Nuevas investigaciones revelan que el grupo APT29, también conocido como «Midnight Blizzard», está utilizando 193 servidores proxy RDP para llevar a cabo ataques Man-in-the-Middle (MiTM). Estas acciones permiten el robo de credenciales sensibles, datos confidenciales y la entrega de cargas maliciosas en sectores críticos.
🔍 ¿Qué está pasando?
Los atacantes, rastreados como ‘Earth Koshchei’ por Trend Micro, están centrando sus ataques en sectores estratégicos, entre ellos:
- Organismos gubernamentales y militares
- Entidades diplomáticas
- Proveedores de servicios en la nube, TI y empresas de ciberseguridad
🧰 Tácticas clave empleadas por APT29
- Uso de PyRDP, una herramienta ofensiva basada en Python, para interceptar y manipular sesiones RDP en tiempo real.
- Extracción de datos del portapapeles, archivos transferidos y hashes NTLM durante las sesiones.
- Uso de técnicas de engaño, como falsas pruebas de almacenamiento seguro en AWS, para ocultar su actividad y evadir detección.
🌐 Infraestructura comprometida
- 193 proxies RDP utilizados para redirigir víctimas a 34 servidores controlados por los atacantes.
- Enmascaramiento de IPs mediante el uso de VPNs comerciales, la red TOR y proxies residenciales.
🛡️ ¿Cómo protegerte?
- Desconfía de correos sospechosos: Verifica remitentes y evita abrir archivos o enlaces no esperados.
- Limita el uso de RDP: Conéctate solo a servidores de confianza. No sigas enlaces RDP enviados por email.
- Monitorea tu red: Revisa patrones de comportamiento inusuales en conexiones RDP y refuerza las alertas.
🔗 Más detalles técnicos, TTPs y consultas de búsqueda
Consulta el análisis completo por Feike Hacquebord y Stephen Hilt aquí: Informe técnico
Indicadores de compromiso (IOCs)
APT29 continúa demostrando un alto nivel de sofisticación. Estar informado y aplicar buenas prácticas de seguridad es clave para mitigar estos ataques cada vez más avanzados.
¿Quieres que prepare una brújula de contenido (Content Compass) para convertir esto en una guía de respuesta ante ataques RDP MiTM?