¡RDP bajo fuego! 30.000 direcciones IP únicas investigan servicios expuestos para ataques dirigidos.

Redazione RHC : 26 agosto 2025 08:55

Investigadores de seguridad de greyNoise detectaron una gran operación de escaneo coordinada contra los servicios del Protocolo de Escritorio Remoto (RDP) de Microsoft. En ella, los atacantes escanearon más de 30 000 direcciones IP únicas para evaluar vulnerabilidades en los portales de autenticación de Microsoft RD Web Access y RDP Web Client.

La metodología del ataque se centra en la enumeración de autenticación basada en el tiempo, una técnica que aprovecha las sutiles diferencias en los tiempos de respuesta del servidor para identificar nombres de usuario válidos sin activar los mecanismos tradicionales de detección por fuerza bruta.

Este enfoque permite a los atacantes crear listas completas de objetivos para el posterior robo de credenciales y rociado de contraseñas, manteniendo al mismo tiempo la máxima discreción operativa.

La campaña, según informan los investigadores de GrayNoise, uno de los mayores RDP coordinados. Las operaciones de reconocimiento observadas en los últimos años indican una posible preparación para ataques a gran escala basados en credenciales. La operación de escaneo comenzó con una primera oleada el 21 de agosto de 2025, atacando casi 2000 direcciones IP simultáneamente.

El momento de la campaña coincide con la vuelta al cole en Estados Unidos, cuando las instituciones educativas suelen implementar entornos de laboratorio con RDP habilitado y sistemas de acceso remoto para los nuevos estudiantes. Esta ventana de ataque es estratégicamente importante, ya que las redes educativas suelen implementar patrones de nombre de usuario predecibles (ID de estudiante, formatos de nombre.apellido) que facilitan los ataques de enumeración.

El análisis de telemetría de red revela que el 92 % de la infraestructura de escaneo consiste en direcciones IP maliciosas previamente clasificadas. El tráfico se concentró principalmente en Brasil (73 % de los orígenes observados) y se dirigió exclusivamente a endpoints RDP con sede en EE. UU.

Sin embargo, la campaña se intensificó drásticamente el 24 de agosto, cuando investigadores de seguridad detectaron más de 30 000 direcciones IP únicas que realizaban investigaciones coordinadas utilizando firmas de cliente idénticas, lo que indica una infraestructura de botnet sofisticada o la implementación coordinada de un conjunto de herramientas. La consistencia de los patrones de firmas de cliente en 1851 de los 1971 hosts de escaneo iniciales sugiere una infraestructura centralizada de comando y control, típica de las operaciones de amenazas persistentes avanzadas (APT).

Los actores de amenazas están realizando operaciones de reconocimiento en varias etapas: primero, identificando los endpoints expuestos de acceso web a Escritorio remoto y cliente web RDP, y luego, probando los flujos de trabajo de autenticación para detectar vulnerabilidades de divulgación de información. Este enfoque sistemático permite la creación de bases de datos completas de objetivos que contienen nombres de usuario válidos y endpoints accesibles para futuras campañas de explotación.

Investigadores de seguridad observaron que la misma infraestructura IP realizaba análisis paralelos de servicios proxy abiertos y operaciones de rastreo web, lo que indica un conjunto de herramientas de amenazas multipropósito diseñado para el reconocimiento integral de la red.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli