-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Suplantaciones de Microsoft Teams distribuyen Valley RAT
Publicado: 24/05/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña maliciosa que distribuye ValleyRAT mediante páginas fraudulentas que suplantan el portal oficial de Microsoft Teams.
Nueva actividad de RemotePE asociado al grupo Lazarus
Publicado: 24/05/2026 | Importancia: Media
Durante actividades de monitoreo e investigación realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada con RemotePE, un malware tipo RAT (Remote Access Trojan) atribuido a un subgrupo vinculado con Lazarus dirigido a empresas financieras.
Nuevo loader IronWind empleado por el grupo WIRTE en operaciones de ciberespionaje
Publicado: 24/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del loader IronWind, una amenaza de ciberespionaje operada por el grupo identificado como WIRTE.
Nueva actividad maliciosa atribuida a la botnet Amadey
Publicado: 23/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con la botnet Amadey, malware modular utilizado principalmente como loader y plataforma de distribución de amenazas adicionales.
Nueva actividad maliciosa asociada a Lumma Stealer
Publicado: 22/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Lumma Stealer, un stealer comercializado bajo el modelo Malware-as-a-Service (MaaS) dentro de foros clandestinos y comunidades de la dark web.
Nuevo RAT denominado Banana RAT afecta el sector financiero en america del sur
Publicado: 21/05/2026 | Importancia: Media
El Csirt Financiero ha encontrado actividad relacionada a Banana RAT, un troyano de acceso remoto orientado al fraude financiero el cual hace parte de una operación atribuida al APT SHADOW-WATER-063 que se encuentra dirigido específicamente contra entidades financieras y usuarios corporativos mediante campañas de ingeniería social
Nueva actividad de la botnet P2Pinfect afecta entornos Kubernetes a través de servicios expuestos.
Publicado: 21/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la botnet P2Pinfect, caracterizada por comprometer entornos Kubernetes mediante configuraciones inseguras, servicios administrativos expuestos y mecanismos orientados a mantener persistencia prolongada dentro de infraestructuras de contenedores.
Campaña maliciosa relacionada a CountLoader
Publicado: 20/05/2026 | Importancia: Media
A través actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de CountLoader, la cual utiliza una arquitectura modular y altamente ofuscada diseñada para mantenerse oculta mientras descarga y ejecuta distintas cargas maliciosas en sistemas Windows.
Nueva amenaza llamada DevilNFC dirigida a fraude financiero móvil mediante NFC
Publicado: 20/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con DevilNFC, un nuevo malware para dispositivos Android diseñado para abusar de funcionalidades NFC (Near Field Communication) con el objetivo de ejecutar fraudes financieros mediante retransmisión de comunicaciones contactless.
Nueva actividad maliciosa asociada a RustyStealer
Publicado: 18/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con RustyStealer, un stealer diseñado para comprometer sistemas Windows y capturar información sensible de usuarios y organizaciones.
Nueva campaña de Paper Werewolf despliega EchoGather RAT y PaperGrabber stealer
Publicado: 17/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida a Paper Werewolf. La campaña evidencia una evolución en el conjunto de herramientas del grupo, ya que incorpora PaperGrabber stealer, EchoGather RAT, descargadores desarrollados en C++, C#, Python y JavaScript, además de un implante personalizado para el marco de posexplotación Mythic.
Nueva variante de Amatera Stealer
Publicado: 17/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una nueva variante de Amatera Stealer 4.0.2 Beta, un stealer desarrollado en C++ y comercializado bajo un modelo Malware-as-a-Service (MaaS).
Nueva campaña de XWorm v7.1 emplea phishing y ejecución en memoria para comprometer sistemas Windows
Publicado: 16/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a XWorm v7.1. Esta amenaza permite a ciberdelincuentes comprometer equipos Windows mediante correos de phishing, ejecución de archivos comprimidos y uso indebido de herramientas legítimas del sistema operativo.
Nueva campaña de Kazuar evoluciona con arquitectura distribuida p2p para mantener acceso encubierto en entornos comprometidos.
Publicado: 16/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con el backdoor Kazuar, atribuida al grupo ruso Secret Blizzard, caracterizada por la evolución de sus capacidades hacia una arquitectura botnet peer-to-peer (P2P) altamente modular, orientada a mantener acceso persistente y encubierto dentro de infraestructuras comprometidas.
Nueva campaña denominada TencShell incorpora capacidades de persistencia, evasión y pivoting interno.
Publicado: 15/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña denominada TencShell, orientada al acceso persistente, ejecución remota de comandos y control encubierto de sistemas comprometidos, la amenaza utiliza técnicas avanzadas de evasión, ejecución fileless e inyección de código en memoria para dificultar su detección mediante controles tradicionales de seguridad.
The Gentlemen explota vulnerabilidades en Fortinet y Cisco para comprometer redes empresariales
Publicado: 14/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del ransomware The Gentlemen, operado bajo el modelo RaaS (Ransomware-as-a-Service).
Nueva campaña de TrickMo distribuye variante Android con capacidades de acceso remoto
Publicado: 11/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una nueva variante TrickMo, una amenaza especializada en comprometer dispositivos móviles utilizados para acceder a servicios bancarios, plataformas fintech, billeteras digitales y aplicaciones de autenticación multifactor.
SHADOW-AETHER-040 y SHADOW-AETHER-064: campañas dirigidas contra LATAM incorporan herramientas asistidas por IA
Publicado: 11/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con dos campañas maliciosas denominadas SHADOW-AETHER-040 y SHADOW-AETHER-064.
CAMPAÑA MALICIOSA SUPLANTA INSTALADORES LEGÍTIMOS DE JDOWNLOADER
Publicado: 10/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa asociada con el compromiso del sitio oficial de JDownloader, utilizada para distribuir instaladores contaminados dirigidos a sistemas operativos Windows y Linux.
Campaña de phishing como servicio abusa de OAuth 2.0 para comprometer cuentas de Microsoft 365
Publicado: 10/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña global de phishing distribuida como servicio mediante el panel Kali365 Live, activa desde inicios de abril de 2026. Lo que hace particular a esta operación es que logra comprometer cuentas de Microsoft 365 sin necesidad de conocer contraseñas ni burlar directamente el MFA, abusando en su lugar del flujo OAuth 2.0 Device Authorization Grant, un mecanismo legítimo de Microsoft diseñado para autenticar equipos sin navegador, como televisores inteligentes.
Actividad asociada a FormBook
Publicado: 09/05/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó actividad asociada a FormBook, un troyano clasificado como infostealer y utilizado activamente por ciberdelincuentes bajo el modelo Malware-as-a-Service (MaaS).
Nueva actividad de Vidar Stealer con técnicas avanzadas de evasión y abuso de AutoIt
Publicado: 09/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de Vidar Stealer, desplegado mediante una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas del entorno Windows y técnicas de enmascaramiento de archivos para evadir controles de seguridad y alcanzar la exfiltración de información sensible.
Nueva campaña asociada a Chaos Ransomware es utilizada en operaciones atribuidas a MuddyWater.
Publicado: 09/05/2026 | Importancia: Media
Se observó una campaña dirigida contra entornos corporativos que utiliza técnicas de ingeniería social, herramientas legítimas de administración remota y componentes maliciosos personalizados para mantener acceso persistente dentro de infraestructuras comprometidas. La amenaza emplea mecanismos de evasión y movimiento lateral orientados a ampliar el alcance de la intrusión, priorizando actividades de reconocimiento, exfiltración de credenciales, exfiltración de información sensible y acceso estratégico prolongado sobre los sistemas afectados.
Campaña abusa del framework OpenClaw para desplegar Remcos RAT y GhostLoader
Publicado: 08/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que actores maliciosos publicaron un módulo fraudulento dentro de OpenClaw, un framework de código abierto que permite a agentes de inteligencia artificial ejecutar tareas automatizadas en equipos locales, con el propósito de distribuir el troyano de acceso remoto Remcos RAT y el stealer GhostLoader.
Nuevo backdoor denominado Beagle distribuido desde dominios fraudulentos relacionados con IA.
Publicado: 07/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa orientada a comprometer sistemas Windows mediante la distribución de una versión troyanizada de Claude AI, en la cual los ciberdelincuentes implementan una cadena de infección enfocada en el acceso remoto persistente y la evasión de controles de seguridad tradicionales.
Nueva campaña de PCPJack exfiltra credenciales a escala en entornos cloud expuestos
Publicado: 07/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña protagonizada por PCPJack, un worm orientado a la exfiltración masiva de credenciales en infraestructura cloud expuesta.
Nueva campaña de Remus compromete credenciales mediante evasión de cifrado en navegadores.
Publicado: 05/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña asociada a Remus Stealer, un infostealer de 64 bits reconocido como una evolución del Lumma Stealer.
Nueva campaña de CloudZ RAT permite interceptar códigos OTP mediante phone link.
Publicado: 04/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa asociada a CloudZ RAT, acompañado del plugin Pheno, caracterizada por su capacidad de operar como un malware modular que ejecuta código en memoria, incorpora técnicas de evasión avanzadas y establece comunicación con infraestructura C2.
Nueva actividad de Quasar Linux mediante el uso de rootkits y persistencia
Publicado: 04/05/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza la herramienta maliciosa denominada Quasar Linux o QLNX.
Actividad asociada a QuasarRAT
Publicado: 03/05/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha revisado información relacionada con QuasarRAT, un troyano de acceso remoto (RAT) ampliamente utilizado por ciberdelincuentes y grupos de amenazas a nivel global.