VPN, contraseña robada y un script de GitHub: un hacker tomó una red corporativa en pocas horas — casi sin dejar rastro

A los atacantes ya no les hace falta escribir complejos programas maliciosos desde cero. A veces basta tomar una herramienta lista de GitHub y usarla tal cual. Así fue como a mediados de abril ocurrió un ataque en el que especialistas de Huntress detectaron por primera vez el abuso del proyecto Komari.

El 16 de abril de 2026 el atacante accedió a la red corporativa a través de una VPN, usando credenciales robadas. A continuación los acontecimientos se desarrollaron rápidamente y casi sin ruido. Desde una máquina dentro de la red el atacante habilitó el acceso remoto por el protocolo de escritorio remoto, se conectó manualmente e instaló Komari, disfrazando el servicio como «Windows Update Service».

Komari parece una herramienta común de monitorización de servidores. Proyecto de código abierto, escrito en Go, se desarrolla activamente y tiene miles de estrellas en GitHub. Pero a diferencia de muchas soluciones similares, aquí no hace falta «retocar» nada para usarlo en un ataque. El control del sistema ya está integrado por defecto.

Tras la instalación, el agente Komari abre una conexión persistente con el servidor de control y espera órdenes. A través de ella se pueden ejecutar comandos en el sistema, obtener acceso interactivo a la línea de comandos o comprobar la disponibilidad de otros nodos de la red. Todas las funciones están activadas desde el principio, sin configuraciones adicionales.

El atacante no intentó ocultar la instalación. El script de instalación se descargó directamente del repositorio oficial. Este enfoque complica la defensa: bloquear GitHub puede afectar el funcionamiento de procesos legítimos, por eso ese tipo de tráfico rara vez se filtra de forma estricta.

Un único inicio de sesión VPN desde una dirección perteneciente a un proveedor de servidores virtuales en Países Bajos permitió el acceso a la red. Tras la conexión, el atacante empleó la utilidad smbexec del conjunto Impacket para ejecutar comandos de forma remota. Con ella activaron el escritorio remoto y abrieron el puerto necesario en el cortafuegos.

El intento de extraer datos del registro del sistema llamó la atención de la protección integrada de Windows. El antivirus detectó actividad sospechosa y bloqueó parte de las acciones. Tras ello, el atacante cambió de táctica y apostó por Komari como canal principal de control.

El agente se estableció en el sistema como un servicio de Windows. Para ello se usó la utilidad NSSM, que permite ejecutar cualquier programa como servicio del sistema y reiniciarlo automáticamente. Como resultado, Komari obtuvo privilegios SYSTEM y empezó a funcionar como un canal de comunicación persistente con el servidor del atacante.

Tras la instalación el atacante se desconectó del escritorio remoto. A partir de entonces el acceso manual ya no fue necesario. El control de la máquina se realizaba a través de una conexión cifrada que externamente no se diferenciaba del tráfico HTTPS habitual.

El incidente se pudo detener con rapidez. La máquina comprometida fue aislada, la cuenta de usuario se desactivó, y se cortó la conexión con el servidor del atacante antes de que este comenzara a ejecutar comandos a través de Komari. Gracias a ello se evitó una mayor propagación por la red y la filtración de datos.

Para defenderse en este tipo de situaciones hay que fijarse no en el nombre del programa, sino en su comportamiento. Conexiones salientes persistentes, el lanzamiento inesperado de la línea de comandos o de PowerShell sin intervención del usuario, servicios del sistema nuevos con parámetros sospechosos: son precisamente ese tipo de señales las que ayudan a detectar ataques de este tipo. El propio proyecto Komari no contiene código malicioso. El problema es lo fácil que resulta usarlo para fines distintos a los previstos. Cuanto más simple y cómodo es el instrumento para el administrador, más atractivo resulta para el atacante.