Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva puerta trasera NotDoor dirigida a Outlook fue atribuida a APT28El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-notdoor-dirigida-a-outlook-fue-atribuida-a-apt28http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.
Seguimiento a SnakeKeyloggerEl equipo de análisis del Csirt Financiero ha identificado una campaña de SnakeKeylogger, una amenaza clasificada como stealer/spyware diseñada para infiltrarse en equipos mediante técnicas de ingeniería social, operar en segundo plano y extraer información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-snakekeyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de análisis del Csirt Financiero ha identificado una campaña de SnakeKeylogger, una amenaza clasificada como stealer/spyware diseñada para infiltrarse en equipos mediante técnicas de ingeniería social, operar en segundo plano y extraer información confidencial.
Nueva operación de TinyLoaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-de-tinyloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.
Nueva amenaza denominada Salat StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza para sistemas Windows conocida como Salat Stealer, también referida como WEB_RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-salat-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza para sistemas Windows conocida como Salat Stealer, también referida como WEB_RAT.
Continua la propagación de StealeriumMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/continua-la-propagacion-de-stealeriumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.
KoiLoader: amenaza modular dirigida a sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/koiloader-amenaza-modular-dirigida-a-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.
Nuevo troyano modular GPUGate distribuido mediante Google Ads y commits maliciosos en GithubEl equipo de analistas del Csirt Financiero ha identificado a GPUGate, un troyano modular distribuido mediante campañas de malvertising en Google Ads y manipulación de commits en repositorios legítimos de GitHub.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-modular-gpugate-distribuido-mediante-google-ads-y-commits-maliciosos-en-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a GPUGate, un troyano modular distribuido mediante campañas de malvertising en Google Ads y manipulación de commits en repositorios legítimos de GitHub.
Odyssey Stealer utiliza portal fraudulento de Microsoft Teams para infectar macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/odyssey-stealer-utiliza-portal-fraudulento-de-microsoft-teams-para-infectar-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.
RatOn: nuevo troyano bancario que combina NFC, control remoto y ATSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/raton-nuevo-troyano-bancario-que-combina-nfc-control-remoto-y-atshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.
Nuevo troyano bancario MostereRATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-mostererathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.
Nuevas puertas traseras atribuidas a APT37 contra sistemas WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-puertas-traseras-atribuidas-a-apt37-contra-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevo ransomware CyberVolkEl equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cybervolkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.
Troyano de acceso remoto multiplataformaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-de-acceso-remoto-multiplataformahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.
Nueva variante de ToneShellMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-toneshellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.
Nueva campaña de Vidar stealerEl equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vidar-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.
Nuevo ransomware HybridPetya aprovecha CVE-2024-7344Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al nuevo ransomware HybridPetya, una amenaza que retoma características de Petya e introduce la capacidad de evadir el arranque seguro en equipos modernos mediante la explotación de la vulnerabilidad CVE-2024-7344 en el componente UEFI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-hybridpetya-aprovecha-cve-2024-7344http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al nuevo ransomware HybridPetya, una amenaza que retoma características de Petya e introduce la capacidad de evadir el arranque seguro en equipos modernos mediante la explotación de la vulnerabilidad CVE-2024-7344 en el componente UEFI.
Nuevo grupo de ransomware llamado YureiDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-yureihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.
Campaña de Mustang Panda introduce variantes avanzadas de Toneshell y SnakeDiskDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-mustang-panda-introduce-variantes-avanzadas-de-toneshell-y-snakediskhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.
Nueva campaña de XWorm y Remcos distribuidos mediante BAT y archivos SVGEl equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-xworm-y-remcos-distribuidos-mediante-bat-y-archivos-svghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.
Campaña de GONEPOSTAL permite a KTA007 operar de manera encubierta dentro de OutlookDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gonepostal-permite-a-kta007-operar-de-manera-encubierta-dentro-de-outlookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}