-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Campaña activa del troyano Albiriox.
Publicado: 15/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano Albiriox, una amenaza dirigida a dispositivos Android que permite a los ciberdelincuentes tomar control remoto del dispositivo comprometido para ejecutar fraudes financieros y transacciones en plataformas de criptomonedas directamente desde aplicaciones legítimas.
Nueva campaña de troyano Frogblight captura credenciales bancarias
Publicado: 15/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa del troyano bancario para Android Frogblight, el cual se distribuye mediante mensajes SMS fraudulentos asociados a supuestos procesos judiciales
CaminhoLoader: loader avanzado para la entrega de malware
Publicado: 15/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.
Campaña en desarrollo de SantaStealer orientada a equipos Windows
Publicado: 15/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.
Nueva campaña activa de PyStoreRAT mediante repositorios públicos en GitHub
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.
Campaña activa de XWorm orientada a equipos Windows.
Publicado: 14/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.
Nueva campaña de Phantom Stealer dirigida a personal financiero en Rusia
Publicado: 13/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Phantom Stealer dirigida a personal financiero en Rusia mediante correos de confirmación de pago.
JS#SMUGGLER: una cadena de infección web avanzada para la distribución de NetSupport RAT
Publicado: 13/12/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa sofisticada impulsada por una técnica bautizada como JS#SMUGGLER, la cual utiliza código JavaScript altamente ofuscado que inicia una cadena de infección en múltiples etapas, cuyo objetivo final es la entrega e instalación del troyano de acceso remoto NetSupport RAT.
Nueva campaña de fraude móvil distribuida a través de mensajería instantánea
Publicado: 12/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de fraude móvil que distribuye una aplicación maliciosa disfrazada como “RTO Challan / e-Challan” a través de mensajes de WhatsApp que simulan alertas oficiales de infracciones de tránsito.
Nueva campaña del kit de phishing BlackForce que mejora evasión, persistencia y exfiltración
Publicado: 12/12/2025 | Importancia: Media
El Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.
Nuevo ransomware DroidLock toma control de equipos Android mediante accesibilidad
Publicado: 11/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.
Nueva campaña de Ashen Lepus despliega malware AshTag
Publicado: 11/12/2025 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.
Campaña activa de ValleyRAT orientada a equipos Windows.
Publicado: 11/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.
Nueva campaña de vishing aprovecha herramientas legítimas de Microsoft para evadir controles de seguridad
Publicado: 09/12/2025 | Importancia: Baja
Se identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.
Nueva actividad de ChimeraWire orientada a la simulación de navegación web
Publicado: 08/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.
Campaña activa de Amadey recopila información confidencial.
Publicado: 08/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.
Nueva campaña maliciosa del grupo GoldFactory
Publicado: 07/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.
Seguimiento de campaña activa de AZORult
Publicado: 07/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.
Nueva variante de ransomware llamado Benzona
Publicado: 06/12/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.
Actividad del troyano bancario FvncBot dirigida a usuarios móviles en Polonia
Publicado: 06/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.
Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FA
Publicado: 06/12/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.
Nueva actividad de spyware Predador aprovecha vulnerabilidades en iOS, Android y Chrome
Publicado: 05/12/2025 | Importancia: Media
Se identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.
Nueva campaña de la botnet V3G4 combina capacidades DDoS y minería fileless en sistemas Linux.
Publicado: 04/12/2025 | Importancia: Media
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.
Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizados
Publicado: 03/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.
Seguimiento de campaña activa de ACRStealer.
Publicado: 03/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.
Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.
Publicado: 03/12/2025 | Importancia: Media
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.
Nueva actividad del Stealer Arkanix con capacidades para exfiltrar información de navegadores
Publicado: 02/12/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.
Campaña de ‘Water Saci’, asistida por IA, se distribuye a través de Whatsapp Web.
Publicado: 02/12/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.
Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzada
Publicado: 01/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.
Seguimiento de campaña activa de SpyNote.
Publicado: 01/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.