Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de Matanbuchus demuestra evolución del downloaderDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de Matanbuchus, la cual refleja una evolución en su arquitectura y en las técnicas empleadas para alcanzar la ejecución y persistencia dentro de los sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-matanbuchus-demuestra-evolucion-del-downloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de Matanbuchus, la cual refleja una evolución en su arquitectura y en las técnicas empleadas para alcanzar la ejecución y persistencia dentro de los sistemas comprometidos.
Nueva actividad de Amatera Stealer se distribuye a través de captcha falsoDurante actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa que emplea ingeniería social y el abuso de herramientas legítimas de Windows (LOLBins) para distribuir Amatera, un stealer orientado a la captura y exfiltración de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-amatera-stealer-se-distribuye-a-traves-de-captcha-falsohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña activa que emplea ingeniería social y el abuso de herramientas legítimas de Windows (LOLBins) para distribuir Amatera, un stealer orientado a la captura y exfiltración de información sensible.
Seguimiento a actividad asociada a familias de acceso remoto: Gh0stRAT, DarkCrystalRAT y CrimsonRATEl equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a las familias Gh0stRAT, DarkCrystalRAT (DCRat) y CrimsonRAT, caracterizadas por su capacidad para comprometer sistemas, mantener vigilancia persistente, ejercer control remoto completo y realizar exfiltración encubierta de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-a-familias-de-acceso-remoto-gh0strat-darkcrystalrat-y-crimsonrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a las familias Gh0stRAT, DarkCrystalRAT (DCRat) y CrimsonRAT, caracterizadas por su capacidad para comprometer sistemas, mantener vigilancia persistente, ejercer control remoto completo y realizar exfiltración encubierta de información sensible.
Nueva campaña de HoneyMyte emplea la variante actualizada del backdoor CoolClientDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña atribuida al grupo APT HoneyMyte que distribuye una versión actualizada y activamente utilizada del backdoor CoolClienthttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-honeymyte-emplea-la-variante-actualizada-del-backdoor-coolclienthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña atribuida al grupo APT HoneyMyte que distribuye una versión actualizada y activamente utilizada del backdoor CoolClient
Nueva campaña aprovecha sitios Vercel para instalar RCE mediante GoTo ResolveDurante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña que utiliza páginas alojadas en vercel.app para desplegar supuestos documentos financieros principalmente facturas vencidas y estados de cuenta con el fin de generar confianza en el usuario. Una vez descargados y ejecutados, estos archivos instalan de manera silenciosa GoTo Resolve, una herramienta legítima de acceso remoto que, en este caso, está siendo empleada de forma inapropiada dentro de la campaña.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-aprovecha-sitios-vercel-para-instalar-rce-mediante-goto-resolvehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña que utiliza páginas alojadas en vercel.app para desplegar supuestos documentos financieros principalmente facturas vencidas y estados de cuenta con el fin de generar confianza en el usuario. Una vez descargados y ejecutados, estos archivos instalan de manera silenciosa GoTo Resolve, una herramienta legítima de acceso remoto que, en este caso, está siendo empleada de forma inapropiada dentro de la campaña.
Nueva campaña denominada PeckbBirdy incorpora ejecución remota y persistencia mediante LOLbins legítimos.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó el uso de un framework denominado PeckBirdy, el cual permite la ejecución remota de scripts, la comunicación persistente con infraestructura C2 y la adaptación dinámica al entorno comprometido, aprovechando componentes nativos como navegadores web, MSHTA, WScript, Classic ASP, Node.js y entornos .NET.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-denominada-peckbbirdy-incorpora-ejecucion-remota-y-persistencia-mediante-lolbins-legitimoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó el uso de un framework denominado PeckBirdy, el cual permite la ejecución remota de scripts, la comunicación persistente con infraestructura C2 y la adaptación dinámica al entorno comprometido, aprovechando componentes nativos como navegadores web, MSHTA, WScript, Classic ASP, Node.js y entornos .NET.
Seguimiento a actividad asociada a FormBookEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-a-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.
Seguimiento a actividad asociada a Gh0stRAT en el sector financieroEl equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-a-gh0strat-en-el-sector-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.
Explotación de WinRAR permite la ejecución de Quasar RAT en sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-winrar-permite-la-ejecucion-de-quasar-rat-en-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.
Nueva campaña distribuye Python RAT mediante versiones manipuladas de libreríasDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-python-rat-mediante-versiones-manipuladas-de-libreriashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.
Nueva campaña incluye herramientas legítimas utilizadas como puerta trasera persistente.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-incluye-herramientas-legitimas-utilizadas-como-puerta-trasera-persistentehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.
Campaña de dropper Winzipper apoyada en la suplantación de instaladores de WinRARDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución de amenazas que utiliza instaladores falsos de WinRAR como señuelo. La actividad se apoya en el uso de archivos comprimidos maliciosos que integran componentes legítimos junto con código ofuscado, con el objetivo de facilitar la ejecución encubierta de un dropper identificado como Winzipper en equipos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-dropper-winzipper-apoyada-en-la-suplantacion-de-instaladores-de-winrarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de distribución de amenazas que utiliza instaladores falsos de WinRAR como señuelo. La actividad se apoya en el uso de archivos comprimidos maliciosos que integran componentes legítimos junto con código ofuscado, con el objetivo de facilitar la ejecución encubierta de un dropper identificado como Winzipper en equipos Windows.
Nueva campaña denominada Android.Phantom troyano distribuido a través de tiendas de aplicacionesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa denominada Android.Phantom, correspondiente a una familia de troyanos que afecta a dispositivos Android y se distribuye principalmente a través de aplicaciones modificadas, versiones de juegos y aplicaciones populares. Estas aplicaciones son ofrecidas mediante tiendas de aplicaciones no oficiales y repositorios alternativos, presentándose como software legítimo para inducir su instalación por parte del usuario. Una vez ejecutada, la amenaza establece comunicación con infraestructura C2 y utiliza componentes de navegación WebView ocultos para cargar contenido publicitario y simular interacción humana, incorporando técnicas avanzadas de automatización y aprendizaje automático con el fin de evadir mecanismos de detección y generar actividad fraudulenta de forma persistente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-denominada-android-phantom-troyano-distribuido-a-traves-de-tiendas-de-aplicacioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa denominada Android.Phantom, correspondiente a una familia de troyanos que afecta a dispositivos Android y se distribuye principalmente a través de aplicaciones modificadas, versiones de juegos y aplicaciones populares. Estas aplicaciones son ofrecidas mediante tiendas de aplicaciones no oficiales y repositorios alternativos, presentándose como software legítimo para inducir su instalación por parte del usuario. Una vez ejecutada, la amenaza establece comunicación con infraestructura C2 y utiliza componentes de navegación WebView ocultos para cargar contenido publicitario y simular interacción humana, incorporando técnicas avanzadas de automatización y aprendizaje automático con el fin de evadir mecanismos de detección y generar actividad fraudulenta de forma persistente.
Nueva campaña de proxyjacking: secuestrando ancho de banda a gran escalaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-proxyjacking-secuestrando-ancho-de-banda-a-gran-escalahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.
ClearFake incorpora nuevas técnicas LOTL para evadir detección y facilitar acceso inicial.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa conocida como ClearFake, orientada a facilitar el acceso inicial a través del compromiso de sitios web legítimos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/clearfake-incorpora-nuevas-tecnicas-lotl-para-evadir-deteccion-y-facilitar-acceso-inicialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa conocida como ClearFake, orientada a facilitar el acceso inicial a través del compromiso de sitios web legítimos.
Nueva campaña malware en Windows captura y cifra informaciónDurante las actividades de monitoreo y análisis realizadas por el equipo de analistas del CSIRT Financiero, se observó una campaña de malware multietapa dirigida a usuarios de Windows que inicia mediante documentos señuelo y archivos LNKhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-malware-en-windows-captura-y-cifra-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo y análisis realizadas por el equipo de analistas del CSIRT Financiero, se observó una campaña de malware multietapa dirigida a usuarios de Windows que inicia mediante documentos señuelo y archivos LNK
Nuevo ransomware denominado OsirisEl equipo de analistas del Csirt Financiero ha identificado la aparición de una nueva familia de ransomware denominada Osiris, una amenaza orientada al compromiso de entornos corporativos mediante procesos de cifrado avanzado, deterioro de defensas y control operativo del sistema afectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-osirishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado la aparición de una nueva familia de ransomware denominada Osiris, una amenaza orientada al compromiso de entornos corporativos mediante procesos de cifrado avanzado, deterioro de defensas y control operativo del sistema afectado.
Nueva campaña distribuye Remcos través de documento WordDurante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de una variante de Remcos RAT distribuida mediante un correo de phishing que simula provenir de una empresa y cuyo propósito es inducir a la víctima a abrir un archivo Word aparentemente legítimo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-remcos-traves-de-documento-word-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de una variante de Remcos RAT distribuida mediante un correo de phishing que simula provenir de una empresa y cuyo propósito es inducir a la víctima a abrir un archivo Word aparentemente legítimo.
Puerta trasera distribuida mediante dll side-loading y comunicación cifradaEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a PDFSIDER, una puerta trasera avanzada vinculada a operaciones de ciberespionaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-distribuida-mediante-dll-side-loading-y-comunicacion-cifradahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a PDFSIDER, una puerta trasera avanzada vinculada a operaciones de ciberespionaje.
Monetastealer: nueva amenaza para macos con capacidades para la captura de datos financierosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza financiera identificada como MonetaStealer, un stealer dirigido específicamente a sistemas macOS, descubierto en enero de 2026.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/monetastealer-nueva-amenaza-para-macos-con-capacidades-para-la-captura-de-datos-financieroshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza financiera identificada como MonetaStealer, un stealer dirigido específicamente a sistemas macOS, descubierto en enero de 2026.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}