-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nuevo loader llamado OXLOADER utiliza secciones PE modificadas para ocultar shellcode y malware
Publicado: 22/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva familia de cargador de malware denominada OXLOADER, utilizada para distribuir el infostealer CASTLESTEALER mediante campañas de malvertising que aprovechan anuncios fraudulentos en motores de búsqueda.
Nueva campaña usa WhatsApp para instalar software para acceso remoto no autorizado
Publicado: 22/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña que utiliza cuentas de WhatsApp comprometidas para distribuir archivos VBScript que simulan documentos financieros y empresariales legítimos.
Nueva campaña de ransomware Prinz Eugen vinculada a infraestructura C2 y exfiltración de datos
Publicado: 21/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Prinz Eugen, una familia reciente de ransomware desarrollada en Go, orientada al cifrado de archivos, afectación de información crítica y extorsión mediante canales externos al sistema comprometido.
Nueva actividad asociada a QuasarRAT
Publicado: 20/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente relacionada con QuasarRAT, un troyano de acceso remoto (RAT) utilizado por ciberdelincuentes y grupos APT para obtener acceso no autorizado a equipos Windows. Esta amenaza permite el control remoto de sistemas comprometidos, la captura de información sensible y la ejecución de acciones arbitrarias mediante comunicaciones cifradas con un C2.
Nueva actividad de Gentlemen evidencia el uso de múltiples variantes EDR Killer
Publicado: 20/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron nuevas capacidades de evasión empleadas por Gentlemen, una operación de ransomware como servicio (RaaS) que se ha consolidado como una de las más activas durante 2026.
Nueva actividad de Vidar incorpora inyección APC para eludir el cifrado de aplicación de Chrome
Publicado: 19/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer Vidar, en la que sus operadores incorporaron una técnica para eludir el mecanismo de cifrado de aplicación (Application-Bound Encryption, ABE) implementado por Google Chrome desde 2024.
Nueva actividad de Crypto Clipper utiliza Tor y propagación tipo gusano para mantener persistencia
Publicado: 19/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa orientada a la captura de criptomonedas mediante el uso de un Crypto Clipper para sistemas Windows.
Nueva actividad de inc ransomware consolida cifrado multiplataforma y extracción de credenciales en infraestructuras de respaldo
Publicado: 18/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de INC Ransomware, una operación de tipo ransomware como servicio, que ha comprometido más de 800 organizaciones desde su aparición en 2023.
Campaña ClickFix con señuelos bancarios distribuye el troyano SmartRAT en Brasil
Publicado: 17/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución del troyano de acceso remoto SmartRAT, orientada al sector financiero en Brasil e identificada en marzo de 2026.
Nuevo troyano bancario denominado Rokarolla captura credenciales financieras
Publicado: 16/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a Rokarolla, una nueva familia de troyano bancario para dispositivos Android especializada en el fraude financiero y la captura de información sensible.
Troyano de acceso remoto EtherRAT emplea la cadena de bloques de Ethereum para resolver su servidor C2
Publicado: 15/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución asociada a EtherRAT, un troyano de acceso remoto desarrollado en Node.js, cuya particularidad central es el uso de la cadena de bloques de Ethereum para localizar y conectarse con su servidor de comando y control (C2).
Nuevas actividades asociadas a Babuk ransomware
Publicado: 14/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con Babuk, una familia de ransomware que opera bajo el modelo Ransomware-as-a-Service (RaaS) y que, a pesar de la desaparición de su grupo original, mantiene relevancia debido a la amplia reutilización de su código fuente por parte de distintos actores maliciosos.
Nuevos indicadores asociados a campañas activas del actor de amenazas APT-C-36
Publicado: 14/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron recientes actividades de spearphishing dirigido atribuidas al actor de amenazas APT-C-36, también identificado como Blind Eagle, ÁguilaCiega, APT-Q-98 y TAG-144, activo desde al menos 2018 con operaciones concentradas en Colombia y América Latina.
Nueva campaña maliciosa emplea recursos falsos de IA para desplegar AsyncRAT
Publicado: 11/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha el creciente interés por las tecnologías de Inteligencia Artificial para distribuir AsyncRAT, un troyano de acceso remoto ampliamente utilizado por actores de amenazas.
Nuevo infostealer OnyxC2 comercializado como servicio compromete más de 210 aplicaciones mediante carga lateral de DLL
Publicado: 10/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer OnyxC2, una amenaza comercializada como servicio desde inicios de 2026.
Nueva amenaza denominada Lucid Stealer combina exfiltración de credenciales y control remoto encubierto
Publicado: 08/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del infostealer Lucid Stealer, una herramienta maliciosa con capacidades de troyano de acceso remoto comercializado como servicio a través de canales de Telegram y un panel web multiusuario. La amenaza se distribuye en un archivo comprimido protegido con contraseña y se presenta externamente como un ejecutable legítimo de Windows de aproximadamente 100 MB.
Nueva campaña de malware C0XMO incorpora capacidades avanzadas de persistencia y movimiento lateral
Publicado: 06/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva campaña asociada a C0XMO, una variante de la familia de malware Gafgyt orientada al compromiso de dispositivos Linux, routers y equipos IoT.
Nueva actividad de Silent Ransom Group evidencia el uso de ingeniería social para la captura y extorsión de información sensible
Publicado: 06/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña activa atribuida a Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider y UNC3753, dirigida principalmente contra firmas legales, organizaciones de servicios profesionales y entidades que administran información altamente sensible.
Nueva actividad de ACRStealer
Publicado: 05/06/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un incremento en la actividad asociada con ACRStealer, un malware clasificado como stealer y Keylogger que opera bajo un modelo Malware-as-a-Service (MaaS).
Nuevas actividades asociadas a la botnet Amadey
Publicado: 04/06/2026 | Importancia: Media
Durante actividades recientes de monitoreo de amenazas se ha observado que Amadey continúa manteniéndose como una de las botnets y descargadores (downloaders) más utilizados dentro del ecosistema criminal, principalmente como herramienta de acceso inicial para la distribución de malware adicional.
Nueva campaña maliciosa atribuida a Mustang Panda
Publicado: 02/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo de amenazas Mustang Panda que utiliza una variante avanzada del troyano de acceso remoto RAT PlugX para comprometer sistemas Windows mediante una cadena de ejecución altamente modular y diseñada para evadir controles de seguridad.
Nueva actividad de ciberespionaje asociada a Gamaredon
Publicado: 01/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al grupo de amenazas persistentes avanzadas (APT) Gamaredon, también conocido como Shuckworm, ACTINIUM o Aqua Blizzard.
FrostyNeighbor actualiza sus cadenas de compromiso mediante PicassoLoader y Cobalt Strike
Publicado: 31/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada con FrostyNeighbor, un grupo de ciberespionaje previamente conocido bajo denominaciones como Ghostwriter, UNC1151, TA445 y Storm-0257.
Nueva campaña denominada XENOFISCAL afecta al sector financiero en Afganistán
Publicado: 30/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña, identificada como Operation XENOFISCAL, que afecta al sector financiero en Afganistán. Esta actividad se atribuye al grupo SideCopy, vinculado a Pakistán y asociado al conjunto de actividad de Transparent Tribe (APT36).
OverlayPhantom: nuevo troyano bancario Android basado en ataques Overlay
Publicado: 30/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada con OverlayPhantom, un troyano bancario para dispositivos Android diseñado para capturar credenciales, información financiera y datos sensibles mediante el abuso de permisos de accesibilidad y técnicas avanzadas de superposición de pantallas (Overlay Attacks).
Nueva actividad maliciosa asociada a QuasarRAT
Publicado: 29/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a QuasarRAT, un malware de tipo RAT orientado al acceso remoto no autorizado, control de sistemas comprometidos y captura de información sensible.
Nueva campaña de BTMOB compromete dispositivos Android mediante aplicaciones falsas
Publicado: 27/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a BTMOB, un troyano de acceso remoto (RAT) orientado a dispositivos Android que combina técnicas de ingeniería social para distribuirse mediante aplicaciones fraudulentas y obtener capacidades de control remoto sobre los equipos comprometidos.
Nueva campaña implementa infostealer con capacidades de ejecución remota de código
Publicado: 27/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a la distribución de un infostealer ejecutado completamente en memoria mediante PowerShell.
Operación Fox Tempest facilita evasión de seguridad mediante malware firmado
Publicado: 26/05/2026 | Importancia: Media
Durante actividades recientes de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Fox Tempest, actor financiero responsable de operar un esquema denominado Malware-Signing-as-a-Service (MSaaS), diseñado para proporcionar certificados de firma digital fraudulentos a otros grupos criminales
Nueva campaña emplea el cargador PawsRunner para ocultar y desplegar PureLogs
Publicado: 25/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que emplea el cargador PawsRunner para distribuir el infostealer PureLogs, una amenaza desarrollada en .NET cuyo propósito es la extracción masiva de credenciales, billeteras digitales y datos sensibles de los equipos comprometidos.