-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Campaña activa del ransomware Reynolds integra técnicas BYOVD para evadir controles de seguridad.
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del ransomware Reynolds que incorpora de forma nativa una técnica de evasión de defensas mediante BYOVD Bring Your Own Vulnerable Driver dentro de su propio payload malicioso.
Nueva campaña asociada al stealer Socelars
Publicado: 10/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña vinculada a Socelars, un stealer diseñado para sistemas Windows que se centra en la extracción silenciosa de datos sensibles de sesiones de usuario y credenciales almacenadas.
Nueva campaña de PythonStealer
Publicado: 09/02/2026 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero se identificó una campaña asociada a PythonStealer, un stealer desarrollado en Python que concentra sus esfuerzos en extraer información sensible de equipos y sistemas comprometidos.
Stan Ghouls reutiliza NetSupport RAT en ataques de spear-phishing contra sectores críticos
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo cibercriminal conocido como Stan Ghouls, también denominado Bloody Wolf, que desde al menos 2023 ha dirigido ataques contra organizaciones en Uzbekistán, Rusia, Kazajistán y Kirguistán.
LTX Stealer: amenaza emergente tipo Stealer-as-a-Service en sistemas Windows
Publicado: 09/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada LTX Stealer, un malware especializado en la captura de credenciales que representa un riesgo creciente para usuarios y organizaciones.
Seguimiento a actividad asociada al infostealer ACRStealer
Publicado: 08/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida asociada a ACRStealer, un infostealer orientado al compromiso de Equipos con sistemas operativos Windows y enfocado en la captura de credenciales y datos de sesión.
Campaña DKnife en routers Linux para entrega de ShadowPad y DarkNimbus
Publicado: 08/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a DKnife, un framework malicioso de monitoreo de gateway y adversary in the middle diseñado para ejecutarse en equipos Linux de borde, como routers.
Seguimiento a actividad asociada al troyano Amadey
Publicado: 08/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero informa sobre la actividad sostenida asociada a Amadey, un troyano que opera como bot y cargador de amenazas adicionales utilizado por ciberdelincuentes en campañas dirigidas a organizaciones de los sectores financiero, gubernamental e industrial a nivel global.
Nuevos indicadores de compromiso relacionados con Agent Tesla
Publicado: 07/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizados por el equipo de analistas del Csirt Financiero, se observaron nuevos indicadores de compromiso relacionados con Agent Tesla, un Troyano de Acceso Remoto ampliamente conocido por su capacidad para capturar información en sistemas Windows
Nueva actividad asociada a Akira Stealer
Publicado: 07/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del stealer Akira Stealer, el cual se ofrece bajo el modelo Malware as a Service (MaaS) en un sitio web dedicado y se promociona con la etiqueta Akira Undetector.
Nueva campaña de stealer distribuida mediante spearphishing enfocado a sistemas macos
Publicado: 07/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de spearphishing dirigida con temáticas empresariales como auditoría externa, cumplimiento fiscal, adquisición de tokens, entre otros, para utilizarlo como señuelo. El propósito de estos mensajes es generar confianza y una sensación de urgencia operativa, con el fin de motivar al destinatario a abrir el archivo adjunto, el cual aparenta ser un documento corporativo válido.
Nueva campaña DesckVB RAT v2.9 a través de JavaScript y PowerShell
Publicado: 06/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que emplea DesckVB RAT v2.9, un RAT modular desarrollado en .NET cuya distribución se apoya en una cadena de infección multietapa estructurada.
Nueva campaña del Spyware Joker en ecosistemas Android
Publicado: 06/02/2026 | Importancia: Media
Durante las actividades de monitoreo y seguimiento de amenazas adelantadas por el equipo de analistas del Csirt Financiero, se observó una campaña que conecta dos frentes de riesgo. Por un lado, se observó una explotación sistemática de proxies mal configurados, los cuales permiten redirigir tráfico externo hacia servicios de modelos de lenguaje de pago en la nube y facilitan que los ciberdelincuentes utilicen la infraestructura corporativa como puente de confianza, ocultando su actividad dentro de flujos legítimos y evadiendo los mecanismos convencionales de autenticación y control de acceso.
Nueva campaña de spam con PDF falsos de Adobe Reader
Publicado: 06/02/2026 | Importancia: Media
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña de spam que emplea técnicas de ingeniería social para instalar, sin autorización, software legítimo de monitoreo y gestión remota (RMM) en los dispositivos.
Campaña activa abusa de herramientas RMM legítimas “Datto RMM” para acceso remoto no autorizado.
Publicado: 05/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero observó actividad maliciosa asociada al abuso de la herramienta legítima de gestión remota Datto RMM.
Nueva campaña de Infostealers dirigida a entornos macOS
Publicado: 04/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que refleja la evolución reciente de los infostealers hacia un escenario orientando a entornos macOS
Nueva actividad del ransomware Interlock integra técnicas avanzadas de evasión y compromiso.
Publicado: 04/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada reciente asociada al ransomware Interlock, una amenaza de motivación financiera caracterizada por el uso de herramientas propias y técnicas avanzadas de evasión para comprometer entornos corporativos de forma progresiva y sigilosa, Interlock se distingue por no operar bajo el modelo de Ransomware-as-a-Service, ya que el grupo de ciberdelincuentes desarrolla y mantiene su propio ecosistema de malware.
Seguimiento a campaña activa del RAT XWorm
Publicado: 03/02/2026 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva campaña asociada a XWorm, un malware de tipo RAT mencionado en foros clandestinos y reconocido por su arquitectura modular, que facilita a los ciberdelincuentes adaptar sus funciones según la campaña que estén ejecutando.
Nueva actividad relacionada con el ransomware Nova
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa asociada al grupo de ransomware Nova, en la cual los actores de amenaza afirmaron haber exfiltrado información sensible y establecido un ultimátum de diez días para iniciar negociaciones antes de publicar los datos presuntamente capturados.
Nueva campaña phishing con documento pdf que suplanta a dropbox
Publicado: 03/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de phishing estructurada en múltiples fases, orientada a la captura de credenciales corporativas mediante el uso de documentos PDF señuelo y la suplantación de la plataforma Dropbox.
Nueva campaña del APT 28 aprovecha vulnerabilidad de Microsoft
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo APT28, en la cual se aprovecha la vulnerabilidad CVE-2026-21509 mediante documentos RTF diseñados para iniciar una cadena de infección que se ejecuta en varias etapas.
ShadowHS: framework fileless de post-explotación en sistemas Linux
Publicado: 03/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo framework de post-explotación llamado ShadowHS para sistemas Linux que destaca por su capacidad de operar de forma completamente fileless, ejecutándose íntegramente en memoria. Esta característica reduce de manera significativa la huella forense en los sistemas comprometidos y dificulta su detección mediante mecanismos de seguridad tradicionales que dependen de la inspección de archivos en disco.
Nueva campaña del backdoor Chrysalis atribuida al APT Lotus Blossom
Publicado: 02/02/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada a una campaña avanzada atribuida al grupo APT Lotus Blossom, la campaña involucra el despliegue de un backdoor personalizado denominado Chrysalis, acompañado por loaders desarrollados específicamente para esta operación, lo que evidencia una evolución en las capacidades del grupo de ciberdelincuentes.
Seguimiento a actividad asociada al stealer SalatStealer
Publicado: 01/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a SalatStealer, un stealer desarrollado en el lenguaje Go, orientado al compromiso de equipos con el objetivo de facilitar la exfiltración encubierta de información sensible y habilitar la vigilancia activa de las víctimas en tiempo real.
Seguimiento a actividad asociada al stealer PureLogStealer
Publicado: 01/02/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a PureLogStealer, un stealer utilizado por cibercriminales con fines financieros.
Nueva campaña maliciosa asociada al framework Havoc
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa vinculada al uso del framework de comando y control de código abierto conocido como Havoc.
Campaña de fraude digital identificada a través de aplicación distribuida en Google Play
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha la distribución de aplicaciones móviles a través de Google Play Store para ocultar actividades de fraude financiero.
Campaña de Pulsar RAT y Stealerv37 orientada a control remoto interactivo y exfiltración de información
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en Windows que emplea el troyano de acceso remoto Pulsar RAT junto con el stealer Stealerv37, caracterizada por ejecución en memoria y por la posibilidad de interacción directa con el usuario mediante un chat en vivo.
Infraestructura C2 utilizada por el framework BYOB en campañas activas
Publicado: 31/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó infraestructura de comando y control (C2) asociada al framework malicioso BYOB (Build Your Own Botnet), mediante un servidor con directorios abiertos que alojaban múltiples componentes utilizados en campañas activas de despliegue de malware.
Nueva campaña de troyano de acceso remoto Android abusa de infraestructura legítima.
Publicado: 30/01/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña activa de malware dirigida a dispositivos Android, en la cual se distribuye un troyano de acceso remoto mediante aplicaciones fraudulentas y técnicas de ingeniería social. La actividad se caracteriza por el uso de infraestructura legítima en la nube para el alojamiento y entrega de las cargas maliciosas, lo que le permite evadir mecanismos tradicionales de detección.