Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña del ransomware Weaxor utiliza como vector inicial React2shellEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la explotación de la vulnerabilidad crítica React2Shell (CVE-2025-55182), caracterizada por el compromiso de servidores web expuestos a Internet que utilizan React Server Components y frameworks compatibles como Next.js.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-weaxor-utiliza-como-vector-inicial-react2shellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la explotación de la vulnerabilidad crítica React2Shell (CVE-2025-55182), caracterizada por el compromiso de servidores web expuestos a Internet que utilizan React Server Components y frameworks compatibles como Next.js.
Kimwolf demuestra capacidad de control sobre múltiples dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la botnet Kimwolf, caracterizada por su capacidad para operar a gran escala y coordinar acciones sobre dispositivos Android como televisores, TV boxes y tabletas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/kimwolf-demuestra-capacidad-de-control-sobre-multiples-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la botnet Kimwolf, caracterizada por su capacidad para operar a gran escala y coordinar acciones sobre dispositivos Android como televisores, TV boxes y tabletas.
Campaña activa asociada al stealer Phantom 3.5 mediante instaladores falsos.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al stealer Phantom en su versión 3.5, orientada a equipos con sistema operativo Windows a nivel global que se distribuye mediante instaladores falsos que suplantan aplicaciones legítimas ampliamente utilizadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-al-stealer-phantom-3-5-mediante-instaladores-falsoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al stealer Phantom en su versión 3.5, orientada a equipos con sistema operativo Windows a nivel global que se distribuye mediante instaladores falsos que suplantan aplicaciones legítimas ampliamente utilizadas.
Nueva campaña de GachiLoader se distribuye mediante ingeniería socialDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó una campaña de distribución de malware asociada a GachiLoader, un cargador desarrollado en Node.js que se propaga mediante cuentas de YouTube comprometidas y enlaces a archivos comprimidos protegidos con contraseña.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-gachiloader-se-distribuye-mediante-ingenieria-socialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó una campaña de distribución de malware asociada a GachiLoader, un cargador desarrollado en Node.js que se propaga mediante cuentas de YouTube comprometidas y enlaces a archivos comprimidos protegidos con contraseña.
Campaña activa de Ink Dragon y el uso de servidores Iis comprometidos como red de retransmisión C2El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Ink Dragon, caracterizada por el compromiso de servidores IIS y SharePoint expuestos a Internet pertenecientes a entidades gubernamentales y del sector público. Esta campaña permite a los ciberdelincuentes obtener acceso remoto no autorizado, escalar privilegios y mantener control persistente sobre los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-ink-dragon-y-el-uso-de-servidores-iis-comprometidos-como-red-de-retransmision-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Ink Dragon, caracterizada por el compromiso de servidores IIS y SharePoint expuestos a Internet pertenecientes a entidades gubernamentales y del sector público. Esta campaña permite a los ciberdelincuentes obtener acceso remoto no autorizado, escalar privilegios y mantener control persistente sobre los sistemas afectados.
Campaña activa asociada a DarkGate mediante ingeniería social ClickFixEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a DarkGate, un troyano de acceso remoto orientado a equipos con sistema operativo Windows, distribuido mediante una técnica de ingeniería social conocida como ClickFix.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-asociada-a-darkgate-mediante-ingenieria-social-clickfixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a DarkGate, un troyano de acceso remoto orientado a equipos con sistema operativo Windows, distribuido mediante una técnica de ingeniería social conocida como ClickFix.
Tendencias recientes de malware tipo StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una tendencia creciente en la actividad de malware de tipo stealer, caracterizada por una amplia variedad de mecanismos de distribución, técnicas de evasión y vectores de entrega observados en periodos recientes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tendencias-recientes-de-malware-tipo-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una tendencia creciente en la actividad de malware de tipo stealer, caracterizada por una amplia variedad de mecanismos de distribución, técnicas de evasión y vectores de entrega observados en periodos recientes.
Nueva actividad de CyberVolk incorporado un modelo de Ransomware (RaaS).El equipo de analistas del Csirt Financiero ha identificado una campaña asociada a CyberVolk que utiliza ransomware y herramientas complementarias para afectar sistemas Windows de entidades públicas y organizaciones críticas. La actividad observada evidencia el uso de variantes de ransomware derivadas de código previamente filtrado, operadas bajo un modelo de Ransomware-as-a-Service (RaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-cybervolk-incorporado-un-modelo-de-ransomware-raashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña asociada a CyberVolk que utiliza ransomware y herramientas complementarias para afectar sistemas Windows de entidades públicas y organizaciones críticas. La actividad observada evidencia el uso de variantes de ransomware derivadas de código previamente filtrado, operadas bajo un modelo de Ransomware-as-a-Service (RaaS).
Campaña activa del troyano Albiriox.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano Albiriox, una amenaza dirigida a dispositivos Android que permite a los ciberdelincuentes tomar control remoto del dispositivo comprometido para ejecutar fraudes financieros y transacciones en plataformas de criptomonedas directamente desde aplicaciones legítimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-del-troyano-albirioxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano Albiriox, una amenaza dirigida a dispositivos Android que permite a los ciberdelincuentes tomar control remoto del dispositivo comprometido para ejecutar fraudes financieros y transacciones en plataformas de criptomonedas directamente desde aplicaciones legítimas.
Nueva campaña de troyano Frogblight captura credenciales bancariasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa del troyano bancario para Android Frogblight, el cual se distribuye mediante mensajes SMS fraudulentos asociados a supuestos procesos judicialeshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-troyano-frogblight-captura-credenciales-bancariashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa del troyano bancario para Android Frogblight, el cual se distribuye mediante mensajes SMS fraudulentos asociados a supuestos procesos judiciales
CaminhoLoader: loader avanzado para la entrega de malwareDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/caminholoader-loader-avanzado-para-la-entrega-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.
Campaña en desarrollo de SantaStealer orientada a equipos WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-en-desarrollo-de-santastealer-orientada-a-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.
Nueva campaña activa de PyStoreRAT mediante repositorios públicos en GitHubDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-de-pystorerat-mediante-repositorios-publicos-en-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.
Campaña activa de XWorm orientada a equipos Windows.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-xworm-orientada-a-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.
Nueva campaña de Phantom Stealer dirigida a personal financiero en RusiaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Phantom Stealer dirigida a personal financiero en Rusia mediante correos de confirmación de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phantom-stealer-dirigida-a-personal-financiero-en-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Phantom Stealer dirigida a personal financiero en Rusia mediante correos de confirmación de pago.
JS#SMUGGLER: una cadena de infección web avanzada para la distribución de NetSupport RATMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa sofisticada impulsada por una técnica bautizada como JS#SMUGGLER, la cual utiliza código JavaScript altamente ofuscado que inicia una cadena de infección en múltiples etapas, cuyo objetivo final es la entrega e instalación del troyano de acceso remoto NetSupport RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/js-smuggler-una-cadena-de-infeccion-web-avanzada-para-la-distribucion-de-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa sofisticada impulsada por una técnica bautizada como JS#SMUGGLER, la cual utiliza código JavaScript altamente ofuscado que inicia una cadena de infección en múltiples etapas, cuyo objetivo final es la entrega e instalación del troyano de acceso remoto NetSupport RAT.
Nueva campaña de fraude móvil distribuida a través de mensajería instantáneaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de fraude móvil que distribuye una aplicación maliciosa disfrazada como “RTO Challan / e-Challan” a través de mensajes de WhatsApp que simulan alertas oficiales de infracciones de tránsito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-fraude-movil-distribuida-a-traves-de-mensajeria-instantaneahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de fraude móvil que distribuye una aplicación maliciosa disfrazada como “RTO Challan / e-Challan” a través de mensajes de WhatsApp que simulan alertas oficiales de infracciones de tránsito.
Nueva campaña del kit de phishing BlackForce que mejora evasión, persistencia y exfiltraciónEl Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-kit-de-phishing-blackforce-que-mejora-evasion-persistencia-y-exfiltracionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.
Nuevo ransomware DroidLock toma control de equipos Android mediante accesibilidadDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-droidlock-toma-control-de-equipos-android-mediante-accesibilidadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.
Nueva campaña de Ashen Lepus despliega malware AshTagDurante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ashen-lepus-despliega-malware-ashtaghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}