Una campaña de escaneo coordinada masiva dirigida a los servicios de Microsoft Remote Desktop Protocol (RDP), con actores de amenaza que implementan más de 30,000 direcciones IP únicas para sondear para vulnerabilidades en Microsoft RD Web Access y Portales de autenticación de clientes web RDP.
La campaña representa una de las operaciones de reconocimiento RDP coordinadas más grandes observadas en los últimos años, lo que indica la preparación potencial para ataques basados en credenciales a gran escala.
Control de llave
1. 30,000+ Ataque IPS, la mayor campaña de escaneo de Microsoft RDP registrada.
2. Las escuelas estadounidenses golpean durante la temporada de regreso a la escuela para ataques de enumeración del nombre de usuario.
3. 80% de posibilidades de grandes hazañas.
Campaña de ataque de protocolo de escritorio remoto
La operación de escaneo comenzó con una ola inicial el 21 de agosto de 2025, que involucra casi 2,000 direcciones IP dirigidas simultáneamente tanto a Microsoft RD Web Access como a Microsoft RDP Web Client Services.
Gráfico que muestra las direcciones IP únicas observadas Microsoft Rd Web Access para vulnerabilidades de autenticación durante 90 días, destacando una mayor actividad sospechosa.
Sin embargo, la campaña se intensificó dramáticamente el 24 de agosto, cuando los investigadores de seguridad detectaron más de 30,000 direcciones IP únicas que realizan sondas coordinadas que utilizan firmas de clientes idénticas, lo que indica una sofisticada infraestructura de Botnet o despliegue de conjunto de herramientas coordinado.
Gráfico que muestra direcciones IP únicas observadas realizando verificaciones de enumeración de inicio de sesión sospechosas contra el cliente web de Microsoft RDP en los últimos 90 días.
Nobleza informes que la metodología de ataque se centra en la enumeración de autenticación basada en el tiempo, una técnica que explota diferencias sutiles en los tiempos de respuesta del servidor para identificar nombres de usuario válidos sin desencadenar mecanismos tradicionales de detección de fuerza bruta.
Este enfoque permite a los atacantes construir listas de objetivos integrales para las operaciones posteriores de relleno de credenciales y pulverización de contraseñas mientras mantienen sigilo operativo.
El análisis de telemetría de la red revela que el 92% de la infraestructura de escaneo consiste en direcciones IP maliciosas previamente clasificadas, con el tráfico fuente muy concentrado en Brasil (73% de las fuentes observadas) mientras se dirigen exclusivamente a los puntos finales RDP con sede en los Estados Unidos.
Los patrones de firma de cliente uniforme en 1.851 de los 1,971 hosts de escaneo inicial sugieren una infraestructura de comando y control centralizada típica de las operaciones avanzadas de amenaza persistente (APT).
Dirigido al sector educativo
El tiempo de la campaña coincide con el período de regreso a la escuela de los Estados Unidos, cuando las instituciones educativas generalmente implementan entornos de laboratorio habilitados para RDP y sistemas de acceso remoto para estudiantes entrantes.
Esta ventana de orientación es estratégicamente significativa, ya que las redes educativas a menudo implementan esquemas predecibles de nombre de usuario (ID de estudiante, FirstName.lastName Formats) que facilitan los ataques de enumeración.
Los actores de amenaza están llevando a cabo operaciones de reconocimiento de múltiples etapas, identificando primero el acceso web a RD expuesto y los puntos finales del cliente web RDP, luego probando flujos de trabajo de autenticación para las vulnerabilidades de divulgación de información.
Este enfoque sistemático permite la creación de bases de datos de objetivos integrales que contienen nombres de usuario válidos y puntos finales accesibles para futuras campañas de explotación.
Los investigadores de seguridad señalan que se ha observado que la misma infraestructura IP realiza escaneo paralelo para servicios de proxy abiertos y operaciones de rastreo web, lo que indica un conjunto de herramientas de amenaza multipropósito diseñado para un reconocimiento integral de la red.
El análisis histórico sugiere que los picos de escaneo coordinado contra tecnologías específicas a menudo preceden al descubrimiento o explotación de vulnerabilidades de día cero en seis semanas, en función de las tasas de correlación del 80% en la investigación previa de inteligencia de amenazas.
La escala y la coordinación de esta campaña de escaneo RDP representan una escalada significativa en las capacidades de amenazas del actor, lo que puede indicar la preparación para la implementación de ransomware a gran escala, las operaciones de recolección de credenciales o la explotación de vulnerabilidades de RDP previamente desconocidas.
Las organizaciones que operan los servicios de Microsoft RDP deben implementar medidas de endurecimiento inmediatas y monitorear los intentos de explotación de seguimiento utilizando las firmas de cliente identificadas.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
