Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Botnet Emotet es utilizada para distribuir cargas útiles de ransomwareEmotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-emotet-es-utilizada-para-distribuir-cargas-utiles-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Botnet Gafgyt utilizada para ataques DDoSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-gafgyt-utilizada-para-ataques-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Botnet Prometei instala malware de minería y libera RCEEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-prometei-instala-malware-de-mineria-y-libera-rcehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.
Botnet StealthWorker apunta a dispositivos NAS de SynologyEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-stealthworker-apunta-a-dispositivos-nas-de-synologyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.
Botnet Sysrv-Hello vulnera distribuciones Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-sysrv-hello-vulnera-distribuciones-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.
Botnet Vollgar busca minar mediante MS-SQLEl equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-vollgar-busca-minar-mediante-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.
Botnet Zergeca con capacidades avanzadasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-zergeca-con-capacidades-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.
Braodo Stealer exfiltra información de múltiples plataformas financierasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer llamado Braodo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/braodo-stealer-exfiltra-informacion-de-multiples-plataformas-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer llamado Braodo.
BRata evoluciona y emplea nuevamente servicios de Google PlayEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/brata-evoluciona-y-emplea-nuevamente-servicios-de-google-playhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.
Brokewell: el nuevo troyano bancario para dispositivos AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar a los asociados, se observó un nuevo troyano bancario para dispositivos móviles denominado “Brokewell” con capacidades de capturar datos y espiar los eventos del sistema comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/brokewell-el-nuevo-troyano-bancario-para-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar a los asociados, se observó un nuevo troyano bancario para dispositivos móviles denominado “Brokewell” con capacidades de capturar datos y espiar los eventos del sistema comprometido.
BTMOB RAT: nueva variante de malware para dispositivos androidDurante actividades de monitoreo de amenazas, el equipo del Csirt Financiero observó una nueva variante de malware para Android denominada BTMOB RAT, la cual ha sido atribuida a actores maliciosos que operan a través de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/btmob-rat-nueva-variante-de-malware-para-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo de amenazas, el equipo del Csirt Financiero observó una nueva variante de malware para Android denominada BTMOB RAT, la cual ha sido atribuida a actores maliciosos que operan a través de Telegram.
Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y BabukEn el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/buhti-la-amenaza-emergente-que-aprovecha-vulnerabilidades-y-utiliza-variantes-filtradas-de-ransomware-lockbit-y-babukhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.
Bumblebee Loader abusa de los servicios WebDAV y 4shared para ser distribuidoEl equipo del Csirt Financiero ha observado una nueva variante de Bumblebee loader que utiliza tácticas avanzadas para su distribución, haciendo uso de los servicios WebDAV, una extensión del protocolo HTTP que facilita la creación, edición y gestión de documentos y archivos en servidores web. Esta variante, al aprovechar WebDAV, permite a los ciberdelincuentes acomodar la cadena de ataque y ejecutar múltiples acciones maliciosas después de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bumblebee-loader-abusa-de-los-servicios-webdav-y-4shared-para-ser-distribuidohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha observado una nueva variante de Bumblebee loader que utiliza tácticas avanzadas para su distribución, haciendo uso de los servicios WebDAV, una extensión del protocolo HTTP que facilita la creación, edición y gestión de documentos y archivos en servidores web. Esta variante, al aprovechar WebDAV, permite a los ciberdelincuentes acomodar la cadena de ataque y ejecutar múltiples acciones maliciosas después de la infección.
Cactus, el nuevo ransomware que explota vulnerabilidades de FortinetEn el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cactus-el-nuevo-ransomware-que-explota-vulnerabilidades-de-fortinethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.
Cactuspete APT Actualiza puerta trasera BisonalEn el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cactuspete-apt-actualiza-puerta-trasera-bisonalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.
Cadena de infección dirigida a Web3 en macOS atribuida al grupo APT BlueNoroffDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una nueva cadena de infección asociada al grupo APT BlueNoroff, también identificado como TA444. Este actor, vinculado a estructuras estatales de Corea del Norte, ha liderado diversas operaciones dirigidas contra entidades del ecosistema Web3 y del ámbito de las criptomonedas, destacándose por emplear herramientas diseñadas específicamente para comprometer dispositivos con sistema operativo macOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cadena-de-infeccion-dirigida-a-web3-en-macos-atribuida-al-grupo-apt-bluenoroffhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una nueva cadena de infección asociada al grupo APT BlueNoroff, también identificado como TA444. Este actor, vinculado a estructuras estatales de Corea del Norte, ha liderado diversas operaciones dirigidas contra entidades del ecosistema Web3 y del ámbito de las criptomonedas, destacándose por emplear herramientas diseñadas específicamente para comprometer dispositivos con sistema operativo macOS.
Campaña activa de RondoDox explota la vulnerabilidad conocida en Xwiki para expandir su botnet.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-rondodox-explota-la-vulnerabilidad-conocida-en-xwiki-para-expandir-su-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada a la botnet RondoDox, la cual ha incorporado la explotación de la vulnerabilidad crítica CVE-2025-24893 en servidores XWiki sin parches. Esta botnet ha mostrado un incremento sostenido en sus intentos de explotación, empleando infraestructura y patrones técnicos para comprometer sistemas expuestos y ampliar su capacidad operativa.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}