Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
BADIIS: Backdoor dirigido a servidores IIS utilizado en campañas de SEO PoisoningDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa a gran escala asociada con el backdoor denominado BADIIS, el cual ha sido utilizado para comprometer a más de 1.800 servidores web Windows que ejecutan Internet Information Services (IIS) en todo el mundo, formando parte de una actividad de manipulación de tráfico conocida como SEO poisoning, cuyo objetivo principal es alterar resultados de búsqueda para redirigir a usuarios hacia contenido fraudulento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/badiis-backdoor-dirigido-a-servidores-iis-utilizado-en-campanas-de-seo-poisoninghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa a gran escala asociada con el backdoor denominado BADIIS, el cual ha sido utilizado para comprometer a más de 1.800 servidores web Windows que ejecutan Internet Information Services (IIS) en todo el mundo, formando parte de una actividad de manipulación de tráfico conocida como SEO poisoning, cuyo objetivo principal es alterar resultados de búsqueda para redirigir a usuarios hacia contenido fraudulento.
Campaña reciente de OysterLoader con ejecución multietapaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader OysterLoader, también identificado como Broomstick y CleanUp, utilizado como componente de descarga para facilitar la instalación de otras amenazas. La actividad se vincula con campañas que derivan en Rhysida ransomware y también con la distribución de amenazas tipo stealer como Vidar.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-reciente-de-oysterloader-con-ejecucion-multietapahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader OysterLoader, también identificado como Broomstick y CleanUp, utilizado como componente de descarga para facilitar la instalación de otras amenazas. La actividad se vincula con campañas que derivan en Rhysida ransomware y también con la distribución de amenazas tipo stealer como Vidar.
XWorm RAT: Nueva ola de infecciones utilizando adjuntos maliciosos en Excel Add-insDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de distribución del troyano de acceso remoto XWorm RAT, una amenaza activa desde al menos 2022 que continúa evolucionando mediante el uso de vectores de infección variados y técnicas sofisticadas orientadas a comprometer sistemas Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-rat-nueva-ola-de-infecciones-utilizando-adjuntos-maliciosos-en-excel-add-inshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de distribución del troyano de acceso remoto XWorm RAT, una amenaza activa desde al menos 2022 que continúa evolucionando mediante el uso de vectores de infección variados y técnicas sofisticadas orientadas a comprometer sistemas Windows.
Actividad asociada a DonutLoaderEl equipo de analistas del Csirt Financiero durante sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada al uso de DonutLoader en diferentes cadenas de infección orientadas al despliegue encubierto de amenazas en entornos Windows y Windows Server.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-donutloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero durante sus actividades continuas de monitoreo e inteligencia de amenazas, ha identificado actividad asociada al uso de DonutLoader en diferentes cadenas de infección orientadas al despliegue encubierto de amenazas en entornos Windows y Windows Server.
Nueva campaña de CastleLoader distribuye LummaStealerDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa que involucra a LummaStealer y CastleLoader, dos componentes que operan de manera complementaria dentro de una misma cadena de infecciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-castleloader-distribuye-lummastealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa que involucra a LummaStealer y CastleLoader, dos componentes que operan de manera complementaria dentro de una misma cadena de infección
Nueva campaña de proxyware distribuida a través de suplantacion del sitio oficial de 7-zipDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de proxyware mediante la técnica typosquating, que consiste en registrar un dominio web muy similar al del sitio web original, pero modificando alguna parte de la escritura del dominio, con el fin de engañar a los usuarios y redirigirlos a sitios maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-proxyware-distribuida-a-traves-de-suplantacion-del-sitio-oficial-de-7-ziphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de proxyware mediante la técnica typosquating, que consiste en registrar un dominio web muy similar al del sitio web original, pero modificando alguna parte de la escritura del dominio, con el fin de engañar a los usuarios y redirigirlos a sitios maliciosos.
Seguimiento a actividad maliciosa de GuLoaderDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a GuLoader, un descargador de malware que ha mantenido una evolución constante y que se caracteriza por integrar técnicas avanzadas de ofuscación diseñadas para entorpecer cualquier intento de análisis o detección temprana.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-maliciosa-de-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a GuLoader, un descargador de malware que ha mantenido una evolución constante y que se caracteriza por integrar técnicas avanzadas de ofuscación diseñadas para entorpecer cualquier intento de análisis o detección temprana.
Nueva campaña activa del ransomware Crazy explota herramienta legítima “SimpleHelp”Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña en la que ciberdelincuentes utilizan software de gestión remota SimpleHelp RMM como mecanismo para establecer acceso persistente, ejecutar comandos remotos y desplegar el ransomware Crazy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-del-ransomware-crazy-explota-herramienta-legitima-201csimplehelp201dhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña en la que ciberdelincuentes utilizan software de gestión remota SimpleHelp RMM como mecanismo para establecer acceso persistente, ejecutar comandos remotos y desplegar el ransomware Crazy.
Nuevo troyano bancario denominado DatzbroEl equipo de analistas del Csirt Financiero ha identificado a Datzbro, un troyano bancario con capacidades de espionaje orientado a dispositivos Android, observado en campañas activas desde al menos agosto de 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-datzbrohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a Datzbro, un troyano bancario con capacidades de espionaje orientado a dispositivos Android, observado en campañas activas desde al menos agosto de 2025.
Actividad asociada a la cadena de infección Phorpiex y al ransomware Global GroupEl equipo de analistas del Csirt Financiero ha identificado actividad sostenida relacionada con la botnet Phorpiex y el ransomware GLOBAL GROUP, utilizados en campañas de phishing de alto volumen orientadas a comprometer Equipos mediante archivos adjuntos que aparentan ser documentos legítimos..http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-la-cadena-de-infeccion-phorpiex-y-al-ransomware-global-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida relacionada con la botnet Phorpiex y el ransomware GLOBAL GROUP, utilizados en campañas de phishing de alto volumen orientadas a comprometer Equipos mediante archivos adjuntos que aparentan ser documentos legítimos..
Campaña activa del ransomware Reynolds integra técnicas BYOVD para evadir controles de seguridad.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del ransomware Reynolds que incorpora de forma nativa una técnica de evasión de defensas mediante BYOVD Bring Your Own Vulnerable Driver dentro de su propio payload malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-del-ransomware-reynolds-integra-tecnicas-byovd-para-evadir-controles-de-seguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del ransomware Reynolds que incorpora de forma nativa una técnica de evasión de defensas mediante BYOVD Bring Your Own Vulnerable Driver dentro de su propio payload malicioso.
Nueva campaña asociada al stealer SocelarsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña vinculada a Socelars, un stealer diseñado para sistemas Windows que se centra en la extracción silenciosa de datos sensibles de sesiones de usuario y credenciales almacenadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-stealer-socelarshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña vinculada a Socelars, un stealer diseñado para sistemas Windows que se centra en la extracción silenciosa de datos sensibles de sesiones de usuario y credenciales almacenadas.
Nueva campaña de PythonStealerDurante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero se identificó una campaña asociada a PythonStealer, un stealer desarrollado en Python que concentra sus esfuerzos en extraer información sensible de equipos y sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-pythonstealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero se identificó una campaña asociada a PythonStealer, un stealer desarrollado en Python que concentra sus esfuerzos en extraer información sensible de equipos y sistemas comprometidos.
Stan Ghouls reutiliza NetSupport RAT en ataques de spear-phishing contra sectores críticosDurante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo cibercriminal conocido como Stan Ghouls, también denominado Bloody Wolf, que desde al menos 2023 ha dirigido ataques contra organizaciones en Uzbekistán, Rusia, Kazajistán y Kirguistán.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/stan-ghouls-reutiliza-netsupport-rat-en-ataques-de-spear-phishing-contra-sectores-criticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa atribuida al grupo cibercriminal conocido como Stan Ghouls, también denominado Bloody Wolf, que desde al menos 2023 ha dirigido ataques contra organizaciones en Uzbekistán, Rusia, Kazajistán y Kirguistán.
LTX Stealer: amenaza emergente tipo Stealer-as-a-Service en sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada LTX Stealer, un malware especializado en la captura de credenciales que representa un riesgo creciente para usuarios y organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ltx-stealer-amenaza-emergente-tipo-stealer-as-a-service-en-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza denominada LTX Stealer, un malware especializado en la captura de credenciales que representa un riesgo creciente para usuarios y organizaciones.
Seguimiento a actividad asociada al infostealer ACRStealerEl equipo de analistas del Csirt Financiero ha identificado actividad sostenida asociada a ACRStealer, un infostealer orientado al compromiso de Equipos con sistemas operativos Windows y enfocado en la captura de credenciales y datos de sesión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-al-infostealer-acrstealer-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad sostenida asociada a ACRStealer, un infostealer orientado al compromiso de Equipos con sistemas operativos Windows y enfocado en la captura de credenciales y datos de sesión.
Campaña DKnife en routers Linux para entrega de ShadowPad y DarkNimbusDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a DKnife, un framework malicioso de monitoreo de gateway y adversary in the middle diseñado para ejecutarse en equipos Linux de borde, como routers.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-dknife-en-routers-linux-para-entrega-de-shadowpad-y-darknimbushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a DKnife, un framework malicioso de monitoreo de gateway y adversary in the middle diseñado para ejecutarse en equipos Linux de borde, como routers.
Seguimiento a actividad asociada al troyano AmadeyEl equipo de analistas del Csirt Financiero informa sobre la actividad sostenida asociada a Amadey, un troyano que opera como bot y cargador de amenazas adicionales utilizado por ciberdelincuentes en campañas dirigidas a organizaciones de los sectores financiero, gubernamental e industrial a nivel global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-al-troyano-amadeyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero informa sobre la actividad sostenida asociada a Amadey, un troyano que opera como bot y cargador de amenazas adicionales utilizado por ciberdelincuentes en campañas dirigidas a organizaciones de los sectores financiero, gubernamental e industrial a nivel global.
Nuevos indicadores de compromiso relacionados con Agent TeslaDurante actividades de monitoreo y seguimiento de amenazas realizados por el equipo de analistas del Csirt Financiero, se observaron nuevos indicadores de compromiso relacionados con Agent Tesla, un Troyano de Acceso Remoto ampliamente conocido por su capacidad para capturar información en sistemas Windowshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-agent-tesla-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizados por el equipo de analistas del Csirt Financiero, se observaron nuevos indicadores de compromiso relacionados con Agent Tesla, un Troyano de Acceso Remoto ampliamente conocido por su capacidad para capturar información en sistemas Windows
Nueva actividad asociada a Akira StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del stealer Akira Stealer, el cual se ofrece bajo el modelo Malware as a Service (MaaS) en un sitio web dedicado y se promociona con la etiqueta Akira Undetector.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-akira-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del stealer Akira Stealer, el cual se ofrece bajo el modelo Malware as a Service (MaaS) en un sitio web dedicado y se promociona con la etiqueta Akira Undetector.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}