Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad de Anubis en Android y WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Anubis.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-anubis-en-android-y-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Anubis.
Nueva campaña ToolShell aprovecha vulnerabilidades en Microsoft SharePoint ServerDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-toolshell-aprovecha-vulnerabilidades-en-microsoft-sharepoint-serverhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.
Nueva versión de Raspberry RobinMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Raspberry Robin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-raspberry-robinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Raspberry Robin.
Actividad maliciosa asociada a PyLangGhost RAT afecta al sector financieroDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-pylangghost-rat-afecta-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.
Archivos SVG implementan malwareMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-svg-implementan-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.
Nueva campaña maliciosa relacionada con DarkCloudDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña relacionado con DarkCloud, un stealer activo desde 2022 conocido por su sigilo y eficacia en la captura de información confidencial en sistemas Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-con-darkcloudhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña relacionado con DarkCloud, un stealer activo desde 2022 conocido por su sigilo y eficacia en la captura de información confidencial en sistemas Windows.
Nueva actividad maliciosa relacionada con XLoaderEl equipo de analistas del Csirt Financiero observó nuevas actividades relacionadas con XLoader, un malware de tipo troyano y stealer que constituye la evolución del conocido FormBook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-xloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero observó nuevas actividades relacionadas con XLoader, un malware de tipo troyano y stealer que constituye la evolución del conocido FormBook.
PhantomCard: nuevo troyano NFC impacta banca en BrasilDurante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_phantomcard-nuevo-troyano-nfc-impacta-banca-en-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
EncryptHub aprovecha CVE-2025-26633 y Brave Support para desplegar cargas maliciosasDurante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/encrypthub-aprovecha-cve-2025-26633-y-brave-support-para-desplegar-cargas-maliciosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.
Lumma Stealer descarga SectopRAT a través de instaladores falsosDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lumma-stealer-descarga-sectoprat-a-traves-de-instaladores-falsoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.
Nueva campaña maliciosa “Operación Gecko Assault” dirigida a LatinoaméricaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-201coperacion-gecko-assault201d-dirigida-a-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.
Nuevo malware para Android llamado Lazarus StealerMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza móvil denominada Lazarus Stealer, un malware para Android orientado a la captura de credenciales de aplicaciones bancarias rusas. A pesar de la coincidencia en el nombre, este no guarda relación con el grupo norcoreano Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-android-llamado-lazarus-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza móvil denominada Lazarus Stealer, un malware para Android orientado a la captura de credenciales de aplicaciones bancarias rusas. A pesar de la coincidencia en el nombre, este no guarda relación con el grupo norcoreano Lazarus.
Nuevo troyano de acceso remoto GodRAT distribuido mediante esteganografíaMediante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actividad maliciosa dirigida contra empresas de diversos sectores, como el financiero y el de comercio, relacionada con la distribución de archivos maliciosos que permiten la descarga y ejecución de GodRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-godrat-distribuido-mediante-esteganografiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actividad maliciosa dirigida contra empresas de diversos sectores, como el financiero y el de comercio, relacionada con la distribución de archivos maliciosos que permiten la descarga y ejecución de GodRAT.
Nueva campaña de PipeMagicMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de PipeMagic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-pipemagichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de PipeMagic.
capacidades y técnicas de quirkyloaderQuirkyLoader es un cargador malicioso recientemente identificado cuyo propósito principal es servir como componente inicial dentro de la cadena de infección para desplegar cargas útiles secundarias. Se caracteriza por un diseño modular y por emplear técnicas avanzadas de ofuscación y antianálisis.http://csirtasobancaria.com/Plone/alertas-de-seguridad/capacidades-y-tecnicas-de-quirkyloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QuirkyLoader es un cargador malicioso recientemente identificado cuyo propósito principal es servir como componente inicial dentro de la cadena de infección para desplegar cargas útiles secundarias. Se caracteriza por un diseño modular y por emplear técnicas avanzadas de ofuscación y antianálisis.
Warlock explota CVE-2023-27532Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Warlock.http://csirtasobancaria.com/Plone/alertas-de-seguridad/warlock-explota-cve-2023-27532http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Warlock.
Nueva actividad maliciosa aprovecha vulnerabilidad crítica en Langflow para instalar FlodrixMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que explota una vulnerabilidad crítica en Langflow, catalogada como CVE-2025-3248 y con una puntuación CVSS de 9.8, la cual afecta a versiones anteriores a la 1.3.0.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-aprovecha-vulnerabilidad-critica-en-langflow-para-instalar-flodrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que explota una vulnerabilidad crítica en Langflow, catalogada como CVE-2025-3248 y con una puntuación CVSS de 9.8, la cual afecta a versiones anteriores a la 1.3.0.
Nueva variante de ransomware vinculada a DragonForce denominada DevmanDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se detectó la aparición de un ransomware denominado Devman, el cual ha sido recientemente asociado al grupo identificado como DragonForce.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-vinculada-a-dragonforce-denominada-devmanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se detectó la aparición de un ransomware denominado Devman, el cual ha sido recientemente asociado al grupo identificado como DragonForce.
Nueva campaña maliciosa de DcRAT dirigida a ColombiaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social que emplea tácticas de suplantación de identidad del gobierno colombiano para propagar el troyano de acceso remoto DcRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-de-dcrat-dirigida-a-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social que emplea tácticas de suplantación de identidad del gobierno colombiano para propagar el troyano de acceso remoto DcRAT.
Nueva botnet denominada HpingbotDurante labores de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó actividad asociada a Hpingbot, una botnet desarrollada en Go con versiones para Windows, Linux e IoT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-denominada-hpingbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante labores de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó actividad asociada a Hpingbot, una botnet desarrollada en Go con versiones para Windows, Linux e IoT.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}