Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ransomware Cephalus compromete sistemas mediante accesos RDP sin autenticación multifactorDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-cephalus-compromete-sistemas-mediante-accesos-rdp-sin-autenticacion-multifactorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.
Nuevo troyano de acceso remoto Fantasy Hub dirigido a dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto Fantasy Hub dirigida a dispositivos Android y orientada a la captura de credenciales y a la extracción de información sensible en contexto financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-fantasy-hub-dirigido-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto Fantasy Hub dirigida a dispositivos Android y orientada a la captura de credenciales y a la extracción de información sensible en contexto financiero.
Gootloader regresa con nuevas tácticas de evasión mediante archivos ZIP manipuladosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/gootloader-regresa-con-nuevas-tacticas-de-evasion-mediante-archivos-zip-manipuladoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.
DonutLoader facilita carga reflectiva y ejecución fileless de amenazas en memoria.El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.http://csirtasobancaria.com/Plone/alertas-de-seguridad/donutloader-facilita-carga-reflectiva-y-ejecucion-fileless-de-amenazas-en-memoriahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.
Nueva actividad atribuida al grupo de ransomware DragonForceDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida al grupo de ransomware DragonForce, que opera desde 2023 y ha evolucionado hacia un modelo de “cartel” de afiliados tras adoptar el código fuente filtrado de Conti v3.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-atribuida-al-grupo-de-ransomware-dragonforcehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida al grupo de ransomware DragonForce, que opera desde 2023 y ha evolucionado hacia un modelo de “cartel” de afiliados tras adoptar el código fuente filtrado de Conti v3.
Nueva actividad maliciosa de NGate que permite el retiro de dinero en efectivo a través de NFCEl equipo de analistas del Csirt Financiero identificó una campaña maliciosa activa que distribuye NGate, la cual aprovecha la tecnología NFC (Near Field Communication) para realizar retiros de efectivo no autorizados en cajeros automáticos sin necesidad de sustraer físicamente las tarjetas de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-ngate-que-permite-el-retiro-de-dinero-en-efectivo-a-traves-de-nfchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una campaña maliciosa activa que distribuye NGate, la cual aprovecha la tecnología NFC (Near Field Communication) para realizar retiros de efectivo no autorizados en cajeros automáticos sin necesidad de sustraer físicamente las tarjetas de pago.
Nueva campaña incorpora HttpTroy y una nueva variante de BLINDINGCAN.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-incorpora-httptroy-y-una-nueva-variante-de-blindingcanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.
Nueva actividad maliciosa relacionada con Tycoon 2FADurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad del kit de phishing denominado Tycoon 2FA, el cual emergió en agosto de 2023 y está diseñado para evadir las protecciones de autenticación de dos factores (2FA/MFA) empleando un modelo de adversario-en-el-medio (AiTM).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-tycoon-2fahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad del kit de phishing denominado Tycoon 2FA, el cual emergió en agosto de 2023 y está diseñado para evadir las protecciones de autenticación de dos factores (2FA/MFA) empleando un modelo de adversario-en-el-medio (AiTM).
Explotación de la vulnerabilidad CVE-2025-59287 en WSUS permite la distribución de Skuld StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Skuld Stealer, distribuido mediante la explotación de una vulnerabilidad crítica en el servicio Windows Server Update Service (WSUS), identificada como CVE-2025-59287.http://csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-la-vulnerabilidad-cve-2025-59287-en-wsus-permite-la-distribucion-de-skuld-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Skuld Stealer, distribuido mediante la explotación de una vulnerabilidad crítica en el servicio Windows Server Update Service (WSUS), identificada como CVE-2025-59287.
BlueNoroff lanza nuevas campañas GhostCall y GhostHire con capacidades multiplataformaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).http://csirtasobancaria.com/Plone/alertas-de-seguridad/bluenoroff-lanza-nuevas-campanas-ghostcall-y-ghosthire-con-capacidades-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).
Campaña activa distribuye Android/BankBot-YNRK.El equipo de analistas del Csirt Financiero ha identificado una campaña activa de distribución de Android/BankBot-YNRK, un troyano bancario dirigido al compromiso de dispositivos Android, esta amenaza está orientada a la recolección de credenciales financieras, el control remoto del sistema y la ejecución de operaciones fraudulentas mediante el abuso de servicios de accesibilidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-android-bankbot-ynrkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de distribución de Android/BankBot-YNRK, un troyano bancario dirigido al compromiso de dispositivos Android, esta amenaza está orientada a la recolección de credenciales financieras, el control remoto del sistema y la ejecución de operaciones fraudulentas mediante el abuso de servicios de accesibilidad.
Nueva actividad asociada a SmartLoaderDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a SmartLoader, una herramienta maliciosa clasificada como loader, diseñada para distribuir y ejecutar cargas adicionales en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-smartloader-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a SmartLoader, una herramienta maliciosa clasificada como loader, diseñada para distribuir y ejecutar cargas adicionales en los equipos comprometidos.
Campaña de distribución de malware a traves de whatsapp “water saci” despliega el backboor sorvepotelEl equipo del Csirt Financiero observó una nueva campaña de malware vía whatsapp denominada Water Saci con el objetivo de desplegar masivamente sus cargas maliciosas a través de canales de mensajería legítimos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-malware-a-traves-de-whatsapp-201cwater-saci201d-despliega-el-backboor-sorvepotelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero observó una nueva campaña de malware vía whatsapp denominada Water Saci con el objetivo de desplegar masivamente sus cargas maliciosas a través de canales de mensajería legítimos.
Troyano bancario Lampion distribuido mediante ClickFixMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad Lampion.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-lampion-distribuido-mediante-clickfixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad Lampion.
Campaña activa distribuye RustyStealerEl equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-rustystealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.
Nueva campaña de distribución de malware Herodotus dirigida a italia y brasilDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-malware-herodotus-dirigida-a-italia-y-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.
Nueva y sofisticada campaña maliciosa distribuye VenomRAT y un arsenal de software maliciosoDurante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura de los asociados, se observó una nueva campaña en la que los ciberdelincuentes emplean técnicas de phishing con asuntos y temas relacionados con facturas para engañar a las víctimas y hacer que abran los archivos adjuntos que contienen la carga útil de VenomRAT. Una vez que el sistema está infectado, se produce la descarga de otras familias de malware, como RemcosRAT, XWorm, NanoCore y un stealer dirigido a carteras criptográficas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-y-sofisticada-campana-maliciosa-distribuye-venomrat-y-un-arsenal-de-software-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura de los asociados, se observó una nueva campaña en la que los ciberdelincuentes emplean técnicas de phishing con asuntos y temas relacionados con facturas para engañar a las víctimas y hacer que abran los archivos adjuntos que contienen la carga útil de VenomRAT. Una vez que el sistema está infectado, se produce la descarga de otras familias de malware, como RemcosRAT, XWorm, NanoCore y un stealer dirigido a carteras criptográficas.
Alertas de seguridadhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aggregatorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva técnica de evasión implementada por SharkStealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva técnica de evasión utilizada por SharkStealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-de-evasion-implementada-por-sharkstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva técnica de evasión utilizada por SharkStealer.
Nueva campaña de Coldriver y su más reciente herramienta de espionaje digitalEl equipo del Csirt Financiero observó una nueva campaña de malware atribuida al grupo COLDRIVER, actor vinculado al Estado ruso y conocido por sus operaciones de espionaje cibernético contra organizaciones políticas, académicas y de derechos humanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-coldriver-y-su-mas-reciente-herramienta-de-espionaje-digitalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero observó una nueva campaña de malware atribuida al grupo COLDRIVER, actor vinculado al Estado ruso y conocido por sus operaciones de espionaje cibernético contra organizaciones políticas, académicas y de derechos humanos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}