jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Scheduled Task

Scheduled Task

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • schtasks, un utilidad de línea de comandos para interactuar con el scheduler.
  • Uso de wrappers .NET para envolver la API del Task Scheduler y evitar detección por seguridad.
  • Creación de tareas que se ejecutan en intervalos específicos o bajo condiciones no normales (ej. al iniciar sesión).
  • Tareas creadas con permisos elevados o bajo cuentas de usuario no autorizadas.
  • Ejecución de scripts o programas no conocidos en contextos de planificación repetida.

Scheduled Task

Descripción de la Tecnica

T1053.005 es una técnica relacionada con el MITRE ATT&CK, que describe cómo los adversarios pueden aprovechar el Windows Task Scheduler para programar la ejecución recurrente o inicial de código malicioso. Este mecanismo permite a los atacantes planificar tareas automatizadas en un sistema Windows, lo que puede ser utilizado para mantener acceso persistente o realizar operaciones críticas sin ser detectados.

Como Funciona

El Windows Task Scheduler es una herramienta nativa de Windows para gestionar tareas programadas. Los adversarios pueden aprovecharlo para ejecutar código malicioso mediante métodos como:

  • schtasks, un utilidad de línea de comandos para interactuar con el scheduler.
  • Uso de wrappers .NET para envolver la API del Task Scheduler y evitar detección por seguridad.
  • Creación de tareas que se ejecutan en intervalos específicos o bajo condiciones no normales (ej. al iniciar sesión).

Actores que la Utilizan

No hay registros públicos de actores específicos asociados a esta técnica en el MITRE ATT&CK. Sin embargo, técnicas similares han sido utilizadas por diversos grupos de amenaza con objetivos como espionaje, ransomware o acceso no autorizado.

Detección

La detección de esta técnica requiere monitoreo de actividades anómalas en el Task Scheduler, incluyendo:

  • Tareas creadas con permisos elevados o bajo cuentas de usuario no autorizadas.
  • Ejecución de scripts o programas no conocidos en contextos de planificación repetida.
  • Modificaciones inusuales a la configuración del scheduler, como cambios en horarios o condiciones de ejecución.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a esta técnica, se recomienda:

  • Habilitar auditoría del registro de eventos de Windows para monitorear cambios en el Task Scheduler.
  • Restringir la creación de tareas programadas mediante políticas de grupo o herramientas de seguridad avanzada.
  • Realizar auditorías periódicas sobre las tareas programadas y validar su propósito (ej. verificar que no se usen para ejecutar código malicioso).
  • Actualizar y mantener sistemas operativos para corregir vulnerabilidades relacionadas con el Task Scheduler.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable