Investigadores de Sophos Counter Threat Unit han documentado una intrusión en la que los atacantes incorporan el framework forense Velociraptor como pieza de su cadena de compromiso. La operación se apoya en componentes firmados de Windows y servicios en la nube para el despliegue y el acceso remoto, evidenciando la evolución de las tácticas living-off-the-land (LotL), donde herramientas legítimas se reutilizan con fines maliciosos para reducir la huella y el ruido.
Cadena de ataque: msiexec, Cloudflare Workers y túneles con Visual Studio Code
El análisis describe el uso de Windows msiexec para descargar un paquete MSI desde un dominio de Cloudflare Workers, empleado como infraestructura intermedia de staging. Tras su ejecución, el MSI instala Velociraptor y el agente establece comunicación con otro dominio dentro del mismo ecosistema de Cloudflare, consolidando el control inicial.
Con el acceso establecido, los operadores recuperan Visual Studio Code desde el mismo nodo intermedio mediante una instrucción de PowerShell codificada y lo inician con la función de túneles remotos habilitada. Este enfoque proporciona acceso remoto y ejecución de código (RCE) sin depender de backdoors ruidosos. La telemetría sugiere además el uso de Cloudflare Tunnel y de la utilidad legítima de administración Radmin. En varios episodios, msiexec se reutiliza para cargar cargas útiles adicionales, manteniendo la cadena dentro de binarios firmados y confiables.
LotL en expansión: de RMM a herramientas DFIR
La elección de Velociraptor como herramienta de doble uso señala un desplazamiento del abuso clásico de soluciones RMM hacia utilidades de DFIR (forense y respuesta a incidentes). Esta tendencia dificulta la detección: muchos entornos tratan estas herramientas como “confiables”, y su actividad pasa desapercibida en controles estándar. El patrón encaja en MITRE ATT&CK, particularmente Signed Binary Proxy Execution: Msiexec (T1218.007), además del uso de túneles legítimos para evadir políticas de perímetro.
Sophos advierte que la instalación no autorizada de Velociraptor debe considerarse un potencial precursor de fases más destructivas, incluido el despliegue de ransomware, al proporcionar persistencia, recolección y orquestación de acciones posteriores con bajo perfil.
Indicadores de compromiso y superficie de riesgo
Entre los signos de alerta destacan: conexiones de red atípicas de msiexec.exe hacia dominios de Cloudflare Workers; instalación o actividad inesperada de Velociraptor; invocación de VS Code con parámetros de túnel remoto; y cadenas de PowerShell codificadas en Base64 vinculadas a esos procesos. La combinación de estos elementos suele indicar bypass de controles de salida, movimientos laterales silenciosos y posible escalada de privilegios sin malware “tradicional”.
Defensa práctica: visibilidad, control de salida y gobierno de herramientas
Organismos como CISA han documentado el incremento del abuso de herramientas legítimas de administración y RMM e instan a reforzar su gobierno y monitoreo continuo (CISA AA23-025A). A partir de los hallazgos de Sophos y las recomendaciones del desarrollador de Velociraptor (Rapid7), se sugiere:
Controles preventivos: limitar quién puede instalar/ejecutar DFIR y RMM; lista de permitidos para instaladores y rutas; verificar la integridad y procedencia de paquetes MSI; bloquear o inspeccionar tráfico a dominios y servicios de túneles (por ejemplo, *.workers.dev) y aplicar filtrado de egress por aplicación.
Detección y respuesta: monitorear procesos hijo de msiexec y PowerShell con argumentos anómalos; habilitar Script Block Logging y Transcription en PowerShell; crear reglas específicas para eventos de Velociraptor (configuraciones inusuales, servidores de control no autorizados, desviaciones del perfil corporativo); alertar sobre VS Code iniciado con funciones de túnel remoto; y revisar inventarios para identificar herramientas “sombra”.
Endurecimiento operativo: restringir el uso de túneles y proxies inversos, aplicar autenticación robusta y MFA, segmentar redes para minimizar el valor de un acceso remoto sigiloso, y adoptar principios de privilegio mínimo y administración Just-in-Time.
Las herramientas legítimas no deben considerarse una zona de confianza per se. Revisar políticas de uso de DFIR y RMM, reforzar el control del tráfico saliente y habilitar telemetría avanzada de PowerShell y procesos de instalación reduce de forma significativa el tiempo de detección. Actuar ahora —con visibilidad, reglas específicas para Velociraptor y controles de túneles— limitará la probabilidad de escaladas hacia ransomware y de disrupciones operativas severas.
