Investigadores de ciberseguridad han identificado una táctica preocupante: actores del grupo detrás del ransomware conocido como Crazy están aprovechando herramientas legítimas de supervisión y soporte remoto para afianzarse en redes corporativas, pasar desapercibidos y preparar el lanzamiento del cifrado. Esta estrategia, descrita en detalle por Huntress, combina software de monitorización de empleados con clientes de acceso remoto para crear una doble vía de acceso que la víctima puede confundir fácilmente con actividad administrativa normal.
En varios incidentes analizados, los atacantes desplegaron el producto comercial Net Monitor for Employees Professional instalando el agente mediante el instalador de Windows (msiexec.exe) y, en algunos casos, descargando componentes directamente desde la web del desarrollador. Una vez activo, ese agente permite ver el escritorio en tiempo real, mover archivos y ejecutar comandos remotos, lo que proporciona a los intrusos un control interactivo muy similar al de un administrador legítimo. El uso del instalador oficial complicó la detección, porque las señales se asemejan a instalaciones válidas.
Como redundancia, los operadores también introdujeron el cliente de la herramienta SimpleHelp mediante comandos de PowerShell, en ocasiones renombrando el binario para que pareciera parte de Visual Studio (por ejemplo, vhost.exe) o incluso como un servicio de OneDrive dentro de ProgramData (por ejemplo, C:\\ProgramData\\OneDriveSvc\\OneDriveSvc.exe). Ejecutado ese payload alternativo, los atacantes conservaban acceso aun si el agente de monitorización era eliminado.
El registro de las intrusiones muestra además intentos de elevar privilegios locales (por ejemplo, activando la cuenta de administrador con el comando net user administrator /active:yes) y acciones de debilitamiento del antivirus nativo, con intentos de detener y borrar servicios asociados a Windows Defender. También se detectaron reglas de alerta configuradas en SimpleHelp para avisar sobre actividad relacionada con criptomonedas (palabras clave como metamask, exodus, wallet, etherscan, bscscan, binance, entre otras) y para vigilar conexiones mediante herramientas de acceso remoto (RDP, AnyDesk, TeamViewer, VNC). Estas señales indican que los atacantes no solo buscaban implantar ransomware, sino también identificar y exfiltrar criptoactivos si surgía la oportunidad.
El empleo simultáneo de varias herramientas remotas da a los intrusos tolerancia a fallos: si una puerta de acceso se descubre o se bloquea, otra sigue disponible. Huntress observa patrones técnicos compartidos entre los incidentes —como el mismo nombre de archivo (vhost.exe) y C2 solapada—, lo que sugiere que un único operador o grupo reutilizó componentes en distintas víctimas. El resultado concreto fue al menos una infección con el ransomware Crazy, aunque las tácticas pueden aplicarse en campañas más amplias.
Este tipo de abusos no es excepcional: los ciberdelincuentes llevan tiempo aprovechando herramientas legítimas de administración remota porque generan menos alarma y son más difíciles de distinguir del tráfico administrativo real. El uso de credenciales comprometidas en VPNs SSL fue el punto de entrada en los casos examinados, lo que subraya la importancia de asegurar los accesos remotos con controles robustos.
¿Qué pueden hacer las organizaciones para reducir este riesgo? En primer lugar, aplicar autenticación multifactor (MFA) en todos los servicios de acceso remoto y en las VPNs reduce drásticamente la probabilidad de que credenciales robadas permitan un compromiso inicial; es una recomendación recurrente en guías de ciberseguridad como la iniciativa Stop Ransomware de la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) https://www.cisa.gov/stopransomware.
Desde el punto de vista técnico conviene habilitar controles que dificulten la instalación silenciosa de software y la ejecución de scripts no autorizados: mecanismos de control de aplicaciones (AppLocker o Windows Defender Application Control), protección contra manipulación del antivirus, y políticas que restrinjan el uso de msiexec y la descarga/extracción mediante PowerShell sin supervisión. Microsoft ofrece documentación práctica sobre protección y registro de PowerShell, así como sobre la configuración de la protección contra manipulaciones en Microsoft Defender https://learn.microsoft.com.
La telemetría y el monitoreo son otra línea de defensa crítica: los equipos de seguridad deben auditar instalaciones de agentes remotos y soportes (por ejemplo, búsquedas proactivas de procesos y rutas sospechosas como ProgramData\\OneDriveSvc\\OneDriveSvc.exe o ejecutables con nombres inesperados similares a vhost.exe), inspeccionar los logs por ejecuciones de msiexec y descargas via PowerShell, y generar alertas ante cambios en configuraciones de seguridad o actividad anómala en cuentas privilegiadas. Las soluciones EDR bien configuradas pueden detectar tanto comportamientos como indicadores de compromiso en estas campañas.
No menos importante es la segmentación de red y la limitación de privilegios: separar los activos críticos, evitar el uso extendido de cuentas con privilegios locales persistentes y revisar periódicamente los accesos administrativos. Mantener copias de seguridad regularizadas, aisladas y verificadas permite recuperar operaciones tras un ataque por ransomware sin sucumbir a la extorsión.
Para entender mejor las herramientas que los atacantes están explotando, puede consultarse la web del proveedor de SimpleHelp https://www.simplehelp.com/ y la página del producto Net Monitor for Employees del desarrollador https://www.netmonitorsoft.com/. La investigación de Huntress recoge los detalles técnicos y ejemplos de telemetría que pueden ayudar a equipos de detección a buscar patrones similares en sus entornos: informe de Huntress.
En definitiva, el abuso de software legítimo obliga a un cambio de mentalidad: ya no basta con bloquear herramientas "maliciosas" en listas negras; es necesario vigilar el uso legítimo de herramientas administrativas, endurecer los controles de acceso y elevar la visibilidad para detectar cuándo esas utilidades son usadas con fines maliciosos. La combinación de medidas preventivas—MFA, control de aplicaciones, segmentación y copias de seguridad—con capacidad de detección y respuesta rápida es la mejor defensa contra estas operaciones cada vez más sigilosas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...