### Ciberdelincuentes Abusan de Velociraptor para Comprometer Endpoints y Ejecutar Visual Studio Code

#### Introducción

El panorama de amenazas en ciberseguridad sigue evolucionando hacia escenarios cada vez más sofisticados, donde los actores maliciosos optan por el uso de herramientas legítimas para evadir la detección y comprometer infraestructuras empresariales. Un reciente incidente analizado por investigadores de seguridad pone de manifiesto cómo Velociraptor, una solución open-source orientada a la monitorización forense y respuesta ante incidentes, ha sido reutilizada como vector de ataque para desplegar y ejecutar Visual Studio Code en sistemas comprometidos. Este caso evidencia la creciente tendencia de abuso de software legítimo, un reto significativo para equipos SOC, consultores de ciberseguridad y responsables de la protección de activos críticos.

#### Contexto del Incidente

El incidente fue detectado en una organización cuyo nombre no ha sido revelado, donde un actor no identificado consiguió instalar y operar Velociraptor en endpoints internos. A través de esta herramienta, los atacantes descargaron y ejecutaron Visual Studio Code, presumiblemente para facilitar la carga y ejecución de código malicioso adicional, manipulación de archivos, o incluso movimiento lateral dentro de la red. La utilización de Velociraptor —legítimamente empleado en investigaciones forenses— permitió a los atacantes mimetizar su actividad y eludir controles de seguridad basados en firmas y comportamientos reconocibles.

El abuso de herramientas forenses y de administración remota (RMM) no es un fenómeno nuevo; sin embargo, la sofisticación y el nivel de integración con procesos legítimos dificulta enormemente la detección temprana y la respuesta eficaz. Casos previos han involucrado soluciones como Cobalt Strike, Metasploit o AnyDesk, pero la implicación de Velociraptor supone un giro relevante por su enfoque en la monitorización avanzada y la recopilación de artefactos digitales.

#### Detalles Técnicos

El ataque se apoya en la descarga y ejecución silenciosa de Velociraptor sobre sistemas Windows, si bien la herramienta es multiplataforma. No se ha asociado un CVE específico al vector de entrada inicial, lo que sugiere el uso de credenciales comprometidas, phishing dirigido, o explotación de vulnerabilidades conocidas en servicios expuestos. Una vez desplegado, Velociraptor fue configurado para recibir instrucciones de un servidor C2 (Command and Control) bajo control de los atacantes.

Los TTPs identificados se corresponden principalmente con las siguientes tácticas del framework MITRE ATT&CK:

– **T1059 – Command and Scripting Interpreter:** Ejecución de scripts y comandos a través de Visual Studio Code para automatizar tareas maliciosas.
– **T1105 – Ingress Tool Transfer:** Transferencia de herramientas y payloads adicionales mediante Velociraptor.
– **T1021 – Remote Services:** Potencial uso de servicios remotos para moverse lateralmente dentro de la red.

Entre los IoC detectados figuran rutas de instalación atípicas de Velociraptor, conexiones salientes a dominios no autorizados y la presencia de procesos de Visual Studio Code en sistemas fuera del perfil habitual de desarrollo.

#### Impacto y Riesgos

El uso indebido de Velociraptor representa un riesgo considerable para la integridad y confidencialidad de los sistemas afectados. Dada su capacidad para recopilar registros, volcado de memoria y otros artefactos críticos, un atacante puede obtener información sensible, credenciales y datos personales sujetos a la GDPR. Además, la ejecución de Visual Studio Code abre la puerta a la implantación de malware personalizado, backdoors y herramientas de post-explotación como Mimikatz o PowerShell Empire.

Según estimaciones recientes, más del 30% de los incidentes de intrusión en 2023 implicaron el abuso de herramientas legítimas (Living-off-the-Land Binaries, LOLBins), dificultando la atribución y aumentando los costes de remediación, que pueden superar los 500.000 euros en medianas y grandes empresas.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, los equipos de ciberseguridad deben:

– **Restringir el uso de herramientas forenses y administrativas** a equipos y cuentas autorizadas, aplicando controles de lista blanca (allowlisting).
– **Monitorizar y alertar sobre instalaciones y ejecuciones no autorizadas** de software como Velociraptor y Visual Studio Code.
– **Auditar conexiones salientes** y detectar patrones de C2 anómalos en logs de red y EDR.
– **Aplicar el principio de mínimo privilegio** y reforzar el proceso de gestión de credenciales.
– **Actualizar y parchear sistemas** para reducir la superficie de exposición ante exploits conocidos.

#### Opinión de Expertos

Varios analistas del sector destacan que el abuso de herramientas open-source con fines maliciosos es un síntoma de la madurez operativa de los atacantes. “El reto ya no es sólo detectar malware tradicional, sino identificar el uso indebido de aplicaciones perfectamente legítimas en entornos donde su presencia no está justificada”, subraya un consultor de respuesta ante incidentes.

#### Implicaciones para Empresas y Usuarios

La explotación de Velociraptor obliga a empresas y administradores de sistemas a revisar y endurecer sus políticas de seguridad, especialmente en lo referente a la gestión de herramientas de análisis forense y desarrollo. La legislación europea (GDPR, NIS2) impone la obligación de garantizar la trazabilidad y protección de los datos, lo que implica la necesidad de soluciones SIEM y EDR capaces de identificar actividad anómala incluso en herramientas de confianza.

#### Conclusiones

El uso malicioso de Velociraptor para el despliegue de Visual Studio Code evidencia que los atacantes siguen apostando por la reutilización de software legítimo para evadir defensas y maximizar el impacto. La vigilancia continua, la formación del personal y la adopción de soluciones de detección basadas en comportamiento serán claves para mitigar estos riesgos en el contexto actual.

(Fuente: feeds.feedburner.com)