Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

¡RDP bajo fuego! 30.000 direcciones IP únicas investigan servicios expuestos para ataques dirigidos.

Redazione RHC : 26 agosto 2025 08:55

Investigadores de seguridad de greyNoise detectaron una gran operación de escaneo coordinada contra los servicios del Protocolo de Escritorio Remoto (RDP) de Microsoft. En ella, los atacantes escanearon más de 30 000 direcciones IP únicas para evaluar vulnerabilidades en los portales de autenticación de Microsoft RD Web Access y RDP Web Client.

La metodología del ataque se centra en la enumeración de autenticación basada en el tiempo, una técnica que aprovecha las sutiles diferencias en los tiempos de respuesta del servidor para identificar nombres de usuario válidos sin activar los mecanismos tradicionales de detección por fuerza bruta.

Este enfoque permite a los atacantes crear listas completas de objetivos para el posterior robo de credenciales y rociado de contraseñas, manteniendo al mismo tiempo la máxima discreción operativa.

La campaña, según informan los investigadores de GrayNoise, uno de los mayores RDP coordinados. Las operaciones de reconocimiento observadas en los últimos años indican una posible preparación para ataques a gran escala basados en credenciales. La operación de escaneo comenzó con una primera oleada el 21 de agosto de 2025, atacando casi 2000 direcciones IP simultáneamente.

El momento de la campaña coincide con la vuelta al cole en Estados Unidos, cuando las instituciones educativas suelen implementar entornos de laboratorio con RDP habilitado y sistemas de acceso remoto para los nuevos estudiantes. Esta ventana de ataque es estratégicamente importante, ya que las redes educativas suelen implementar patrones de nombre de usuario predecibles (ID de estudiante, formatos de nombre.apellido) que facilitan los ataques de enumeración.

El análisis de telemetría de red revela que el 92 % de la infraestructura de escaneo consiste en direcciones IP maliciosas previamente clasificadas. El tráfico se concentró principalmente en Brasil (73 % de los orígenes observados) y se dirigió exclusivamente a endpoints RDP con sede en EE. UU.

Sin embargo, la campaña se intensificó drásticamente el 24 de agosto, cuando investigadores de seguridad detectaron más de 30 000 direcciones IP únicas que realizaban investigaciones coordinadas utilizando firmas de cliente idénticas, lo que indica una infraestructura de botnet sofisticada o la implementación coordinada de un conjunto de herramientas. La consistencia de los patrones de firmas de cliente en 1851 de los 1971 hosts de escaneo iniciales sugiere una infraestructura centralizada de comando y control, típica de las operaciones de amenazas persistentes avanzadas (APT).

Los actores de amenazas están realizando operaciones de reconocimiento en varias etapas: primero, identificando los endpoints expuestos de acceso web a Escritorio remoto y cliente web RDP, y luego, probando los flujos de trabajo de autenticación para detectar vulnerabilidades de divulgación de información. Este enfoque sistemático permite la creación de bases de datos completas de objetivos que contienen nombres de usuario válidos y endpoints accesibles para futuras campañas de explotación.

Investigadores de seguridad observaron que la misma infraestructura IP realizaba análisis paralelos de servicios proxy abiertos y operaciones de rastreo web, lo que indica un conjunto de herramientas de amenazas multipropósito diseñado para el reconocimiento integral de la red.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Italia forma parte del mundo Zero Day! ¡Los primeros auxiliares de enfermería italianos son Leonardo y Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....

Alerta de WhatsApp: Nuevo malware se propaga como un virus entre los contactos
Di Redazione RHC - 06/10/2025

Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...

Vulnerabilidad de Oracle E-Business Suite 9.8: se necesitan actualizaciones urgentes
Di Redazione RHC - 05/10/2025

Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...