TempMail Ninja
//

Ciberseguridad junior: el caso del hacker Poisson y su error fatal

9 min de lectura
TempMail Ninja
Ciberseguridad junior: el caso del hacker Poisson y su error fatal

Contenido del artículo

En el vasto y complejo escenario de la guerra digital contemporánea, las líneas que dividen la sofisticación táctica de la torpeza amateur son cada vez más delgadas. El caso de “Poisson”, un atacante francófono expuesto recientemente por la firma de seguridad Cato Networks, es la perfecta ilustración de esta desconcertante dualidad. Este intruso logró comprometer los sistemas de una pequeña empresa automotriz en Francia y de cuatro ciudadanos particulares utilizando una refinada cadena de infección en memoria. Sin embargo, terminó revelando hasta el último detalle de su operación debido a fallas de seguridad operacional (OPSEC) asombrosamente básicas.

La investigación llevada a cabo por Cato CTRL no solo desveló un “manual de instrucciones” paso a paso olvidado en un almacenamiento en la nube sin protección, sino que también expuso una realidad ineludible en el panorama actual de las amenazas: el fenómeno de la ciberseguridad junior. Hoy en día, atacantes novatos o estudiantes de secundaria tienen a su disposición herramientas de evasión avanzadas y software empresarial legítimo que les permiten poner en jaque infraestructuras corporativas enteras antes de haber terminado de hacer sus tareas escolares.

Ciberseguridad junior: El auge de los atacantes escolares y sus recursos “Free-Tier”

El perfil de “Poisson” (quien también operaba bajo el alias de “Stikou68” en entornos Linux con el usuario avenger@ubuntu) dista mucho del de un operador de una Amenaza Persistente Avanzada (APT) estatal. El análisis temporal de sus 339 comandos ejecutados a lo largo de un período de 33 días —del 30 de marzo al 1 de mayo de 2026— reveló un patrón de actividad asombrosamente predecible. El atacante se volvía activo estrictamente después de las 3:00 PM CET (hora de Europa Central) y mostraba una prolongada inactividad a mitad del día. Esta rutina coincide con precisión milimétrica con el horario escolar europeo, lo que llevó a los investigadores a concluir que el operador es, con una probabilidad extremadamente alta, un estudiante que realiza ciberataques en su tiempo libre.

Lejos de contar con el respaldo financiero de un sindicato de cibercrimen organizado, el ecosistema de Poisson dependía casi exclusivamente de infraestructuras gratuitas o de muy bajo costo de nivel de consumo, características clásicas de la ciberseguridad junior. Para llevar a cabo su campaña de robo de credenciales, el joven hacker estructuró su red utilizando:

  • DuckDNS: Un servicio de DNS dinámico gratuito utilizado para redirigir sus dominios maliciosos sin costo alguno.
  • Backblaze B2: Cuatro buckets de almacenamiento de nivel gratuito (“free-tier”) que alojaban sus scripts de infección y sus herramientas de persistencia.
  • IONOS VPS: Un servidor privado virtual (VPS) económico ubicado en Berlín, Alemania, que servía como su servidor de Comando y Control (C2) principal bajo el framework Havoc.

A pesar de esta infraestructura de bajo presupuesto, la amenaza que representaba Poisson era completamente real. Su capacidad para evadir defensas tradicionales demuestra que la accesibilidad a herramientas de explotación sofisticadas ha democratizado el cibercrimen de una manera alarmante.

Anatomía de la cadena de infección: Evasión en memoria y el persistente “powercfg”

El ataque de Poisson comenzó con una cadena de infección sin archivos (“fileless”) sumamente astuta. Todo iniciaba con un archivo de stager en VBScript llamado sys.vbs. Este script implementaba un retraso inicial de 120 segundos diseñado específicamente para evadir el análisis automatizado de sandboxes. La mayoría de los entornos de análisis de malware solo ejecutan una muestra de manera interactiva durante 30 o 60 segundos antes de clasificarla como inofensiva; la pausa de dos minutos de Poisson superaba este umbral sin problemas.

Una vez transcurrido este tiempo, el script procedía a descifrar y ejecutar un cargador de PowerShell. Este cargador realizaba una petición web silenciosa para descargar una biblioteca de enlace dinámico (.NET DLL) llamada senti.dll desde uno de sus buckets en Backblaze B2. Para ocultar el código dañino dentro de la DLL, el atacante recurrió a una técnica conocida como “codificación Matryoshka de cinco capas”. El shellcode final estaba codificado y fragmentado de tal manera que, a ojos de un antivirus estático, el binario parecía contener únicamente palabras comunes del idioma inglés.

Cuando la DLL se ejecutaba, descifraba el shellcode directamente en el espacio de memoria del proceso explorer.exe. Esto evitaba escribir el implante principal en el disco duro, evadiendo una vez más las firmas tradicionales de los antivirus basados en host. El implante inyectado correspondía al agente Demon del framework de código abierto Havoc C2.

Una vez establecido el acceso inicial, Poisson procedió con los siguientes pasos tácticos:

  1. Escalación de privilegios: Aunque rudimentario, el atacante ejecutó un comando de PowerShell utilizando el verbo “RunAs”. Esto forzó la aparición de una ventana emergente de Control de Cuentas de Usuario (UAC) en la pantalla de la víctima. El usuario, al verse interrumpido por la alerta, la aceptó manualmente, otorgando privilegios administrativos completos a Poisson.
  2. Creación de persistencia local: Estableció una tarea programada llamada TaskAdmin1 que se ejecutaba en cada inicio de sesión con los privilegios más altos del sistema.
  3. Despliegue del Keylogger: Subió de forma manual un paquete comprimido (KeyL.zip) que contenía un keylogger en Python de tan solo 70 líneas. El script almacenaba todas las pulsaciones de teclado en un archivo de texto local en lugar de enviarlas por beacons periódicos, una táctica inusual pero altamente efectiva para pasar desapercibido ante analizadores de tráfico de red.
  4. Modificación de energía del sistema: Para garantizar que sus herramientas siguieran capturando información sin interrupciones, el atacante configuró el sistema mediante comandos de powercfg para evitar de forma absoluta que la máquina de la víctima entrara en modo de suspensión o hibernación.

La persistencia “Rogue”: Tailscale, OpenSSH y el jaque mate a los defensores

El aspecto más sobresaliente y tácticamente astuto de la campaña de Poisson ocurrió cuando su propio servidor de comando y control (C2) comenzó a tambalearse. El servidor VPS IONOS del atacante en Berlín empezó a experimentar caídas constantes y, finalmente, quedó completamente fuera de línea debido a que superó el límite de ancho de banda contratado. En condiciones normales, la pérdida de un servidor C2 significa la muerte de la intrusión para la mayoría de los defensores. Sin embargo, Poisson había preparado un plan de contingencia brillante.

Poco antes de que su infraestructura Havoc colapsara, el atacante descargó e instaló de manera silenciosa en la máquina de la víctima el servicio oficial de OpenSSH Server y el cliente de Tailscale. Tailscale es una solución de red mesh VPN comercial y legítima que utiliza el protocolo WireGuard para interconectar dispositivos de forma directa y cifrada. Al asociar la máquina comprometida a su propia cuenta de Tailscale (“tailnet”), Poisson creó un túnel de acceso inverso sumamente elusivo.

Esta ingeniosa maniobra de persistencia de red mesh rompió todas las reglas clásicas de mitigación de incidentes:

  • Sin redirección de puertos: Tailscale utiliza técnicas de perforación de NAT (“NAT traversal”), lo que significa que el atacante pudo conectarse directamente a la máquina interna de la empresa sin necesidad de configurar reglas de firewall o abrir puertos externos en el enrutador corporativo.
  • Independencia del C2: Cuando el servidor Havoc se apagó, el acceso a través de la VPN mesh de Tailscale y el servidor SSH permaneció totalmente intacto y funcional.
  • Reconexión automática: Tras 18 días de inactividad, cuando Poisson finalmente restableció su servidor VPS de Havoc, los agentes en la red de la víctima se reconectaron automáticamente de manera transparente, sin necesidad de que el hacker tuviera que volver a vulnerar el perímetro.

Adicionalmente, como tercer canal de seguridad en caso de fallo, Poisson desplegó una versión personalizada del software legítimo de escritorio remoto RustDesk. Esta redundancia de canales legítimos convirtió una intrusión amateur en un dolor de cabeza persistente para cualquier equipo de respuesta a incidentes.

El “Over-the-Shoulder” de Cato CTRL: Los fallos garrafales de OPSEC

Si la arquitectura de persistencia de Poisson demostró una astucia inusual, sus habilidades de seguridad operacional (OPSEC) revelaron de manera cómica los límites de su experiencia real. El golpe de gracia que permitió a Vitaly Simonovich, investigador senior de Cato CTRL, reconstruir esta intrusión de principio a fin no fue la recuperación de logs de sistema fragmentados, sino el descuido más catastrófico imaginable en el cibercrimen.

Poisson cometió el error de dejar sus claves privadas de SSH y un playbook detallado paso a paso con los comandos que debía ejecutar en un bucket público y completamente desprotegido de Backblaze B2. El bucket en cuestión llevaba de manera imprudente el nombre de su propio alias: sentiwaw.s3.eu-central-003.backblazeb2.com. Esto permitió a los analistas de ciberseguridad acceder a una bitácora exacta de sus comandos, ofreciendo una vista literal “por encima del hombro” de lo que el hacker escribía en su teclado en tiempo real.

Los errores de Poisson documentados en la investigación incluyen fallas absurdas de las cuales un profesional de seguridad jamás sería partícipe:

  • Fuga del directorio local: En cinco ocasiones diferentes, Poisson ejecutó comandos que imprimieron por error la ruta de su entorno de desarrollo local (el usuario avenger@ubuntu) directamente en los logs de la consola del sistema comprometido.
  • Pistas de depuración en producción: Dentro del paquete comprimido de su keylogger, dejó un archivo de prueba que contenía sus propias pulsaciones de teclado repetidas una y otra vez mientras probaba el software en su propia máquina.
  • Tasa de error colosal: El reporte de Cato CTRL destaca que Poisson falló en la ejecución de aproximadamente el 50% de los comandos que escribió. Tuvo que reescribir, corregir errores sintácticos y lidiar repetidamente con comandos de consola básicos de Windows antes de lograr que sus herramientas funcionaran de manera adecuada.

A pesar de esta inexperiencia flagrante y de tropezar constantemente en la consola, el atacante logró comprometer exitosamente cuatro máquinas y extraer credenciales bancarias y de correo electrónico críticas. Esto demuestra una preocupante realidad: en el ecosistema actual, no se necesita ser un genio de la informática para causar un impacto devastador en una organización.

Lecciones tácticas para defensores modernos

La “Operación Poisson” nos deja una advertencia contundente: las metodologías clásicas de remediación de amenazas ya no son suficientes. El viejo paradigma de identificar un servidor de Comando y Control (C2), darlo de baja y asumir que el peligro ha pasado es completamente obsoleto si el adversario ha tenido el tiempo necesario para instalar puertas traseras independientes a través de redes mesh corporativas o de consumo.

Para contrarrestar campañas de actores de ciberseguridad junior que aprovechan herramientas de administración legítimas, las organizaciones deben reestructurar sus estrategias de detección activa. Los investigadores de Cato CTRL sugieren enfocar los esfuerzos en las siguientes directrices:

  1. Monitoreo estricto de software de acceso remoto: Configurar alertas inmediatas ante la instalación o ejecución de servicios como OpenSSH Server, Tailscale, Zerotier o RustDesk en estaciones de trabajo comunes. Estos programas no deberían correr en equipos que no pertenezcan al personal de TI.
  2. Detección de anomalías de energía: Monitorear la ejecución inusual de comandos de powercfg o cambios bruscos en las políticas de suspensión de los endpoints, ya que es una técnica común para mantener activas las herramientas de exfiltración de datos.
  3. Auditoría de tareas programadas elevadas: Analizar rigurosamente cualquier tarea que se configure para ejecutarse durante el inicio de sesión (“logon”) con privilegios del sistema, prestando especial atención a scripts que llamen a PowerShell de forma oculta.
  4. Análisis de conexiones salientes y VPNs Mesh: Monitorear el tráfico de red orientado a dominios conocidos de Tailscale u otras plataformas mesh. Al no requerir apertura de puertos entrantes, la única forma de detectar estos canales es vigilando las conexiones UDP salientes inusuales.
  5. Política estricta de reinicio de credenciales: Si se confirma la presencia de un keylogger, no basta con eliminar el archivo binario o apagar la persistencia. Es imperativo realizar una revocación y restablecimiento global de todas las credenciales asociadas a las cuentas de los usuarios afectados, prestando especial atención a las cuentas bancarias y correos corporativos expuestos.

La democratización del software malicioso y las herramientas de red mesh legítimas han otorgado capacidades sumamente peligrosas a operadores novatos. Poisson fue descubierto por su mala práctica en OPSEC, pero el próximo atacante junior podría leer su propio manual expuesto, aprender de sus errores de principiante y asegurarse de no dejar la puerta abierta la próxima vez.

Etiquetas

ciberseguridadintrusión informáticaseguridad ofensivaseguridad operativa
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.

También te puede interesar

Error 404: La verdad detrás del mito más famoso de internet

El primer buscador internet: La historia de Archie

James Franco TikTok: El misterioso caso del video viral y los aliens