Investigadores de seguridad han desenterrado una herramienta de acceso remoto de origen ruso que se distribuye mediante accesos directos maliciosos de Windows (.LNK) camuflados como carpetas que contienen claves privadas. La plataforma de gestión de superficie de ataque Censys fue la que dio la voz de alarma sobre este conjunto de utilidades personalizado en .NET, que combina múltiples binarios para robar credenciales, registrar pulsaciones de teclado, secuestrar sesiones RDP y crear túneles inversos mediante Fast Reverse Proxy (FRP). Para contexto y seguimiento de la investigación original, puede consultarse la sección de investigación de Censys en su blog: https://censys.io/blog.
El vector de entrada es sencillo y eficaz desde el punto de vista del atacante: un archivo .LNK con aspecto inocuo —en el caso documentado llevaba un nombre similar a “Private Key #kfxm7p9q_yek.lnk”— usa el icono de una carpeta para que la víctima haga doble clic. Ese gesto dispara una secuencia por etapas en la que cada fase descifra o descomprime la siguiente hasta desplegar la herramienta completa. El dropper en el acceso directo invoca un comando de PowerShell ejecutado en oculto, elimina mecanismos de persistencia previos en la carpeta de Inicio de Windows y decodifica en memoria un blob codificado en Base64 que contiene el siguiente cargador.
El stager que sigue pone a prueba la conectividad TCP hacia un servidor remoto y descarga componentes adicionales, a la vez que reajusta reglas de firewall, crea tareas programadas para persistencia, añade usuarios locales de puerta trasera y levanta un servidor de cmd.exe en un puerto concreto (5267) accesible a través del túnel FRP operado por el atacante. La implementación del túnel se apoya en una librería escrita en Go que se inyecta en memoria para establecer canales inversos tanto RDP como TCP; el proyecto FRP usado legítimamente para tunelizado está publicado en GitHub y ayuda a entender los mecanismos que abusan de él: https://github.com/fatedier/frp.
Uno de los ejecutables descargados, identificado como ctrl.exe, actúa como cargador en .NET y arranca una plataforma de gestión —el “CTRL Management Platform”— que puede operar en modo servidor o en modo cliente según los argumentos con los que se lance. La comunicación de mando y control no se realiza como trafico saliente tradicional: en lugar de ello, la herramienta crea una tubería nombrada de Windows (named pipe) para intercambiar órdenes localmente y delega toda la interacción de red a una única sesión RDP trasladada por el túnel FRP. Eso significa que, salvo la sesión RDP, apenas hay balizas de C2 en la red que permitan a detecciones convencionales identificar la intrusión, una táctica pensada para reducir la huella forense en las comunicaciones.
Las capacidades del paquete son múltiples y grasas en su diseño: recolección de información del sistema, ejecución de un módulo de robo de credenciales que simula la ventana de verificación del PIN de Windows Hello, instalación de un keylogger que captura todo lo tecleado y lo guarda en C:\Temp\keylog.txt mediante un hook de teclado, y la posibilidad de mostrar notificaciones tipo “toast” que se hacen pasar por distintos navegadores para inducir a la víctima a introducir credenciales o ejecutar cargas adicionales. El módulo de phishing de credenciales se implementa como una aplicación WPF con una interfaz que imita la comprobación de PIN; además bloquea atajos de teclado como Alt+Tab o Alt+F4 y usa automatización de la interfaz (SendKeys) para validar en paralelo el PIN real y, aun así, registrar la entrada fraudulenta cuando se produce.
Complementan el arsenal dos binarios clave: uno que carga en memoria el componente de túnel inverso (FRPWrapper.exe) y otro que permite multiplicar sesiones RDP concurrentes (RDPWrapper.exe). Censys subraya que ninguno de esos ejecutables incluye direcciones de control incrustadas, y que toda la exfiltración de datos se realiza a través del túnel FRP al escribir o leer desde la tubería nombrada local, otra elección de diseño orientada a la discreción operativa.
Este caso es útil para entender una tendencia que los analistas vienen observando: herramientas a medida, creadas por operadores únicos o pequeños grupos, que priorizan la seguridad operativa por encima de ofrecer un catálogo extenso de funciones. Al concentrar la comunicación por RDP a través de túneles inversos se elude gran parte de los patrones de beaconing que detectan muchas soluciones de defensa basadas en red, y eso complica la detección temprana.
¿Qué se puede hacer para reducir el riesgo y detectar este tipo de amenazas? La primera barrera es la prevención del engaño: tratar con escepticismo accesos directos recibidos por correo o descargados de ubicaciones no fiables y, en general, evitar abrir archivos cuyo origen no esté verificado. A nivel técnico conviene revisar si hay tareas programadas inesperadas, cambios recientes en reglas del firewall, la aparición de usuarios locales desconocidos y la existencia de procesos .NET inusuales; herramientas como Autoruns y Process Explorer de Sysinternals ayudan a inspeccionar arranques y procesos (documentación: https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns). También es prudente evaluar y reforzar la configuración de RDP según las guías de Microsoft para evitar accesos remotos no autorizados: https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-security.
Desde la detección en la red, aunque la táctica usa RDP sobre un túnel para minimizar trazas, es posible buscar señales indirectas: conexiones salientes a servidores FRP inusuales, actividad en puertos no habituales, transferencia de archivos a través de sesiones remotas, o la creación de sockets a puertos atípicos por procesos que no deberían abrirlos. En el plano del endpoint conviene monitorizar la creación de tuberías nombradas y la escritura continuada en archivos temporales de registro de teclas, además de habilitar protección reforzada contra ejecución de scripts y de Office. El marco MITRE ATT&CK ofrece descripciones técnicas y tácticas relacionadas que pueden ayudar a clasificar y priorizar detecciones, por ejemplo respecto a keylogging y ejecución por parte del usuario: https://attack.mitre.org/techniques/T1056/ y https://attack.mitre.org/techniques/T1204/.
Finalmente, conviene recordar que tecnologías legítimas como Windows Hello pueden convertirse en señuelos cuando su interfaz es emulada por un atacante. Para comprender mejor cómo funciona Windows Hello y por qué su UI puede ser suplantada, la documentación oficial ofrece un repaso de su diseño y de las protecciones que aporta: https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-overview.
El hallazgo muestra que los adversarios siguen perfeccionando métodos para permanecer debajo del radar y que los equipos de seguridad deben combinar controles de endpoint, monitoreo de red y formación de usuarios para cerrar la ventana de exposición. La combinación de ingeniería social (un .LNK convincente), ejecución en memoria, persistencia silenciosa y tunelizado de escritorio remoto es efectiva y, sin un enfoque de defensa en capas, difícil de detectar hasta que el daño ya está hecho. Mantener sistemas actualizados, restringir la exposición de servicios remotos y vigilar las señales mencionadas puede marcar la diferencia entre un intento frustrado y una intrusión exitosa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...