GreyNoise ha alertado sobre una campaña masiva contra Remote Desktop Protocol (RDP) en Estados Unidos, impulsada por un botnet con más de 100 000 direcciones IP únicas. La fase activa comenzó el 8 de octubre de 2025 y se caracteriza por ataques sincronizados en tiempo y patrón, lo que sugiere una orquestación centralizada de la infraestructura maliciosa.
Alcance global y procedencia de los ataques RDP
El primer indicio fue un pico anómalo de tráfico RDP desde Brasil, seguido de una rápida propagación a otros orígenes. Entre las fuentes más destacadas se encuentran Argentina, Irán, China, México, Rusia, Sudáfrica y Ecuador. Según GreyNoise, los dispositivos comprometidos provienen de más de 100 países, reflejando una base de nodos amplia y heterogénea que incluye equipos domésticos y sistemas corporativos expuestos.
Tácticas observadas: del escaneo masivo a intentos de sesión dirigidos
Dos perfiles de actividad RDP
Los investigadores diferencian dos comportamientos: uno centrado en escaneo a gran escala para identificar servicios RDP accesibles (3389/TCP) y otro orientado a establecer sesiones con mayor persistencia. Aunque no se publicaron conjuntos de credenciales ni técnicas específicas, el patrón apunta a preparación para autenticaciones no autorizadas y compromiso posterior.
Indicadores técnicos: firma TCP unificada y variaciones de MSS
La mayoría de las IP comparten una firma TCP homogénea, indicio de una base de software común o plantillas de pila de red similares. Se observan diferencias en el MSS (Maximum Segment Size) entre clústeres, atribuibles a la diversidad de proveedores, rutas y políticas regionales. La combinación de firma TCP consistente y sincronización temporal refuerza la hipótesis de control centralizado del botnet.
Por qué importa para las organizaciones en EE. UU.
RDP sigue siendo uno de los servicios remotos más atacados por su acceso directo a servidores y estaciones de trabajo. La exposición indebida en internet amplía drásticamente la superficie de ataque. Informes públicos de la industria —incluidos FBI IC3 y análisis de Microsoft— documentan que la intrusión por RDP a menudo precede a ransomware, movimiento lateral y exfiltración de datos. Históricamente, fallas y vulnerabilidades como BlueKeep (CVE-2019-0708) evidenciaron el impacto sistémico de RDP mal protegido, y la indexación de servicios expuestos en motores como Shodan mantiene este vector al alcance de actores oportunistas y establecidos.
Checklist de mitigación: cómo proteger Remote Desktop Protocol
Para reducir riesgo de ataques RDP, combine medidas inmediatas con refuerzo arquitectónico:
- Minimizar exposición: deshabilitar el acceso RDP directo desde internet; usar VPN, ZTNA o RD Gateway.
- Habilitar NLA y aplicar MFA en sesiones administrativas y remotas; políticas de contraseñas robustas y bloqueo tras intentos fallidos.
- Implementar allowlist de IP, geofiltrado y ventanas horarias de acceso para activos críticos.
- Monitorear y bloquear fuentes maliciosas en Firewall/EDR, considerando la rotación de IP típica de un botnet.
- Actualizar y parchear el stack de RDP y el sistema operativo; desactivar protocolos obsoletos y cifrados débiles.
- Proteger contra fuerza bruta (ej. fail2ban/bloqueos), y aislar servidores sensibles en segmentos de red dedicados.
Qué vigilar en logs y en el tráfico de red
Los registros de autenticación y las métricas de red aportan alta visibilidad operacional:
- Picos de intentos de sesión RDP desde múltiples geografías en ventanas cortas de tiempo.
- Ráfagas de inicios de sesión fallidos en cuentas locales y de dominio, especialmente privilegiadas (Windows Event ID 4625, 4776) y accesos exitosos anómalos (4624, 4648).
- Patrones repetitivos en fingerprinting TLS (si aplica) y parámetros TCP recurrentes coherentes con una misma firma.
- Cambios de origen tras bloqueos de IP y reaparición desde nuevas subredes de proveedores.
La campaña RDP identificada por GreyNoise desde el 8 de octubre de 2025 confirma un incremento coordinado de actividad hostil sustentada por un botnet global. Tratar la exposición de RDP como un riesgo de alto impacto y priorizar MFA, cierre de 3389/TCP hacia internet, control de origen y telemetría reducirá la probabilidad de compromiso y dificultará las fases posteriores de la intrusión. Revise su superficie de ataque hoy, ajuste controles y capacite a su equipo: cada barrera añadida eleva el costo para el adversario y protege la continuidad del negocio.
