{"id":1225,"date":"2026-06-17T18:02:40","date_gmt":"2026-06-17T18:02:40","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/un-hacker-junior-utilizo-tailscale-y-openssh-para-mantener-el-acceso-despues-de-que-su-c2-se-desconectara-cyberdefensa-mx\/"},"modified":"2026-06-17T18:02:40","modified_gmt":"2026-06-17T18:02:40","slug":"un-hacker-junior-utilizo-tailscale-y-openssh-para-mantener-el-acceso-despues-de-que-su-c2-se-desconectara-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/un-hacker-junior-utilizo-tailscale-y-openssh-para-mantener-el-acceso-despues-de-que-su-c2-se-desconectara-cyberdefensa-mx\/","title":{"rendered":"Un hacker junior utiliz\u00f3 Tailscale y OpenSSH para mantener el acceso despu\u00e9s de que su C2 se desconectara \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Un atacante de habla francesa irrumpi\u00f3 en una peque\u00f1a empresa automotriz francesa, instal\u00f3 un registrador de teclas y rob\u00f3 credenciales bancarias y de correo electr\u00f3nico.<\/p>\n<p>Cosas ordinarias, hasta que uno se mueve cerca del final.<\/p>\n<p>Antes de que su servidor de comando y control se apagara, instal\u00f3 OpenSSH y Tailscale en la m\u00e1quina de una v\u00edctima, construyendo un camino de regreso que no pasaba por el C2 en absoluto. Cuando el servidor Havoc se desconect\u00f3 al d\u00eda siguiente, su acceso no. Dieciocho d\u00edas despu\u00e9s, el C2 regres\u00f3, sus agentes se reconectaron por su cuenta y \u00e9l sigui\u00f3 adelante.<\/p>\n<p>Cato Networks captur\u00f3 toda la operaci\u00f3n comando por comando, 339 de ellos durante 33 d\u00edas, despu\u00e9s de que el operador dejara sus claves SSH y un manual paso a paso en un dep\u00f3sito de almacenamiento abierto. El art\u00edculo, publicado el martes por el investigador de Cato CTRL, Vitaly Simonovich, es una visi\u00f3n poco com\u00fan de una intrusi\u00f3n desde el teclado del operador en lugar de los restos forenses.<\/p>\n<p>La lecci\u00f3n de los investigadores es contundente: desconectar un servidor C2 no es una soluci\u00f3n si el atacante ya ha construido una puerta separada.<\/p>\n<p>El actor, alias \u00abPoisson\u00bb, no es un APT. Investigadores <a href=\"https:\/\/www.catonetworks.com\/blog\/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation\/\" target=\"_blank\">describir<\/a> un operador junior en lo que parece un horario escolar, activo despu\u00e9s de las 3 p. m. CET con un largo intervalo al mediod\u00eda, todo funcionando con un kit de nivel gratuito: DuckDNS, Backblaze B2 y un VPS IONOS econ\u00f3mico en Berl\u00edn. Su oficio era escaso.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Filtr\u00f3 su directorio de inicio cinco veces, nombr\u00f3 sus dep\u00f3sitos de almacenamiento con el nombre de su propio identificador y dej\u00f3 un archivo de prueba de sus propias pulsaciones de teclas escritas una y otra vez dentro del paquete del registrador de teclas. Fracas\u00f3 en aproximadamente la mitad de lo que intent\u00f3. De todos modos comprometi\u00f3 cuatro m\u00e1quinas.<\/p>\n<h2>la cadena<\/h2>\n<p>El malware se ejecut\u00f3 casi por completo en la memoria. Un stager de VBScript con un retraso de evasi\u00f3n de espacio aislado descifr\u00f3 un cargador de PowerShell, que desactiv\u00f3 un cargador de .NET que se ejecutaba. <a href=\"https:\/\/thehackernews.com\/2023\/02\/threat-actors-adopt-havoc-framework-for.html\">Agente demon\u00edaco de Havoc sin dejar caer el implante al disco. Para la elevaci\u00f3n, utiliz\u00f3 Start-Process -Verb RunAs, que no es un bypass silencioso de UAC. Aparece el mensaje de consentimiento de Windows y espera a que alguien haga clic en S\u00ed. Con una v\u00edctima, fueron necesarios una docena de intentos a lo largo de dos d\u00edas.<\/a><\/p>\n<p>Despu\u00e9s de eso vino la definici\u00f3n: una tarea programada que se ejecuta en cada inicio de sesi\u00f3n con los privilegios m\u00e1s altos, c\u00f3digo shell inyectado en Explorer.exe y un RustDesk personalizado como canal de respaldo. El capturador de credenciales era un registrador de teclas Python de 70 l\u00edneas que escrib\u00eda las pulsaciones de teclas en un archivo local, sin baliza ni servidor exfil. Poisson simplemente inici\u00f3 sesi\u00f3n, tom\u00f3 el archivo con la mano y ejecut\u00f3 powercfg para evitar que las m\u00e1quinas entraran en modo de suspensi\u00f3n, de modo que la recolecci\u00f3n nunca se detuviera.<\/p>\n<h2>El movimiento que importa<\/h2>\n<p>El 7 de abril, en una sesi\u00f3n nocturna de cinco horas, instal\u00f3 OpenSSH Server y Tailscale, uni\u00f3 la m\u00e1quina de la v\u00edctima a su red privada de Tailscale y configur\u00f3 SSH basado en claves y un t\u00fanel inverso. Ahora pod\u00eda llegar a la m\u00e1quina a trav\u00e9s de la malla cifrada de Tailscale sin C2 ni puertos expuestos.<\/p>\n<p>Al d\u00eda siguiente, la infraestructura de Havoc qued\u00f3 fuera de l\u00ednea. Cato no dice por qu\u00e9, y poco importa: la ruta Tailscale se encontraba en una red separada, por lo que el acceso estaba vivo.<\/p>\n<p>Cuando el C2 regres\u00f3 el 26 de abril, los agentes se volvieron a conectar autom\u00e1ticamente, sin necesidad de volver a comprometerse. Durante los \u00faltimos cinco d\u00edas, ejecut\u00f3 145 comandos m\u00e1s, sonde\u00f3 almacenes de tarjetas inteligentes y certificados (una se\u00f1al de que estaba observando inicios de sesi\u00f3n basados \u200b\u200ben certificados), ejecut\u00f3 dos ejecutables inexplicables de un archivo llamado Thales.zip durante aproximadamente 32 minutos en total, luego elimin\u00f3 17 archivos y se qued\u00f3 en silencio el 1 de mayo.<\/p>\n<p>Lo que quer\u00eda era estrecho. Sin Mimikatz, sin movimientos laterales, sin ransomware y sin se\u00f1ales de que tom\u00f3 los documentos que busc\u00f3, desde registros fiscales hasta seguros. Justo lo que la gente escribe: inicios de sesi\u00f3n bancarios, contrase\u00f1as de correo electr\u00f3nico, portales gubernamentales. Para el propietario de una peque\u00f1a empresa, esa es una exposici\u00f3n financiera directa.<\/p>\n<p>Ninguna de las herramientas es nueva, que es el punto. El APT31 de China utiliz\u00f3 Tailscale hasta 2024 y 2025 para salir silenciosamente de las empresas de TI rusas, Scattered Spider se ha apoyado en herramientas leg\u00edtimas de acceso remoto como Ngrok y Fleetdeck, y RustDesk, el canal de respaldo de Poisson, aparece en las recientes intrusiones de ransomware Akira.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Los archivos binarios est\u00e1n firmados y son leg\u00edtimos, por lo que la detecci\u00f3n que se detiene en los archivos incorrectos, no en el mal comportamiento, los pasa por alto. Lo que Poisson a\u00f1ade es una prueba a nivel de comando de que el truco sobrevive a un derribo, ejecutado por alguien que claramente todav\u00eda est\u00e1 aprendiendo.<\/p>\n<h2>que mirar<\/h2>\n<p>La lista de caza de Cat\u00f3n es concreta:<\/p>\n<ul>\n<li>Alerta cuando OpenSSH Server se instala en una estaci\u00f3n de trabajo Windows, lo cual rara vez es leg\u00edtimo.<\/li>\n<li>Est\u00e9 atento a tailscale.exe en m\u00e1quinas que no tienen motivos para ejecutar una VPN.<\/li>\n<li>Busque t\u00faneles inversos ssh -R que se dirijan a hosts externos.<\/li>\n<li>Compruebe si wscript.exe ejecuta archivos .vbs fuera de las carpetas provisionales del usuario.<\/li>\n<li>Marque las tareas programadas configuradas con los privilegios m\u00e1s altos que inician int\u00e9rpretes de scripts.<\/li>\n<li>Est\u00e9 atento a los cambios en el tiempo de espera de powercfg que mantienen activas a las m\u00e1quinas.<\/li>\n<li>Bloquear DuckDNS.<\/li>\n<\/ul>\n<p>La m\u00e1s importante: cuando encuentre un C2, asuma que no es la \u00fanica forma de entrar y busque la capa de persistencia silenciosa detr\u00e1s de \u00e9l.<\/p>\n<p>Qu\u00e9 hab\u00eda en Thales.zip y qu\u00e9 hicieron esos dos programas en sus 32 minutos en la m\u00e1quina es la pregunta que Cato deja abierta. La respuesta que importa m\u00e1s: el C2 nunca fue la intrusi\u00f3n, solo una v\u00eda de acceso. Elim\u00ednelo y deje OpenSSH, Tailscale, la tarea programada y el registrador de pulsaciones en ejecuci\u00f3n, y el atacante a\u00fan tendr\u00e1 una manera de regresar.<\/p>\n<p>Esa es la parte que sigue faltando en la remediaci\u00f3n.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un atacante de habla francesa irrumpi\u00f3 en una peque\u00f1a empresa automotriz francesa, instal\u00f3 un registrador de teclas y rob\u00f3 credenciales bancarias y de correo electr\u00f3nico. Cosas ordinarias, hasta que uno se mueve cerca del final. Antes de que su servidor de comando y control se apagara, instal\u00f3 OpenSSH y Tailscale en la m\u00e1quina de una [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[68,24,3171,261,1201,3168,1034,3170,36,3169,1413],"class_list":["post-1225","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acceso","tag-cyberdefensa-mx","tag-desconectara","tag-despues","tag-hacker","tag-junior","tag-mantener","tag-openssh","tag-para","tag-tailscale","tag-utilizo"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1225"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1225\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}