Redazione RHC : 1 septiembre 2025 17:23
Sophos ha advertido sobre una práctica cada vez más sofisticada por parte de los atacantes: el uso de herramientas legítimas de ciberseguridad como parte de una táctica de «Living-off-the-Land» (LotL), en la que el ataque se lleva a cabo utilizando software existente o disponible públicamente en lugar de malware desarrollado internamente.
En un incidente reciente, atacantes desconocidos introdujeron Velociraptor, una herramienta de código abierto para la monitorización de endpoints y análisis forense digital, en la infraestructura de la víctima. La herramienta se instaló mediante msiexec, descargando el instalador MSI desde un dominio en la plataforma Cloudflare Workers.
Es bien sabido que los actores de amenazas suelen utilizar técnicas de «viviendo de la tierra» (LotL) o explotar herramientas legítimas de monitorización y gestión remota (RMM) para sus ataques. Sin embargo, el uso de Velociraptor revela un claro cambio estratégico, donde se utiliza software de respuesta a incidentes para obtener ventaja y, al mismo tiempo, reducir la necesidad de implementar malware específico.
La nueva investigación del incidente ha revelado que los atacantes explotaron la función msiexec de Windows para recuperar un paquete de instalación MSI de un dominio de Cloudflare Workers. Este paquete de instalación MSI es la base de otras herramientas utilizadas por los atacantes, incluyendo una aplicación de tunelización de Cloudflare y un software de administración remota conocido como Radmin.
El archivo MSI está diseñado para instalar Velociraptor, que a su vez establece contacto con otro dominio de Cloudflare Workers. El acceso se explota para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando de PowerShell codificado y ejecutar el editor de código fuente con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Técnicas similares que involucran herramientas de acceso remoto se han vinculado a grupos de ransomware como Black Basta desde mediados de 2024. Estas campañas más recientes omiten la fase preliminar de bombardeo de correo electrónico y, en última instancia, aprovechan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución remota de código.
Estos ataques comienzan cuando los actores de amenazas utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a sus objetivos, haciéndose pasar por equipos de soporte técnico de TI u otros contactos de confianza. Para instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, toman el control de los sistemas de las víctimas y propagan malware.
También se pueden solicitar credenciales de Windows mediante estos ataques, instando a los usuarios a introducir sus contraseñas en una solicitud de configuración del sistema aparentemente inocua. Estas credenciales se recopilan y almacenan en un archivo de texto en el sistema.
RedazioneLa Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...
