Nuevo backdoor denominado ChaosBot ejecuta órdenes vía PowerShell

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad que afectó a una entidad financiera en Vietnam, vinculada a un backdoor escrito en Rust denominado ChaosBot. La amenaza utiliza servicios legítimos de Discord para Comando y Control, valida su token, crea un canal con el nombre del equipo comprometido y consulta de forma continua los mensajes en un canal de texto para ejecutar instrucciones.

Campaña de infostealer que abusa de sideloading y telegram para exfiltración masiva

Publicado: 12/10/2025
Importancia: Media

Recursos afectados

PXA Stealer es un infostealer que permite la recolección y exfiltración masiva de datos sensibles (contraseñas, cookies, tokens de sesión y datos de aplicaciones/monederos). La campaña distribuye principalmente cargas basadas en Python empaquetadas dentro de archivos comprimidos entregados por phishing que incluyen binarios firmados y DLL para sideloading; la técnica facilita persistencia y evasión de análisis automatizados.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas