-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva actividad maliciosa relacionada con XLoader
Publicado: 10/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero observó nuevas actividades relacionadas con XLoader, un malware de tipo troyano y stealer que constituye la evolución del conocido FormBook.
Campaña de CastleBot distribuye múltiples familias de malware
Publicado: 09/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña de distribución de malware.
Nueva campaña de Efimer
Publicado: 09/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Efimer.
Nueva campaña dirigida a dispositivos Android atribuido a PlayPraetors
Publicado: 08/08/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una operación a gran escala basada en un modelo de Malware-as-a-Service (MaaS), operada por actores de habla china, que distribuye el troyano de acceso remoto (RAT) y botnet para Android denominado PlayPraetors.
Nueva campaña maliciosa relacionada con DarkCloud
Publicado: 08/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña relacionado con DarkCloud, un stealer activo desde 2022 conocido por su sigilo y eficacia en la captura de información confidencial en sistemas Windows.
Actividad maliciosa del grupo INCRamson
Publicado: 07/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con el grupo de ciberdelincuencia conocido como INCRamson, el cual ha sido vinculado a campañas de ransomware altamente dirigidas.
Archivos SVG implementan malware
Publicado: 07/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.
Actividad maliciosa asociada a PyLangGhost RAT afecta al sector financiero
Publicado: 06/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.
Nueva campaña propaga Lumma Stealer mediante suplantación de Telegram Premium
Publicado: 06/08/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña dirigida a equipos con sistema operativo Windows, la cual distribuye una variante de la amenaza conocida como Lumma Stealer. Esta actividad maliciosa se caracteriza por su capacidad para sustraer diferentes tipos de información confidencial, entre los que se encuentran credenciales almacenadas en navegadores, datos vinculados a billeteras de criptomonedas y detalles técnicos del equipo comprometido.
Nueva campaña entrega Bumblebee y despliega Akira Ransomware
Publicado: 05/08/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.
Nueva versión de Raspberry Robin
Publicado: 04/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Raspberry Robin.
Actividad Maliciosa Asociada a Akira
Publicado: 02/08/2025 | Importancia: Media
Durante el monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con Akira, un ransomware que ha mantenido una operatividad constante desde su aparición en 2023 y que, recientemente, ha presentado un incremento significativo en sus campañas durante julio de 2025.
Nueva campaña ToolShell aprovecha vulnerabilidades en Microsoft SharePoint Server
Publicado: 02/08/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.
Nueva variante del troyano bancario DoubleTrouble
Publicado: 01/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de DoubleTrouble.
UNC2891 y el uso encubierto de Raspberry Pi para comprometer cajeros automáticos (ATM)
Publicado: 31/07/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.
Nueva actividad de Anubis en Android y Windows
Publicado: 31/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Anubis.
GOLD BLADE despliega campaña avanzada utilizando nuevas estrategias para propagar RedLoader
Publicado: 30/07/2025 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa atribuida al grupo cibercriminal GOLD BLADE, también conocido como RedCurl, Red Wolf o Earth Kapre.
Nueva actividad maliciosa relacionada con VIP keylogger
Publicado: 30/07/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa relacionada con VIP keylogger, un malware diseñado para la captura y exfiltración de información sensible desde los equipos comprometidos.
Nueva Actividad del Troyano Bancario ToxicPanda Dirigida a Usuarios en Portugal y España
Publicado: 30/07/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña del troyano bancario ToxicPanda, dirigida específicamente a usuarios en Portugal y España. Esta amenaza, diseñada para dispositivos Android, tiene como objetivo principal la captura de credenciales bancarias y billeteras digitales, la superposición de interfaces para obtener códigos PIN y patrones de desbloqueo, así como la ejecución de transacciones no autorizadas.
XWorm 6.0, nueva variante del RAT dirigida a sistemas Windows
Publicado: 29/07/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de XWorm, concretamente la versión 6, la cual ha sido observada en campañas recientes dirigidas a sistemas operativos Windows.
Nuevo troyano bancario para Android
Publicado: 29/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo RAT bancario.
SHUYAL, una amenaza con capacidades avanzadas
Publicado: 28/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de SHUYAL.
Nuevo ransomware KAWA4096 replica técnicas de Akira y Qilin
Publicado: 28/07/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó un nuevo ransomware denominado KAWA4096, cuya actividad ha sido observada desde junio de 2025 y ha afectado al menos a 11 organizaciones en Estados Unidos y Japón.
Nueva amenaza identificada denominada Raven Stealer
Publicado: 27/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con Raven, un stealer que pertenece a la familia de malware de tipo información‑stealer (Stealer, troyano de extracción de datos).
Surgimiento de nuevo ransomware denominado GLOBAL GROUP
Publicado: 26/07/2025 | Importancia: Media
Durante las labores de monitoreo del Csirt Financiero, se identificó la aparición del ransomware GLOBAL GROUP, una operación de tipo Ransomware-as-a-Service (RaaS) que fue anunciada el 2 de junio de 2025 en un foro clandestino por un actor conocido como “$$$”, quien ya había estado vinculado a campañas previas como Mammon y Black Lock. El grupo que distribuye este ransomware lleva el mismo nombre, GLOBAL GROUP.
Actividad reciente de Lumma Stealer y nuevas tácticas de distribución observadas
Publicado: 26/07/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva actividad atribuida a Lumma Stealer, en la que se evidencian cambios en su infraestructura y métodos de propagación
Koske, nuevo malware dirigido a infraestructura Linux
Publicado: 25/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de malware denominado Koske, una amenaza dirigida a sistemas Linux que destaca por emplear técnicas evasivas y persistentes para mantener su presencia en los equipos comprometidos.
Nueva actividad asociada al stealer ACRStealer
Publicado: 23/07/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva variante del stealer ACRStealer, una amenaza especializada en la captura y exfiltración de credenciales y tokens de autenticación.
DCHSpy, nueva variante de spyware móvil
Publicado: 22/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de spyware para Android llamado DCHSpy, vinculada presuntamente a un grupo iraní con alineación estatal
Detección de nueva actividad asociada a la distribución de Destiny Stealer
Publicado: 22/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de Destiny Stealer