Hackers de APT que atacan servidores RDP para implementar cargas útiles maliciosas y establecer persistencia

Uno de los grupos de piratería respaldados por el Estado más peligrosos del mundo está atacando activamente servidores de Protocolo de escritorio remoto (RDP) en infraestructuras críticas, organizaciones de defensa y agencias gubernamentales. El actor de amenazas, conocido como APT-C-13 y ampliamente rastreado como Sandworm, APT44, Seashell Blizzard y Voodoo Bear, lleva mucho tiempo realizando operaciones cibernéticas desde al menos 2009.

Sin embargo, su última campaña marca un cambio brusco en la estrategia: se aleja de los ataques destructivos y únicos hacia una infiltración silenciosa y de largo plazo diseñada para recolectar inteligencia durante períodos prolongados. El punto de entrada de la campaña es una imagen ISO disfrazada llamada Microsoft.Office.2025×64.v2025.iso, distribuida a través de canales de Telegram y comunidades de descifrado de software en Ucrania. Cuando una víctima monta la imagen e intenta instalar o activar lo que parece ser Microsoft Office, los ejecutores ocultos disfrazados de auto.exe o setup.exe se inician silenciosamente en segundo plano. Cadena de ataque APT-C-13 (Fuente: Weixin) Los analistas de Weixin en el 360 Threat Intelligence Center identificaron esta campaña y confirmaron que APT-C-13 está implementando un marco de penetración modular conocido como la serie Tambur/Sumbur/Kalambur.

Los investigadores describen el cambio general del grupo como un paso de una “interrupción instantánea” a un “parasitismo persistente impulsado por la inteligencia”, una evolución calculada observada entre 2024 y 2026. La publicación Hackers de APT que atacan servidores RDP para implementar cargas útiles maliciosas y establecer persistencia apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗