El equipo de SANS ha revelado una nueva táctica de ataque que redefine el concepto de ingeniería silenciosa: se están utilizando versiones troyanizadas de herramientas ampliamente confiables como PuTTY y el cliente OpenSSH para Windows como vectores de acceso y persistencia en entornos corporativos.
❗ ¿Qué está ocurriendo?
Grupos de amenazas avanzadas están distribuyendo ejecutables maliciosos camuflados como utilidades legítimas. Una vez ejecutados, instalan y activan un servicio oculto llamado SSHService. Si por alguna razón este servicio falla, el malware emplea el registro de Windows para garantizar su ejecución persistente y silenciosa, operando con puertos aleatorios generados dinámicamente para dificultar su rastreo.
Lo más alarmante: la conexión con el servidor de comando y control (C2) simula tráfico HTTPS legítimo, utilizando el puerto 443 —habitualmente reservado para tráfico web seguro— y comunicándose con la dirección IP 193.187.174.3. Este tráfico queda camuflado entre la actividad normal de la red, evadiendo inspecciones superficiales.
🔍 Detalles técnicos relevantes
- Archivo malicioso:
dllhost.exe - Hash SHA-256:
b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b - Nivel de detección en VirusTotal: bajo (solo 18 de 71 motores antivirus lo reconocen como amenaza)
- Configuración personalizada de SSH: desactiva verificaciones de host key para facilitar el acceso sin alertas
- Ciclos de conexión lentos y espaciados: diseñados para eludir detección basada en análisis de comportamiento
🧠 ¿Por qué es preocupante?
El uso de herramientas ampliamente conocidas como PuTTY y OpenSSH, firmadas o disfrazadas como versiones legítimas, reduce el umbral de sospecha dentro de los equipos de seguridad. Muchos entornos permiten este tipo de software por defecto, lo que facilita a los atacantes establecer puertas traseras persistentes sin levantar banderas rojas inmediatas.
Para los equipos SOC (Centros de Operaciones de Seguridad), esto representa una amenaza significativa: las herramientas que tradicionalmente se asocian con administración segura y control remoto ahora se convierten en caballos de Troya invisibles.
⚠️ Lecciones clave
- Confianza ≠ Seguridad: El hecho de que una herramienta sea ampliamente usada no significa que esté libre de riesgo.
- Verifica el origen y la integridad de cualquier binario, incluso si es “conocido”.
- Monitorea patrones de comportamiento anómalo, especialmente servicios nuevos o cambios en el uso del puerto 443.
- Segmenta la red y aplica políticas de mínimos privilegios para limitar el impacto si un host es comprometido.
🔐 En ciberseguridad, lo familiar puede ser lo más peligroso. Revisa, audita y nunca asumas que lo “legítimo” es siempre seguro. La nueva frontera de la amenaza no grita… susurra.
