Redazione RHC : 11 octubre 2025 21:41
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP).
La escala y la estructura organizativa de esta campaña representan una amenaza importante, especialmente para las organizaciones que dependen de RDP para sus operaciones diarias.
La empresa de seguridad GreyNoise informó haber rastreado una ola significativa de ataques originados en más de 100.000 direcciones IP únicas en más de 100 países.
La operación parece estar controlada centralmente, con el objetivo principal de comprometer la infraestructura RDP , un componente crítico para el trabajo y la administración remotos.
Este descubrimiento provocó un análisis más amplio, que rápidamente identificó picos similares de actividad en una multitud de países, incluidos Argentina, Irán, China, México, Rusia y Sudáfrica .
A pesar de sus diferentes orígenes geográficos, los ataques comparten un objetivo común: los servicios RDP en Estados Unidos.
Los analistas están firmemente convencidos de que esta actividad es obra de una única botnet a gran escala . Esta conclusión se sustenta en el hecho de que casi todas las IP participantes comparten una firma TCP similar . Esta firma técnica sugiere una estructura de comando y control estándar y centralizada que orquesta los ataques.
El primero es un ataque de temporización de acceso web a Escritorio remoto , un método en el que los atacantes miden el tiempo de respuesta del servidor a los intentos de inicio de sesión para distinguir de forma anónima los nombres de usuario válidos de los no válidos.
Los actores de amenazas detrás de esta campaña están utilizando dos vectores de ataque específicos para identificar y comprometer los sistemas vulnerables.
El segundo vector es una enumeración de los inicios de sesión de clientes web RDP, que intenta sistemáticamente adivinar las credenciales de usuario. Estos métodos permiten a la botnet escanear e identificar eficazmente los puntos de acceso RDP vulnerables sin activar inmediatamente las alertas de seguridad estándar.
El uso sincronizado de estos métodos de ataque específicos y no triviales en una cantidad tan grande de nodos indica además una operación coordinada gestionada por un único operador o grupo.
En respuesta a esta amenaza persistente, GreyNoise ha publicado recomendaciones específicas para los administradores de seguridad de red.
La empresa recomienda que las organizaciones monitoreen de forma proactiva sus registros de seguridad para detectar cualquier sonda RDP inusual o intentos fallidos de inicio de sesión que coincidan con los patrones de esta campaña.
Para una protección más directa, GreyNoise ha creado una plantilla de lista de bloqueo dinámica, llamada «microsoft-rdp-botnet-oct-25», disponible a través de su plataforma.
RedazioneEn Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
