Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad asociada al stealer RHADAMANTHYSEl equipo de analistas del Csirt Financiero, a través de sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada a Rhadamanthys, una amenaza clasificada como stealer diseñada para la captura o exfiltración de información sensible desde equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-al-stealer-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, a través de sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada a Rhadamanthys, una amenaza clasificada como stealer diseñada para la captura o exfiltración de información sensible desde equipos comprometidos.
Nueva campaña de VIP Keylogger orientada a la obtención de credencialesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó la circulación reciente de VIP Keylogger, una amenaza distribuida bajo un modelo Malware-as-a-Service (MaaS), esquema mediante el cual desarrolladores ofrecen la herramienta a otros actores maliciosos para su uso en campañas independientes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vip-keylogger-orientada-a-la-obtencion-de-credencialeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó la circulación reciente de VIP Keylogger, una amenaza distribuida bajo un modelo Malware-as-a-Service (MaaS), esquema mediante el cual desarrolladores ofrecen la herramienta a otros actores maliciosos para su uso en campañas independientes.
ClipXDaemon: malware para Linux que manipula el portapapeles en entornos X11Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó una nueva amenaza dirigida a sistemas Linux denominada ClipXDaemon, la cual actúa como un secuestrador del portapapeles enfocado en entornos gráficos basados en X11http://csirtasobancaria.com/Plone/alertas-de-seguridad/clipxdaemon-malware-para-linux-que-manipula-el-portapapeles-en-entornos-x11http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó una nueva amenaza dirigida a sistemas Linux denominada ClipXDaemon, la cual actúa como un secuestrador del portapapeles enfocado en entornos gráficos basados en X11
Actividad asociada a AsyncRATEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a AsyncRAT, un troyano de acceso remoto utilizado en campañas de ciberataques dirigidas contra organizaciones de distintos sectores a nivel global, incluyendo: financiero, empresarial y de comunicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a AsyncRAT, un troyano de acceso remoto utilizado en campañas de ciberataques dirigidas contra organizaciones de distintos sectores a nivel global, incluyendo: financiero, empresarial y de comunicaciones.
Actividad maliciosa asociada a VOID#GEIST y distribución de troyanos de acceso remotoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware denominada VOID#GEIST, caracterizada por el uso de un loader en Python de múltiples etapas diseñado para operar de forma sigilosa y evitar mecanismos tradicionales de detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-void-geist-y-distribucion-de-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware denominada VOID#GEIST, caracterizada por el uso de un loader en Python de múltiples etapas diseñado para operar de forma sigilosa y evitar mecanismos tradicionales de detección.
Nueva campaña distribuye BoryptGrab, un Stealer dirigido a usuarios Windows.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la circulación de BoryptGrab, un malware clasificado como stealer diseñado para recolectar información sensible de sistemas Windows comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-boryptgrab-un-stealer-dirigido-a-usuarios-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la circulación de BoryptGrab, un malware clasificado como stealer diseñado para recolectar información sensible de sistemas Windows comprometidos.
Nueva campaña del grupo APT Seedworm distribuye las amenazas Fakeset y DindoorDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al grupo APT Seedworm, también conocido como MuddyWater, Temp.Zagros o Static Kitten. La campaña evidencia el uso de diversos componentes maliciosos orientados a mantener acceso persistente dentro de los sistemas comprometidos. Recientemente, este mismo grupo APT también ha sido vinculado con un incidente que afectó a una entidad financiera en Estados Unidos, lo que evidencia su interés continuo en el sector financiero y el uso de campañas dirigidas para comprometer infraestructuras críticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-seedworm-distribuye-las-amenazas-fakeset-y-dindoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada al grupo APT Seedworm, también conocido como MuddyWater, Temp.Zagros o Static Kitten. La campaña evidencia el uso de diversos componentes maliciosos orientados a mantener acceso persistente dentro de los sistemas comprometidos. Recientemente, este mismo grupo APT también ha sido vinculado con un incidente que afectó a una entidad financiera en Estados Unidos, lo que evidencia su interés continuo en el sector financiero y el uso de campañas dirigidas para comprometer infraestructuras críticas.
Nueva campaña dirigida contra el sector financiero mediante ingeniería social avanzada en LinkedinDurante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que los ciberdelincuentes desarrollan una fase inicial de reconocimiento mediante fuentes abiertas (OSINT) en plataformas profesionales como LinkedIn, con el objetivo de identificar perfiles vinculados al ecosistema de criptomonedas, tecnología financiera y proyectos asociados a infraestructuras blockchain.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-dirigida-contra-el-sector-financiero-mediante-ingenieria-social-avanzada-en-linkedinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que los ciberdelincuentes desarrollan una fase inicial de reconocimiento mediante fuentes abiertas (OSINT) en plataformas profesionales como LinkedIn, con el objetivo de identificar perfiles vinculados al ecosistema de criptomonedas, tecnología financiera y proyectos asociados a infraestructuras blockchain.
Campaña ClickFix usa Terminal y PowerShell para desplegar Lumma StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a ClickFix que utiliza Windows Terminal como punto de ejecución para activar una cadena de acciones orientada a desplegar Lumma Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-clickfix-usa-terminal-y-powershell-para-desplegar-lumma-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a ClickFix que utiliza Windows Terminal como punto de ejecución para activar una cadena de acciones orientada a desplegar Lumma Stealer.
Campaña de phishing con señuelos de reuniones despliega ScreenConnect y Tactical RMMDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza señuelos de reuniones laborales y adjuntos PDF para inducir descargas de ejecutables maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-con-senuelos-de-reuniones-despliega-screenconnect-y-tactical-rmmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza señuelos de reuniones laborales y adjuntos PDF para inducir descargas de ejecutables maliciosos.
Nueva campaña del grupo APT Silver Dragon utiliza GearDoor y loaders para comprometer sistemasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña del grupo APT Silver Dragon. La campaña emplea múltiples cadenas de ejecución maliciosas que permiten desplegar herramientas de acceso remoto y establecer persistencia en los sistemas comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-silver-dragon-utiliza-geardoor-y-loaders-para-comprometer-sistemashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña del grupo APT Silver Dragon. La campaña emplea múltiples cadenas de ejecución maliciosas que permiten desplegar herramientas de acceso remoto y establecer persistencia en los sistemas comprometidos.
Nueva tecnica denominada BRATEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a BRAT (Browser Remote Access Tool), una técnica adoptada por múltiples troyanos de acceso remoto y stealer orientada al secuestro y control automatizado de navegadores web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-denominada-brathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a BRAT (Browser Remote Access Tool), una técnica adoptada por múltiples troyanos de acceso remoto y stealer orientada al secuestro y control automatizado de navegadores web.
Operación Cesantías Fraud: fraude financiero contra afiliados a fondos de cesantías en ColombiaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña denominada Cesantías Fraud, asociada a la organización criminal Fake Faces, orientada a fraude financiero contra trabajadores colombianos y sus ahorros en fondos de cesantías durante la temporada de pagos de diciembre de 2025 a febrero de 2026.http://csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-cesantias-fraud-fraude-financiero-contra-afiliados-a-fondos-de-cesantias-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña denominada Cesantías Fraud, asociada a la organización criminal Fake Faces, orientada a fraude financiero contra trabajadores colombianos y sus ahorros en fondos de cesantías durante la temporada de pagos de diciembre de 2025 a febrero de 2026.
Nueva actividad asociada a RustyStealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a RustyStealer, un stealer que emplea un funcionamiento escalonado para infiltrarse silenciosamente en los sistemas, establecer persistencia y activar módulos diseñados para recopilar y exfiltrar información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-rustystealer-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña asociada a RustyStealer, un stealer que emplea un funcionamiento escalonado para infiltrarse silenciosamente en los sistemas, establecer persistencia y activar módulos diseñados para recopilar y exfiltrar información sensible.
Nueva campaña malware tipo troyano denominado DohdoorDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de troyano que emplea carga lateral de DLL (DLL side-loading) para ejecutar una biblioteca maliciosa a través de un ejecutable legítimo de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-malware-tipo-troyano-denominado-dohdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de troyano que emplea carga lateral de DLL (DLL side-loading) para ejecutar una biblioteca maliciosa a través de un ejecutable legítimo de Windows.
Nueva campaña que falsifica página web de ZoomDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña en la que los ciberdelincuentes configuran un sitio web falso que suplanta de manera precisa a una sala de espera del aplicativo de videoconferencias Zoom, utilizando un dominio visualmente convincente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-falsifica-pagina-web-de-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña en la que los ciberdelincuentes configuran un sitio web falso que suplanta de manera precisa a una sala de espera del aplicativo de videoconferencias Zoom, utilizando un dominio visualmente convincente.
Campaña de phishing con distribución de troyanos de acceso remoto mediante Webdav en WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que abusa de Windows File Explorer para facilitar la entrega de amenazas, en particular troyanos de acceso remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-con-distribucion-de-troyanos-de-acceso-remoto-mediante-webdav-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que abusa de Windows File Explorer para facilitar la entrega de amenazas, en particular troyanos de acceso remoto.
Actividad asociada a un nuevo ransomware denominado 0APTDurante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al supuesto grupo de ransomware denominado como 0APT, el cual comenzó a ganar visibilidad a finales de enero de 2026 tras publicar en foros de la dark web anuncios sobre presuntas intrusiones dirigidas a organizaciones de diversos sectores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-un-nuevo-ransomware-denominado-0apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al supuesto grupo de ransomware denominado como 0APT, el cual comenzó a ganar visibilidad a finales de enero de 2026 tras publicar en foros de la dark web anuncios sobre presuntas intrusiones dirigidas a organizaciones de diversos sectores.
Nuevos indicadores de compromiso relacionados con Ploutus-DDurante actividades de monitoreo y el seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observaron se nuevos indicadores de compromiso asociados con la amenaza Ploutus-D, una variante avanzada de malware de tipo ATM jackpotting diseñada para infectar cajeros automáticos y facilitar la extracción fraudulenta de dinero en efectivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-ploutus-dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y el seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observaron se nuevos indicadores de compromiso asociados con la amenaza Ploutus-D, una variante avanzada de malware de tipo ATM jackpotting diseñada para infectar cajeros automáticos y facilitar la extracción fraudulenta de dinero en efectivo.
OCRFix: nueva amenaza botnet distribuida mediante técnicas ClickFix y EtherHidingDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un troyano tipo botnet denominado OCRFix y distribuido mediante una campaña avanzada que combina técnicas de ingeniería social “ClickFix”, phishing y abuso de infraestructura descentralizada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ocrfix-nueva-amenaza-botnet-distribuida-mediante-tecnicas-clickfix-y-etherhidinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un troyano tipo botnet denominado OCRFix y distribuido mediante una campaña avanzada que combina técnicas de ingeniería social “ClickFix”, phishing y abuso de infraestructura descentralizada.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}