Es un hecho conocido que los actores de amenazas explotan herramientas aparentemente inofensivas para infiltrarse en las redes de sus objetivos. En este caso, el objetivo es PuTTY, el popular cliente SSH, que debido a una reciente vulnerabilidad PuTTY se ha convertido en un riesgo significativo. Los ciberdelincuentes prefieren esta herramienta porque actúa como un agente doble, permitiéndoles combinar acciones maliciosas con operaciones legítimas.
Una de las explotaciones más críticas está relacionada con la vulnerabilidad CVE-2024-31497, la cual permite la recuperación de claves privadas y facilita la persistencia en los sistemas comprometidos. La mitigación de este riesgo específico requiere la aplicación de los parches correspondientes.
Campañas Activas: El Auge del PuTTY Troyanizado y Oyster Backdoor
Desde junio de 2025, campañas de malvertising y SEO poisoning han distribuido versiones de PuTTY troyanizado que instalan la puerta trasera Oyster backdoor (también conocida como Broomstick o CleanupLoader). Una vez instalado, Oyster facilita el acceso remoto y puede llevar a modificaciones en la red; la exfiltración de datos mediante solicitudes HTTP POST es común en el abuso posterior con PuTTY legítimo.
En 2025, los administradores de Windows han sido objetivo principal de estas campañas que distribuyen un peligroso PuTTY malware (junto a herramientas como WinSCP), facilitando una rápida propagación lateral una vez establecido el acceso.
La Clave Forense Oculta en el Registro: PuTTY SshHostKeys
¿Cómo detectar el abuso de PuTTY por atacantes?
La detección es posible analizando el registro de Windows en la ruta HKCU\Software\SimonTatham\PuTTY\SshHostKeys para encontrar un historial de conexiones SSH. Correlacionar estas IPs y puertos con logs de autenticación y flujos de red ayuda a reconstruir la actividad maliciosa. Adicionalmente, se debe monitorear tráfico SSH irregular en puertos no estándar.
El experto en seguridad Maurice Fielenbach ha informado recientemente que, a pesar de la eliminación agresiva de registros y artefactos, PuTTY almacena las claves de host SSH en el Registro. Este almacenamiento en PuTTY SshHostKeys incluye las direcciones IP de destino, los puertos y las firmas digitales de las conexiones, constituyendo un historial digital de la actividad.
Mediante la correlación de estos datos con los registros de autenticación y los flujos de red, los investigadores forenses pueden reconstruir la ruta de los atacantes, incluso cuando los registros de eventos son insuficientes o han sido eliminados.
Técnicas de Explotación y Detección
Se ha identificado una técnica para detectar su actividad: rastrear los artefactos dejados involuntariamente en el Registro de Windows. Los atacantes ejecutan binarios de PuTTY, como plink.exe o pscp.exe, para moverse lateralmente entre sistemas a través de túneles SSH y exfiltrar datos sensibles sin necesidad de desplegar malware personalizado.
La detección de estas amenazas es compleja, ya que PuTTY es parte integral de los flujos de trabajo de TI. No obstante, en algunos casos observados, es posible identificar actividad sospechosa mediante la detección de escaneos RDP anómalos o sesiones RDP inesperadas posterior a la intrusión, junto a tráfico SSH irregular. El abuso de la vulnerabilidad PuTTY es a menudo sutil y difícil de diferenciar de la actividad legítima.
Estrategias de Mitigación y Defensa
Para contrarrestar estas operaciones evasivas, es fundamental que las organizaciones restrinjan el uso de PuTTY a hosts autorizados y roten las claves SSH de forma periódica. La búsqueda de claves de registro y la monitorización de actividad SSH en puertos no estándar deben ser una prioridad de análisis para los equipos de seguridad.
Adicionalmente, la explotación de vulnerabilidades en PuTTY, como la identificada con el CVE-2024-31497 —que permite la recuperación de claves y facilita la persistencia—, puede ser mitigada mediante la aplicación de los parches correspondientes. Para profundizar en cómo gestionar este tipo de riesgos, es útil saber qué hacer cuando se encuentra una vulnerabilidad.
Estas tácticas son descritas en informes de movimiento lateral y exfiltración de datos con PuTTY y análisis detallados sobre el backdoor Oyster y el SEO poisoning, así como en reportes sobre campañas de malvertising que distribuyen Oyster.
¿Has detectado esta técnica en tus análisis? Comparte tus hallazgos en los comentarios.
