ZL

Zerolimit · Lovatex Incident Brief

Revisión inicial de seguridad · Informe HTML5 enriquecido

Lovatex · Servidor crítico · Triage de bajo impacto

Evaluación visual y técnica inicial sobre posible presencia de keylogger

Se confirmó la presencia de artefactos del instalador rvlkl_setup_303 en el servidor. En esta fase, no se confirmaron mecanismos visibles de persistencia, servicios sospechosos activos ni una ruta de exfiltración clara. Dado el rol del activo, el caso sigue siendo sensible y debe manejarse con preservación de evidencia.

ClienteLovatex
Fecha de revisión09/05/2026
ActivoServidor principal
RolControlador de dominio
Imprimir / Guardar PDF Ver evidencia

Versión HTML5 pensada para compartir de forma privada y exportar a PDF si hace falta.

Estado actual
No confirmado
No se confirmó una instalación activa del keylogger durante la triage inicial.
Resumen ejecutivo
Artefactos de instaladorConfirmado
Persistencia visibleNo encontrada
Exfiltración identificadaNo confirmada
Sensibilidad del activoAlta

Resumen de lectura rápida

Qué sí se encontró, qué no se encontró y por qué sigue siendo un caso delicado.

Instaladores identificados
4
ZIP/EXE y carpeta asociada en Downloads del perfil administrativo.
Entradas Run sospechosas
0
No se vieron autoruns ligados a Logixoft / Revealer.
Tareas programadas sospechosas
0
La revisión mostró solo tareas legítimas visibles.
Servicios sospechosos
0
No se observaron servicios con rutas anómalas vinculadas.

Gráficos y scorecards

Visualización ejecutiva del estado de hallazgos, exposición e investigación pendiente.

Mapa de hallazgos

Artefactos del instalador
88%
Persistencia visible
12%
Señales de exfiltración
8%
Sensibilidad del activo
94%
Necesidad de preservar evidencia
91%

Distribución del estado investigativo

78%Sin evidencia visible de ejecución activa
22% = evidencia parcial del instalador
64% = comprobaciones negativas de persistencia
14% = riesgo residual por criticidad del activo

Línea de tiempo de la revisión

1
Confirmación inicial

Se confirmó la presencia de archivos rvlkl_setup_303 dentro del perfil administrativo del servidor.

2
Revisión de persistencia

Se verificaron claves Run, tareas programadas, servicios y carpetas Startup sin encontrar coincidencias claras con Logixoft / Revealer.

3
Lectura investigativa

La evidencia actual soporta presencia del instalador, pero no prueba por sí sola ejecución activa ni exfiltración. La hipótesis sigue abierta.

Lectura ejecutiva

El servidor revisado es de alta sensibilidad por su función como controlador de dominio.
La ausencia de persistencia visible no descarta uso manual, portable o histórico del software.
La prioridad no es “limpiar rápido”, sino preservar evidencia y validar contexto antes de remediar.

Evidencia visual

Capturas incorporadas al informe para dejar trazabilidad clara de lo revisado.

Información del sistema
Contexto del host

Captura del sistema que documenta el entorno Windows Server / hardware revisado. Útil para contextualizar el activo, no como prueba directa del keylogger.

Artefactos del instalador
Artefactos del instalador

Búsqueda en Downloads mostrando archivos rvlkl_setup_303. Esta es la evidencia visual más importante de presencia del instalador.

Claves Run
Verificación de claves Run

Revisión de autoruns en HKLM / WOW6432Node. No se observan entradas claramente vinculadas al software sospechoso.

Tareas programadas
Revisión de tareas programadas

Filtro orientado a detectar persistencia vía Scheduled Tasks. El resultado visible no muestra tareas ligadas a Logixoft / Revealer.

Servicios
Verificación de servicios

Validación de servicios con rutas que suelen usarse en persistencia. Lo observado corresponde a servicios legítimos de Microsoft Defender.

Startup folders
Carpetas Startup

Comprobación de carpetas de inicio automático. No se aprecian accesos directos ni payloads sospechosos en esta revisión inicial.

Artefactos confirmados

Ruta confirmadaC:\Users\Administrador.SERVIDOR\Downloads\rvlkl_setup_303.exe
Ruta confirmadaC:\Users\Administrador.SERVIDOR\Downloads\rvlkl_setup_303.zip
Ruta confirmadaC:\Users\Administrador.SERVIDOR\Downloads\rvlkl_setup_303 (1).zip
Ruta confirmadaC:\Users\Administrador.SERVIDOR\Downloads\rvlkl_setup_303

Matriz de riesgo

Riesgo operativo inmediato: Moderado. No hay evidencia visible de ejecución activa, pero el activo es crítico.
Riesgo investigativo: Alto. Borrar, reiniciar o escanear agresivamente puede afectar evidencia útil.
Riesgo reputacional / legal: Alto. Si hubo monitoreo real, debe validarse autorización y contexto histórico.

Próximos pasos recomendados

Secuencia sugerida para continuar sin comprometer trazabilidad ni estabilidad.

Acciones inmediatas

  1. No ejecutar, mover ni eliminar los archivos identificados.
  2. No reiniciar el servidor hasta definir si se requiere captura adicional de evidencia.
  3. Preservar este informe, las capturas y cualquier export de EDR / AV disponible.
  4. Confirmar quién descargó o copió el instalador al servidor y en qué contexto histórico.
  5. Revisar fuentes externas: firewall, DNS, correo/M365, AV/EDR y telemetría de respaldo/monitorización.
  6. Si la preocupación continúa, programar una revisión forense controlada antes de remediar.

Preguntas abiertas

¿El instalador fue descargado de forma intencional?+
Debe validarse quién tuvo acceso al perfil administrativo y si existía una razón operativa o histórica para conservarlo en el servidor.
¿Pudo existir ejecución manual o portable?+
La ausencia de persistencia visible no descarta uso puntual. Registros de ejecución, EDR y telemetría externa pueden ayudar a resolverlo.
¿Hay rastro fuera del host?+
Si hubo exfiltración, es probable que el mejor rastro aparezca en correo, DNS, firewall, proxy o cuentas cloud más que en esta primera triage local.