Campaña de infostealer que abusa de sideloading y telegram para exfiltración masiva

El equipo del Csirt Financiero ha analizado la campaña global asociada a PXA Stealer, un infostealer creado en Python, activo desde finales de 2024 y con variantes más maduras en 2025, PXA Stealer está diseñado para recopilar credenciales, cookies, datos de autofill y datos relacionados con servicios y monederos de criptomonedas.

Nueva actividad identificada de GuLoader

  • Publicado: 12/10/2025
  • Importancia: Media
Recursos afectados

GuLoader, un loader de shellcode activo desde 2019 descarga y ejecuta cargas cifradas en memoria para desplegar troyanos de acceso remoto y stealers como Remcos, NetWire y AgentTesla, aprovechando scripts ofuscados y almacenamiento en la nube para evadir detecciones, lo que aumenta el riesgo de persistencia, movimiento lateral y exfiltración de información en entornos corporativos.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas