O grupo de ransomware Qilin, também conhecido como Agenda, foi observado usando uma nova tática de reconhecimento em servidores comprometidos para identificar alvos internos com mais rapidez e discrição.
Em vez de recorrer a varreduras barulhentas na rede, os operadores passaram a consultar o histórico de autenticação RDP armazenado nos próprios logs do Windows.
Segundo a análise, os invasores executaram um comando em PowerShell para extrair registros do Event ID 1149 no log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.
Com isso, conseguiram levantar quais contas usaram acesso remoto no host e de quais máquinas partiram essas conexões.
Na prática, a técnica ajuda o grupo a descobrir usuários relevantes e sistemas potencialmente valiosos sem depender de ferramentas clássicas de enumeração de Active Directory ou escaneamento de rede, que costumam gerar mais alertas.
O método teria sido entregue por meio de uma instalação maliciosa do ScreenConnect durante a intrusão.
Esse comportamento chama atenção porque o Event ID 1149 nem sempre é tratado como prioridade por equipes de segurança. Muitas organizações não encaminham esse log ao SIEM ou o analisam com pouca profundidade, o que amplia a janela para reconhecimento silencioso antes da fase de criptografia.
A recomendação para defesa é habilitar PowerShell ScriptBlock Logging, monitorar instalações não autorizadas de ferramentas de acesso remoto como ScreenConnect, AnyDesk e Atera, e acompanhar tentativas de adulteração do Microsoft Defender.
Esses sinais, segundo o relato, podem indicar a presença do Qilin horas antes do início da criptografia.
