Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo Grupo de ciberdelincuentes llamado RedCurlEn el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-llamado-redcurlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.
Nuevo grupo de ransomware denominado RoyalRecientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-denominado-royalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Nuevo grupo de ransomware llamado LynxLynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-lynxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.
Nuevo grupo de ransomware llamado YureiDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-yureihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.
Nuevo grupo ransomware llamado FunkSecEl equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-ransomware-llamado-funksechttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.
Nuevo grupo Vendetta afecta organizaciones de Europa y LatinoaméricaEl nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-vendetta-afecta-organizaciones-de-europa-y-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.
Nuevo gusano Golang lanza Xrig Miner a servidoresEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-gusano-golang-lanza-xrig-miner-a-servidoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.
Nuevo InfoStealer denominado MosquitoEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo InfoStealer denominada Mosquito que ha estado operando desde mayo de 2023 como MaaS (Malware as service), con motivación financiera, afectando a diversos países como Argentina, Brasil, Chile, España, México, Panamá, Perú y Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-denominado-mosquito-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo InfoStealer denominada Mosquito que ha estado operando desde mayo de 2023 como MaaS (Malware as service), con motivación financiera, afectando a diversos países como Argentina, Brasil, Chile, España, México, Panamá, Perú y Estados Unidos.
Nuevo infostealer para macos basado en jxa con técnicas avanzadas de evasión y persistencia.Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-para-macos-basado-en-jxa-con-tecnicas-avanzadas-de-evasion-y-persistenciahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.
Nuevo Infostealer suplanta Adobe ReaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo Infostealer que suplanta Adobe Reader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-suplanta-adobe-readerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo Infostealer que suplanta Adobe Reader.
Nuevo keylogger denominado TinkyWinkeyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-keylogger-denominado-tinkywinkeyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.
Nuevo Kit de herramienta denominado FBotEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramienta-denominado-fbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.
Nuevo Kit de herramientas denominado AlienFox empleado para ataques a servicios en la nubeEl kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-denominado-alienfox-empleado-para-ataques-a-servicios-en-la-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.
Nuevo kit de herramientas maliciosas dirigidas a macOSRecientemente, investigadores de seguridad identificaron un sofisticado conjunto de elementos maliciosos que hacen parte de un complejo lote de herramientas maliciosas que son dirigidas a los sistemas operativos macOS del fabricante Apple.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-maliciosas-dirigidas-a-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron un sofisticado conjunto de elementos maliciosos que hacen parte de un complejo lote de herramientas maliciosas que son dirigidas a los sistemas operativos macOS del fabricante Apple.
Nuevo kit de phishing denominado Sneaky 2FA recopila credenciales de MicrosoftEl equipo del Csirt Financiero identificó un nuevo kit de phishing llamado Sneaky 2FA, que tiene como objetivo capturar credenciales y códigos de autenticación 2FA de cuentas Microsoft 365.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-phishing-denominado-sneaky-2fa-recopila-credenciales-de-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó un nuevo kit de phishing llamado Sneaky 2FA, que tiene como objetivo capturar credenciales y códigos de autenticación 2FA de cuentas Microsoft 365.
Nuevo kit de phishing denominado Tycoon 2FADurante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un nuevo kit de phishing denominado Tycoon 2FA.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-phishing-denominado-tycoon-2fahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un nuevo kit de phishing denominado Tycoon 2FA.
Nuevo kit de phishing llamado Rockstar 2FASe ha observado una nueva campaña de correos electrónicos maliciosos que utiliza un kit de phishing denominado Rockstar 2FA, vinculado a ataques de tipo adversario-en-el-medio (AiTM).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-phishing-llamado-rockstar-2fahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha observado una nueva campaña de correos electrónicos maliciosos que utiliza un kit de phishing denominado Rockstar 2FA, vinculado a ataques de tipo adversario-en-el-medio (AiTM).
Nuevo loader denominado AresLoaderAresLoader es un nuevo malware de carga como servicio (Malware as a Service) ofrecido por actores de amenazas con vínculos con el hacktivismo ruso que fue visto recientemente en el ciberespacio. El servicio ofrece una herramienta "binder" que permite a los atacantes obtener acceso remoto a sistemas y desplegar cargas útiles adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-aresloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AresLoader es un nuevo malware de carga como servicio (Malware as a Service) ofrecido por actores de amenazas con vínculos con el hacktivismo ruso que fue visto recientemente en el ciberespacio. El servicio ofrece una herramienta "binder" que permite a los atacantes obtener acceso remoto a sistemas y desplegar cargas útiles adicionales.
Nuevo loader denominado DarkGateEn recientes hallazgos en investigaciones y a través del monitoreo al mercado de los cibercriminales se ha identificado un loader con un elevado grado de elaboración, polivalente y con la capacidad de realizar diversas actividades de otros tipos de malware; esta nueva amenaza es denominada como DarkGate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-darkgatehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En recientes hallazgos en investigaciones y a través del monitoreo al mercado de los cibercriminales se ha identificado un loader con un elevado grado de elaboración, polivalente y con la capacidad de realizar diversas actividades de otros tipos de malware; esta nueva amenaza es denominada como DarkGate.
Nuevo Loader denominado IDATEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó el nuevo cargador denominado IDAT Loader. Este cargador se distingue por su capacidad para extraer datos de archivos PNG.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-idathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó el nuevo cargador denominado IDAT Loader. Este cargador se distingue por su capacidad para extraer datos de archivos PNG.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}