Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2789
)
-
▼
abril
(Total:
464
)
-
Neurocientíficos revelan el enorme coste cognitivo...
-
Nvidia lanza modelos de IA abiertos para tareas de...
-
Opera GX ya está disponible en Flathub y la Snap S...
-
Vulnerabilidad en BitLocker de Windows permite a a...
-
Todo lo que necesitas saber sobre el módulo SFP+
-
Ubuntu 26.04 mejora un 18% el rendimiento frente a...
-
Microsoft lanza una IA que genera imágenes 40% más...
-
Google lanza su barra de búsqueda universal para W...
-
El CEO de Phison augura lo peor: la escasez de mem...
-
Vulnerabilidades en el cliente VPN SSL de Synology...
-
Vulnerabilidad de día cero en Microsoft Defender p...
-
Vulnerabilidades críticas en FortiSandbox permiten...
-
Microsoft implementa nuevas protecciones en Window...
-
Fallo crítico en etcd permite acceso no autorizado...
-
Meta y Broadcom preparan varias generaciones de ch...
-
Lexar: los usuarios toleran mejor los recortes de ...
-
Valve podría añadir un seguimiento de precios de 3...
-
OpenAI lanza GPT-5.4 con funciones de ingeniería i...
-
Los precios de tarjetas de memoria y unidades flas...
-
Temperaturas Transceptores SFP+
-
Rust para Linux 7.1 añade una función en pruebas d...
-
Usan instalador falso de Proxifier en GitHub para ...
-
Amazon compra la firma de satélites Globalstar par...
-
ONEXPLAYER X2 Mini: Consola (handheld) con panel O...
-
Navegadores con LLM autónomos abren nuevas vías pa...
-
Actualizaciones de seguridad de ABRIL para todas l...
-
NVIDIA Ising, así es IA abierta para calibrar y co...
-
OpenAI rota certificados de firma en macOS tras ej...
-
Los bloqueos de Movistar se extienden y llegan a l...
-
OpenAI anuncia GPT-5.4-Cyber: modelo de IA centrad...
-
El gran problema de la IA no es la tecnología: es ...
-
PS6 Lite podría utilizar la misma base técnica que...
-
La tríada vinculada a FUNNULL reaparece con más de...
-
ShinyHunters filtra los archivos robados a Rocksta...
-
Eric Yuan, CEO de Zoom, lo tiene claro: "Odio trab...
-
La mitad de los empleados en EE.UU. ya usan inteli...
-
Medios bloquean a Wayback Machine por temor a uso ...
-
Una IA china ha resuelto un problema matemático si...
-
¿Pueden los videojuegos ser Patrimonio de la Human...
-
Mark Zuckerberg supuestamente crea un clon de IA d...
-
ASUS TUF Gaming B850I WiFi NEO: la placa base Mini...
-
Nuevo gusano USB PlugX se propaga en varios contin...
-
Un amplio grupo de expertos advierte a Meta que su...
-
Abril trae un Patch Tuesday masivo
-
DAC vs AOC vs Fibra
-
Tras más de 30 años Microsoft elimina la limitació...
-
¿Cuándo utilizar Fibra óptica SPF y cuando RJ45 de...
-
Anthropic responde con una gran actualización de s...
-
Google estrena los Skills de Gemini en Chrome: una...
-
La iGPU del Intel Core Ultra 5 250K Plus es más po...
-
52 núcleos, DDR5-8000 y TDP de 175 W: los nuevos p...
-
Vulnerabilidad crítica RCE en FortiClient EMS
-
Booking.com confirma filtración de datos: accedier...
-
Si usas Gemini y ya te cansaste de repetir prompts...
-
Miles de usuarios reportan que sus Amazon Fire TV ...
-
Mythos Claude de Anthropic podría ser el mejor mod...
-
La IA de Claude Mythos ya puede hackear una empres...
-
Fortinet corrige 11 vulnerabilidades en FortiSandb...
-
La Exposición Internacional de Modelismo y Videoju...
-
Basic-Fit hackeada, han robado los datos de los cl...
-
Vulnerabilidades en Ivanti Neurons for ITSM permit...
-
Windows 11 te dejará llegar al escritorio sin trag...
-
La conexión PCIe 5.0 x16 completa de CopprLink log...
-
Miles de emails en borrador en Outlook y Hotmail: ...
-
CISA alerta sobre vulnerabilidades explotadas en M...
-
Nvidia desmiente rumor de compra de un gran fabric...
-
Adaptador PCIe de menos de 30$ convierte las tarje...
-
Irán supera las 1.000 horas sin Internet, en lo qu...
-
YMTC planea dos fábricas adicionales en Wuhan, seg...
-
Claude cambia sus límites de uso y los mensajes se...
-
Dejan al descubierto botnet de relleno de credenci...
-
Trisquel 12: nueva versión de la distribución libr...
-
Intel prepara una CPU de 16 núcleos con gráficos i...
-
Windows 11 ya no obliga a instalar actualizaciones...
-
Asus lanza en España el ROG Zephyrus Duo, su portá...
-
Android prepara su propia versión de AirDrop
-
Desarrollador veterano de Windows exhibe IA en una...
-
EE.UU. crea el Destacamento 201. Ha fichado a dire...
-
La FAA aprueba el uso militar de armas láser antid...
-
China ha gastado 3,6 veces más que EE.UU. en subsi...
-
Nvidia afirma que la IA reduce una tarea de diseño...
-
La generación Z tiene un plan para que la IA no le...
-
Especificaciones de los Intel Core Ultra 400 Nova ...
-
China ha descubierto el negocio perfecto: venderle...
-
Honda visita una fábrica de coches china: "No pode...
-
Mozilla critica a Microsoft por instalar Copilot e...
-
OneXPlayer Super V: la tablet-PC 2 en 1 con CPU I...
-
Caja PC "Superdomo" -20 grados de temperatura — 60...
-
Anthropic avisa: la IA empieza a separar a los que...
-
Vulnerabilidades en Apache Tomcat permiten eludir ...
-
Investigador de Google TurboQuant expresó estar im...
-
Vulnerabilidad crítica en Axios permite ejecución ...
-
Super Mario Galaxy: La película encabeza la taquil...
-
Nike enfrenta polémica por defectos en las camiset...
-
Japón lanza un ambicioso plan para ser un gigante ...
-
Hackeo a Basic-Fit expone los datos personales y b...
-
Pequeña ciudad de Misuri destituye a la mitad de s...
-
Claude AI sufre caídas para cientos de usuarios co...
-
OpenAI detecta una brecha de seguridad en el proce...
-
Vulnerabilidad RCE de Marimo explotada en menos de...
-
-
▼
abril
(Total:
464
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Google y Back Market lanzan ChromeOS Flex USB , un kit para recuperar PCs antiguos y combatir la obsolescencia electrónica , facilitando s... -
El sector tecnológico enfrenta una grave crisis en 2026 con casi 80.000 despidos en el primer trimestre , donde la IA es responsable de casi... -
Investigadores de seguridad en Pwn2Own Automotive 2026 demostraron 76 vulnerabilidades únicas de día cero en cargadores de vehículos eléct...
Hackers rusos usan el kit "CTRL" para secuestrar RDP
Un kit de acceso remoto vinculado a Rusia, recientemente revelado y llamado “CTRL”, está siendo utilizado para secuestrar sesiones del Protocolo de Escritorio Remoto (RDP) y robar credenciales de sistemas Windows. Según Censys ARC, el malware es un marco personalizado de .NET que combina phishing, keylogging, túneles inversos y persistencia en una sola cadena de ataque.
Un kit de acceso remoto recientemente descubierto, vinculado a Rusia y llamado “CTRL”, está siendo utilizado para secuestrar sesiones del Protocolo de Escritorio Remoto (RDP) y robar credenciales de sistemas Windows.
Según Censys ARC, el malware es un framework personalizado en .NET que combina phishing, keylogging, tunneling inverso y persistencia en una sola cadena de ataque.
Censys ARC informó que el kit de herramientas fue descubierto durante un escaneo de directorios abiertos, después de que los investigadores encontraran un archivo LNK malicioso y tres payloads en .NET alojados en el dominio hui228[.]ru.
Según Censys, el framework no había aparecido en repositorios públicos de malware ni en fuentes importantes de inteligencia de amenazas en el momento del análisis, lo que sugiere que podría estar siendo utilizado de forma privada en lugar de distribuirse ampliamente.
Kit de Acceso Remoto “CTRL”
Los investigadores vincularon la operación a un desarrollador de habla rusa, basándose en cadenas de texto en ruso, artefactos de desarrollo e infraestructura de soporte.
Censys ARC también observó que el kit de herramientas fue diseñado para sistemas Windows modernos, incluyendo versiones recientes, lo que demuestra que el malware está en desarrollo activo.
.webp)
El ataque comienza con un archivo de acceso directo (LNK) armado, disfrazado como una carpeta que simula ser un archivo de clave privada.
Según Censys, el archivo LNK ejecuta código PowerShell oculto que decodifica y ejecuta un cargador de múltiples etapas completamente en memoria.
Censys ARC descubrió que el malware almacena los payloads dentro de claves del registro de Windows bajo rutas relacionadas con Explorer, lo que les permite mezclarse con datos normales del sistema.
El cargador inicial crea tareas programadas, añade reglas de firewall, descarga componentes adicionales y prepara el sistema para un acceso a largo plazo.
El informe también señala que el malware puede eludir el Control de Cuentas de Usuario (UAC) mediante un secuestro del registro y un binario de Microsoft firmado. Una vez elevado, instala el resto del kit de herramientas y mantiene el acceso incluso después de reinicios.
Secuestro de RDP y Robo de Credenciales
Una de las partes más peligrosas de CTRL es su capacidad para habilitar acceso RDP oculto. Según el informe de Censys ARC, el malware parchea termsrv.dll e instala RDP Wrapper, permitiendo a los atacantes crear sesiones de escritorio remoto concurrentes sin alertar a la víctima.
El kit de herramientas también incluye un falso mensaje de PIN de Windows Hello. Los investigadores de Censys señalaron que la ventana de phishing imita casi a la perfección la interfaz real de Windows, muestra los detalles reales de la cuenta de la víctima y valida los PIN robados contra el proceso de autenticación real.
.webp)
Además, el malware ejecuta un keylogger en segundo plano y soporta la ejecución de comandos a través de una tubería nombrada llamada ctrlPipe.
Según Censys, esto permite al operador controlar la máquina infectada localmente a través de la sesión RDP comprometida, en lugar de usar un canal de comando y control tradicional y ruidoso.
Para reducir la visibilidad en la red, CTRL utiliza Fast Reverse Proxy (FRP) para establecer túneles inversos hacia infraestructura controlada por los operadores.
Censys ARC informó que el malware utilizó infraestructura vinculada a las IPs 194.33.61.36 y 109.107.168.18, así como al dominio hui228[.]ru.
Este diseño ayuda al atacante a evitar patrones clásicos de beaconing, comunes en troyanos de acceso remoto comerciales.
Según Censys, el operador puede moverse a través de RDP tunelizado y acceso por shell dejando menos rastros evidentes en la red.
Indicadores de Compromiso
La IP 194.33.61.36 se utiliza para alojar payloads y como servidor de retransmisión FRP. La IP 109.107.168.18 actúa como un segundo relay FRP en el puerto 7000.
El dominio hui228[.]ru se emplea para comando y control mediante DNS dinámico.
![Consola sospechosa protegida por contraseña en hui228[.]ru (fuente: censys)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1FcdL6tWTZa-4_FLZJkKQoaR3FSGpX8DSTzw49c8FiYFSL4XnsPE0OOq6WMJSHTRmk80UejERTKN2a8V1pD5MOOhgDD8kSA-L4NPUPcgJnnkxd7fm1eFuGdP7gnEnnZLbADD9lD-CElk7BIY_mQ1nznIEFNybuhMaT5XsUGEMGchyphenhyphenIyaaBabzOFMsa7k/w640-h382/Screenshot%202026-03-30%20180504%20(1).webp)
Se crea una entrada maliciosa en el registro en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\, almacenando el payload como ShellStateVersion1.
El archivo C:\Temp\keylog.txt se usa para guardar las pulsaciones de teclas capturadas. El archivo C:\ProgramData\frp\frpc.toml contiene la configuración oculta de FRP y tokens de C2.
Una tubería nombrada llamada ctrlPipe se emplea para la comunicación local de comando y control. Censys ARC recomienda monitorear datos binarios inusuales escritos en claves del registro de Explorer, tareas programadas inesperadas, instalación de RDP Wrapper y cuentas ocultas con privilegios de administrador.
Los defensores también deben vigilar el tráfico saliente de FRP y sistemas que realicen conexiones sospechosas a la infraestructura mencionada.
Fuentes:
https://cybersecuritynews.com/ctrl-for-rdp-hijacking/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.