jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Rootkit

Rootkit

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
Software
Confianza
medium

Key Points

  • Nivel usuario: Modifica comportamiento de aplicaciones no privilegiadas.
  • Nivel kernel: Inyecta código en el núcleo del sistema para controlar operaciones críticas.
  • Nivel hypervisor o firmware: Altera componentes bajos del sistema para ocultar actividades en hardware.
  • Cambios no autorizados en sistemas de archivos o registro.
  • Procesos no identificables o con nombre falso.

Rootkit

Descripción de la Tecnica

Rootkit es una técnica utilizada por atacantes para ocultar la presencia de programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema operativo. Estos maliciosos se instalan en el sistema para interceptar y modificar llamadas a funciones de la API del sistema, evitando que el software legítimo detecte su existencia.

Este método pertenece al grupo attack-pattern de MITRE ATT&CK, con código T1014, y está relacionado con la capacidad de un atacante para ocultar actividades maliciosas en el nivel del kernel o usuario.

Como Funciona

Un rootkit actúa modificando las llamadas a funciones del sistema operativo (API) para ocultar la actividad maliciosa. Puede instalarse en niveles distintos del sistema, como:

  • Nivel usuario: Modifica comportamiento de aplicaciones no privilegiadas.
  • Nivel kernel: Inyecta código en el núcleo del sistema para controlar operaciones críticas.
  • Nivel hypervisor o firmware: Altera componentes bajos del sistema para ocultar actividades en hardware.

El objetivo es evitar que herramientas de seguridad, como antivirus o monitores de procesos, detecten la presencia de malware.

Actores que la Utilizan

Esta técnica es utilizada por actores avanzados y grupos maliciosos con objetivos persistentes. Puede ser parte de estrategias de Advanced Persistent Threats (APTs), donde los atacantes buscan mantener acceso a una red durante largo tiempo.

Detección

La detección de rootkits requiere monitoreo de comportamientos anómalos, como:

  • Cambios no autorizados en sistemas de archivos o registro.
  • Procesos no identificables o con nombre falso.
  • Conexiones de red inusuales o a dominios no reconocidos.

Las herramientas de detección pueden incluir análisis de sistema, monitoreo de logs y escaneo de sistemas para identificar modificaciones en componentes críticos.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles.

Mitigación

Para mitigar el riesgo de rootkits, se recomienda:

  • Actualización constante: Mantener actualizadas las firmas de antivirus y los sistemas operativos.
  • Revisión de perfiles de usuario: Limitar privilegios a usuarios con acceso mínimo.
  • Monitoreo continuo: Usar herramientas de seguridad para detectar cambios en el sistema o comportamientos inusuales.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin