-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Campaña relacionada con el APT ShinyHunters distribuye ransomware ShinySp1d3r
Publicado: 30/11/2025 | Importancia: Media
Durante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.
RondoDox es empleado en campañas de exfiltración de información.
Publicado: 30/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.
Actividad de PoSeidon dirigida al sector bancario brasileño mediante macros ofuscados
Publicado: 30/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.
Nueva actividad maliciosa relacionada con BrazilianBanker
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.
Nueva actividad del backdoor TamperedChef distribuido mediante instaladores firmados
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.
Nueva familia de RAT para Android “Albiriox” orientado a fraude financiero
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.
Campaña basada en USB distribuye nueva amenaza denominada PrintMiner
Publicado: 29/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.
Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JAR
Publicado: 27/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.
Esteganografía en campañas de Clickfix oculta malware en imágenes png
Publicado: 26/11/2025 | Importancia: Media
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Nueva actividad asociada a la botnet shadowv2 que afecta dispositivos IOT
Publicado: 26/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en Powershell
Publicado: 26/11/2025 | Importancia: Media
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
RelayNFC: troyano para Android orientado al fraude mediante tecnología NFC
Publicado: 25/11/2025 | Importancia: Media
Mediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.
Nueva campaña de ToddyCat dirigida a exfiltraciones de entidades corporativas
Publicado: 24/11/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.
Nueva amenaza denominada RadzaRat afecta dispositivos Android
Publicado: 24/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.
Nueva ViperSoftX añade funciones de minería a su arsenal
Publicado: 24/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware ViperSoftX, en la cual se evidenció la instalación de mineros de criptomonedas orientados a la generación de Monero en equipos comprometidos.
Actividad reciente de ShadowPad vinculada a explotación de WSUS
Publicado: 23/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).
Masslogger es empleado en campañas de exfiltración de información sensible.
Publicado: 22/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.
Nuevas funciones de Xillen Stealer fortalecen su evasión y alcance
Publicado: 22/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas
Publicado: 21/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas.
Publicado: 21/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Nueva actividad de RONINGLOADER en campañas recientes
Publicado: 20/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una nueva actividad maliciosa asociada a RONINGLOADER, un loader altamente sofisticado empleado por ciberdelincuentes para establecer cadenas de infección de múltiples etapas, se caracteriza por desplegar inicialmente dos componentes: uno benigno, que mantiene la apariencia de legitimidad, y otro malicioso, responsable de iniciar la secuencia real del compromiso.
Actividad inicial de Sturnus, troyano Android con capacidades de superposición y vigilancia en tiempo real
Publicado: 20/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.
Nueva campaña distribuye un troyano bancario a través de WhatsApp.
Publicado: 19/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impacto
RAT PlushDaemon compromete dispositivos de red para ejecutar ataques de intermediario.
Publicado: 19/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que se comprometen routers domésticos y empresariales para manipular tráfico DNS y redirigir a las víctimas hacia actualizaciones falsas. Esto permite instalar intermediarios como EdgeStepper y cargas posteriores como SlowStepper en sistemas Windows, afectando la integridad del software y exponiendo a los usuarios a backdoors y ejecución en memoria.
Campaña basada en ClickFix entrega Amatera Stealer y NetSupport RAT
Publicado: 17/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza el vector de acceso ClickFix para distribuir la amenaza Amatera Stealer y, en una fase posterior, el módulo de control remoto NetSupport RAT.
Actividad asociada a GCleaner como vehículo de instalación del troyano AZORult
Publicado: 16/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.
Kraken ransomware: capacidades y alcance de una amenaza emergente.
Publicado: 16/11/2025 | Importancia:
Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida a un grupo de ransomware emergente denominado Kraken, el cual ha enfocado sus operaciones en campañas de big-game hunting, dirigiéndose a organizaciones de alto valor.
Campaña activa de RondoDox explota la vulnerabilidad conocida en Xwiki para expandir su botnet.
Publicado: 15/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.
Nueva actividad asociada al ransomware multiplataforma VanHelsing
Publicado: 15/11/2025 | Importancia:
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada al ransomware VanHelsing, una amenaza reciente que opera bajo un modelo de Ransomware-as-a-Service (RaaS) y que destaca por su alto nivel de sofisticación y adaptabilidad.
Campaña de distribución del troyano de acceso remoto XWorm mediante correos de facturación falsa
Publicado: 14/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm que utiliza correos electrónicos de facturación para inducir al usuario a abrir un archivo Visual Basic Script adjunto.