El uso de NetSupport RAT demuestra que herramientas legales pueden causar daños graves
En la actualidad, NetSupport RAT representa el aprovechamiento malicioso de NetSupport Manager, una herramienta legítima de administración remota, la cual ha sido diseñada para soporte técnico. Por ello, los ciberdelincuentes la explotan para obtener acceso no autorizado, filtrar datos y desplegar malware, transformando una funcionalidad confiable en un vector de ataque peligroso.
Igualmente, NetSupport Manager es un software legítimo empleado por administradores para soporte, monitoreo y gestión remota. Operativo desde el año 1989, permite acceder y navegar sistemas por medio de diversas plataformas y sistemas operativos. Aunque NetSupport Manager es una herramienta profesional para equipos de TI, han aumentado los casos en donde se abusa de ella para vulnerar sistemas.
Este uso indebido es tan frecuente que investigadores de ciberseguridad ahora denominan a NetSupport como un Troyano de Acceso Remoto o RAT, por sus siglas en inglés, un término para malware que permite controlar dispositivos infectados a distancia, además, las etapas iniciales de la infección varían según el origen del compromiso.
Por medio de tácticas de ingeniería social como ClickFix, los actores de amenazas engañan a los usuarios para que se encarguen de ejecutar comandos maliciosos de PowerShell, simulando resolver errores o completar verificaciones de CAPTCHA falsas.
Otros vectores como phishing, actualizaciones automáticas de navegador fraudulentas, sitios maliciosos, envenenamiento de SEO, malvertising y descargas involuntarias también dirigen a páginas falsas de reCAPTCHA para forzar la ejecución del PowerShell.
Hacer esto logra la instalación de NetSupport Manager en directorios no estándar como AppData, ProgramData o Downloads. Una vez instalado, el adversario obtiene acceso remoto, monitorea al usuario, extrae datos, contacta servidores de comando y control o C” y mantiene persistencia.
TIC Defense es una empresa que se encarga de proveer servicios y productos de ciberseguridad a organizaciones vulnerables. Si tu compañía es una de ellas, no dudes en invertir en tecnología de punta, debido a que la seguridad informática es un pilar fundamental para el éxito de los negocios hoy en día. Además, nuestras herramientas se adaptan a las necesidades informáticas que requieren las empresas.
Investigaciones externas subrayan que la post explotación de NetSupport RAT suele incluir el almacenamiento de cargas útiles maliciosas adicionales. En noviembre del 2025, se ha detectado comportamiento sospechoso vinculado al abuso de NetSupport RAT en múltiples clientes de Europa, Medio Oriente, África y América.
Mientras la inteligencia de fuentes abiertas, conocida como OSINT, ha reportado una campaña que suplantaba entidades gubernamentales en Asia Central para infectar sectores financieros y tecnológicos, un tercio de los clientes afectados de Darktrace en noviembre residían en los Estados Unidos y el resto en África. Este contraste evidencia cómo los atacantes aprovechan la accesibilidad de NetSupport Manager como herramienta de acceso inicial.
Los clientes afectados pertenecían a sectores de comunicación, manufactura, artes y entretenimiento. La táctica ClickFix, usada para distribuir este RAT, suele atacar industrias tecnológicas, manufacturas y energéticas. Esto refleja lo observado en diversas regiones del mundo, donde el sector tecnológico ha resultado comprometido.
La prevalencia en el sector educativo resalta el enfoque comercial de NetSupport hacia dicho mercado. Los hackers maliciosos conocen esta estrategia y explotan la confianza generada para desplegar la herramienta y vulnerar los objetivos marcados.
Aunque la ejecución de comandos PowerShell iniciales ha quedado fuera del alcance de Darktrace en ciertos casos, se ha identificado un patrón de dispositivos conectándose a dominios externos raros e IPs asociadas al RAT mediante diversos puertos vía HTTP.
