Mapeando atividade Remcos RAT C2 e portas de comunicação associadas – Against Invaders

Mapeando atividade Remcos RAT C2 e portas de comunicação associadas - Against Invaders

Remcos, uma ferramenta comercial de acesso remoto distribuída pela Breaking-Security e comercializada como “Software de Administração Remota”, continua a representar uma ameaça significativa para organizações em todo o mundo.

Apesar do seu posicionamento administrativo, as capacidades da ferramenta são rotineiramente transformadas em armas para acesso não autorizado e roubo de dados, com análises recentes revelando uma extensa infra-estrutura C2 operando em vários continentes.

Pesquisa recente da Censys rastreando servidores de comando e controle (C2) Remcos entre 14 de outubro e 14 de novembro de 2025, identificado mais de 150 servidores C2 ativamente operacionais, ressaltando a adoção sustentada da ferramenta pelos atores de ameaças.

A análise revela um padrão de implantação sofisticado, porém previsível, que destaca tanto a escala do abuso de Remcos quanto as oportunidades de detecção e mitigação defensivas.

A Remcos se comunica com sua infraestrutura C2 principalmente por meio de canais HTTP e HTTPS, utilizando um conjunto distinto de portas que facilitam a identificação e o rastreamento.

A porta padrão 2404 continua sendo a configuração mais comumente implantada, respondendo pela maioria dos Servidores C2.

No entanto, as operadoras demonstram flexibilidade de implantação utilizando portas alternativas, incluindo 5000, 5060, 5061, 8268 e 8080, com uso adicional de portas padrão 80 e 443 para combinar com o tráfego legítimo.

Esta diversidade portuária apresenta desafios e oportunidades para os defensores da rede. Embora portas padrão como 80 e 443 compliquem a detecção ao imitar o tráfego legítimo da Web, a concentração da infraestrutura Remcos em portas não padrão permite que as equipes de segurança implementem assinaturas de detecção direcionadas.

Os sistemas de detecção de invasões de rede podem aproveitar os corpos POST codificados característicos da ferramenta e as configurações TLS atípicas para identificar beacons maliciosos.

Distribuição Global de Infraestrutura

A distribuição geográfica da infraestrutura C2 da Remcos reflete uma dependência estratégica de provedores de hospedagem baratos e pouco avaliados.

O rastreamento do Censys identificou uma concentração significativa de hospedagem nos Estados Unidos, na Holanda e na Alemanha, com clusters secundários na França, no Reino Unido, na Turquia e no Vietnã.

Esta diversidade geográfica complica os esforços de atribuição e fiscalização, ao mesmo tempo que proporciona redundância aos operadores.

Provedores de infraestrutura como COLOCROSSING, RAILNET e CONTABO respondem por uma parcela substancial da hospedagem Remcos observada, consistente com a preferência dos atores da ameaça por serviços de commodities que oferecem supervisão mínima de abuso.

A expansão contínua do alojamento europeu, especialmente entre os fornecedores mais pequenos, sugere que os operadores estão a diversificar activamente a sua pegada de infra-estrutura para reduzir o risco de queda.

Remcos estabelece persistência em sistemas comprometidos por meio de tarefas agendadas ou entradas de chave de execução, mantendo o acesso estável após o comprometimento inicial.

A análise de certificados revela práticas de configuração baseadas em modelos, com certificados SSL/TLS frequentemente reutilizados em vários endereços IP. Esse padrão permite a vinculação de cluster e indica ofuscação mínima nos fluxos de trabalho de implantação do operador.

Um subconjunto preocupante de hosts Remcos C2 expôs serviços adicionais, incluindo Server Message Block (SMB) e Protocolo de área de trabalho remota (RDP), sugerindo que as operadoras mantenham a infraestrutura de controle direto juntamente com mecanismos de implantação automatizados.

Avaliação e recomendações de ameaças

A combinação de execução remota de comandos, transferência de arquivos, keylogging e recursos de coleta de credenciais torna o Remcos um alvo de alta prioridade para monitoramento de rede e detecção de endpoint.

Implementando lista de permissões de aplicativos, restringindo Tarefa agendada criação e monitoramento de modificações de registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun fornecem camadas de detecção cruciais.

A análise da rotação da infra-estrutura revela padrões mistos, com alguns servidores persistindo durante semanas ou meses, enquanto outros rodam rapidamente, complicando os esforços de bloqueio a longo prazo.

As organizações devem priorizar o monitoramento de beacons HTTP/HTTPS nas portas 2404, 5000, 5060, 5061, 8268 e 8080.

A previsibilidade das implantações do Remcos oferece aos defensores inteligência acionável para mitigação proativa de ameaças. Essa abordagem híbrida fornece flexibilidade operacional e reduz a dependência de estruturas totalmente informatizadas.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.