-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de JanelaRAT emplea técnicas avanzadas de evasión y control remoto
Publicado: 12/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de JanelaRAT, una amenaza orientada al sector financiero que ha venido evolucionando en la región de América Latina. Una vez iniciada la cadena de infección, el malware implementa múltiples etapas que incluyen la ejecución de scripts, instaladores y técnicas de carga lateral de DLL, permitiendo la ejecución encubierta de la carga útil final.
Nueva actividad maliciosa relacionada con la botnet Amadey
Publicado: 12/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de la botnet Amadey, el cual continúa posicionándose como una amenaza relevante en el panorama de ciberseguridad, destacándose por su capacidad de infiltrarse en sistemas a través de múltiples vectores, incluyendo campañas de spam, correos electrónicos con archivos adjuntos maliciosos, falsos actualizadores de software y descargas desde fuentes no confiables.
Actividad asociada al stealer darkcloud
Publicado: 12/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente asociada a DarkCloud, un stealer con capacidades de acceso remoto, observado en campañas activas orientadas a la captura y exfiltración de información sensible en sectores empresariales, financieros y gubernamentales a nivel global.
Nueva campaña de Atomic Stealer en sistemas macOS
Publicado: 12/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la herramienta maliciosa Atomic Stealer, también conocida como AMOS. Esta amenaza utiliza una variante de la técnica ClickFix para engañar a los usuarios mediante la ejecución de comandos en el Script Editor de macOS, simulando procesos de mantenimiento legítimos para comprometer el equipo de manera silenciosa.
Actividad del grupo Augmented Marauder distribuye el troyano bancario Casbaneiro
Publicado: 11/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una serie de campañas sofisticadas atribuidas al grupo Augmented Marauder (también conocido como Water Saci), con presunta operación desde Brasil, orientadas a la distribución del troyano bancario Casbaneiro.
Abuso de Google Cloud Storage para la distribución de Remcos RAT
Publicado: 10/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto Remcos RAT, que aprovecha la confianza en los servicios de Google Cloud para distribuir código malicioso.
Nueva actividad del troyano de acceso remoto STX RAT
Publicado: 09/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza STX RAT, un troyano de acceso remoto que se distribuye de manera oportunista mediante instaladores de software legítimo alterados o archivos descargados desde el navegador.
Actividad asociada al keylogger SnakeKeylogger
Publicado: 08/04/2026 | Importancia: Media
En las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a SnakeKeylogger, una amenaza orientada a la captura y exfiltración de información sensible mediante el registro de pulsaciones de teclado y la recolección de datos en los equipos comprometidos.
Nueva actividad maliciosa asociada a Crystalx RAT
Publicado: 07/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó la promoción activa de un troyano de acceso remoto ofrecido bajo el modelo Malware como Servicio (MaaS), conocido como CrystalX RAT, caracterizado por integrar en un único panel de administración capacidades propias de un RAT tradicional, junto con funciones de exfiltración de información, registrador de pulsaciones de teclado (keylogger), manipulador del portapapeles (clipper) y espionaje.
Actividad asociada a RHADAMANTHYS
Publicado: 07/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada con Rhadamanthys, diseñada para obtener información sensible desde sistemas comprometidos y facilitar su exfiltración hacia infraestructura controlada por ciberdelincuentes.
Nueva campaña de Remus Stealer orientada a la captura de información
Publicado: 07/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña Remus Stealer, una amenaza orientada a la captura y exfiltración de información desde sistemas comprometidos, la cual evidencia un nivel técnico elevado y una evolución frente a variantes del ecosistema de stealers.
Actividad de Storm-1175 explota vulnerabilidades para desplegar ransomware Medusa
Publicado: 06/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada al actor de amenazas Storm-1175, el cual ha intensificado sus operaciones asociadas al ransomware Medusa mediante un enfoque agresivo sobre activos expuestos a internet.
Actividad asociada al troyano de acceso remoto Gh0stRAT
Publicado: 06/04/2026 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada al troyano de acceso remoto Gh0stRAT, el cual presenta capacidades orientadas al control remoto de los equipos comprometidos, así como a la captura y exfiltración de información sensible.
Campaña masiva de credential harvesting atribuida a UAT-10608
Publicado: 06/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación a gran escala de recolección automatizada de credenciales, atribuida a un grupo de amenazas llamado UAT-10608.
Actividad asociada al troyano de acceso remoto DcRAT
Publicado: 05/04/2026 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada al troyano de acceso remoto DcRAT, el cual presenta un conjunto de capacidades orientadas al control remoto de los equipos comprometidos
Campaña de TeamPCP distribuye malware en SDK de Telnyx
Publicado: 04/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad y evolución significativa en las operaciones del grupo TeamPCP, evidenciando un cambio en sus tácticas hacia ataques más sofisticados en la cadena de suministro.
Nueva actividad de la amenaza Qilin orientada a la anulación de defensas
Publicado: 04/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la amenaza Qilin, la cual utiliza una cadena de infección diseñada para desactivar herramientas de protección EDR.
Nueva actividad asociada al grupo Kimsuky
Publicado: 03/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad y la evolución en las tácticas del grupo de amenazas Kimsuky, particularmente en el uso de archivos de acceso directo (LNK) como vector inicial de infección, las cuales son distribuidas mediante campañas de ingeniería social, en las que los ciberdelincuentes engañan a las víctimas para ejecutar el archivo, iniciando así la cadena de compromiso.
Nueva campaña del ransomware Yurei basada en toolkit modular y doble extorsión.
Publicado: 03/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada al ransomware Yurei, una operación activa desde septiembre de 2025 que implementa un modelo de doble extorsión. Esta amenaza integra un toolkit modular compuesto por herramientas legítimas y ofensivas que permiten a los ciberdelincuentes ejecutar de forma completa el ciclo de intrusión, incluyendo reconocimiento, persistencia, movimiento lateral, evasión de controles de seguridad y cifrado de la información en sistemas comprometidos.
Campaña de ransomware en Sudamérica mediante suplantación de Akira
Publicado: 02/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de un ransomware que imita la identidad del grupo Akira para afectar a organizaciones en Sudamérica. Esta operación utiliza la reputación de actores conocidos para presionar a las víctimas, empleando una infraestructura que simula los sitios de filtración originales y notas de rescate con una estructura y redacción idénticas a las del grupo suplantado.
Actividad asociada al stealer Phantom Stealer
Publicado: 01/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada al stealer Phantom Stealer, una amenaza orientada a la captura y exfiltración de información sensible desde equipos comprometidos.
Actividad asociada al troyano de acceso remoto CrystalX RAT
Publicado: 01/04/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado la actividad asociada a CrystalX RAT, un troyano de acceso remoto distribuido bajo un modelo malware-as-a-service (MaaS) y promovido a través de canales privados en Telegram.
Nueva actividad asociada a Phantom Stealer
Publicado: 01/04/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad de Phantom Stealer, un malware tipo stealer que opera bajo un modelo de Credential Theft as a Service (CTaaS).
Nueva campaña activa de Xloader fortalece sus mecanismos de ofuscación y comunicación.
Publicado: 31/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña relacionada con Xloader, una familia de malware orientada a la exfiltración de información que evolucionó a partir de Formbook, esta amenaza mantiene un desarrollo activo y continuo, con la versión 8.7 como la más reciente observada, desde la versión 8.1, el ciberdelincuente introdujo cambios relevantes en la ofuscación del código con el objetivo de dificultar tanto la ingeniería inversa como el análisis automatizado.
Actividad asociada al loader SmokeLoader
Publicado: 31/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente asociada a SmokeLoader, un loader utilizado en campañas dirigidas a múltiples sectores a nivel global.
Nueva campaña distribuye ResokerRAT mediante archivos ejecutables
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada con ResokerRAT, diseñado para otorgar acceso y control remoto sobre sistemas comprometidos. Esta amenaza utiliza la plataforma Telegram como canal C2, permitiendo a los ciberdelincuentes emitir instrucciones, recibir información del host afectado y ejecutar acciones de forma encubierta.
Nueva campaña de EtherRAT incorpora perfilamiento avanzado y C2 encubierto
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña avanzada asociada al malware EtherRAT, un backdoor desarrollado en Node.js que ha sido vinculado a actores de amenazas con alto nivel de sofisticación.
Nueva campaña de la amenaza DeepLoad mediante técnicas de evasión y persistencia en WMI
Publicado: 30/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza la técnica de ingeniería social denominada ClickFix para distribuir el loader DeepLoad.
Actividad asociada al stealer de información PXA Stealer
Publicado: 29/03/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente asociada al stealer de información PXA Stealer, una amenaza orientada a la captura y exfiltración de información sensible desde equipos comprometidos.
BRUSHWORM y BRUSHLOGGER: herramientas de ciberespionaje en ataques dirigidos
Publicado: 28/03/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación maliciosa orientada a organizaciones del sector financiero en la región del sur de Asia, en la cual se evidenció el uso de dos familias de malware denominadas BRUSHWORM y BRUSHLOGGER, empleadas de forma conjunta como parte de una campaña dirigida para comprometer sistemas y recolectar información sensible.