Cazando un RAT: cómo Redborder detectó y contuvo NanoCore

Cazando un RAT: cómo Redborder detectó y contuvo NanoCore

Nuestra solución de Network Detection and Response (NDR) identificó y respondió a la actividad sospechosa del troyano de acceso remoto NanoCore RAT. Gracias a la inspección continua del tráfico, el modelado de amenazas en tiempo real y las capacidades de respuesta automatizada, seguimos neutralizando ataques en desarrollo antes de que escalen o logren exfiltrar datos sensibles.

¿Qué es un Remote Access Trojan (RAT)?

Los RATs siguen siendo una pieza clave en el arsenal de los ciberdelincuentes. Una vez instalados, permiten a los atacantes tomar control remoto completo del dispositivo de la víctima, habilitando vigilancia, robo de datos, movimiento lateral y más.
Los RATs modernos son ligeros y con frecuencia logran evadir defensas básicas a nivel de endpoint.

¿Qué es NanoCore?

NanoCore es uno de los RATs más usados en todo el mundo. Surgió en mercados clandestinos alrededor de 2013 y rápidamente ganó popularidad por sus potentes funciones. Aunque en un principio se presentó como una herramienta legítima de administración remota, pronto fue explotada de forma maliciosa.
Se ha vinculado a campañas contra proveedores de energía, instituciones educativas y empresas de manufactura, especialmente en aquellas sin sistemas avanzados de detección en red.

¿Cómo funciona NanoCore?

NanoCore suele propagarse mediante archivos adjuntos en campañas de phishing (documentos de Word o ejecutables comprimidos). Una vez ejecutado:

  • Se instala en silencio.

  • Garantiza persistencia en el sistema.

  • Comienza a comunicarse con su servidor de comando y control (C2).

Principales capacidades de NanoCore:

  • Keylogging.

  • Espionaje por cámara web y micrófono.

  • Exfiltración de archivos.

  • Control remoto de escritorio.

  • Manipulación del registro de Windows.

  • Compatibilidad con plugins para ampliar funciones.

  • Técnicas de evasión de entornos virtuales y sandbox.

Cómo detectó Redborder NanoCore

En la red de un cliente, observamos movimiento lateral anómalo y conexiones cifradas de salida desde un dispositivo previamente limpio. Dicho dispositivo empezó a comunicarse con una IP externa poco común a través de un puerto no estándar, un patrón típico del C2 de NanoCore.

Alertas de patrones de tráfico

El motor de anomalías Borderlock generó las siguientes alertas:

  • “Comportamiento de beaconing sospechoso hacia IP externa rara”.

  • “Comunicación cifrada con certificado desconocido”.

Análisis adicional

La inspección de metadatos de paquetes reveló:

  • Intervalos irregulares, coherentes con señales de “heartbeat”.

  • Comandos remotos entrantes y movimientos de archivos salientes.

  • Uso de certificado autofirmado, común en configuraciones de NanoCore.

Correlación con MITRE ATT&CK

El comportamiento se relacionó automáticamente con técnicas como:

  • T1056 – Keylogging.

  • T1041 – Exfiltración sobre canal C2.

  • T1219 – Software de acceso remoto.

Respuesta en tiempo real

La respuesta autónoma de amenazas de Redborder ejecutó acciones inmediatas:

  • Aislamiento del dispositivo afectado.

  • Bloqueo del tráfico saliente hacia el endpoint sospechoso.

  • Generación de logs e IoCs para el equipo de seguridad.

  • Activación de un replay forense del movimiento lateral para análisis posterior.

La monitorización en vivo del tráfico evitó la ejecución de cargas secundarias que los RATs como NanoCore suelen descargar (por ejemplo, ransomware o ladrones de credenciales).

Principales Indicadores de Compromiso (IoCs)

  • Comunicación de salida inusual hacia IPs poco frecuentes.

  • Uso de puertos no estándar para canales C2.

  • Certificados autofirmados con emisores genéricos.

  • Archivos adjuntos maliciosos disfrazados de documentos comunes.

Conclusión

Herramientas como NanoCore siguen activas, son potentes, adaptables y están presentes tanto en ataques dirigidos como oportunistas. El antivirus tradicional rara vez las detecta, especialmente cuando se valen de tráfico cifrado o loaders personalizados.
En Redborder detectamos estas amenazas analizando el comportamiento real de la red, no solo firmas. La monitorización proactiva, la detección de movimiento lateral y el aislamiento automatizado permiten detener un ataque antes de que cause daños.

👉 La visibilidad lo es todo.

¿Quieres ver Redborder en acción?
📞 Contacta con Ventas | 📄 Lee nuestro último Threat Report | 🚀 Solicita una demo en vivo

Author

septiembre 16, 2025 Sin categorizar

Share this post

¡Conoce nuestra solución de ciberseguridad!

Redborder es una solución Big Data basada en tecnologías Open Source para la visibilidad de red,
el análisis de datos y la ciberseguridad completamente escalable según las necesidades de la infraestructura de red de cada compañía
o Provedor de servicios

Solución NDR

Escalable y modular

On premise or cloud

Desktop, Ios/ Android
Saber más