Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad de BQTLOCKMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-bqtlock-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.
Campaña de phishing utiliza archivos SVG para distribuir Amatera Stealer y PureMinerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-archivos-svg-para-distribuir-amatera-stealer-y-pureminerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.
Nueva variante de XCSSET amplía sus capacidades con persistencia en macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-xcsset-amplia-sus-capacidades-con-persistencia-en-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.
Nueva actividad de Zloader: evolución de un troyano bancario con capacidades avanzadasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-zloader-evolucion-de-un-troyano-bancario-con-capacidades-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.
Nueva actividad relacionada con Kawa4096Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-kawa4096http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.
Aplicaciones troyanizadas en Google Play propagan el spyware JokerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-troyanizadas-en-google-play-propagan-el-spyware-jokerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digitalDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/colaboracion-entre-gamaredon-y-turla-amplia-capacidades-de-espionaje-digitalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Nueva actividad relacionada con Raven StealerA través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-raven-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.
Nueva campaña de Atomic infostealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-atomic-infostealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.
Nueva campaña de distribución de DeerStealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-deerstealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.
Nuevo loader detectadoMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-detectadohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.
Nueva campaña de phishing en Latinoamérica distribuye el troyano de acceso remoto RattyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-en-latinoamerica-distribuye-el-troyano-de-acceso-remoto-rattyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.
Campaña de GOLD SALEM despliega Warlock Ransomware mediante explotación de vulnerabilidadesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gold-salem-despliega-warlock-ransomware-mediante-explotacion-de-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.
Nueva campaña de BlackLock ransomwareEl equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-blacklock-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.
Campaña de fraude masivo genera eliminación de aplicaciones de la Google Play StoreEl equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fraude-masivo-genera-eliminacion-de-aplicaciones-de-la-google-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.
Nueva campaña del grupo RevengeHotels distribuye VenomRATRevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-revengehotels-distribuye-venomrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña de Maranhão Stealer vía instaladores troyanizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-maranhao-stealer-via-instaladores-troyanizadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.
Campaña de GONEPOSTAL permite a KTA007 operar de manera encubierta dentro de OutlookDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gonepostal-permite-a-kta007-operar-de-manera-encubierta-dentro-de-outlookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.
Nueva campaña de XWorm y Remcos distribuidos mediante BAT y archivos SVGEl equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-xworm-y-remcos-distribuidos-mediante-bat-y-archivos-svghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.
Campaña de Mustang Panda introduce variantes avanzadas de Toneshell y SnakeDiskDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-mustang-panda-introduce-variantes-avanzadas-de-toneshell-y-snakediskhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}