Su administrador de sistemas se comporta de manera extraña: por qué no conviene confiar en el programa TrustConnec

La empresa Proofpoint informó sobre la aparición de una nueva plataforma maliciosa que se hace pasar por una herramienta corporativa de administración remota. El servicio llamado TrustConnect se presenta como una solución legítima para soporte remoto, pero en realidad es un troyano de acceso remoto con modelo de suscripción y un panel de control completo.

El dominio «trustconnectsoftware[.]com» se registró el 12 de enero de 2026. En el sitio colocaron información ficticia sobre el producto, documentación y estadísticas, creando la apariencia de un negocio real. A través de ese mismo recurso los atacantes vendían acceso al servicio por 300 dólares al mes con pago en criptomoneda. Tras el registro, al cliente se le ofrecía transferir los fondos en Bitcoin o USDT y luego confirmar la transacción manualmente. La verificación la realizaba un servidor, comparando los datos de la cadena de bloques y su propia base de pagos.

Los autores de la plataforma obtuvieron un certificado de firma digital extendida a nombre de TrustConnect Software PTY LTD supuestamente de Sudáfrica y lo usaron para firmar archivos ejecutables. Ese tipo de certificado es costoso y requiere una verificación estricta, por lo que su existencia ayudaba a eludir los mecanismos de defensa. El 6 de febrero de 2026 el certificado fue revocado con la participación de socios de Proofpoint; sin embargo, los archivos firmados con anterioridad conservaron su validez.

Las campañas de correo de TrustConnect se detectaron a finales de enero. Los mensajes se enviaban desde cuentas comprometidas; los asuntos variaban desde invitaciones a participar en licitaciones hasta notificaciones sobre eventos e iniciativas gubernamentales. Los correos de phishing llevaban a archivos ejecutables como MsTeams.exe, que al ejecutarse instalaban TrustConnectAgent.exe y se conectaban al servidor de control.

En varias campañas se distribuyeron simultáneamente herramientas legítimas de acceso remoto, incluyendo ScreenConnect y LogMeIn Resolve. En algunos casos, tras la instalación del troyano desplegaban versiones antiguas de ScreenConnect con certificados caducados o revocados, y también utilizaban cuentas del servicio Level RMM. Esto indica una relación estrecha de la nueva plataforma con el ecosistema de abusos RMM ya establecido.

El panel de control de TrustConnect permite ver la lista de dispositivos infectados, ejecutar comandos, transferir archivos y conectarse al escritorio de la víctima. Soporta grabación de pantalla, ocultación de la actividad del operador y evasión del control de cuentas. Los instaladores se camuflan como marcas populares — Zoom, Microsoft Teams, Adobe Reader y otras. Cada archivo contiene un token único que relaciona el sistema infectado con un cliente concreto del servicio.

Parte de la infraestructura del servidor de control fue deshabilitada el 17 de febrero de 2026. No obstante, el operador preparó rápidamente una plataforma alternativa y empezó a probar una nueva versión llamada DocConnect o SHIELD OS v1.0. La versión actualizada utiliza otra arquitectura y permite la inserción de señuelos PDF directamente en el instalador.

En el panel de TrustConnect se encontró un contacto en Telegram — @zacchyy09. Ese mismo seudónimo apareció entre los clientes privilegiados en la operación Operation Magnus, dirigida contra los distribuidores del stealer Redline y META. Según la evaluación de los especialistas de Proofpoint, con un grado moderado de confianza detrás de TrustConnect está un participante del ecosistema de Redline o su socio.

La historia de TrustConnect muestra que incluso después de la eliminación de grandes servicios maliciosos, el mercado se llena rápidamente de nuevos actores. La suplantación de herramientas corporativas sigue siendo uno de los métodos más eficaces para la intrusión en redes, y la automatización del desarrollo acelera notablemente el lanzamiento de proyectos de este tipo.