Los virus ya no están de moda: ahora los hackers estafan a los usuarios con herramientas para administradores de sistemas
¿Para qué escribir código complicado si basta con AnyDesk?
Los atacantes utilizan cada vez más herramientas legales de administración remota en lugar de malware complejo. Estos programas permiten obtener el control total del ordenador de la víctima. Según los datos de Huntress, en 2025 el abuso de este tipo de herramientas se convirtió en la amenaza más frecuente y representó alrededor del 24% de todos los incidentes. En un año, la cantidad de esos ataques aumentó un 277%.
En las nuevas campañas, los atacantes a menudo encadenan varias herramientas de administración remota. Una instala a la otra, y luego una tercera. Este enfoque dificulta su detección y permite mantener el acceso al sistema incluso después de una limpieza parcial.
En diciembre de 2025, los especialistas registraron una campaña que distribuía instaladores MSI que instalaban programas de acceso remoto y ejecutaban scripts adicionales. Los scripts analizaban el historial del navegador y buscaban menciones de servicios financieros y plataformas de criptomonedas, incluyendo QuickBooks y Coinbase. El objetivo era localizar cuentas valiosas. Sin embargo, uno de los scripts no llegó a enviar los datos recopilados, aunque en los comentarios se mencionaba el envío de información a Telegram.
En enero de 2026, los atacantes empezaron a usar el sistema de gestión de vulnerabilidades Action1 para instalar el cliente ScreenConnect mediante paquetes Microsoft Installer. En otros casos, el despliegue se realizaba a través de Windows Script Host. En una campaña, la herramienta InjectProx-hiro Remote Support instalaba ScreenConnect y enviaba a Telegram una notificación con el nombre del equipo infectado.
La distribución suele ocurrir mediante cebos. A los usuarios se les ofrecen “documentos” del Seguro Social de EE. UU. o invitaciones a eventos. Tras la descarga se instala un programa de acceso remoto. Las campañas se difunden por correos masivos y mediante resultados de búsqueda envenenados.
Los especialistas encontraron la infraestructura de esos ataques en repositorios de GitHub, incluyendo las cuentas VH851 y Drasticc. Las páginas alojadas allí intentaban forzar la descarga del instalador MSI de varias maneras consecutivas: mediante un enlace oculto, un iframe o una descarga a través de un blob.
Algunos sitios verificaban el sistema operativo del visitante y permitían la descarga solo a usuarios de Windows. En otra campaña, por el contrario, las páginas se abrían únicamente en dispositivos móviles y pedían iniciar sesión en el correo para ver la “invitación”, lo que conducía al robo de credenciales.
A veces ocultan la infraestructura detrás de servicios de Cloudflare para dificultar el bloqueo de sitios maliciosos.
En diciembre los atacantes incluso se registraron en la plataforma Huntress, probablemente para probar las capacidades de detección de ataques. La observación mostró su modus operandi. El atacante alquiló un servidor virtual en Crowncloud, compró tarjetas regalo para el registro de dominios, usó CertifyTheWeb para gestionar certificados y empleó la red neuronal DeepSeek para preparar la infraestructura.
Después se instalaban extensiones de navegador para recopilar direcciones de correo electrónico, números de teléfono y perfiles en redes sociales. Para enmascarar la actividad se utilizaron Proxy SwitchyOmega y el servicio 9Proxy. Tras obtener acceso, el atacante accedía a los correos de las víctimas e intentaba conseguir acceso a servicios bancarios mediante la restauración de contraseñas.
En el conjunto de herramientas también hallaron la utilidad Hide From Uninstall List, que oculta los programas instalados de la lista de desinstalación. Otra técnica está relacionada con el archivo pin.exe, que se hace pasar por una ventana de seguridad de Windows y solicita el PIN del usuario. El código introducido se guarda en un archivo de texto.
En este tipo de ataques se usan con más frecuencia AnyDesk, Action1, Atera, Chrome Remote Desktop, ScreenConnect, SimpleHelp, Splashtop, RustDesk, MeshAgent, LiteManager y NetSupport.
La principal característica de estas campañas es la simplicidad. Los atacantes rara vez escriben malware propio y usan herramientas legales de administración remota como canal de control y recolección de datos de los equipos infectados.