Investigadores en ciberseguridad han documentado un marco de puerta trasera basado en Python que merece atención por su combinación de sigilo, persistencia y alcance de espionaje: conocido en los reportes como DEEP#DOOR, se instala desde un dropper en batch que desactiva controles de seguridad y extrae en tiempo de ejecución un payload Python incrustado, lo que reduce drásticamente las señales clásicas de compromiso en disco.
La técnica de incrustar el implante dentro del script de instalación y reconstruirlo en memoria es importante porque convierte el ataque en una operación de bajo perfil: menos llamadas a infraestructura externa y menos artefactos que los defensores puedan analizar después del hecho. El componente Python entrega capacidades completas de Remote Access Trojan, entre ellas ejecución remota, captura de teclas, monitorización del portapapeles, screenshots, acceso a webcam y micrófono, y robo de credenciales de navegadores, claves SSH y credenciales en nubes públicas como AWS, GCP y Azure.
Otro elemento que agrava el riesgo es el uso de servicios públicos de tunelización (en este caso se comunica con bore.pub) para el canal de mando y control, lo que permite al operador evadir la necesidad de infraestructura propia y hacer que el tráfico malicioso se mezcle con tráfico legítimo. Al mismo tiempo, el malware implementa múltiples mecanismos de persistencia —carpeta de Inicio, claves Run del Registro, tareas programadas y suscripciones WMI— y hasta un mecanismo “watchdog” que recrea artefactos si son borrados, complicando la remediación.
DEEP#DOOR incorpora además una amplia gama de técnicas de evasión y anti-análisis: detección de sandboxes y máquinas virtuales, parcheo de AMSI y ETW, desenganche de NTDLL, manipulación de Microsoft Defender, bypass de SmartScreen, supresión de logs de PowerShell, borrado del historial de comandos y pisado de timestamps y registros. Estas medidas buscan reducir la visibilidad forense y dificultar la detección por soluciones tradicionales y por los equipos de respuesta a incidentes.
Las implicaciones para organizaciones y profesionales son claras: este tipo de marcos refuerzan la tendencia hacia intrusiones “fileless” o basadas en scripts que explotan componentes nativos del sistema y lenguajes interpretados como Python, lo que obliga a adaptar las defensas más allá del simple escaneo de archivos. Es recomendable mapear estas técnicas contra marcos de referencia como MITRE ATT&CK para priorizar detecciones y mitigaciones efectivas; puede consultarse este recurso en https://attack.mitre.org/.
En cuanto a medidas concretas, es esencial forzar mecanismos que limiten la ejecución de scripts y binarios no gestionados (AppLocker o Windows Defender Application Control), habilitar y proteger funciones anti-tampering en productos de endpoint (por ejemplo, la Protección contra manipulación en Microsoft Defender disponible en la documentación de Microsoft), y configurar un registro y telemetría obligatorios para PowerShell y otros intérpretes para evitar la supresión de logs. A nivel de red, controlar y bloquear servicios de tunelización conocidos y restringir el tráfico saliente por dominio/puerto reduce la capacidad del atacante para establecer C2.
Si sospecha compromiso, la respuesta debe asumir acceso persistente y exfiltración de credenciales: aislar el equipo, preservar memoria volátil para análisis, revisar tareas programadas, claves Run, la carpeta de Inicio y cualquier watchdog que recree persistencias; auditar repositorios de credenciales, claves SSH y cuentas en la nube y considerar la rotación forzada de secretos y la revocación de claves/credenciales afectadas. Para entender el alcance de la intrusión y endurecer la postura conviene apoyarse en especialistas en IR y en controles EDR que detecten técnicas de hooking/unhooking y manipulación de telemetría.
DEEP#DOOR es un recordatorio de que los adversarios priorizan hoy la evasión y la resiliencia operativa sobre la sofisticación exótica: la combinación de scripts ofuscados, intérpretes habituales y servicios públicos de enrutamiento crea una amenaza práctica y difícil de rastrear. La defensa eficaz exige aplicar principios clásicos—menos privilegios, segmentación de red, visibilidad y control de ejecución—pero adaptados al panorama moderno de amenazas basadas en scripts, además de integrar monitoreo y respuesta continuos respaldados por inteligencia de amenazas y buenas prácticas de higiene digital.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...