Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña ClickFix con señuelos bancarios distribuye el troyano SmartRAT en BrasilDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución del troyano de acceso remoto SmartRAT, orientada al sector financiero en Brasil e identificada en marzo de 2026.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-clickfix-con-senuelos-bancarios-distribuye-el-troyano-smartrat-en-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución del troyano de acceso remoto SmartRAT, orientada al sector financiero en Brasil e identificada en marzo de 2026.
Nuevo troyano bancario denominado Rokarolla captura credenciales financierasEl equipo de analistas del Csirt Financiero ha identificado a Rokarolla, una nueva familia de troyano bancario para dispositivos Android especializada en el fraude financiero y la captura de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-rokarolla-captura-credenciales-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a Rokarolla, una nueva familia de troyano bancario para dispositivos Android especializada en el fraude financiero y la captura de información sensible.
Troyano de acceso remoto EtherRAT emplea la cadena de bloques de Ethereum para resolver su servidor C2Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución asociada a EtherRAT, un troyano de acceso remoto desarrollado en Node.js, cuya particularidad central es el uso de la cadena de bloques de Ethereum para localizar y conectarse con su servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-de-acceso-remoto-etherrat-emplea-la-cadena-de-bloques-de-ethereum-para-resolver-su-servidor-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución asociada a EtherRAT, un troyano de acceso remoto desarrollado en Node.js, cuya particularidad central es el uso de la cadena de bloques de Ethereum para localizar y conectarse con su servidor de comando y control (C2).
Nuevas actividades asociadas a Babuk ransomwareDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con Babuk, una familia de ransomware que opera bajo el modelo Ransomware-as-a-Service (RaaS) y que, a pesar de la desaparición de su grupo original, mantiene relevancia debido a la amplia reutilización de su código fuente por parte de distintos actores maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-asociadas-a-babuk-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con Babuk, una familia de ransomware que opera bajo el modelo Ransomware-as-a-Service (RaaS) y que, a pesar de la desaparición de su grupo original, mantiene relevancia debido a la amplia reutilización de su código fuente por parte de distintos actores maliciosos.
Nuevos indicadores asociados a campañas activas del actor de amenazas APT-C-36Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron recientes actividades de spearphishing dirigido atribuidas al actor de amenazas APT-C-36, también identificado como Blind Eagle, ÁguilaCiega, APT-Q-98 y TAG-144, activo desde al menos 2018 con operaciones concentradas en Colombia y América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-a-campanas-activas-del-actor-de-amenazas-apt-c-36http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron recientes actividades de spearphishing dirigido atribuidas al actor de amenazas APT-C-36, también identificado como Blind Eagle, ÁguilaCiega, APT-Q-98 y TAG-144, activo desde al menos 2018 con operaciones concentradas en Colombia y América Latina.
Nueva campaña maliciosa emplea recursos falsos de IA para desplegar AsyncRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha el creciente interés por las tecnologías de Inteligencia Artificial para distribuir AsyncRAT, un troyano de acceso remoto ampliamente utilizado por actores de amenazas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-emplea-recursos-falsos-de-ia-para-desplegar-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha el creciente interés por las tecnologías de Inteligencia Artificial para distribuir AsyncRAT, un troyano de acceso remoto ampliamente utilizado por actores de amenazas.
Nuevo infostealer OnyxC2 comercializado como servicio compromete más de 210 aplicaciones mediante carga lateral de DLLDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer OnyxC2, una amenaza comercializada como servicio desde inicios de 2026.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-onyxc2-comercializado-como-servicio-compromete-mas-de-210-aplicaciones-mediante-carga-lateral-de-dllhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer OnyxC2, una amenaza comercializada como servicio desde inicios de 2026.
Nueva amenaza denominada Lucid Stealer combina exfiltración de credenciales y control remoto encubiertoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del infostealer Lucid Stealer, una herramienta maliciosa con capacidades de troyano de acceso remoto comercializado como servicio a través de canales de Telegram y un panel web multiusuario. La amenaza se distribuye en un archivo comprimido protegido con contraseña y se presenta externamente como un ejecutable legítimo de Windows de aproximadamente 100 MB.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-lucid-stealer-combina-exfiltracion-de-credenciales-y-control-remoto-encubiertohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del infostealer Lucid Stealer, una herramienta maliciosa con capacidades de troyano de acceso remoto comercializado como servicio a través de canales de Telegram y un panel web multiusuario. La amenaza se distribuye en un archivo comprimido protegido con contraseña y se presenta externamente como un ejecutable legítimo de Windows de aproximadamente 100 MB.
Nueva campaña de malware C0XMO incorpora capacidades avanzadas de persistencia y movimiento lateralDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva campaña asociada a C0XMO, una variante de la familia de malware Gafgyt orientada al compromiso de dispositivos Linux, routers y equipos IoT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malware-c0xmo-incorpora-capacidades-avanzadas-de-persistencia-y-movimiento-lateralhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva campaña asociada a C0XMO, una variante de la familia de malware Gafgyt orientada al compromiso de dispositivos Linux, routers y equipos IoT.
Nueva actividad de Silent Ransom Group evidencia el uso de ingeniería social para la captura y extorsión de información sensibleDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña activa atribuida a Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider y UNC3753, dirigida principalmente contra firmas legales, organizaciones de servicios profesionales y entidades que administran información altamente sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-silent-ransom-group-evidencia-el-uso-de-ingenieria-social-para-la-captura-y-extorsion-de-informacion-sensiblehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña activa atribuida a Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider y UNC3753, dirigida principalmente contra firmas legales, organizaciones de servicios profesionales y entidades que administran información altamente sensible.
Nueva actividad de ACRStealerDurante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un incremento en la actividad asociada con ACRStealer, un malware clasificado como stealer y Keylogger que opera bajo un modelo Malware-as-a-Service (MaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-acrstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un incremento en la actividad asociada con ACRStealer, un malware clasificado como stealer y Keylogger que opera bajo un modelo Malware-as-a-Service (MaaS).
Nuevas actividades asociadas a la botnet AmadeyDurante actividades recientes de monitoreo de amenazas se ha observado que Amadey continúa manteniéndose como una de las botnets y descargadores (downloaders) más utilizados dentro del ecosistema criminal, principalmente como herramienta de acceso inicial para la distribución de malware adicional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-asociadas-a-la-botnet-amadeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades recientes de monitoreo de amenazas se ha observado que Amadey continúa manteniéndose como una de las botnets y descargadores (downloaders) más utilizados dentro del ecosistema criminal, principalmente como herramienta de acceso inicial para la distribución de malware adicional.
Nueva campaña maliciosa atribuida a Mustang PandaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo de amenazas Mustang Panda que utiliza una variante avanzada del troyano de acceso remoto RAT PlugX para comprometer sistemas Windows mediante una cadena de ejecución altamente modular y diseñada para evadir controles de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-atribuida-a-mustang-pandahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo de amenazas Mustang Panda que utiliza una variante avanzada del troyano de acceso remoto RAT PlugX para comprometer sistemas Windows mediante una cadena de ejecución altamente modular y diseñada para evadir controles de seguridad.
Nueva actividad de ciberespionaje asociada a GamaredonDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al grupo de amenazas persistentes avanzadas (APT) Gamaredon, también conocido como Shuckworm, ACTINIUM o Aqua Blizzard.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-ciberespionaje-asociada-a-gamaredonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al grupo de amenazas persistentes avanzadas (APT) Gamaredon, también conocido como Shuckworm, ACTINIUM o Aqua Blizzard.
FrostyNeighbor actualiza sus cadenas de compromiso mediante PicassoLoader y Cobalt StrikeDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con FrostyNeighbor, un grupo de ciberespionaje previamente conocido bajo denominaciones como Ghostwriter, UNC1151, TA445 y Storm-0257.http://csirtasobancaria.com/Plone/alertas-de-seguridad/frostyneighbor-actualiza-sus-cadenas-de-compromiso-mediante-picassoloader-y-cobalt-strikehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con FrostyNeighbor, un grupo de ciberespionaje previamente conocido bajo denominaciones como Ghostwriter, UNC1151, TA445 y Storm-0257.
Nueva campaña denominada XENOFISCAL afecta al sector financiero en AfganistánDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña, identificada como Operation XENOFISCAL, que afecta al sector financiero en Afganistán. Esta actividad se atribuye al grupo SideCopy, vinculado a Pakistán y asociado al conjunto de actividad de Transparent Tribe (APT36).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-denominada-xenofiscal-afecta-al-sector-financiero-en-afganistanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña, identificada como Operation XENOFISCAL, que afecta al sector financiero en Afganistán. Esta actividad se atribuye al grupo SideCopy, vinculado a Pakistán y asociado al conjunto de actividad de Transparent Tribe (APT36).
OverlayPhantom: nuevo troyano bancario Android basado en ataques OverlayDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada con OverlayPhantom, un troyano bancario para dispositivos Android diseñado para capturar credenciales, información financiera y datos sensibles mediante el abuso de permisos de accesibilidad y técnicas avanzadas de superposición de pantallas (Overlay Attacks).http://csirtasobancaria.com/Plone/alertas-de-seguridad/overlayphantom-nuevo-troyano-bancario-android-basado-en-ataques-overlayhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada con OverlayPhantom, un troyano bancario para dispositivos Android diseñado para capturar credenciales, información financiera y datos sensibles mediante el abuso de permisos de accesibilidad y técnicas avanzadas de superposición de pantallas (Overlay Attacks).
Nueva actividad maliciosa asociada a QuasarRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a QuasarRAT, un malware de tipo RAT orientado al acceso remoto no autorizado, control de sistemas comprometidos y captura de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-quasarrat-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a QuasarRAT, un malware de tipo RAT orientado al acceso remoto no autorizado, control de sistemas comprometidos y captura de información sensible.
Nueva campaña de BTMOB compromete dispositivos Android mediante aplicaciones falsasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a BTMOB, un troyano de acceso remoto (RAT) orientado a dispositivos Android que combina técnicas de ingeniería social para distribuirse mediante aplicaciones fraudulentas y obtener capacidades de control remoto sobre los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-btmob-compromete-dispositivos-android-mediante-aplicaciones-falsashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a BTMOB, un troyano de acceso remoto (RAT) orientado a dispositivos Android que combina técnicas de ingeniería social para distribuirse mediante aplicaciones fraudulentas y obtener capacidades de control remoto sobre los equipos comprometidos.
Nueva campaña implementa infostealer con capacidades de ejecución remota de códigoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a la distribución de un infostealer ejecutado completamente en memoria mediante PowerShell.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-implementa-infostealer-con-capacidades-de-ejecucion-remota-de-codigohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a la distribución de un infostealer ejecutado completamente en memoria mediante PowerShell.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}