Acceso que sobrevive a su propia caída: la lección de la Operación Poisson
Acceso que sobrevive a su propia caída: la lección de la Operación Poisson
Una de las creencias más arraigadas en la respuesta a incidentes es que, si localizas y desconectas el servidor desde el que un atacante controla una red comprometida, lo expulsas. Un caso reciente, documentado en detalle por la firma de seguridad Cato Networks, demuestra que esa creencia ya no es suficiente. Un atacante con poca experiencia —al que los investigadores apodaron “Poisson”— comprometió la red de una pequeña empresa automotriz francesa y, antes de perder el control de su infraestructura, dejó preparada una vía de regreso usando dos herramientas perfectamente legítimas y de uso cotidiano: Tailscale y OpenSSH. Cuando su servidor principal cayó, su acceso siguió vivo durante 18 días.
Lo más revelador del caso no es la sofisticación —el operador era un principiante que falló en casi la mitad de lo que intentó—, sino lo accesible que resulta hoy una técnica de persistencia que la industria asociaba a grupos avanzados.
Cronología del ataque
| Fecha | Hito | Detalle |
|---|---|---|
| 30 MAR (Día 1) | Intrusión inicial · pyme automotriz | Comprometida en 83 minutos. Escala a administrador, crea una tarea programada e instala RustDesk como canal de respaldo. Malware que corre en memoria, casi sin tocar el disco. |
| 31 MAR (Día 2-3) | Persistencia y robo de credenciales | Inyecta código en procesos del sistema. Tras una docena de intentos, un usuario acepta el aviso de permisos y se consigue acceso de administrador. Despliega un keylogger. |
| 07 ABR (Día 8) ⭐ | Instala Tailscale + OpenSSH | El movimiento clave. Une la máquina de la víctima a su red privada cifrada. Configura acceso por SSH y un túnel inverso. Ahora puede entrar sin pasar por su servidor C2. |
| 08 ABR (Día 9) | El servidor C2 cae | ✗ La infraestructura principal queda fuera de línea. ✓ Pero el acceso por Tailscale vive en una red aparte. |
| 18 días sin C2 | El acceso permanece activo, en silencio | |
| 26 ABR | El C2 regresa y los agentes se reconectan solos | No hizo falta volver a atacar nada: las tareas programadas, el servidor SSH y la malla VPN llevaban semanas funcionando. |
| 30 ABR | Apunta a credenciales de mayor valor | Explora certificados y tarjetas inteligentes, y ejecuta dos programas desde un misterioso archivo Thales.zip. |
| 01 MAY | Borra 17 archivos y desaparece | El C2 se apaga definitivamente y no ha vuelto. |
¿Qué sucedió?
Entre el 30 de marzo y el 1 de mayo de 2026, el operador apodado “Poisson” llevó a cabo una campaña de robo de credenciales contra una pequeña empresa automotriz francesa y varios particulares del país. El equipo de investigación Cato CTRL, de Cato Networks, pudo reconstruir la operación completa —339 comandos a lo largo de 33 días— gracias a un descuido del propio atacante: dejó sus claves de acceso y un manual de instrucciones paso a paso en un servicio de almacenamiento en la nube abierto, accesible para cualquiera. Esto convirtió el caso en algo poco habitual: una intrusión observada prácticamente “desde el teclado” del atacante, y no reconstruida meses después a partir de los restos que deja un ataque.
El acceso inicial se apoyó en una cadena de programas maliciosos diseñada para ejecutarse en la memoria del equipo, evitando dejar archivos en el disco duro que un antivirus pudiera detectar fácilmente. Una vez dentro, el atacante aseguró su presencia con los métodos habituales: una tarea programada que se reactivaba en cada inicio de sesión y una herramienta de escritorio remoto (RustDesk) como canal alternativo. Para robar la información desplegó un keylogger, un pequeño programa que registra todo lo que la víctima teclea —contraseñas incluidas— en un archivo. Curiosamente, ni siquiera automatizó el robo: se conectaba cada cierto tiempo y recogía el archivo a mano. Hasta aquí, una intrusión más.
El punto de inflexión llegó el 7 de abril. En una sesión nocturna de unas cinco horas, el atacante instaló en la máquina de la víctima dos herramientas que ningún antivirus marca como peligrosas, porque no lo son: OpenSSH, el estándar para conexiones remotas seguras presente en prácticamente todos los sistemas del mundo, y Tailscale, un popular servicio de red privada (VPN de malla) que empresas y particulares usan a diario para conectar dispositivos de forma segura. Con ellas, el atacante incorporó el equipo comprometido a su propia red privada cifrada y configuró una conexión por SSH con un túnel inverso. El resultado: una vía de entrada directa al equipo, cifrada, sin puertos visibles desde el exterior y completamente independiente de su servidor de Comando y Control (C2).
La utilidad de esa jugada se vio un día después. El 8 de abril, la infraestructura principal del atacante —su servidor C2— quedó fuera de línea. En un escenario clásico, eso habría significado el fin del acceso. Pero como la vía de Tailscale operaba sobre una red completamente separada, el acceso sobrevivió. Cuando el servidor C2 volvió a funcionar el 26 de abril, 18 días más tarde, los programas instalados en las víctimas se reconectaron por sí solos, sin que el atacante tuviera que volver a comprometer nada.
Anatomía técnica: las siete etapas de la cadena de ataque
La cadena reconstruida por Cato consta de siete etapas. Vale la pena recorrerlas porque, en conjunto, conforman un manual moderno y completo de evasión.
-
sys.vbs— el stager. [Evasión] VBScript cifrado en AES de 1.1 KB. Ejecuta una espera de 120 segundos para evadir entornos de análisis automatizado y luego descifra una carga de PowerShell, partiendo la cadenaInvoke-Expressionpara esquivar la detección estática. -
senti.dll— la matryoshka. [Carga sin archivos] Un DLL de .NET de 3.1 MB que codifica el shellcode como 207.813 palabras en inglés. Dentro, un cargador reflectivo estilo Donut envuelve al agente Demon del framework Havoc. Cinco capas de anidamiento, un implante de apenas 50 KB, cero archivos en disco. -
El «bypass» de UAC que no era un bypass. [Privilegios] La elevación arrancaba con
Start-Process -Verb RunAs, que no es silencioso: dispara el diálogo de consentimiento de Windows. En la Víctima 3 requirió una docena de intentos hasta que el usuario aceptó. -
Persistencia redundante. [Persistencia] Una tarea programada
TaskAdmin1que se ejecuta en cada inicio de sesión con privilegios máximos, un acceso directo en la carpeta de Inicio y shellcode inyectado enExplorer.EXE. Tres mecanismos solapados. -
RustDesk. [Canal secundario] Una versión compilada a medida de esta herramienta de escritorio remoto, configurada con el relay del propio atacante. Un canal de respaldo independiente de Havoc.
-
El keylogger. [Robo] Un script de Python de 70 líneas con
pynputque registra cada pulsación en un archivo local. Sin beacon y sin servidor de exfiltración: ~3.000 caracteres por sesión, recolectados a mano. -
SSH y Tailscale. [Persistencia C2-independiente] OpenSSH Server y la malla VPN de Tailscale, con autenticación por clave y un túnel inverso. La capa de acceso que sobrevivió a la caída del C2.
Lectura analítica. Ninguna etapa es, por sí sola, novedosa. El valor del caso está en la integración: una cadena sin archivos de cinco capas, persistencia triplemente redundante, un canal de robo sin tráfico de red, y una capa de persistencia montada sobre infraestructura legítima. Es la madurez operativa del conjunto lo que merece atención.
El camuflaje en la red: “Living off the Land”
¿Por qué fue tan efectivo un ataque ejecutado por un principiante? La respuesta está en una técnica conocida en el mundo de la seguridad como “Living off the Land” (literalmente, “vivir de la tierra”): en lugar de introducir herramientas maliciosas y llamativas que las defensas reconocen y bloquean, el atacante se apoya en software legítimo, firmado y de confianza que ya forma parte del paisaje normal de cualquier red corporativa.
La mayoría de los antivirus y sistemas de protección funcionan, en buena medida, identificando “archivos malos” conocidos. Pero Tailscale y OpenSSH no son archivos malos: son programas legítimos, ampliamente utilizados y digitalmente firmados por sus fabricantes. Un sistema de seguridad que se limita a buscar amenazas conocidas no tiene motivo para alarmarse al verlos. El tráfico que generan, además, viaja cifrado, de modo que se mezcla con naturalidad entre las comunicaciones habituales de la empresa sin levantar sospechas.
El atacante, en otras palabras, no rompió la cerradura: usó una copia legítima de la llave. Su acceso se camufló dentro de lo que cualquier red consideraría actividad rutinaria. Por eso la detección que se queda en el nivel de “este archivo es malicioso” resulta ciega ante este tipo de maniobra: lo sospechoso no es qué programa se está usando, sino el contexto en el que aparece.
La evolución de las amenazas
El caso ilustra un cambio de fondo en el panorama de las ciberamenazas que merece atención. Durante años, el relato dominante ha girado en torno a los grandes grupos: bandas de ransomware organizadas, actores patrocinados por Estados, operaciones de espionaje con presupuestos millonarios. Sin embargo, la realidad cotidiana de las pequeñas empresas y los usuarios particulares —los que no cuentan con un equipo de seguridad dedicado— está marcada cada vez más por una larga cola de operadores de bajo nivel que, sin grandes recursos ni conocimientos, logran resultados notables.
El perfil de “Poisson” es ilustrativo. Todo apunta a alguien que está aprendiendo: su horario de actividad coincidía con un calendario escolar (activo por las tardes, con un largo paréntesis a mediodía), y montó toda su operación sobre servicios gratuitos, hasta el punto de que uno de ellos agotó su cuota gratuita de descarga a mitad del ataque y lo dejó bloqueado durante horas. Su descuido fue tal que dejó sus propias claves y manuales a la vista de cualquiera.
Lo significativo es cómo logra sus objetivos un atacante así. En lugar de desarrollar herramientas sofisticadas, estos operadores están aprendiendo a aprovechar la confianza depositada en plataformas y servicios legítimos. La barrera de entrada al cibercrimen sigue bajando, y la línea que separa al aficionado del profesional se difumina cuando ambos se apoyan en la misma caja de herramientas legítima.
Consejos de seguridad y prevención
Este incidente deja lecciones aprovechables para cualquier organización, con independencia de su tamaño o de si cuenta con un equipo de seguridad especializado.
Para cualquier usuario u organización
- Lleva un control del software de acceso remoto. OpenSSH, Tailscale, RustDesk, AnyDesk y similares son legítimas, pero deberían estar inventariadas y autorizadas. Si aparecen en un equipo sin motivo claro, investígalo.
- Desconfía de los avisos de permisos inesperados. El atacante logró privilegios solo porque alguien pulsó «Sí» en una ventana que no esperaba. Si no iniciaste tú la acción, recházala.
- Activa la verificación en dos pasos (2FA). El objetivo eran contraseñas capturadas con un keylogger. Un segundo factor hace que una contraseña robada, por sí sola, no baste.
- No confíes solo en el antivirus tradicional. Las soluciones que solo buscan «archivos malos» no ven el abuso de software legítimo ni las cadenas en memoria. Complétalas con vigilancia de comportamiento.
Para administradores y equipos de TI
- Trata la instalación de un servidor OpenSSH (
sshd) en equipos de escritorio Windows como señal de alto riesgo. Rara vez es legítimo fuera de servidores, y fue clave en la persistencia de este caso. - Vigila la aparición de Tailscale —o cualquier VPN de malla— en equipos sin razón operativa para ejecutarla.
- Aplica el principio de mínimo privilegio. Cuantos menos usuarios sean administradores, más difícil le resulta afianzarse a un atacante.
- Revisa periódicamente tareas programadas, servicios de autoarranque y cuentas con privilegios.
- Bloquea los servicios de DNS dinámico gratuito (DuckDNS, No-IP) en el resolvedor de la organización salvo justificación.
Para equipos de seguridad y SOC
- Detecta túneles SSH inversos (
ssh -R) desde equipos internos hacia servidores externos. - Alerta sobre
wscript.exeejecutando archivos.vbsdesde carpetas temporales del usuario. - Monitorea cambios en la configuración de energía (
powercfg). - Vigila la inyección de código en procesos legítimos (como
Explorer.EXE) y la ejecución oculta de PowerShell. - Da el salto de la detección por firmas a la detección por comportamiento. Las herramientas finales son binarios legítimos y firmados; ninguna firma de archivo las atrapará.
⚠️ La lección central para la respuesta a incidentes. Si neutralizas el servidor desde el que un atacante controla un equipo, no des por cerrado el incidente. Asume que pudo dejar otras vías de entrada y busca activamente servicios de acceso remoto, túneles o mallas VPN instalados durante la intrusión. Apagar el servidor del atacante es un paso, no el final.
Indicadores de Compromiso (IOCs)
Para quienes deseen revisar sus propios entornos, Cato publicó los indicadores técnicos de la operación. Las direcciones y dominios se presentan “neutralizados” (con corchetes) para evitar clics accidentales.
Infraestructura de red
| Indicador | Descripción |
|---|---|
217[.]154[.]217[.]139 |
Servidor C2 Havoc (IONOS, Berlín) |
217[.]154[.]162[.]45 |
Redirector del C2 (IONOS, Berlín) |
wawsenti[.]duckdns[.]org |
CN del certificado TLS de ambos servidores |
pois43[.]s3[.]eu-central-003[.]backblazeb2[.]com |
Almacenamiento de payloads |
w456w5[.]s3[.]eu-central-003[.]backblazeb2[.]com |
Almacenamiento de payloads |
sentiwaw[.]s3[.]eu-central-003[.]backblazeb2[.]com |
Manual de SSH |
Archivos · hash SHA-256
| Archivo | Hash |
|---|---|
sys.vbs |
aa7ea19e34567458b4ee66a7cd274181764984bf32123f756a7fdc64d5857b31 |
senti.dll |
3b7642b0f84e83a36334c608655c6cb7aae774839a6a3488526b853d89830a60 |
KeyL.zip |
1f00fd604bb18bbe3081f9ce8d741c4029d2a2125eb8888ac4e0d955938059d6 |
Thal.exe |
0378a5ef51b008aa2d6b76bd44a0bf061339bc3b737a188ec82029444d4d18fe |
Adicionales: RustCustom.zip, SSH.zip, RevS.ps1 (hashes completos en el reporte de Cato).
Rastros en el equipo
- Tarea programada
TaskAdmin1— se ejecuta al inicio de sesión con privilegios máximos. - Servicios
sshd(autoarranque) y Tailscale. - Reglas de firewall
RustDesk Full AccessySSH.
Identidad del operador
- Alias
Poisson,Stikou68. - Linux
avenger@ubuntu, ruta/home/avenger/Desktop/. - Buckets de almacenamiento
pois43,w456w5,sentiwaw.
Resumen técnico
| Campo | Detalle |
|---|---|
| Nombre del caso | Operación Poisson (Cato CTRL / Cato Networks) |
| Atacante | “Poisson” — operador novato, no un grupo avanzado |
| Objetivo del ataque | Robo de credenciales (banca, correo, portales gubernamentales) |
| Víctimas | Una pyme automotriz francesa y cuatro particulares franceses |
| Herramientas legítimas usadas | Tailscale, OpenSSH; RustDesk como respaldo |
| Acceso inicial | Cadena de malware ejecutada en memoria (framework Havoc) |
| Robo de datos | Keylogger en Python, recolección manual, sin servidor de exfiltración |
| Tipo de persistencia | Acceso independiente del C2 mediante Tailscale + SSH con túnel inverso |
| Estado del C2 | Cayó el 8 de abril; el acceso sobrevivió; regresó el 26 de abril (18 días después) |
| Duración total | 33 días (30 de marzo – 1 de mayo de 2026); 339 comandos registrados |
| Técnica destacada | Living off the Land |
| Lección principal | Apagar el servidor C2 no equivale a remediar la intrusión |
Resumiendo…
La principal enseñanza de la Operación Poisson es a la vez sencilla y profunda: en la ciberseguridad actual, lo más peligroso no siempre tiene aspecto de amenaza. Un atacante sin grandes conocimientos logró un acceso duradero y silencioso no por superar las defensas a la fuerza, sino por esconderse a plena vista, usando las mismas herramientas legítimas en las que confían las organizaciones a diario.
Para empresas y administradores, la lección preventiva es clara: la protección moderna no consiste solo en bloquear lo obviamente malicioso, sino en conocer a fondo el propio entorno —qué software está autorizado, qué comportamientos son normales y qué conexiones tienen sentido— para poder distinguir el uso legítimo del abuso. Y cuando llega el momento de responder a un incidente, conviene recordar que neutralizar la herramienta visible del atacante es apenas el principio; la verdadera remediación exige asegurarse de que no haya dejado ninguna puerta entreabierta.
Fuentes consultadas
Cato Networks. (2026, 16 de junio). Cato CTRL Threat Research: Operation Poisson – Analyzing a Cybercriminal’s Entire Operation. https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/
Khandelwal, S. (2026, 17 de junio). Junior Hacker Used Tailscale and OpenSSH to Keep Access After His C2 Went Offline. The Hacker News. https://thehackernews.com/2026/06/junior-hacker-used-tailscale-and.html
SC Staff. (2026, 18 de junio). Attacker establishes persistent access to French business using OpenSSH and Tailscale. SC Media. https://www.scworld.com/brief/attacker-establishes-persistent-access-to-french-business-using-openssh-and-tailscale
Q2BSTUDIO. (2026, 17 de junio). Hacker junior usó Tailscale y OpenSSH para mantener acceso tras caída de su C2. https://www.q2bstudio.com/nuestro-blog/1990627/hacker-junior-tailscale-openssh-acceso-persistente-c2
Mia, A. (2026, 18 de junio). Young hacker used Tailscale and OpenSSH to break into French car manufacturer. SecNews. https://www.secnews.gr/en/715954/hacker-chrisimopoiise-tailscale-openssh/