Se ha detectado una campaña activa en la que actores de amenazas están utilizando llamadas de Microsoft Teams y técnicas de ingeniería social para eludir las defensas corporativas e instalar “EtherRAT”, un troyano de acceso remoto (RAT) sigiloso. Los atacantes se hacen pasar por personal de soporte técnico (Helpdesk) para engañar a los usuarios y obtener el control total de sus equipos bajo la apariencia de una asistencia técnica rutinaria.
Veredicto Analítico
- Estado: Campaña Activa. Descubierta y analizada por la Unidad 42 de Palo Alto Networks.
- Confianza: Absoluta. Existen Indicadores de Compromiso (IoCs) claros y un modus operandi bien documentado.
- Riesgo para SOC, TDIR y Redes: Alto. El ataque abusa de herramientas legítimas de acceso remoto (Living-off-the-Land) y de la confianza en las plataformas de colaboración corporativas, lo que le permite evadir fácilmente las soluciones tradicionales de seguridad para endpoints (EDR/AV).
- Urgencia Operativa: Media-Alta. Se requiere concienciación inmediata de los usuarios finales y endurecimiento de las políticas de comunicación externa en Microsoft Teams.
- Base del Veredicto: Uso combinado de phishing, abuso de software legítimo y un troyano basado en Node.js que utiliza contratos inteligentes (blockchain) para ocultar su infraestructura de Comando y Control (C2).
Hallazgos Clave
- El Malware (EtherRAT): Es un troyano multiplataforma desarrollado en Node.js. Permite la ejecución de comandos, manipulación de archivos y exfiltración de datos confidenciales.
- Infraestructura de C2 Resiliente: EtherRAT utiliza una táctica inusual: recupera la dirección de su servidor de Comando y Control interactuando con contratos inteligentes de Ethereum, lo que dificulta enormemente el bloqueo a nivel de red por parte de los defensores.
- Evolución de la Amenaza: Históricamente vinculado a operaciones patrocinadas por estados (APT), EtherRAT ahora parece haber sido adoptado por grupos criminales más amplios. Se encontraron múltiples versiones (v1 a v9) en el servidor de distribución, indicando un desarrollo activo.
Análisis Técnico: Mecanismo de Explotación
Esta cadena de ataque destaca por su alto nivel de interacción humana y el abuso de componentes legítimos:
- Atracción Inicial (Phishing): La víctima recibe un correo electrónico engañoso que simula ser una “encuesta a empleados”, el cual incluye un archivo PDF malicioso.
- Suplantación y Llamada (Ingeniería Social): Tras la apertura del archivo, la víctima recibe una llamada de Teams no solicitada desde un inquilino externo de Microsoft 365. El atacante utiliza un dominio visualmente similar a un servicio de asistencia (ej. helpdesk@Progressive936.onmicrosoft[.]com) para generar confianza.
- Control Remoto Legítimo: El atacante persuade a la víctima para compartir pantalla y la guía paso a paso para descargar e instalar software de soporte remoto legítimo. Al ser aplicaciones comerciales reconocidas, no levantan sospechas.
- Despliegue Sigiloso: Una vez con el control, el atacante descarga y ejecuta un instalador MSI malicioso (v7.msi).
- Ejecución y Persistencia: Este instalador despliega silenciosamente un entorno de ejecución de Node.js legítimo, descifra las cargas útiles y ejecuta EtherRAT en la máquina comprometida.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Archivo Adjunto de Spearphishing (Spearphishing Attachment – T1566.001) y Phishing de Voz / Vishing (Voice Phishing – T1566.004) adaptado a Teams.
- Ejecución: Interacción de Usuario (User Execution – T1204) al instalar el software remoto.
- Evasión de Defensas / Comando y Control: Software de Acceso Remoto (Remote Access Software – T1219) para el acceso inicial, y uso de Tecnologías Descentralizadas / Blockchain (T1008 / Fallback Channels) para resolver la dirección del C2.
Recomendaciones Operativas
Para Administración de Redes y TI (Acción Prioritaria)
- Endurecimiento de Teams: Restringir la capacidad de los usuarios corporativos para recibir llamadas o chats de cuentas externas (inquilinos externos) en Microsoft Teams. Si la comunicación externa es necesaria, asegurarse de implementar la política que coloca automáticamente a los usuarios/bots no reconocidos en la “sala de espera”.
- Concienciación de Usuarios (Security Awareness): Instruir a los empleados para que verifiquen cualquier solicitud de soporte de TI no anunciada a través de un canal secundario conocido (ej. llamando directamente a la extensión interna del Helpdesk).
Para el Centro de Operaciones de Seguridad (SOC)
- Monitoreo de Herramientas RMM: Implementar alertas en el EDR para detectar la instalación inesperada de software de gestión remota (RMM) legítimo, como TeamViewer, AnyDesk, ScreenConnect, etc., especialmente si son ejecutados por usuarios no pertenecientes al departamento de TI.
- Ingesta de IoCs: Bloquear los dominios y monitorizar los artefactos MSI detallados a continuación.
Indicadores de Compromiso (IoC)
- Correo electrónico/Cuenta: helpdesk@Progressive936.onmicrosoft[.]com (Cuenta externa de Teams utilizada para suplantar la identidad del soporte técnico).
- Dominio: camorreado[.]clic (Servidor de distribución que aloja el instalador MSI malicioso).
- Archivo: v7.msi (Instalador MSI malicioso que carga el entorno de ejecución de Node.js y la carga útil de EtherRAT).
- Archivo (Relacionado): v1.msi a v9.msi (Versiones del instalador halladas en un directorio de distribución abierto, lo que indica que el desarrollo está en curso).




