-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de grupo APT Cloud Atlas explota documentos de Microsoft Office
Publicado: 19/12/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña atribuida al grupo APT Cloud Atlas. La campaña observada emplea correos electrónicos de phishing con documentos maliciosos de Microsoft Office que explotan la vulnerabilidad CVE-2018-0802 en Equation Editor, permitiendo la ejecución de código y el despliegue progresivo de múltiples implantes sin interacción adicional del usuario.
Nueva campaña del ransomware Weaxor utiliza como vector inicial React2shell
Publicado: 18/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la explotación de la vulnerabilidad crítica React2Shell (CVE-2025-55182), caracterizada por el compromiso de servidores web expuestos a Internet que utilizan React Server Components y frameworks compatibles como Next.js.
Kimwolf demuestra capacidad de control sobre múltiples dispositivos Android
Publicado: 18/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la botnet Kimwolf, caracterizada por su capacidad para operar a gran escala y coordinar acciones sobre dispositivos Android como televisores, TV boxes y tabletas.
Campaña activa asociada al stealer Phantom 3.5 mediante instaladores falsos.
Publicado: 17/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al stealer Phantom en su versión 3.5, orientada a equipos con sistema operativo Windows a nivel global que se distribuye mediante instaladores falsos que suplantan aplicaciones legítimas ampliamente utilizadas.
Nueva campaña de GachiLoader se distribuye mediante ingeniería social
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó una campaña de distribución de malware asociada a GachiLoader, un cargador desarrollado en Node.js que se propaga mediante cuentas de YouTube comprometidas y enlaces a archivos comprimidos protegidos con contraseña.
Campaña activa de Ink Dragon y el uso de servidores Iis comprometidos como red de retransmisión C2
Publicado: 17/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Ink Dragon, caracterizada por el compromiso de servidores IIS y SharePoint expuestos a Internet pertenecientes a entidades gubernamentales y del sector público. Esta campaña permite a los ciberdelincuentes obtener acceso remoto no autorizado, escalar privilegios y mantener control persistente sobre los sistemas afectados.
Campaña activa asociada a DarkGate mediante ingeniería social ClickFix
Publicado: 17/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a DarkGate, un troyano de acceso remoto orientado a equipos con sistema operativo Windows, distribuido mediante una técnica de ingeniería social conocida como ClickFix.
Tendencias recientes de malware tipo Stealer
Publicado: 16/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una tendencia creciente en la actividad de malware de tipo stealer, caracterizada por una amplia variedad de mecanismos de distribución, técnicas de evasión y vectores de entrega observados en periodos recientes.
Nueva actividad de CyberVolk incorporado un modelo de Ransomware (RaaS).
Publicado: 16/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña asociada a CyberVolk que utiliza ransomware y herramientas complementarias para afectar sistemas Windows de entidades públicas y organizaciones críticas. La actividad observada evidencia el uso de variantes de ransomware derivadas de código previamente filtrado, operadas bajo un modelo de Ransomware-as-a-Service (RaaS).
Campaña activa del troyano Albiriox.
Publicado: 15/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano Albiriox, una amenaza dirigida a dispositivos Android que permite a los ciberdelincuentes tomar control remoto del dispositivo comprometido para ejecutar fraudes financieros y transacciones en plataformas de criptomonedas directamente desde aplicaciones legítimas.
Nueva campaña de troyano Frogblight captura credenciales bancarias
Publicado: 15/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa del troyano bancario para Android Frogblight, el cual se distribuye mediante mensajes SMS fraudulentos asociados a supuestos procesos judiciales
CaminhoLoader: loader avanzado para la entrega de malware
Publicado: 15/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo loader/downloader CaminhoLoader, que se ha posicionado como una de las principales amenazas iniciales en campañas dirigidas a organizaciones de Latinoamérica, con especial concentración en México y Brasil.
Campaña en desarrollo de SantaStealer orientada a equipos Windows
Publicado: 15/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.
Nueva campaña activa de PyStoreRAT mediante repositorios públicos en GitHub
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.
Campaña activa de XWorm orientada a equipos Windows.
Publicado: 14/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a XWorm, un troyano de acceso remoto (RAT) distribuido mediante campañas de phishing dirigidas a los sectores financiero, gubernamental e industrial.
Nueva campaña de Phantom Stealer dirigida a personal financiero en Rusia
Publicado: 13/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Phantom Stealer dirigida a personal financiero en Rusia mediante correos de confirmación de pago.
JS#SMUGGLER: una cadena de infección web avanzada para la distribución de NetSupport RAT
Publicado: 13/12/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa sofisticada impulsada por una técnica bautizada como JS#SMUGGLER, la cual utiliza código JavaScript altamente ofuscado que inicia una cadena de infección en múltiples etapas, cuyo objetivo final es la entrega e instalación del troyano de acceso remoto NetSupport RAT.
Nueva campaña de fraude móvil distribuida a través de mensajería instantánea
Publicado: 12/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de fraude móvil que distribuye una aplicación maliciosa disfrazada como “RTO Challan / e-Challan” a través de mensajes de WhatsApp que simulan alertas oficiales de infracciones de tránsito.
Nueva campaña del kit de phishing BlackForce que mejora evasión, persistencia y exfiltración
Publicado: 12/12/2025 | Importancia: Media
El Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.
Nuevo ransomware DroidLock toma control de equipos Android mediante accesibilidad
Publicado: 11/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.
Nueva campaña de Ashen Lepus despliega malware AshTag
Publicado: 11/12/2025 | Importancia: Media
Durante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.
Campaña activa de ValleyRAT orientada a equipos Windows.
Publicado: 11/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.
Nueva campaña de vishing aprovecha herramientas legítimas de Microsoft para evadir controles de seguridad
Publicado: 09/12/2025 | Importancia: Baja
Se identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.
Nueva actividad de ChimeraWire orientada a la simulación de navegación web
Publicado: 08/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.
Campaña activa de Amadey recopila información confidencial.
Publicado: 08/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.
Nueva campaña maliciosa del grupo GoldFactory
Publicado: 07/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.
Seguimiento de campaña activa de AZORult
Publicado: 07/12/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.
Nueva variante de ransomware llamado Benzona
Publicado: 06/12/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.
Actividad del troyano bancario FvncBot dirigida a usuarios móviles en Polonia
Publicado: 06/12/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.
Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FA
Publicado: 06/12/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.