Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente

Tiempo estimado de lectura: 1 minutos, 2 segundos

Recientes investigaciones han detectado un creciente abuso del framework Velociraptor —una herramienta Open Source de forense digital e investigación de incidentes— como una plataforma de post-explotación en Windows y Linux. Aunque diseñada para ayudar a responder y analizar amenazas, Velociraptor ahora está siendo desplegada por actores maliciosos como un mecanismo sigiloso de control remoto.

Instalación encubierta: los atacantes utilizan msiexec para desplegar Velociraptor en sistemas comprometidos, haciéndolo pasar por una herramienta administrativa legítima.
Túnel encubierto con Visual Studio Code: tras instalar Velociraptor, descargan y ejecutan Visual Studio Code con una extensión de túnel, estableciendo conexiones a un servidor de mando y control (C2) alojado en una infraestructura basada en Cloudflare Workers.
Uso legítimo de herramientas monocromáticas: al tratarse de software válido, muchas aplicaciones de seguridad no lo detectan como malicioso, permitiendo al atacante operar sin levantar sospechas.

Impacto

Acceso remoto persistente sin señal de alerta.
Recolección silenciosa de credenciales, configuraciones y logs.
Capacidad de escalada y apoyo en incidentes de ransomware.
Evasión de defensas basadas en firmas, al camuflarse como herramienta legítima.

Recomendaciones

Inventariar y validar las herramientas forenses realmente autorizadas en los endpoints.
Alertar e investigar el uso inesperado de software como Velociraptor.
Restringir la capacidad de instalación de software a personal autorizado.
Realizar auditorías periódicas en estaciones y servidores para detectar agentes no previstos.
Incorporar inteligencia de amenazas activa que considere el abuso de herramientas legítimas como vectores avanzados.

Incluso las herramientas defensivas pueden convertirse en accesos clandestinos si no se controla adecuadamente su uso dentro de la infraestructura.

Más información

Sophos CTU – Velociraptor incident response tool abused for remote access
IT Pro News – Cybercriminals weaponize Velociraptor DFIR tool for remote access
The Hacker News – Attackers Abuse Velociraptor Forensic Tool for Post-Exploitation on Windows and Linux

La entrada Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente se publicó primero en Una Al Día.

Artículo de Hispasec publicado en https://unaaldia.hispasec.com/2025/09/velociraptor-herramienta-forense-legitima-es-reutilizada-por-atacantes-para-obtener-acceso-remoto-persistente.html?utm_source=rss&utm_medium=rss&utm_campaign=velociraptor-herramienta-forense-legitima-es-reutilizada-por-atacantes-para-obtener-acceso-remoto-persistente

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente

Impacto

Recomendaciones

Más información

Contenidos relacionados

Cómo los conocimientos basados en datos están dando forma al futuro de la ciberdefensa

Tres casos de éxito revelan cómo se calculan las indemnizaciones por accidente de moto en España

La excelencia y la innovación protagonizan el Premio Best Performance

You missed

La Abogacía Española y el Colegio de Registradores impartirán un curso sobre el uso del registro electrónico

Las oeneges denuncian un intento de desmantelar la diligencia debida y responsabilidad ambiental de las multinacionales

Concurso Generación €uro: 71 equipos clasificados para la segunda fase

Resultados de la encuesta del BCE a expertos en previsión económica correspondiente al cuarto trimestre de 2025

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente

Impacto

Recomendaciones

Más información

Contenidos relacionados

Cómo los conocimientos basados ​​en datos están dando forma al futuro de la ciberdefensa

Tres casos de éxito revelan cómo se calculan las indemnizaciones por accidente de moto en España

La excelencia y la innovación protagonizan el Premio Best Performance

You missed

La Abogacía Española y el Colegio de Registradores impartirán un curso sobre el uso del registro electrónico

Las oeneges denuncian un intento de desmantelar la diligencia debida y responsabilidad ambiental de las multinacionales

Concurso Generación €uro: 71 equipos clasificados para la segunda fase

Resultados de la encuesta del BCE a expertos en previsión económica correspondiente al cuarto trimestre de 2025

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

Cómo los conocimientos basados en datos están dando forma al futuro de la ciberdefensa

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo