TrustConnect, el falso RMM que vendían por 300 dólares y era un troyano

Un falso RMM desplegado como servicio puso en riesgo a empresas desde enero

Las organizaciones enfrentan desde enero una operación fraudulenta que se hacía pasar por un servicio legítimo de administración remota. TrustConnect parecía un RMM comercial pero funcionaba como un RAT, según el informe técnico de Proofpoint. El dominio se creó el 12 de enero; la campaña de phishing comenzó el 26 de enero y la infraestructura sufrió interrupciones el 17 de febrero.

Quiénes y cómo montaron la fachada

Los operadores construyeron una empresa ficticia con sitio web, portal de ventas y panel de control que actúa como C2. Publicitaron el servicio como RMM por 300 dólares al mes y adquirieron un certificado EV para firmar binarios. Esa firma facilitó la evasión de controles y generó confianza entre administradores.

Qué entregaba realmente el servicio

En vez de herramientas de gestión, los clientes recibían capacidades propias de un RAT: control de mouse y teclado, grabación y transmisión de pantalla, transferencia de archivos, ejecución remota de comandos y UAC bypass.

El portal generaba payloads firmados automáticamente, consolidando un modelo de MaaS que rebaja la barrera técnica para actores maliciosos.

Vectores de contagio: cómo llegaba a las víctimas

La distribución combinó phishing y suplantación profesional. Mensajes en inglés y francés fingían invitaciones a licitar o compartir paquetes de trabajo. Los enlaces descargaban ejecutables (por ejemplo MsTeams.exe) que instalaban TrustConnectAgent.exe. En algunos ataques, los operadores mezclaron el falso RMM con herramientas legítimas como ScreenConnect o LogMeIn Resolve para aumentar credibilidad.

Infraestructura y resiliencia operativa

El dominio trustconnectsoftware[.]com funcionó como portal de pago en criptomoneda y C2. Se identificó una máquina implicada en 178.128.69.245. Tras la revocación del certificado EV el 6 de febrero y la interrupción del C2 el 17 de febrero, los operadores lanzaron infraestructuras paralelas y versiones reetiquetadas como «DocConnect» o «SHIELD OS v1.0».

Por qué esto importa: riesgos y vectores secundarios

El abuso de RMM es especialmente peligroso porque legitima acceso directo a endpoints.

Un RMM malicioso habilita despliegues de ransomware, infostealers y acceso persistente. Las tendencias emergentes muestran que grupos criminales profesionalizan ofertas para reducir fricción y ampliar alcance.

Medidas prácticas y prioridad de defensa

Para reducir el riesgo, implemente controles en múltiples capas. Verifique la reputación de proveedores y dominios antes de instalar software. Active listas blancas de aplicaciones y politicas de ejecución estrictas. Despliegue EDR con detección de comportamiento anómalo y exija MFA en portales administrativos.

Integre inteligencia de amenazas que incluya dominios e IPs asociados y realice ejercicios de hunting centrados en actividad típica de RAT: conexiones inusuales a C2, procesos que manipulan pantalla o entradas y binarios firmados recientemente por entidades sin historial verificable. La educación de equipos de TI y operaciones es esencial: la apariencia profesional no garantiza legitimidad.

Velocidad de adaptación de los atacantes y qué vigilar ahora

El futuro llega más rápido de lo previsto: los responsables mostraron capacidad de reetiquetado y despliegue paralelo tras la interrupción inicial. Según los datos del MIT y reportes de la industria, la ventana entre creación de infraestructura y ataque se acorta, por lo que la detección temprana es crítica.

Pasos inmediatos recomendados

1) Bloquear trustconnectsoftware[.]com y las IP documentadas en sus feeds de amenazas. 2) Auditar binarios firmados recientemente en endpoints críticos. 3) Revisar logs por conexiones salientes a C2 y procesos que interactúan con la pantalla. 4) Implementar listas blancas y revisar proveedores antes de suscripciones. Chi no se prepara hoy reduce su capacidad de respuesta mañana.