-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nuevo grupo de ransomware llamado Yurei
Publicado: 13/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.
Nuevo ransomware HybridPetya aprovecha CVE-2024-7344
Publicado: 12/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al nuevo ransomware HybridPetya, una amenaza que retoma características de Petya e introduce la capacidad de evadir el arranque seguro en equipos modernos mediante la explotación de la vulnerabilidad CVE-2024-7344 en el componente UEFI.
Nueva campaña de Vidar stealer
Publicado: 11/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.
Nueva variante de ToneShell
Publicado: 11/09/2025 | Importancia:
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.
Troyano de acceso remoto multiplataforma
Publicado: 10/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.
Nuevo ransomware CyberVolk
Publicado: 10/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.
Nuevas puertas traseras atribuidas a APT37 contra sistemas Windows
Publicado: 10/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevo troyano bancario MostereRAT
Publicado: 09/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.
RatOn: nuevo troyano bancario que combina NFC, control remoto y ATS
Publicado: 08/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.
Odyssey Stealer utiliza portal fraudulento de Microsoft Teams para infectar macOS
Publicado: 07/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.
Nuevo troyano modular GPUGate distribuido mediante Google Ads y commits maliciosos en Github
Publicado: 07/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a GPUGate, un troyano modular distribuido mediante campañas de malvertising en Google Ads y manipulación de commits en repositorios legítimos de GitHub.
KoiLoader: amenaza modular dirigida a sistemas Windows
Publicado: 07/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.
Nueva actividad maliciosa relacionada con Xeno RAT
Publicado: 06/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto Xeno Rat, el cual se caracteriza por ofrecer un amplio conjunto de funciones para el control total de los equipos comprometidos.
Continua la propagación de Stealerium
Publicado: 06/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.
Nuevos indicadores de compromiso relacionados a Safepay Ransomware
Publicado: 05/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad del ransomware SafePay, que en pocos meses pasó de un bajo perfil a convertirse en una de las amenazas más activas del panorama global, con más de 200 víctimas entre pymes y proveedores de servicios gestionados. Esta variante combina el cifrado de archivos con la exfiltración de datos, aplicando la táctica de doble extorsión al amenazar con publicar la información recopilada en la Deep y Dark Web.
Nuevo malware del grupo TAG-150
Publicado: 05/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TAG-150.
Nueva amenaza denominada Salat Stealer
Publicado: 05/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza para sistemas Windows conocida como Salat Stealer, también referida como WEB_RAT.
Campaña de NightshadeC2 utiliza ClickFix y software troyanizado para propagarse
Publicado: 04/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a la botnet NightshadeC2, que se caracteriza por el uso de tácticas para comprometer equipos y evadir soluciones de seguridad.
Nueva operación de TinyLoader
Publicado: 04/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.
Seguimiento a SnakeKeylogger
Publicado: 04/09/2025 | Importancia: Media
El equipo de análisis del Csirt Financiero ha identificado una campaña de SnakeKeylogger, una amenaza clasificada como stealer/spyware diseñada para infiltrarse en equipos mediante técnicas de ingeniería social, operar en segundo plano y extraer información confidencial.
Nueva puerta trasera NotDoor dirigida a Outlook fue atribuida a APT28
Publicado: 03/09/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.
XWorm evoluciona con cadenas de infección más sigilosas
Publicado: 03/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.
Nueva actividad del grupo DireWolf
Publicado: 03/09/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del grupo DireWolf.
Nueva puerta trasera llamada MystRodX con activación DNS/ICMP
Publicado: 02/09/2025 | Importancia: Media
El equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.
Nueva actividad de Lazarus
Publicado: 02/09/2025 | Importancia:
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.
Campaña de Silver Fox explota controladores legítimos para desplegar ValleyRAT
Publicado: 01/09/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.
Nueva actividad del troyano bancario Brokewell con mejoras en sus capacidades
Publicado: 01/09/2025 | Importancia: Media
Durante las labores de monitoreo efectuadas por el equipo de analistas del Csirt Financiero se identificó una nueva actividad maliciosa que distribuye una variante evolucionada del troyano bancario Brokewell, orientado a dispositivos Android.
Nueva amenaza conocida como Inf0s3c Stealer
Publicado: 31/08/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo stealer dirigido a sistemas Windows denominado Inf0s3c Stealer, que ha sido desarrollado en Python y posteriormente empaquetado con herramientas como UPX y PyInstaller.
Nueva actividad relacionada al troyano bancario Grandoreiro
Publicado: 31/08/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó una nueva actividad relacionada con el troyano bancario Grandoreiro, una amenaza de origen brasileño que se encuentra entre los troyanos bancarios más extendidos a nivel mundial, incluyendo distribuciones en Colombia.