Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña basada en ClickFix distribuye MIMICRATDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la técnica ClickFix. A través de una falsa verificación de Cloudflare, los ciberdelincuentes inducen a la víctima a copiar y ejecutar un comando PowerShell. Dicho proceso incorpora mecanismos avanzados de evasión, carga en memoria y despliegue modular, culminando con la instalación de MIMICRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-basada-en-clickfix-distribuye-mimicrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la técnica ClickFix. A través de una falsa verificación de Cloudflare, los ciberdelincuentes inducen a la víctima a copiar y ejecutar un comando PowerShell. Dicho proceso incorpora mecanismos avanzados de evasión, carga en memoria y despliegue modular, culminando con la instalación de MIMICRAT.
Nueva campaña de malware para Android denominada PromptSpy integra capacidades de decisión basadas en IA.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware móvil PromptSpy, identificado como el primer caso conocido en Android que integra capacidades de inteligencia artificial mediante el uso de la API de Google Gemini para apoyar la toma dinámica de decisiones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malware-para-android-denominada-promptspy-integra-capacidades-de-decision-basadas-en-iahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware móvil PromptSpy, identificado como el primer caso conocido en Android que integra capacidades de inteligencia artificial mediante el uso de la API de Google Gemini para apoyar la toma dinámica de decisiones.
Nueva campaña de foxveil como loader moderno basado en infraestructura cloudDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña que utiliza un loader denominado Foxveil que opera en dos variantes con comportamientos similares, pero se diferencian en cuanto a las técnicas de inyección, el mecanismo de persistencia e interacción con controles de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-foxveil-como-loader-moderno-basado-en-infraestructura-cloudhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña que utiliza un loader denominado Foxveil que opera en dos variantes con comportamientos similares, pero se diferencian en cuanto a las técnicas de inyección, el mecanismo de persistencia e interacción con controles de seguridad.
Campaña de explotación de BeyondTrust por CVE-2026-1731 con web shells y SparkRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de explotación de la vulnerabilidad crítica CVE-2026-1731 en BeyondTrust Remote Support, una solución de soporte remoto utilizada para gestionar y asistir sesiones de acceso remoto a sistemas en entornos empresariales, la cual permite ejecución remota de comandos sin autenticación mediante conexiones WebSocket.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-explotacion-de-beyondtrust-por-cve-2026-1731-con-web-shells-y-sparkrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de explotación de la vulnerabilidad crítica CVE-2026-1731 en BeyondTrust Remote Support, una solución de soporte remoto utilizada para gestionar y asistir sesiones de acceso remoto a sistemas en entornos empresariales, la cual permite ejecución remota de comandos sin autenticación mediante conexiones WebSocket.
Nueva campaña distribuye el troyano bancario Massiv mediante aplicaciones IPTV falsasDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Massiv, un troyano bancario dirigido a dispositivos Android que incorpora capacidades de fraude y control remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-el-troyano-bancario-massiv-mediante-aplicaciones-iptv-falsashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Massiv, un troyano bancario dirigido a dispositivos Android que incorpora capacidades de fraude y control remoto.
Actividad asociada a Amos StealerEl equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a Amos Stealer, una amenaza de tipo stealer orientada a la captura o exfiltración de información sensible desde equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-amos-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a Amos Stealer, una amenaza de tipo stealer orientada a la captura o exfiltración de información sensible desde equipos comprometidos.
Actividad asociada a PromptSpyEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a PromptSpy, un troyano de acceso remoto para dispositivos Android que incorpora inteligencia artificial generativa en su flujo de ejecución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-promptspyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a PromptSpy, un troyano de acceso remoto para dispositivos Android que incorpora inteligencia artificial generativa en su flujo de ejecución.
Nueva campaña Stealc basada en Clickfix e ingeniería socialDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña que combina ingeniería social ClickFix, ejecución fileless, carga reflexiva de binarios e inyección de procesos, culminando con la ejecución del framework modular StealC en memoria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-stealc-basada-en-clickfix-e-ingenieria-socialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña que combina ingeniería social ClickFix, ejecución fileless, carga reflexiva de binarios e inyección de procesos, culminando con la ejecución del framework modular StealC en memoria.
Nueva campaña de ingeniería social con Clickfix y loader de ejecución progresivaDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de intrusión que se inicia mediante la técnica conocida como ClickFix, una modalidad de ingeniería social que induce al usuario a copiar y ejecutar manualmente un comando en una consola local.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ingenieria-social-con-clickfix-y-loader-de-ejecucion-progresivahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de intrusión que se inicia mediante la técnica conocida como ClickFix, una modalidad de ingeniería social que induce al usuario a copiar y ejecutar manualmente un comando en una consola local.
Nueva campaña de backdoor Keenadu afecta dispositivos AndroidDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al malware Keenadu, un backdoor que se distingue por su integración directa en el firmware de dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-backdoor-keenadu-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al malware Keenadu, un backdoor que se distingue por su integración directa en el firmware de dispositivos Android.
Nueva campaña de SmartLoader clona proyecto Oura MCP para distribuir StealC.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a operadores vinculados con SmartLoader, en la cual se clonó un proyecto legítimo denominado Oura MCP Server con el objetivo de distribuir el Infostealer StealC.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-smartloader-clona-proyecto-oura-mcp-para-distribuir-stealchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a operadores vinculados con SmartLoader, en la cual se clonó un proyecto legítimo denominado Oura MCP Server con el objetivo de distribuir el Infostealer StealC.
XWorm RAT: nueva actividad de troyano de acceso remoto mediante señuelos financierosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa en América Latina, donde actores de amenaza están distribuyendo el troyano de acceso remoto XWorm RAT como parte de una operación enfocada principalmente en Brasil y otros países de la región.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-rat-nueva-actividad-de-troyano-de-acceso-remoto-mediante-senuelos-financieroshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa en América Latina, donde actores de amenaza están distribuyendo el troyano de acceso remoto XWorm RAT como parte de una operación enfocada principalmente en Brasil y otros países de la región.
Nueva actividad de LockBit 5.0 con alcance multiplataformaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a LockBit 5.0, un ransomware con versiones para Windows, Linux y ESXi.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lockbit-5-0-con-alcance-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a LockBit 5.0, un ransomware con versiones para Windows, Linux y ESXi.
Actividad asociada a CoinMinerEl equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a CoinMiner, un minero de criptomonedas orientado a la explotación no autorizada de los recursos de procesamiento de los Equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-coinminerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero mantiene bajo seguimiento la actividad asociada a CoinMiner, un minero de criptomonedas orientado a la explotación no autorizada de los recursos de procesamiento de los Equipos comprometidos.
Nueva campaña de ingeniería social ClickFix utiliza Matryoshka para comprometer dispositivos macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social “ClickFix”, la cual ahora ha sido adaptada para atacar específicamente a usuarios de macOS mediante una nueva variante denominada Matryoshka.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ingenieria-social-clickfix-utiliza-matryoshka-para-comprometer-dispositivos-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social “ClickFix”, la cual ahora ha sido adaptada para atacar específicamente a usuarios de macOS mediante una nueva variante denominada Matryoshka.
Nueva campaña que combina ingeniería social y software legitimo para suplantar servicios de videoconferenciaDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa de ingeniería social que emplea invitaciones fraudulentas a videoconferencias, suplantando plataformas ampliamente utilizadas como Zoom, Microsoft Teams y Google Meet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-combina-ingenieria-social-y-software-legitimo-para-suplantar-servicios-de-videoconferenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa de ingeniería social que emplea invitaciones fraudulentas a videoconferencias, suplantando plataformas ampliamente utilizadas como Zoom, Microsoft Teams y Google Meet.
Actividad asociada a Ninja Browser y Lumma infostealerEl equipo de analistas del Csirt financiero, en sus actividades de monitoreo e investigación identificó una campaña activa atribuida a ciberdelincuentes que explotan servicios legítimos de Google, particularmente Google Groups y plataformas de alojamiento como Google Docs y Drive, con el propósito de distribuir el infostealer Lumma y un troyano disfrazado de navegador legítimo denominado Ninja Browser.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-ninja-browser-y-lumma-infostealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero, en sus actividades de monitoreo e investigación identificó una campaña activa atribuida a ciberdelincuentes que explotan servicios legítimos de Google, particularmente Google Groups y plataformas de alojamiento como Google Docs y Drive, con el propósito de distribuir el infostealer Lumma y un troyano disfrazado de navegador legítimo denominado Ninja Browser.
The Gentlemen: grupo emergente de ransomware emplea cifrado avanzado y tácticas de doble extorsiónDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware conocido como The Gentlemen, que se ha identificado como una amenaza emergente y altamente sofisticada dentro del panorama global de cibercrimen.http://csirtasobancaria.com/Plone/alertas-de-seguridad/the-gentlemen-grupo-emergente-de-ransomware-emplea-cifrado-avanzado-y-tacticas-de-doble-extorsionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware conocido como The Gentlemen, que se ha identificado como una amenaza emergente y altamente sofisticada dentro del panorama global de cibercrimen.
Nueva botnet SSHStalker compromete servidores Linux a escala y mantiene control remoto por IRCDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a una botnet para Linux denominada SSHStalker, orientada a comprometer servidores a gran escala y mantener control remoto mediante IRC, un protocolo de mensajería que en este caso se utiliza como canal de comando y control.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-sshstalker-compromete-servidores-linux-a-escala-y-mantiene-control-remoto-por-irchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a una botnet para Linux denominada SSHStalker, orientada a comprometer servidores a gran escala y mantener control remoto mediante IRC, un protocolo de mensajería que en este caso se utiliza como canal de comando y control.
Nueva campaña activa de la Botnet Kimwolf explota dispositivos IoT y afecta redes P2P.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet Kimwolf, la cual ha generado afectaciones significativas en la red descentralizada de anonimato I2P. La actividad se originó cuando los ciberdelincuentes intentaron incorporar cientos de miles de dispositivos IoT comprometidos como nodos dentro de la red, provocando un comportamiento consistente con un ataque tipo Sybil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-de-la-botnet-kimwolf-explota-dispositivos-iot-y-afecta-redes-p2phttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet Kimwolf, la cual ha generado afectaciones significativas en la red descentralizada de anonimato I2P. La actividad se originó cuando los ciberdelincuentes intentaron incorporar cientos de miles de dispositivos IoT comprometidos como nodos dentro de la red, provocando un comportamiento consistente con un ataque tipo Sybil.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}