TrustConnect: el malware que se disfraza de software empresarial legítimo

Una nueva plataforma de cibercrimen como servicio imita herramientas de gestión remota para comprometer sistemas corporativos

El caso ilustra cómo la IA está siendo aprovechada por actores maliciosos. Portal ERP España.

Investigadores de Proofpoint han identificado una nueva plataforma de malware como servicio (MaaS) denominada TrustConnect, diseñada para suplantar la apariencia de un software empresarial de monitorización y gestión remota (RMM) legítimo. Bajo esa fachada, opera en realidad como un troyano de acceso remoto (RAT) con capacidades de escritorio remoto, transferencia de archivos y ejecución de comandos.

El hallazgo pone de relieve una tendencia creciente entre los ciberdelincuentes: adoptar la estética visual y los elementos de confianza propios de las herramientas corporativas para engañar tanto a usuarios como a sistemas de seguridad. TrustConnect fue creado en enero de 2026 y contaba con un dominio propio —trustconnectsoftware[.]com— que simulaba ser el sitio web comercial de una aplicación RMM real. El portal incluía estadísticas de clientes y documentación técnica falsas, aunque en la práctica funcionaba como punto de acceso al panel del servicio de malware. Proofpoint sospecha que los responsables utilizaron un modelo de lenguaje grande (LLM) para desarrollar el sitio.

Uno de los aspectos más llamativos del caso es que los atacantes obtuvieron un certificado legítimo de firma de código de validación extendida (EV) para firmar digitalmente el malware. Este tipo de certificados es considerablemente costoso y exige niveles adicionales de verificación por parte del titular del dominio, lo que les permitió eludir controles de seguridad durante un tiempo. Los investigadores coordinaron finalmente su revocación. Según Proofpoint, los atacantes pueden adquirir estos certificados a través de proveedores maliciosos o crearlos por cuenta propia.

Te puede interesar: La inyección de prompts permite eludir la seguridad de la IA

La plataforma ofrecía plantillas para múltiples tipos de abuso de marca y sus campañas de distribución empleaban una variedad de señuelos temáticos: asuntos fiscales, compartición de documentos, invitaciones a reuniones, eventos y comunicaciones de organismos gubernamentales. Las cadenas de ataque y cargas útiles identificadas presentan solapamientos con técnicas observadas en campañas previas de RMM fraudulento atribuidas a múltiples actores de amenazas.

Proofpoint, en colaboración con socios de inteligencia, logró interrumpir parte de la infraestructura del malware. Sin embargo, los atacantes respondieron con rapidez: los investigadores identificaron una versión renombrada de la misma herramienta, denominada DocConnect, que comenzó a probarse poco después de las acciones de neutralización, lo que evidencia la capacidad de adaptación de estos grupos.

Los investigadores de Proofpoint advierten de que "la aparición de TrustConnect demuestra que las interrupciones de operaciones MaaS como Redline, Lumma Stealer y Rhadamanthys no detienen el ciberdelito, sino que abren nuevas oportunidades para los creadores de malware". Añaden que "los atacantes siempre encontrarán la manera de comprometer a nuevas víctimas", y señalan que es probable que los sitios web de TrustConnect y DocConnect hayan sido desarrollados con asistencia de agentes de IA. Para los investigadores, esto "subraya cómo los ciberdelincuentes están adoptando activamente esta tecnología en su beneficio, reflejando la tendencia de su uso en la sociedad en general".

El caso ilustra cómo la inteligencia artificial no solo está transformando los procesos empresariales legítimos, sino que también está siendo aprovechada por actores maliciosos para acelerar el desarrollo de infraestructuras de cibercrimen más convincentes y difíciles de detectar. La capacidad de generar sitios web con apariencia profesional, documentación técnica verosímil y flujos de ataque bien estructurados reduce la barrera de entrada para nuevos actores en el ecosistema del malware como servicio.