jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Dynamic Data Exchange

Dynamic Data Exchange

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Cadenas de texto: intercambio de datos simples.
  • Enlaces calientes (hot data links): duplicación automática de cambios en datos.
  • Enlaces cálidos (warm data links): notificaciones cuando un dato cambia.
  • Ejecución de comandos: permite a una aplicación ejecutar instrucciones en otra aplicación sin intervención manual.
  • Cambios inusuales en datos compartidos.

Dynamic Data Exchange

Descripción de la Tecnica

Dynamic Data Exchange (DDE) es un protocolo cliente-servidor utilizado en Windows para la comunicación entre aplicaciones. Permite el intercambio de datos en tiempo real y permite que las aplicaciones autónomas comparten transacciones, incluyendo cadenas de texto, notificaciones sobre cambios en datos y ejecuciones de comandos arbitrarios. Este mecanismo se ha utilizado por actores adversarios para inyectar código malicioso mediante la creación de enlaces de datos entre aplicaciones.

La técnica está relacionada con Object Linking and Embedding (OLE), y es catalogada como T1559.002 en el MITRE ATT&CK. Su propósito principal es permitir la ejecución de comandos no autorizados por medio de interacciones entre procesos.

Como Funciona

DDE permite que aplicaciones comparten datos y notificaciones en tiempo real, lo que puede ser aprovechado para inyectar código malicioso. Una vez establecido un enlace, las aplicaciones pueden realizar transacciones como:

  • Cadenas de texto: intercambio de datos simples.
  • Enlaces calientes (hot data links): duplicación automática de cambios en datos.
  • Enlaces cálidos (warm data links): notificaciones cuando un dato cambia.
  • Ejecución de comandos: permite a una aplicación ejecutar instrucciones en otra aplicación sin intervención manual.

Este mecanismo puede ser utilizado para inyectar malware o realizar ataques de tipo "remote code execution" (RCE).

Actores que la Utilizan

No se han identificado actores específicos públicamente asociados a esta técnica. La MITRE ATT&CK no proporciona información sobre grupos o individuos que hayan utilizado DDE en ataques reales.

Deteccion

La detección de DDE malicioso requiere monitorear actividades anómalas en aplicaciones que usen el protocolo. Se pueden observar:

  • Cambios inusuales en datos compartidos.
  • Accesos no autorizados a recursos de intercambio de datos.
  • Comandos ejecutados sin permiso entre aplicaciones.

Analistas de ciberseguridad deben revisar registros de eventos de sistema y monitorear el comportamiento de procesos sospechosos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigacion

Las mitigaciones incluyen:

  • Deshabilitar DDE en sistemas críticos o restringir su uso a aplicaciones legítimas.
  • Revisar y bloquear enlaces de datos sospechosos mediante controles de acceso.
  • Monitorear actividad de procesos y transacciones de datos en tiempo real.
  • Utilizar aplicaciones con validación de seguridad para evitar inyección de código malicioso.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable