Proofpoint ha alertado sobre la aparición de una nueva plataforma de malware como servicio (MaaS) denominada TrustConnect, que se presenta como un supuesto software empresarial de monitorización y gestión remota (RMM), pero que en realidad actúa como un troyano de acceso remoto (RAT).
Según explica la compañía, los ciberdelincuentes están recurriendo cada vez más a la estética y a los elementos propios de herramientas empresariales legítimas para generar confianza entre las víctimas. En este caso, TrustConnect se promocionaba a través del dominio trustconnectsoftware[.]com como si fuera una solución comercial real, con estadísticas de clientes y documentación aparentemente profesional, aunque el sitio funcionaba como punto de acceso al servicio de malware. Proofpoint considera probable que el portal haya sido desarrollado con la ayuda de un modelo de lenguaje de gran tamaño (LLM).
El malware operaba como una puerta trasera con capacidades de control remoto de escritorio, transferencia de archivos y ejecución de comandos. Además, los atacantes lograron obtener un certificado legítimo de firma de código con validación extendida (EV) para firmar digitalmente el archivo malicioso, lo que les permitió sortear algunos controles de seguridad hasta que los investigadores coordinaron su revocación. Este tipo de certificados requiere procesos adicionales de validación y supone un coste elevado, aunque puede conseguirse a través de proveedores maliciosos o mediante la creación de identidades fraudulentas.
Señuelos similares
Aunque TrustConnect únicamente simulaba ser una herramienta RMM, los investigadores detectaron similitudes en los señuelos y en las cadenas de ataque con campañas anteriores vinculadas al abuso de este tipo de soluciones por parte de distintos actores de amenazas. Entre los reclamos utilizados figuraban temáticas relacionadas con impuestos, intercambio de documentos, invitaciones a reuniones, eventos o asuntos gubernamentales. El propio MaaS ofrecía plantillas preparadas para distintos tipos de suplantación de marca.
Proofpoint, en colaboración con otros socios de inteligencia, logró interrumpir parte de la infraestructura asociada a esta operación, lo que afectó a la actividad de los atacantes. No obstante, estos reaccionaron con rapidez y comenzaron a probar una nueva versión renombrada bajo el nombre DocConnect.
En palabras de los investigadores, “la aparición de TrustConnect demuestra que las interrupciones de operaciones MaaS como Redline, Lumma Stealer y Rhadamanthys no detienen el ciberdelito, sino que abren nuevas oportunidades para los creadores de malware”. Añaden que los atacantes “siempre encontrarán la manera de comprometer a nuevas víctimas” y que es probable que tanto TrustConnect como DocConnect hayan sido desarrollados con apoyo de agentes de IA, lo que refleja la creciente adopción de estas tecnologías también en el ámbito delictivo.
