Vulnerabilidad social: TrustConnect se hace pasar por RMM y vende un RAT por suscripción
Proofpoint ha descubierto un RAT disfrazado de RMM TrustConnect, una operación que se presenta como proveedor legítimo de Remote Monitoring and Management (RMM) “enterprise” por 300 dólares al mes, pero que en realidad ofrece un Remote Access Trojan “as a service” (RATaaS). El caso destaca por su nivel de “packaging” criminal: sitio corporativo falso, documentación inventada y uso de un certificado Extended Validation (EV) para firmar ejecutables y aumentar la tasa de ejecución y evasión en entornos empresariales.
Según la investigación, los atacantes construyeron una identidad de “vendor” completa bajo la marca TrustConnect, hasta el punto de confundir inicialmente a los propios analistas, que lo interpretaron como otro ejemplo de abuso de herramientas RMM reales dentro del patrón conocido como “living off trusted tooling”. El informe original detalla la operación y su infraestructura asociada: Proofpoint Threat Insight.
Por qué el RAT disfrazado de RMM TrustConnect es relevante ahora
El auge del abuso de RMM se ha convertido en una vía privilegiada para obtener acceso persistente y “hands-on-keyboard” en redes corporativas: las organizaciones ya confían en estas herramientas, suelen estar permitidas por política y facilitan acciones como ejecución remota, transferencia de archivos o control de sesiones. En este contexto, un RAT disfrazado de RMM TrustConnect eleva el riesgo al mezclar técnicas de ingeniería social con señales de legitimidad (marca, web, firma de código), reduciendo fricción en la fase de infección y complicando el “triage” inicial en SOCs.
El movimiento también encaja con una tendencia cuantificada por la industria: Huntress ha reportado un incremento pronunciado del abuso de RMM y su peso dentro del total de incidentes observados en 2025, reforzando que este vector se está consolidando en cadenas de ataque de gran escala. Referencia: Huntress 2026 Cyber Threat Report.
Una “empresa” falsa, un dominio reciente y monetización en cripto
Proofpoint indica que el dominio usado como escaparate comercial (trustconnectsoftware[.]com) se registró el 12 de enero, y que el contenido del sitio parece generado de forma automática. En ese mismo portal, los actores permitían contratar la supuesta plataforma mediante criptomonedas. Además de funcionar como fachada para convencer a potenciales víctimas y proveedores de confianza, el sitio se utilizó como parte de la operación técnica al actuar como punto de mando para el malware.
Firma de código con EV: ventaja táctica aunque se revoque
Uno de los elementos más sensibles del caso es la obtención de un certificado EV para firmar el payload. Proofpoint señala que el certificado fue revocado el 6 de febrero, con apoyo de investigadores externos, pero advierte que los binarios firmados antes de esa fecha pueden seguir pasando validaciones en distintos flujos de verificación, dependiendo de cómo se aplique la comprobación en cada entorno. Esta táctica busca reducir alertas y fricción, y mejora la probabilidad de ejecución en endpoints donde la confianza en la firma digital es un criterio de decisión.
Qué capacidades ofrece el RAT disfrazado de RMM TrustConnect
El backdoor proporciona control remoto completo de teclado y ratón, además de funciones típicas de “remote management” como transferencia de archivos, ejecución de comandos y capacidad de grabar y retransmitir la pantalla de la víctima. En términos operativos, estas capacidades permiten desde reconocimiento interactivo hasta despliegue posterior de cargas adicionales, manteniendo acceso persistente y operando con un modelo similar al de software de administración remota comercial.
Infraestructura y rebranding tras la interrupción
Proofpoint afirma que la infraestructura de command-and-control inicial fue interrumpida el 17 de febrero con ayuda de socios del sector, pero que los operadores reaccionaron rápidamente levantando infraestructura paralela y probando un payload renombrado, identificado como “DocConnect” o “SHIELD OS v1.0”. El giro subraya un patrón habitual: cuando el “C2” cae, la operación pivota con rapidez a nuevos dominios, IPs y nombres de producto para mantener continuidad comercial y técnica.
Distribución: campañas de phishing y señuelos empresariales
El informe describe campañas para distribuir el malware, incluyendo phishing iniciado el 26 de enero con correos en inglés y francés que simulaban invitaciones a presentar propuestas para proyectos, enlazando a un supuesto “paquete completo” que descargaba un ejecutable. El flujo observado incluye un binario con nombre tipo MsTeams.exe que instala un segundo componente (TrustConnectAgent.exe) y establece comunicación con el servidor de mando. Proofpoint también documenta otros temas usados como cebo (impuestos, documentos compartidos, invitaciones a reuniones, eventos y motivos gubernamentales) y la entrega, en algunos casos, de RMM legítimos en paralelo.
Posibles vínculos con el ecosistema Redline
Proofpoint atribuye con “moderada confianza” el malware a un cliente del infostealer Redline, basándose en un identificador de Telegram usado como contacto de soporte/ventas en la web del supuesto proveedor. El dato sugiere que el RAT disfrazado de RMM TrustConnect podría estar integrado en el mercado de MaaS donde actores reutilizan canales, identidades y relaciones comerciales para operar distintas familias de malware.
Para el sector, el caso refuerza la necesidad de tratar el “software firmado” y la estética de proveedor como señales insuficientes para confiar, especialmente en herramientas que prometen administración remota con privilegios elevados. En la práctica, el RAT disfrazado de RMM TrustConnect evidencia cómo la criminalidad está empaquetando malware como producto “enterprise” para explotar la confianza en RMM y maximizar persistencia en redes corporativas.
