Uso malicioso de PuTTY para movimiento lateral y exfiltración de datos

PuTTY
Empresas
Administración pública
PuTTY
Nivel de alerta
Alto

Investigadores en ciberseguridad han alertado de un uso creciente de la herramienta legítima PuTTY (cliente SSH) por parte de actores maliciosos para realizar movimiento lateral y exfiltración de datos dentro de redes previamente comprometidas, reduciendo la huella forense y dificultando su detección.

 

Los atacantes están utilizando PuTTY y sus binarios asociados (plink.exe, pscp.exe) para desplazarse entre sistemas mediante túneles SSH y extraer información sensible, sin necesidad de desplegar malware personalizado.

Esta técnica se enmarca dentro del enfoque conocido como “living off the land”, en el que se abusan herramientas administrativas legítimas ya presentes en los sistemas, mezclando la actividad maliciosa con tareas habituales de administración.

Técnicas observadas

Las campañas analizadas incluyen:

  • Movimiento lateral entre sistemas mediante SSH
  • Creación de túneles SSH para ocultar el tráfico
  • Exfiltración de archivos sensibles usando pscp
  • Ejecución remota de comandos con plink
  • Uso de credenciales previamente comprometidas
  • Minimización de artefactos forenses al no instalar malware adicional


Vector de ataque

  • Abuso de software legítimo ampliamente utilizado
  • Aprovechamiento de accesos SSH existentes
  • Falta de control o monitorización sobre herramientas administrativas
  • Difuminación intencionada entre actividad legítima y maliciosa


Este enfoque complica la detección por soluciones tradicionales basadas en firmas, ya que no introduce código malicioso nuevo.

Sistemas potencialmente afectados

  • Servidores con acceso SSH habilitado
  • Entornos Windows con PuTTY instalado
  • Infraestructuras con reutilización de cuentas administrativas
  • Redes sin monitorización avanzada de comandos y sesiones SSH


Medidas de mitigación recomendadas

Para organizaciones

  1. Auditar el uso de PuTTY, plink y pscp en servidores y estaciones de trabajo.
  2. Restringir su ejecución únicamente a usuarios y sistemas autorizados.
  3. Implantar registro y monitorización detallada de sesiones SSH.
  4. Detectar patrones anómalos de movimiento lateral y transferencias internas.
  5. Aplicar el principio de mínimo privilegio en cuentas administrativas.
  6. Utilizar soluciones EDR/XDR con detección de comportamiento.
  7. Rotar credenciales SSH y habilitar autenticación multifactor siempre que sea posible.


Para equipos de respuesta a incidentes

  • Revisar logs de SSH y eventos de ejecución de procesos
  • Analizar túneles persistentes o conexiones inusuales
  • Correlacionar accesos administrativos fuera de los patrones habituales


Contexto y tendencia

Este tipo de ataques refleja una tendencia clara hacia el abuso de herramientas legítimas para mantener persistencia y realizar movimientos internos sin generar alertas inmediatas. Las técnicas living off the land se están consolidando como una de las estrategias preferidas de los atacantes avanzados.

El uso malicioso de PuTTY demuestra que las herramientas legítimas también pueden convertirse en vectores de ataque si no existen controles adecuados. Una defensa eficaz requiere visibilidad, monitorización de comportamiento y control estricto de privilegios, más allá de la detección tradicional de malware.