jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Publish/Subscribe Protocols

Publish/Subscribe Protocols

Threat-actor 3 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
Software
Confianza
medium

Key Points

  • Uso inesperado de protocolos como MQTT o STOMP en entornos no relacionados.
  • Frecuencia anormal de publicaciones/suscripciones.
  • Mensajes con estructuras de datos sospechosas o patrones no convencionales.
  • Segmentación de redes: Aislar sistemas críticos de redes no seguras.
  • Monitoreo proactivo: Implementar análisis de tráfico para detectar patrones inusuales en protocolos de publicación/suscripción.

Publish/Subscribe Protocols

Descripción de la Tecnica

Publish/Subscribe Protocols es una técnica de ataque asociada al MITRE: T1071.005, que permite a los actores adversarios comunicarse con un sistema remoto utilizando protocolos de capa de aplicación como MQTT, XMPP, AMQP y STOMP. Estos protocolos se basan en un diseño de publicación/ suscripción, donde los mensajes son distribuidos a través de un broker centralizado. El objetivo es evitar la detección o el filtrado de red al mezclarse con tráfico normal.

¿Cómo Funciona?

La técnica utiliza protocolos que operan en una arquitectura de publicación/suscripción, donde un emisor (publisher) envía mensajes a un broker centralizado, y los subscriptores (consumidores) reciben esos mensajes. Los actores adversarios pueden utilizar este modelo para enviar comandos o resultados de acciones a un sistema remoto, encapsulándolos dentro del tráfico de protocolo. Esto permite que las comunicaciones aparezcan como parte normal de la red, dificultando su detección.

Los protocolos mencionados (MQTT, XMPP, AMQP, STOMP) son diseñados para escalar y manejar grandes volúmenes de mensajes en tiempo real. Sin embargo, su naturaleza centralizada puede ser explotada por actores adversarios para ocultar actividades maliciosas.

Actores que la Utilizan

No se han identificado actores específicos asociados con esta técnica en bases de datos públicas. La técnica es general y no está ligada a un conjunto particular de amenazas o grupos adversarios conocidos.

Detección

La detección de esta técnica requiere monitoreo del tráfico de capa de aplicación para identificar anomalías, como:

  • Uso inesperado de protocolos como MQTT o STOMP en entornos no relacionados.
  • Frecuencia anormal de publicaciones/suscripciones.
  • Mensajes con estructuras de datos sospechosas o patrones no convencionales.

Analistas deben validar el comportamiento de los protocolos y verificar si las comunicaciones están asociadas a actividades maliciosas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a esta técnica, se recomienda:

  • Segmentación de redes: Aislar sistemas críticos de redes no seguras.
  • Monitoreo proactivo: Implementar análisis de tráfico para detectar patrones inusuales en protocolos de publicación/suscripción.
  • Actualización de software: Mantener actualizadas las implementaciones de los protocolos para corregir vulnerabilidades conocidas.
  • Educación y conciencia: Capacitar a usuarios y administradores sobre el uso responsable de protocolos como MQTT o STOMP en entornos críticos.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable