- 1.- Principales vectores técnicos de compromiso
- 2.- Anatomía de un ataque de control remoto
- 3.- Herramientas y familias de RAT más habituales
- 4.- Indicadores
- 5.- Obligatorio
Introducción: Tomar el control remoto de un equipo —sin el conocimiento ni consentimiento del propietario— se ha vuelto más factible con la expansión del trabajo híbrido y la popularización de herramientas de acceso remoto. En detective Hacker nos organizamos con el incremento de troyanos de acceso remoto (RAT) y la explotación directa de protocolos como RDP o VNC han ampliado drásticamente la superficie de ataque.
1.- Principales vectores técnicos de compromiso
| Vector | Descripción práctica |
|---|---|
| Explotación de vulnerabilidades en RDP / Remote Desktop Gateway | Desbordamientos de búfer, errores de heap o credenciales por defecto. |
| Fuerza bruta & credential stuffing | Uso de combinaciones filtradas en la dark-web para RDP, SSH o VNC. |
| Troyanos de acceso remoto (RAT) | Software malicioso que abre un canal persistente (HTTP, WebSocket, DNS-tunnel). |
| Abuso de software legítimo (RMM as malware) | AnyDesk, Atera, ConnectWise Control mal configurados o pirateados. |
| Ingeniería social avanzada | Correos de “soporte técnico” que inducen a instalar binarios remotos o a compartir un código OTP. |
2.- Anatomía de un ataque de control remoto
- Reconocimiento: escaneo de puertos y fingerprinting del servicio; búsqueda de credenciales filtradas.
- Acceso inicial: explotación de CVE reciente o phishing con adjunto malicioso (p. ej. XWorm).
- Persistencia: creación de tarea programada, servicio Windows Service Host ofuscado o
run keyen el registro. - Elevación de privilegios: abuso de token
SYSTEMo vulnerabilidad LPE. - Comando y control: canal cifrado (HTTPS, DNS-over-HTTPS, túneles TryCloudflare) como en campañas de AsyncRAT.
- Acciones sobre el objetivo: exfiltración, cifrado (ransomware), pivote a redes OT/ICS.
3.- Herramientas y familias de RAT más habituales
- AsyncRAT: popular en campañas de phishing masivo; C2 vía HTTPS y WebSockets.
- QuasarRAT / xRAT: open-source muy modificado en foros clandestinos; plugins para keylogging y credential dumping.
- Remcos: versión comercial “dual use” capaz de grabar audio, vídeo y robar portapapeles.
- Gh0stRAT (reloaded): todavía presente en campañas APT contra organismos gubernamentales en LATAM.
- RustDesk malicioso: forks no oficiales que añaden puerta trasera persistente.
4.- Indicadores
- Creación inesperada de servicios persistentes con nombres que simulan procesos del sistema (
svchost32.exe). - Tráfico saliente continuo a dominios DDNS,
.duckdns.org,.ngrok.ioo*.trycloudflare.com. - Conexiones RDP entrantes fuera de horario laboral o desde rangos IP anómalos.
- Modificación de claves de registro en
HKCU\Software\Microsoft\Windows\CurrentVersion\Run. - Uso de ofuscadores como
ConfuserEx,Obsidiumo firmas YARA de compresores UPX alterados.
5.- Obligatorio
Revisar el descargo de responsabilidad en nuestro sitio web.