Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña activa de ValleyRAT orientada a equipos Windows.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-valleyrat-orientada-a-equipos-windows-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.
Nueva campaña de vishing aprovecha herramientas legítimas de Microsoft para evadir controles de seguridadSe identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vishing-aprovecha-herramientas-legitimas-de-microsoft-para-evadir-controles-de-seguridadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.
Nueva actividad de ChimeraWire orientada a la simulación de navegación webDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-chimerawire-orientada-a-la-simulacion-de-navegacion-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.
Campaña activa de Amadey recopila información confidencial.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-amadey-recopila-informacion-confidencialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.
Nueva campaña maliciosa del grupo GoldFactoryDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-goldfactoryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.
Seguimiento de campaña activa de AZORultEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.
Nueva variante de ransomware llamado BenzonaMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-llamado-benzonahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.
Actividad del troyano bancario FvncBot dirigida a usuarios móviles en PoloniaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-troyano-bancario-fvncbot-dirigida-a-usuarios-moviles-en-poloniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.
Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FADurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-hibrida-de-phishing-combina-capacidades-de-salty2fa-y-tycoon2fahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.
Nueva actividad de spyware Predador aprovecha vulnerabilidades en iOS, Android y ChromeSe identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-spyware-predador-aprovecha-vulnerabilidades-en-ios-android-y-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.
Nueva campaña de la botnet V3G4 combina capacidades DDoS y minería fileless en sistemas Linux.Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-la-botnet-v3g4-combina-capacidades-ddos-y-mineria-fileless-en-sistemas-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.
Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-observada-del-backdoor-brickstorm-y-su-impacto-en-entornos-virtualizadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.
Seguimiento de campaña activa de ACRStealer.El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-acrstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.
Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-muddywater-uso-de-loaders-personalizados-y-nuevos-backdoors-en-infraestructura-criticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.
Nueva actividad del Stealer Arkanix con capacidades para exfiltrar información de navegadoresDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-stealer-arkanix-con-capacidades-para-exfiltrar-informacion-de-navegadoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.
Campaña de ‘Water Saci’, asistida por IA, se distribuye a través de Whatsapp Web.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-2018water-saci2019-asistida-por-ia-se-distribuye-a-traves-de-whatsapp-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.
Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzadaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-sofisticada-de-valleyrat-emplea-tecnicas-byovd-y-mecanismos-de-persistencia-avanzadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.
Seguimiento de campaña activa de SpyNote.El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-spynotehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.
Campaña relacionada con el APT ShinyHunters distribuye ransomware ShinySp1d3rDurante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-relacionada-con-el-apt-shinyhunters-distribuye-ransomware-shinysp1d3rhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.
RondoDox es empleado en campañas de exfiltración de información.El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rondodox-es-empleado-en-campanas-de-exfiltracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}