AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Cibercriminales adoptan herramientas RMM chinas de código abierto para eludir controles tradicionales**

admin

### 1. Introducción

En los últimos meses, los equipos de respuesta a incidentes y los analistas de amenazas han detectado una sofisticación creciente en los ataques basados en herramientas de administración remota (RMM). Tradicionalmente, los actores de amenazas han abusado de soluciones comerciales ampliamente conocidas, pero un nuevo giro en esta táctica incorpora utilidades chinas de código abierto, lo que complica la detección y la respuesta por parte de los sistemas de defensa convencionales. Esta evolución en la cadena de ataque representa un desafío emergente para los profesionales de ciberseguridad, especialmente en entornos empresariales sujetos a normativas como GDPR y NIS2.

### 2. Contexto del Incidente o Vulnerabilidad

El abuso de software legítimo de administración remota forma parte de la tipología de ataques Living-off-the-Land (LotL), donde los atacantes utilizan herramientas permitidas en el entorno objetivo para evitar la detección. En este caso, investigadores de varias empresas de seguridad han identificado campañas activas en las que actores maliciosos emplean una popular herramienta RMM china de código abierto, denominada en algunos foros como «Sunlogin» o «ToDesk», en sustitución de TeamViewer, AnyDesk o ConnectWise, que ya están sujetos a políticas restrictivas y listas negras en muchas organizaciones.

Este cambio responde a la creciente capacidad de los sistemas EDR y SIEM para identificar patrones de uso anómalos o conexiones sospechosas asociadas a las herramientas RMM occidentales más conocidas. Los atacantes, conscientes de estas limitaciones, han optado por utilizar software menos conocido fuera de China, normalmente distribuido bajo licencias GPL o MIT, que rara vez figura en las listas de aplicaciones bloqueadas.

### 3. Detalles Técnicos

La campaña ha sido clasificada bajo el identificador MITRE ATT&CK T1219 (Remote Access Software). Según los análisis, los actores de amenazas aprovechan la facilidad de despliegue de estas herramientas para establecer persistencia y control remoto no autorizado sobre los sistemas comprometidos. En varios casos, se ha documentado la explotación de la vulnerabilidad **CVE-2022-22071**, que afecta a ciertas versiones de Sunlogin (anteriores a la 11.0.0), permitiendo la ejecución remota de código arbitrario sin autenticación previa.

El vector de ataque inicial suele ser el phishing o la explotación de servicios expuestos con credenciales débiles. Una vez obtenida la primera entrada, los atacantes descargan y configuran la herramienta RMM china, modificando los parámetros de configuración para evitar la detección, como cambiar los puertos por defecto o emplear cifrado propietario en las conexiones. En algunos escenarios, se han observado cargas laterales y uso de scripts de PowerShell para ofuscar la instalación.

Los Indicadores de Compromiso (IoC) incluyen:
– Procesos inusuales como `sunloginclient.exe`
– Conexiones salientes cifradas a direcciones IP asociadas a proveedores chinos de nube
– Cambios en el registro de Windows relacionados con la persistencia de servicios Sunlogin
– Uso del framework Metasploit para el despliegue inicial y lateralización, y Cobalt Strike para el control post-explotación

Se han identificado exploits públicos y secuencias de ataque automatizadas que facilitan la integración de estas herramientas RMM chinas en cadenas de ataque más complejas.

### 4. Impacto y Riesgos

El uso de herramientas no convencionales amplía la superficie de ataque y dificulta la detección mediante firmas tradicionales. En entornos corporativos, los riesgos incluyen:
– Persistencia a largo plazo de accesos no autorizados
– Exfiltración de credenciales y datos sensibles
– Despliegue de ransomware o malware adicional
– Evasión de controles forenses y de monitorización

Según un informe reciente de la consultora Mandiant, hasta un 12% de los incidentes de acceso remoto no autorizado en 2023 implicaron herramientas RMM poco conocidas o de origen chino. El coste medio asociado a estos incidentes supera los 220.000 euros, sumando pérdidas directas, costes de recuperación y sanciones regulatorias por incumplimiento de GDPR.

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan:
– Inventariar y controlar exhaustivamente las soluciones RMM permitidas en la organización
– Ampliar las listas negras a herramientas menos conocidas, como Sunlogin, ToDesk y similares
– Implementar políticas de control de aplicaciones (AppLocker, WDAC) y segmentar los privilegios de administración remota
– Monitorizar conexiones salientes a rangos IP no habituales, especialmente hacia China
– Actualizar sistemas y parchear vulnerabilidades conocidas (como CVE-2022-22071)
– Realizar hunting recurrente de IoC asociados y análisis de comportamiento anómalo en endpoints

### 6. Opinión de Expertos

Javier Romero, CISO de una multinacional tecnológica, destaca: “El abuso de software legítimo de código abierto y procedencia no occidental supone un reto adicional, ya que muchas soluciones de seguridad se centran en firmas y patrones de herramientas comerciales. La clave está en la detección por comportamiento y la monitorización continua de accesos remotos”.

Por su parte, Mireia Gómez, analista de amenazas en un SOC, señala: “Estamos viendo un cambio en los TTPs de grupos avanzados. El uso de herramientas RMM chinas, sumado a técnicas de ofuscación, exige una actualización constante de las reglas de correlación y una colaboración internacional más estrecha”.

### 7. Implicaciones para Empresas y Usuarios

La adopción de este tipo de herramientas implica una revisión de los controles tradicionales. Las empresas deben anticipar la aparición de nuevos vectores RMM en sus entornos y adaptar sus políticas de seguridad, especialmente cuando gestionan activos críticos o datos personales sujetos a GDPR y NIS2. Los usuarios con privilegios elevados requieren formación adicional sobre los riesgos que suponen las herramientas de administración remota no autorizadas.

### 8. Conclusiones

El uso de herramientas RMM chinas de código abierto por parte de actores de amenazas representa una evolución significativa en las tácticas de acceso remoto no autorizado. La defensa eficaz pasa por la visibilidad, la actualización de controles y una monitorización basada en comportamiento más que en firmas. La colaboración entre equipos de seguridad, el intercambio de inteligencia y la adaptación constante a nuevas amenazas resultan imprescindibles para mitigar este tipo de riesgos en el contexto actual.

(Fuente: www.darkreading.com)