-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva actividad de spyware Predador aprovecha vulnerabilidades en iOS, Android y Chrome
Publicado: 05/12/2025 | Importancia: Media
Se identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.
Nueva campaña de la botnet V3G4 combina capacidades DDoS y minería fileless en sistemas Linux.
Publicado: 04/12/2025 | Importancia: Media
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.
Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizados
Publicado: 03/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.
Seguimiento de campaña activa de ACRStealer.
Publicado: 03/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.
Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.
Publicado: 03/12/2025 | Importancia: Media
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.
Nueva actividad del Stealer Arkanix con capacidades para exfiltrar información de navegadores
Publicado: 02/12/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.
Campaña de ‘Water Saci’, asistida por IA, se distribuye a través de Whatsapp Web.
Publicado: 02/12/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.
Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzada
Publicado: 01/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.
Seguimiento de campaña activa de SpyNote.
Publicado: 01/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.
Campaña relacionada con el APT ShinyHunters distribuye ransomware ShinySp1d3r
Publicado: 30/11/2025 | Importancia: Media
Durante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.
RondoDox es empleado en campañas de exfiltración de información.
Publicado: 30/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.
Actividad de PoSeidon dirigida al sector bancario brasileño mediante macros ofuscados
Publicado: 30/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.
Nueva actividad maliciosa relacionada con BrazilianBanker
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.
Nueva actividad del backdoor TamperedChef distribuido mediante instaladores firmados
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.
Nueva familia de RAT para Android “Albiriox” orientado a fraude financiero
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.
Campaña basada en USB distribuye nueva amenaza denominada PrintMiner
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.
Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JAR
Publicado: 27/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.
Esteganografía en campañas de Clickfix oculta malware en imágenes png
Publicado: 26/11/2025 | Importancia: Media
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Nueva actividad asociada a la botnet shadowv2 que afecta dispositivos IOT
Publicado: 26/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en Powershell
Publicado: 26/11/2025 | Importancia: Media
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
RelayNFC: troyano para Android orientado al fraude mediante tecnología NFC
Publicado: 25/11/2025 | Importancia: Media
Mediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.
Nueva campaña de ToddyCat dirigida a exfiltraciones de entidades corporativas
Publicado: 24/11/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.
Nueva amenaza denominada RadzaRat afecta dispositivos Android
Publicado: 24/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.
Nueva ViperSoftX añade funciones de minería a su arsenal
Publicado: 24/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware ViperSoftX, en la cual se evidenció la instalación de mineros de criptomonedas orientados a la generación de Monero en equipos comprometidos.
Actividad reciente de ShadowPad vinculada a explotación de WSUS
Publicado: 23/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).
Masslogger es empleado en campañas de exfiltración de información sensible.
Publicado: 22/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.
Nuevas funciones de Xillen Stealer fortalecen su evasión y alcance
Publicado: 22/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas
Publicado: 21/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas.
Publicado: 21/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Nueva actividad de RONINGLOADER en campañas recientes
Publicado: 20/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una nueva actividad maliciosa asociada a RONINGLOADER, un loader altamente sofisticado empleado por ciberdelincuentes para establecer cadenas de infección de múltiples etapas, se caracteriza por desplegar inicialmente dos componentes: uno benigno, que mantiene la apariencia de legitimidad, y otro malicioso, responsable de iniciar la secuencia real del compromiso.