Un actor de amenazas deshabilitó las protecciones de Microsoft Defender, eliminó las herramientas de registro, eliminó un firewall de aplicaciones web y debilitó las protecciones de credenciales de Windows antes de utilizar herramientas relacionadas con Mimikatz en un reciente compromiso de servidor.
El incidente, detallado en unAnálisis de la cazadorapublicado el 29 de junio de 2026, comenzó el 7 de junio con actividad de enumeración sospechosa en un servidor web comprometido. La actividad se generó a partir de w3wp.exe, el proceso de trabajo de IIS que normalmente se utiliza para manejar solicitudes web.
Más tarde, los investigadores encontraron un webshell ASPX esteganográfico escondido en un directorio destinado a imágenes. El atacante regresó después de una reparación incompleta, reconstruyó el acceso y luego lanzó un esfuerzo mucho más amplio para cegar a los defensores antes del robo de credenciales.
Los atacantes intentaron cegar primero a los equipos de seguridad
La parte más importante del ataque fue el orden de las operaciones. El atacante no pasó inmediatamente a realizar un volcado de credenciales. Primero intentaron romper los sistemas que registrarían, detectarían o bloquearían la siguiente etapa.
MITRE ATT&CK clasifica este tipo de actividad enDeshabilitar o modificar herramientas, una técnica de deterioro de la defensa en la que los adversarios manipulan antivirus, agentes de registro, herramientas EDR, sensores o archivos de configuración para reducir la visibilidad.
Huntress dijo que el atacante dejó un archivo por lotes llamado i.bat, que expuso el flujo de trabajo de deterioro de la defensa. El script tenía como objetivo el registro de IIS, Microsoft Defender, Sysmon, Filebeat, herramientas de seguridad de endpoints, configuraciones de WDigest, ModSecurity y registros de eventos de Windows.
| Escenario | Qué pasó | Por qué importaba |
|---|---|---|
| Acceso inicial | Apareció un webshell en un servidor web vulnerable | Le dio al atacante una forma de ejecutar comandos a través de IIS. |
| Reconocimiento | El atacante enumeró usuarios, software y detalles del sistema. | Ayudó a identificar cuentas, herramientas y posibles caminos de expansión. |
| Deterioro de la defensa | Se atacaron Defender, Sysmon, Filebeat, protección WAF y registros de eventos | Redujo el seguimiento y dificultó la investigación de la actividad posterior. |
| Acceso a credenciales | Se utilizaron componentes relacionados con Mimikatz y herramientas de volcado de credenciales. | Creó un riesgo de robo de contraseñas, hash y cuentas. |
| Limpieza | Se eliminaron archivos, claves de registro y registros de eventos. | Intentó eliminar pruebas forenses. |
Defender, Sysmon y Filebeat fueron el objetivo
El atacante utilizó scripts y herramientas de administración de Windows para debilitar la configuración de Microsoft Defender. Microsoft dice queEstablecer-MpPreferenceEl cmdlet configura las preferencias de análisis y actualización de Defender, incluidas exclusiones y otras configuraciones de seguridad.
El guión también apuntabasismon, la herramienta de monitoreo del sistema de Microsoft que registra la creación de procesos, conexiones de red, carga de controladores, cambios de marcas de tiempo de archivos y otras actividades en el Registro de eventos de Windows.
Al eliminar o eliminar herramientas como Sysmon y Filebeat, el atacante redujo la posibilidad de que los defensores vieran posteriormente el volcado de credenciales y la actividad de limpieza. El mismo script también apuntaba a productos de seguridad y servicios de monitoreo de varios proveedores.
- Protecciones de Microsoft Defender deshabilitadas o debilitadas
- Se crearon exclusiones de Defender para rutas y tipos de archivos controlados por atacantes.
- Procesos Sysmon y Filebeat eliminados
- Servicios de seguridad y registro detenidos o eliminados
- Se utilizó la configuración del depurador para congelar las herramientas seleccionadas.
- Se borraron los registros de eventos de seguridad, sistema, aplicaciones y configuración.
El atacante eliminó la protección WAF de IIS
La campaña también se centró en ModSecurity en IIS. OWASP describe uncortafuegos de aplicaciones webcomo una capa protectora para aplicaciones HTTP que utiliza reglas para ayudar a detectar o bloquear ataques como la inyección SQL y secuencias de comandos entre sitios.
Según Huntress, el atacante enumeró sitios IIS y directorios virtuales antes de desinstalar el módulo ModSecurity IIS. Eso dejó al servidor más expuesto a ataques web posteriores, especialmente si la aplicación subyacente no había sido parcheada por completo.
Esto es importante porque un compromiso de webshell a menudo crea más de un problema. Eliminar el WAF puede hacer que sea más fácil volver a atacar a un servidor vulnerable mientras los defensores todavía están intentando limpiar la primera intrusión.
La rebaja de WDigest aumentó el riesgo de robo de credenciales
Después de deshabilitar las defensas, el atacante debilitó las protecciones de credenciales de Windows modificando el comportamiento de WDigest. MicrosoftGuía de WDigestexplica que el valor de registro UseLogonCredential controla si WDigest almacena las credenciales en la memoria.
Ese cambio preparó el escenario para el abandono de credenciales. MITRE rastrea esta actividad comoVuelco de credenciales del sistema operativo, donde los adversarios intentan obtener inicios de sesión de cuentas, hashes o contraseñas de texto sin cifrar de la memoria del sistema operativo, cachés u otros almacenes de credenciales.
El atacante también extrajo del registro material de credenciales relacionado con ODBC y utilizó herramientas que escribieron datos robados en archivos de salida. Huntress dijo que la actividad involucró un controlador del kernel Mimikatz antes de que el atacante intentara eliminar la evidencia.
| Control dirigido | Papel en el medio ambiente | Riesgo cuando está deteriorado |
|---|---|---|
| Microsoft defensor | Prevención y detección de malware en endpoints | Los scripts y herramientas maliciosos pueden ejecutarse con menos alertas |
| sismon | Telemetría detallada de Windows y registro de eventos | La actividad de procesos, redes y archivos se vuelve más difícil de rastrear |
| archivo | Reenvío de registros a plataformas de análisis | La visibilidad centralizada puede romperse durante el ataque. |
| ModSeguridad WAF | Filtrado de ataques HTTP para aplicaciones web | Las aplicaciones web enfrentan una mayor exposición a patrones de ataque comunes |
| WDigest | Comportamiento de autenticación de Windows | Una mala configuración puede aumentar la posibilidad de que las credenciales queden expuestas en texto plano |
Webshell se escondió dentro de un directorio de imágenes
El primer archivo sospechoso, UA4fp7R.aspx, apareció en un directorio de imágenes raíz web. Huntress dijo que el archivo utilizaba esteganografía, lo que permitía que la carga útil apareciera como una imagen sin dejar de contener contenido ejecutable de webshell.

El informe también señaló una cadena de marcador, ONEPIECE, incrustada en webshells relacionados. Ese marcador puede ayudar a los defensores a identificar archivos relacionados durante búsquedas en servidores web, copias de seguridad y registros de monitoreo de integridad de archivos.
El atacante regresó más de una vez después de que comenzó la actividad de respuesta. Esto demostró por qué los equipos de respuesta a incidentes deberían evitar reconectar o restaurar un servidor vulnerable antes de aplicar parches, contención, revisión forense y finalización del refuerzo.
Indicadores de compromiso
Los siguientes indicadores provienen de laIndicadores de cazadorapublicado con el informe del incidente. Los equipos de seguridad deben buscar artefactos coincidentes en los puntos finales, las raíces web, la telemetría EDR, las plataformas de registro y las copias de seguridad.
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA-256 | bd74a00f4d2ec3bf50d13ddf324bb368b2464d547abd0c572ef5e2f77943a920 | Shell web esteganográfico, UA4fp7R.aspx |
| SHA-256 | 40859ede262098086962ab00c89f02452aa9941c88c7f4ac002db166179980c6 | Shell web esteganográfico, 03Fl3i.aspx |
| SHA-256 | f63d293e117cae1d0a6c24359fc1361a9dc48178049cc6491051b09268c8c39c | Shell web esteganográfico, WRBYTR5750images.aspx y MRBTPS5754images.aspx |
| SHA-256 | 94cd18f3f030fcc9b259dc410b17ea72a1f9800ee654f8e0f07a87bb9443b593 | Archivo por lotes de enumeración y evasión de defensa, i.bat |
| SHA-256 | 793768ce4fadab044c7502ea5ec4d8e1569283f289dfd73419e119f32d56d0f3 | Shell web PHP, jT1Ds.php |
| SHA-256 | f0ff36ecdc843351913dbfbd9122b62563894936ff64215a7a2f89181ebdb57f | Shell web, RG0eQV6.php |
| Cadena | UNA PIEZA | Cadena de marcador encontrada en webshells relacionados |
Cómo las organizaciones pueden reducir el riesgo
Los equipos de seguridad deberían tratar el deterioro de la defensa como una señal de advertencia importante. Cuando un atacante desactiva las herramientas de registro o de seguridad, es posible que el incidente ya haya ido más allá de la simple actividad de webshell.

Los equipos deben monitorear los cambios sospechosos enPreferencias de Microsoft Defender, paradas inesperadas del servicio, agentes de registro eliminados, configuraciones inusuales del depurador y registros de eventos borrados. Estos cambios suelen aparecer antes del robo de credenciales, el ransomware o el movimiento lateral.
Las organizaciones también deben conservar y reenviar registros fuera del host comprometido. Un registro de eventos local de Windows puede desaparecer rápidamente si el atacante obtiene acceso a nivel de administrador.
- Parchee rápidamente aplicaciones y servidores web conectados a Internet
- Mantenga los servidores públicos detrás de un firewall o VPN cuando no se requiera acceso directo
- Reenviar registros de seguridad, IIS y de Windows a un sistema independiente
- MonitorColección de eventos de Sysmonpara huecos o paradas repentinas
- Alerta sobre actividad asignada aINGLETE ATT&CK T1685
- VerificarAlmacenamiento de credenciales WDigestpermanece deshabilitado cuando sea necesario
- Revisar las detecciones deINGLETE ATT&CK T1003comportamiento de volcado de credenciales
- Mantener un probadopolítica WAFpara aplicaciones web expuestas
Por qué este incidente es importante
Este ataque muestra cómo el robo de credenciales a menudo depende de brechas de visibilidad anteriores. La etapa de Mimikatz llamó la atención, pero la historia más importante fue el intento del atacante de desmantelar las defensas primero.
El caso también pone de relieve un error de respuesta común. Volver a poner en línea un servidor antes de que finalice la reparación puede darle al mismo atacante otra oportunidad de continuar la operación.
Para los defensores, la lección es directa. No busque únicamente herramientas de volcado de credenciales. Busque el silencio que crean los atacantes antes de que aparezcan esas herramientas.
Preguntas frecuentes
¿Qué desactivaron los piratas informáticos antes de utilizar Mimikatz?
Los atacantes se dirigieron a Microsoft Defender, Sysmon, Filebeat, herramientas de seguridad de endpoints, registros de IIS, protección ModSecurity WAF y registros de eventos de Windows antes de utilizar las herramientas de volcado de credenciales relacionadas con Mimikatz.
¿Cómo empezó el ataque?
El incidente comenzó con una actividad de enumeración sospechosa en un servidor web comprometido. Los investigadores encontraron un webshell ASPX esteganográfico oculto en un directorio de imágenes del servidor.
¿Por qué es peligroso desactivar Sysmon durante un ataque?
Sysmon registra actividad importante de Windows, incluida la creación de procesos, conexiones de red, carga de controladores y cambios de marca de tiempo de archivos. Si los atacantes lo detienen, los defensores pierden datos forenses y de detección útiles.
¿Qué papel jugó WDigest en el intento de dumping de credenciales?
El atacante modificó la configuración relacionada con WDigest para aumentar el riesgo de que las credenciales se almacenen en la memoria. Esto puede hacer que el volcado de credenciales sea más útil para los atacantes si obtienen suficientes privilegios.
¿Cómo pueden las organizaciones detectar ataques similares antes?
Las organizaciones deben monitorear los servicios de seguridad detenidos, los cambios en las preferencias de Defender, los registros de eventos borrados, los archivos webshell inesperados, la eliminación de WAF, los cambios de WDigest y las lagunas en los registros reenviados desde servidores críticos.
