En agosto de 2025, los investigadores de Counter Threat Unit™ (CTU) investigaron una intrusión que implicaba el despliegue de la herramienta legítima de código abierto Velociraptor para análisis forense digital y respuesta a incidentes (DFIR). En este incidente, el actor malicioso utilizó la herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel hacia un servidor de comando y control (C2) controlado por el atacante. Al habilitar la opción de túnel en Visual Studio Code, se activó una alerta de Taegis™, ya que esta opción permite tanto el acceso remoto como la ejecución remota de código y ha sido utilizada indebidamente por múltiples grupos de amenazas en el pasado.
El autor de la amenaza utilizó la utilidad msiexec de Windows para descargar un instalador (v2.msi) desde un dominio de Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev). Esta ubicación parece ser una carpeta de preparación para herramientas de atacantes, incluida la herramienta de túneles Cloudflare y la herramienta de administración remota Radmin. Este archivo instaló Velociraptor, que está configurado para comunicarse con el servidor C2 velo[.]qaubctgg[.]workers[.]dev. A continuación, el atacante utilizó un comando PowerShell codificado para descargar Visual Studio Code (code.exe) desde la misma carpeta de preparación y lo ejecutó con la opción de túnel habilitada. El actor malicioso instaló code.exe como un servicio y redirigió la salida a un archivo de registro. A continuación, volvió a utilizar la utilidad msiexec de Windows para descargar malware adicional (sc.msi) desde la carpeta workers[.]dev (véase la figura 1).
La actividad de túnel de Visual Studio Code activó una alerta de Taegis que provocó una investigación de Sophos. Los analistas proporcionaron consejos de mitigación que permitieron al cliente implementar rápidamente medidas correctivas, como aislar el host afectado, lo que impidió que el atacante lograra sus objetivos. El análisis sugiere que la actividad maliciosa probablemente habría dado lugar al despliegue de ransomware.
Los actores maliciosos suelen hacer un uso indebido de las herramientas de supervisión y gestión remotas (RMM). En algunos casos, aprovechan las herramientas preexistentes en los sistemas objetivo. En otros, implementan las herramientas durante el ataque. El incidente de Velociraptor revela que los atacantes están pasando a utilizar herramientas de respuesta a incidentes para afianzarse en una red y minimizar la cantidad de malware que implementan.
Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y tratar las observaciones de esta técnica como un precursor del ransomware. La implementación de un sistema de detección y respuesta en los endpoints, la supervisión de herramientas inesperadas y comportamientos sospechosos, y el seguimiento de las prácticas recomendadas para proteger los sistemas y generar copias de seguridad pueden mitigar la amenaza del ransomware. El impacto de un ataque se reduce considerablemente si se detecta antes de la implementación del ransomware.
Las siguientes protecciones de Sophos detectan la actividad relacionada con esta amenaza:
-
Troj/Agent-BLMR
-
Troj/BatDl-PL
-
Troj/Mdrop-KDK
Para mitigar la exposición a este malware, los investigadores de CTU™ recomiendan que las organizaciones utilicen los controles disponibles para revisar y restringir el acceso utilizando los indicadores que se enumeran en la tabla 1. Los dominios pueden contener contenido malicioso, por lo que debes tener en cuenta los riesgos antes de abrirlos en un navegador.
| Indicador | Tipo | Contexto |
| files[.]qaubctgg[.]workers[.]dev | Nombre de dominio | Herramientas alojadas utilizadas en la campaña Velociraptor de agosto de 2025 |
| velo[.]qaubctgg[.]workers[.]dev | Nombre de dominio | Servidor C2 utilizado en la campaña Velociraptor de agosto de 2025 |
Tabla 1: indicadores de esta amenaza
