L'abuso del desktop remoto consiste nell'uso improprio di strumenti legittimi di accesso remoto, come RDP, portali VPN o software di supporto remoto, per entrare nei sistemi interni senza la normale autorizzazione. Gli aggressori possono accedere con credenziali rubate, utilizzare servizi remoti esposti o appropriarsi di strumenti di amministrazione fidati per confondersi con l'attività di routine.
Questo è importante perché l'accesso remoto si trova spesso vicino ad asset sensibili ed è progettato per aggirare i confini di rete. Una volta entrato, un aggressore può muoversi lateralmente, rubare dati, installare ransomware o disabilitare le difese mentre appare come un utente legittimo. I difensori cercano trasferimenti impossibili, orari di accesso insoliti, nuovi dispositivi, tentativi falliti ripetuti seguiti da un successo e sessioni remote che toccano server a cui normalmente non accedono. MFA forte, principio del privilegio minimo, segmentazione di rete e monitoraggio dei registri di accesso remoto aiutano a ridurre il rischio e rendono più facile rilevare l'abuso.