a la distribución del Aeternum Loader, un malware tipo loader que implementa un modelo C2 basado en infraestructura blockchain, específicamente mediante smart contracts desplegados en la red Polygon.
Actividad asociada al RAT SURXRAT en dispositivos android
Publicado: 26/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SURXRAT, un troyano de acceso remoto (RAT) para dispositivos Android comercializado bajo un modelo de malware-as-a-service (MaaS) a través de Telegram.
Nueva campaña utiliza OpenClaw para distribuir AMOS Stealer
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada con la distribución del infostealer AMOS, el cual está siendo propagado mediante habilidades maliciosas en la plataforma OpenClaw.
Nueva campaña de grupo ATP UnsolicitedBooker distribuye LuciDoor y Mars Snake
Publicado: 25/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al despliegue coordinado de dos malware de tipo backdoor identificados como LuciDoor y Mars Snake, los cuales destacan por combinar técnicas de evasión, persistencia y ejecución remota que permiten a los ciberdelincuentes mantener control sostenido sobre los equipos comprometidos.
Compromiso de servicios expuestos: Apache ActiveMQ como puerta de entrada para LockBit
Publicado: 25/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un incidente de ciberseguridad de alto impacto, en el que una instancia de Apache ActiveMQ expuesta a Internet fue comprometida mediante la explotación de la vulnerabilidad CVE-2023-46604, lo que permitió el despliegue del ransomware LockBit.
Nueva campaña denominada Moonrise: troyano desarrollado en Go que facilita acceso remoto prolongado.
Publicado: 25/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto Moonrise, desarrollado en lenguaje Go y caracterizado por mantener una baja tasa de detección en motores antimalware.
Nueva campaña distribuye TrustConnect, un RAT disfrazado como herramienta RMM legítima.
Publicado: 24/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada a la distribución de TrustConnect, una herramienta presentada como solución de gestión remota RMM, pero que en realidad funciona como un troyano de acceso remoto RAT, TrustConnect se posiciona como un software de administración remota aparentemente legítimo, imitando características comunes de herramientas empresariales utilizadas para soporte técnico y gestión de endpoints. Sin embargo, su funcionalidad real permite a los ciberdelincuentes establecer control remoto persistente sobre los sistemas comprometidos.
Campaña de fake captcha orientada a distribuir infostealer.
Publicado: 24/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que emplea páginas de verificación falsa tipo “Fake Captcha”, asociadas a patrones ClickFix, como mecanismo de distribución de un infostealer orientado a la captura o exfiltración de información sensible.
Nueva campaña que suplanta a la Registraduría para distribuir SHADOW LADDER
Publicado: 23/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing dirigida a ciudadanos y funcionarios en Colombia, usando las elecciones de marzo de 2026 como señuelo.
CharlieKirk Grabber: Nuevo stealer en Python orientado a la captura de credenciales y datos sensibles
Publicado: 23/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo stealer que ha sido identificado recientemente afectando sistemas operativos Windows, denominado CharlieKirk Grabber, diseñado principalmente para la recolección rápida de credenciales y datos sensibles almacenados en equipos comprometidos.
Actividad asociada a Mirai
Publicado: 22/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero, a través de sus actividades continuas de monitoreo e inteligencia de amenazas, mantiene bajo seguimiento actividad asociada a Mirai, una amenaza clasificada como botnet orientado a la infección masiva de dispositivos IoT y sistemas embebidos.
Nueva actividad asociada a Mimikatz
Publicado: 22/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad asociada a la ejecución de módulos de Mimikatz, una herramienta ampliamente empleada por ciberdelincuentes para extraer credenciales desde la memoria del sistema operativo.
Nueva actividad de ATM jackpotting
Publicado: 22/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva operación organizada de “ATM jackpotting”, lo que confirma que este tipo de ataques contra cajeros automáticos continúa evolucionando y consolidándose como una amenaza estructurada y recurrente
Campaña con portales clonados de Microsoft entrega ejecutable que extrae credenciales y datos de navegación
Publicado: 22/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza anuncios pagados en Facebook que simulan promociones oficiales de Microsoft para inducir descargas falsas de actualizaciones de Windows.
Actividad asociada a QuasarRAT
Publicado: 21/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a QuasarRAT, un troyano de acceso remoto (RAT) utilizado en campañas dirigidas contra los sectores financiero, gubernamental e industrial a nivel global.
DigitStealer y la identificación de su arquitectura maliciosa
Publicado: 21/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron patrones operativos que han expuesto la infraestructura de comando y control (C2) detrás de DigitStealer.
Nueva actividad de ransomware Kittykatkrew observada recientemente
Publicado: 20/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo ransomware denominado Kittykatkrew, el cual es operado por un grupo con el mismo nombre.
Nueva campaña de Arkanix Stealer implementa modelo Malware-As-A-service
Publicado: 20/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa de Arkanix, un malware tipo infostealer que opera bajo un modelo Malware-as-a-Service MaaS y que incorpora un programa de referidos para ampliar su red de afiliados y distribución.
Nueva campaña basada en ClickFix distribuye MIMICRAT
Publicado: 20/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la técnica ClickFix. A través de una falsa verificación de Cloudflare, los ciberdelincuentes inducen a la víctima a copiar y ejecutar un comando PowerShell. Dicho proceso incorpora mecanismos avanzados de evasión, carga en memoria y despliegue modular, culminando con la instalación de MIMICRAT.
Nueva campaña de malware para Android denominada PromptSpy integra capacidades de decisión basadas en IA.
Publicado: 19/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware móvil PromptSpy, identificado como el primer caso conocido en Android que integra capacidades de inteligencia artificial mediante el uso de la API de Google Gemini para apoyar la toma dinámica de decisiones.
Nueva campaña de foxveil como loader moderno basado en infraestructura cloud
Publicado: 19/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña que utiliza un loader denominado Foxveil que opera en dos variantes con comportamientos similares, pero se diferencian en cuanto a las técnicas de inyección, el mecanismo de persistencia e interacción con controles de seguridad.
Campaña de explotación de BeyondTrust por CVE-2026-1731 con web shells y SparkRAT
Publicado: 19/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de explotación de la vulnerabilidad crítica CVE-2026-1731 en BeyondTrust Remote Support, una solución de soporte remoto utilizada para gestionar y asistir sesiones de acceso remoto a sistemas en entornos empresariales, la cual permite ejecución remota de comandos sin autenticación mediante conexiones WebSocket.