Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Brokewell: el nuevo troyano bancario para dispositivos AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar a los asociados, se observó un nuevo troyano bancario para dispositivos móviles denominado “Brokewell” con capacidades de capturar datos y espiar los eventos del sistema comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/brokewell-el-nuevo-troyano-bancario-para-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar a los asociados, se observó un nuevo troyano bancario para dispositivos móviles denominado “Brokewell” con capacidades de capturar datos y espiar los eventos del sistema comprometido.
BTMOB RAT: nueva variante de malware para dispositivos androidDurante actividades de monitoreo de amenazas, el equipo del Csirt Financiero observó una nueva variante de malware para Android denominada BTMOB RAT, la cual ha sido atribuida a actores maliciosos que operan a través de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/btmob-rat-nueva-variante-de-malware-para-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo de amenazas, el equipo del Csirt Financiero observó una nueva variante de malware para Android denominada BTMOB RAT, la cual ha sido atribuida a actores maliciosos que operan a través de Telegram.
Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y BabukEn el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/buhti-la-amenaza-emergente-que-aprovecha-vulnerabilidades-y-utiliza-variantes-filtradas-de-ransomware-lockbit-y-babukhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.
Bumblebee Loader abusa de los servicios WebDAV y 4shared para ser distribuidoEl equipo del Csirt Financiero ha observado una nueva variante de Bumblebee loader que utiliza tácticas avanzadas para su distribución, haciendo uso de los servicios WebDAV, una extensión del protocolo HTTP que facilita la creación, edición y gestión de documentos y archivos en servidores web. Esta variante, al aprovechar WebDAV, permite a los ciberdelincuentes acomodar la cadena de ataque y ejecutar múltiples acciones maliciosas después de la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bumblebee-loader-abusa-de-los-servicios-webdav-y-4shared-para-ser-distribuidohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha observado una nueva variante de Bumblebee loader que utiliza tácticas avanzadas para su distribución, haciendo uso de los servicios WebDAV, una extensión del protocolo HTTP que facilita la creación, edición y gestión de documentos y archivos en servidores web. Esta variante, al aprovechar WebDAV, permite a los ciberdelincuentes acomodar la cadena de ataque y ejecutar múltiples acciones maliciosas después de la infección.
Cactus, el nuevo ransomware que explota vulnerabilidades de FortinetEn el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cactus-el-nuevo-ransomware-que-explota-vulnerabilidades-de-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.
Cactuspete APT Actualiza puerta trasera BisonalEn el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cactuspete-apt-actualiza-puerta-trasera-bisonalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.
Cadena de infección dirigida a Web3 en macOS atribuida al grupo APT BlueNoroffDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una nueva cadena de infección asociada al grupo APT BlueNoroff, también identificado como TA444. Este actor, vinculado a estructuras estatales de Corea del Norte, ha liderado diversas operaciones dirigidas contra entidades del ecosistema Web3 y del ámbito de las criptomonedas, destacándose por emplear herramientas diseñadas específicamente para comprometer dispositivos con sistema operativo macOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cadena-de-infeccion-dirigida-a-web3-en-macos-atribuida-al-grupo-apt-bluenoroffhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una nueva cadena de infección asociada al grupo APT BlueNoroff, también identificado como TA444. Este actor, vinculado a estructuras estatales de Corea del Norte, ha liderado diversas operaciones dirigidas contra entidades del ecosistema Web3 y del ámbito de las criptomonedas, destacándose por emplear herramientas diseñadas específicamente para comprometer dispositivos con sistema operativo macOS.
CaminhoLoader: loader avanzado para la entrega de malwareDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/caminholoader-loader-avanzado-para-la-entrega-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.
Campaña activa asociada a DarkGate mediante ingeniería social ClickFixEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a DarkGate, un troyano de acceso remoto orientado a equipos con sistema operativo Windows, distribuido mediante una técnica de ingeniería social conocida como ClickFix.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-a-darkgate-mediante-ingenieria-social-clickfixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a DarkGate, un troyano de acceso remoto orientado a equipos con sistema operativo Windows, distribuido mediante una técnica de ingeniería social conocida como ClickFix.
Campaña activa asociada a GuLoaderEl equipo de analistas del Csirt Financiero ha identificado y mantiene bajo seguimiento una campaña activa asociada a GuLoader, una amenaza clasificada como loader utilizada de forma recurrente como vector inicial de compromiso por múltiples ciberdelincuentes con alcance global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-a-guloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado y mantiene bajo seguimiento una campaña activa asociada a GuLoader, una amenaza clasificada como loader utilizada de forma recurrente como vector inicial de compromiso por múltiples ciberdelincuentes con alcance global.
Campaña activa asociada a SnakeKeylogger orientado a la exfiltración de credencialesEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a SnakeKeylogger, una amenaza clasificada como keylogger empleada para la captura continua de credenciales y datos confidenciales mediante técnicas de keylogging, extracción del portapapeles y capturas de pantalla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-a-snakekeylogger-orientado-a-la-exfiltracion-de-credencialeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a SnakeKeylogger, una amenaza clasificada como keylogger empleada para la captura continua de credenciales y datos confidenciales mediante técnicas de keylogging, extracción del portapapeles y capturas de pantalla.
Campaña activa asociada al stealer Phantom 3.5 mediante instaladores falsos.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al stealer Phantom en su versión 3.5, orientada a equipos con sistema operativo Windows a nivel global que se distribuye mediante instaladores falsos que suplantan aplicaciones legítimas ampliamente utilizadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-al-stealer-phantom-3-5-mediante-instaladores-falsoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al stealer Phantom en su versión 3.5, orientada a equipos con sistema operativo Windows a nivel global que se distribuye mediante instaladores falsos que suplantan aplicaciones legítimas ampliamente utilizadas.
Campaña activa de Amadey recopila información confidencial.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-amadey-recopila-informacion-confidencialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.
Campaña activa de Ink Dragon y el uso de servidores Iis comprometidos como red de retransmisión C2El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Ink Dragon, caracterizada por el compromiso de servidores IIS y SharePoint expuestos a Internet pertenecientes a entidades gubernamentales y del sector público. Esta campaña permite a los ciberdelincuentes obtener acceso remoto no autorizado, escalar privilegios y mantener control persistente sobre los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-ink-dragon-y-el-uso-de-servidores-iis-comprometidos-como-red-de-retransmision-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Ink Dragon, caracterizada por el compromiso de servidores IIS y SharePoint expuestos a Internet pertenecientes a entidades gubernamentales y del sector público. Esta campaña permite a los ciberdelincuentes obtener acceso remoto no autorizado, escalar privilegios y mantener control persistente sobre los sistemas afectados.
Campaña activa de la botnet RondoDoX utiliza como vector inicial vulnerabilidad critica de React2Shell.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa asociada a la botnet RondoDoX, orientada al compromiso automatizado de aplicaciones web y dispositivos IoT expuestos a Internet. La actividad observada evidencia la explotación de vulnerabilidades críticas recientemente divulgadas, destacándose React2Shell en entornos Next.js, lo que permite a los ciberdelincuentes ejecutar código remoto, desplegar payloads maliciosos y establecer control persistente sobre los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-la-botnet-rondodox-utiliza-como-vector-inicial-vulnerabilidad-critica-de-react2shellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa asociada a la botnet RondoDoX, orientada al compromiso automatizado de aplicaciones web y dispositivos IoT expuestos a Internet. La actividad observada evidencia la explotación de vulnerabilidades críticas recientemente divulgadas, destacándose React2Shell en entornos Next.js, lo que permite a los ciberdelincuentes ejecutar código remoto, desplegar payloads maliciosos y establecer control persistente sobre los sistemas afectados.
Campaña activa de malware distribuido a través de supuestas vulnerabilidades recientesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución del malware WebRAT, una amenaza de tipo RAT con capacidades de exfiltración de información y control remoto, utilizada por ciberdelincuentes para comprometer equipos de usuario mediante software no confiable y repositorios públicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-malware-distribuido-a-traves-de-supuestas-vulnerabilidades-recienteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución del malware WebRAT, una amenaza de tipo RAT con capacidades de exfiltración de información y control remoto, utilizada por ciberdelincuentes para comprometer equipos de usuario mediante software no confiable y repositorios públicos.
Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-muddywater-uso-de-loaders-personalizados-y-nuevos-backdoors-en-infraestructura-criticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.
Campaña activa de RondoDox explota la vulnerabilidad conocida en Xwiki para expandir su botnet.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-rondodox-explota-la-vulnerabilidad-conocida-en-xwiki-para-expandir-su-botnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.
Campaña activa de ValleyRAT orientada a equipos Windows.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-valleyrat-orientada-a-equipos-windows-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.
Campaña activa de XWorm orientada a equipos Windows.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-xworm-orientada-a-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}