Alertas de seguridad

Para información más detallada por favor revise su suscripción ante el CSIRT.

Nueva campaña de vishing aprovecha herramientas legítimas de Microsoft para evadir controles de seguridad

Publicado: 09/12/2025 | Importancia: Baja

Se identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.

Nueva actividad de ChimeraWire orientada a la simulación de navegación web

Publicado: 08/12/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.

Campaña activa de Amadey recopila información confidencial.

Publicado: 08/12/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.

Nueva campaña maliciosa del grupo GoldFactory

Publicado: 07/12/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.

Seguimiento de campaña activa de AZORult

Publicado: 07/12/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.

Nueva variante de ransomware llamado Benzona

Publicado: 06/12/2025 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.

Actividad del troyano bancario FvncBot dirigida a usuarios móviles en Polonia

Publicado: 06/12/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.

Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FA

Publicado: 06/12/2025 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.

Nueva actividad de spyware Predador aprovecha vulnerabilidades en iOS, Android y Chrome

Publicado: 05/12/2025 | Importancia: Media

Se identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.

Nueva campaña de la botnet V3G4 combina capacidades DDoS y minería fileless en sistemas Linux.

Publicado: 04/12/2025 | Importancia: Media

Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.

Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizados

Publicado: 03/12/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.

Seguimiento de campaña activa de ACRStealer.

Publicado: 03/12/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.

Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.

Publicado: 03/12/2025 | Importancia: Media

Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.

Nueva actividad del Stealer Arkanix con capacidades para exfiltrar información de navegadores

Publicado: 02/12/2025 | Importancia:

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.

Arkanix Stealer, ingeniería social, ejecución manual de binarios, carga mediante loaders, Recolección de credenciales, captura de cookies Chromium, exfiltración de historiales, obtención de autocompletados, extracción de datos de monederos, recolección de credenciales Wi-Fi, obtención de información de VPN y Steam

Campaña de ‘Water Saci’, asistida por IA, se distribuye a través de Whatsapp Web.

Publicado: 02/12/2025 | Importancia:

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.

HTA, ZIP, PDF, WhatsApp Web, Troyano bancario, Water Saci, persistencia, Propagación automatizada.

Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzada

Publicado: 01/12/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.

Seguimiento de campaña activa de SpyNote.

Publicado: 01/12/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.

Campaña relacionada con el APT ShinyHunters distribuye ransomware ShinySp1d3r

Publicado: 30/11/2025 | Importancia: Media

Durante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.

RondoDox es empleado en campañas de exfiltración de información.

Publicado: 30/11/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.

Actividad de PoSeidon dirigida al sector bancario brasileño mediante macros ofuscados

Publicado: 30/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.

Nueva actividad maliciosa relacionada con BrazilianBanker

Publicado: 29/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.

Nueva actividad del backdoor TamperedChef distribuido mediante instaladores firmados

Publicado: 29/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.

Nueva familia de RAT para Android “Albiriox” orientado a fraude financiero

Publicado: 29/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.

Campaña basada en USB distribuye nueva amenaza denominada PrintMiner

Publicado: 29/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.

Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JAR

Publicado: 27/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.

Esteganografía en campañas de Clickfix oculta malware en imágenes png

Publicado: 26/11/2025 | Importancia: Media

El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys

Nueva actividad asociada a la botnet shadowv2 que afecta dispositivos IOT

Publicado: 26/11/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.

Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en Powershell

Publicado: 26/11/2025 | Importancia: Media

El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.

RelayNFC: troyano para Android orientado al fraude mediante tecnología NFC

Publicado: 25/11/2025 | Importancia: Media

Mediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.

Nueva campaña de ToddyCat dirigida a exfiltraciones de entidades corporativas

Publicado: 24/11/2025 | Importancia:

Durante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.