Investigadores de Varonis han documentado Atroposia, una plataforma de malware-as-a-service (MaaS) que, por $200 al mes, ofrece a suscriptores un troyano de acceso remoto (RAT) de múltiples funciones con canales de comando y control cifrados, bypass de UAC en Windows y mecanismos de persistencia de bajo perfil. El modelo por suscripción reduce la barrera de entrada para atacantes y acelera campañas dirigidas en redes corporativas.
Qué es Atroposia y cómo evade la detección
Atroposia adopta una arquitectura modular: componentes separados gestionan escritorio remoto, administración de archivos, robo selectivo de información y manipulación de la configuración de red. La comunicación con la infraestructura C2 se realiza por canales cifrados, dificultando la detección basada en tráfico. Mediante técnicas de elevación de privilegios con bypass de UAC y persistencia sigilosa, el RAT mantiene presencia prolongada en el host sin generar artefactos evidentes.
Módulos principales y tácticas de ataque
HRDP Connect: escritorio remoto invisible al usuario
El módulo HRDP Connect inicia sesiones RDP en segundo plano sin indicios visibles para el usuario. Así, el operador puede abrir aplicaciones, revisar documentos y correo, e interactuar con el sistema evitando los indicadores clásicos de acceso remoto. Los controles habituales de auditoría de RDP pueden no registrar esta actividad, lo que retrasa su detección.
Gestor de archivos y exfiltración selectiva
El gestor de archivos emula el Explorador de Windows: permite listar, copiar, borrar y ejecutar ficheros. Un componente “grabber” filtra información por extensiones o palabras clave, la comprime en archivos ZIP protegidos con contraseña y los envía al C2, aplicando técnicas in‑memory para minimizar rastros en disco y en el registro.
Stealer y captura del portapapeles
El stealer recolecta credenciales almacenadas, datos de monederos de criptomonedas y archivos de aplicaciones de mensajería. Un gestor del portapapeles intercepta en tiempo real elementos copiados por el usuario —contraseñas, tokens de API, direcciones de wallets— para su uso posterior. Según el Verizon DBIR 2024, el abuso de credenciales sigue siendo uno de los vectores predominantes de intrusión.
Manipulación de DNS y desvío de tráfico
Otro módulo altera registros a nivel de host para redirigir a la víctima hacia dominios controlados, habilitando phishing, ataques Man-in-the-Middle, distribución de falsas actualizaciones e inyección publicitaria o de malware adicional. También puede emplearse exfiltración encubierta mediante consultas DNS, complicando el control del tráfico de salida.
Escaneo de vulnerabilidades y movimiento lateral
Un escáner integrado evalúa el host en busca de parches ausentes, configuraciones débiles y software desactualizado para determinar su explotación posterior. En entornos corporativos, detectar un cliente VPN obsoleto o una vía de escalada local puede habilitar privilege escalation y lateral movement, incluso enumerando sistemas vecinos vulnerables.
MaaS en ascenso: más actores, más impacto
Atroposia refuerza la tendencia de “ataque como servicio”: kits listos como SpamGPT o MatrixPDF empaquetan capacidades avanzadas detrás de una cuota mensual. Organismos como ENISA advierten que esta “democratización” amplía el perfil del atacante y eleva la frecuencia de incidentes. El IC3 del FBI reporta pérdidas anuales de cibercrimen por encima de los 10.000 millones de dólares en 2023, con cadenas de ataque cada vez más centradas en credenciales robadas y post-explotación interna.
Medidas de mitigación y prioridades de defensa
Control de privilegios: implantar soluciones PAM, bloquear técnicas de UAC‑bypass con políticas y Application Control, y ejecutar navegadores y suites ofimáticas sin derechos administrativos.
Vigilancia del acceso remoto: monitorizar sesiones RDP ocultas, telemetría de conexión y eventos de inicio de sesión; complementar con analítica conductual en EDR/XDR.
Protección de datos y cuentas: MFA en todos los accesos, gestores de contraseñas, evitar secretos en texto plano, políticas DLP y seguimiento del acceso a información sensible.
Integridad de red y DNS: supervisar cambios en hosts/DNS, alertar sobre intentos de sobrescritura, verificar la cadena de suministro de actualizaciones, segmentar la red y bloquear egress no autorizado.
Gestión de vulnerabilidades: priorizar parches, ejecutar escaneos regulares, retirar software obsoleto, validar versiones de VPN/agents y probar rutas de escalada de privilegios.
Las plataformas MaaS como Atroposia evolucionan desde simples “packs de scripts” hacia suites completas de post-explotación. Reforzar el principio de menor privilegio, mejorar la visibilidad en endpoints y servidores, auditar DNS y monitorizar actividad RDP son acciones que reducen la probabilidad de compromiso y acortan el tiempo de detección. Es recomendable revisar los controles actuales, cerrar brechas prioritarias y mantenerse al día con informes de referencia (ENISA, IC3, DBIR) para anticipar tácticas en rápida evolución.
