Redazione RHC : 11 octubre 2025 21:41
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP).
La escala y la estructura organizativa de esta campaña representan una amenaza importante, especialmente para las organizaciones que dependen de RDP para sus operaciones diarias.
La empresa de seguridad GreyNoise informó haber rastreado una ola significativa de ataques originados en más de 100.000 direcciones IP únicas en más de 100 países.
La operación parece estar controlada centralmente, con el objetivo principal de comprometer la infraestructura RDP , un componente crítico para el trabajo y la administración remotos.
Este descubrimiento provocó un análisis más amplio, que rápidamente identificó picos similares de actividad en una multitud de países, incluidos Argentina, Irán, China, México, Rusia y Sudáfrica .
A pesar de sus diferentes orígenes geográficos, los ataques comparten un objetivo común: los servicios RDP en Estados Unidos.
Los analistas están firmemente convencidos de que esta actividad es obra de una única botnet a gran escala . Esta conclusión se sustenta en el hecho de que casi todas las IP participantes comparten una firma TCP similar . Esta firma técnica sugiere una estructura de comando y control estándar y centralizada que orquesta los ataques.
El primero es un ataque de temporización de acceso web a Escritorio remoto , un método en el que los atacantes miden el tiempo de respuesta del servidor a los intentos de inicio de sesión para distinguir de forma anónima los nombres de usuario válidos de los no válidos.
Los actores de amenazas detrás de esta campaña están utilizando dos vectores de ataque específicos para identificar y comprometer los sistemas vulnerables.
El segundo vector es una enumeración de los inicios de sesión de clientes web RDP, que intenta sistemáticamente adivinar las credenciales de usuario. Estos métodos permiten a la botnet escanear e identificar eficazmente los puntos de acceso RDP vulnerables sin activar inmediatamente las alertas de seguridad estándar.
El uso sincronizado de estos métodos de ataque específicos y no triviales en una cantidad tan grande de nodos indica además una operación coordinada gestionada por un único operador o grupo.
En respuesta a esta amenaza persistente, GreyNoise ha publicado recomendaciones específicas para los administradores de seguridad de red.
La empresa recomienda que las organizaciones monitoreen de forma proactiva sus registros de seguridad para detectar cualquier sonda RDP inusual o intentos fallidos de inicio de sesión que coincidan con los patrones de esta campaña.
Para una protección más directa, GreyNoise ha creado una plantilla de lista de bloqueo dinámica, llamada «microsoft-rdp-botnet-oct-25», disponible a través de su plataforma.
RedazioneCuriosamente, mientras que grandes empresas como Microsoft y Google están añadiendo activamente funciones de IA a sus navegadores, el equipo de desarrollo de Tor ha optado por eliminarlas. @henry, c...
El panorama de la ciberseguridad se vio sacudido recientemente por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en los servicios de actualización de Windows ...
Investigadores de NeuralTrust han descubierto una vulnerabilidad en el navegador ChatGPT Atlas de OpenAI. En esta ocasión, el vector de ataque se encuentra en la barra de direcciones, donde los usuar...
El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
