Comunicación entre máquinas infectadas a través de la escucha de cierto puerto

No sé qué esperas exactamente cuando pides "estudios de caso detallados" , pero si PC-B no tiene acceso a Internet, es una práctica bien conocida para el atacante. para usar PC-A como retransmisión entre PC-B y C & C:

PC-B <---> PC-A <---> C&C

Para dar un ejemplo más concreto:

1. PC-A pertenece a la LAN de los usuarios, esta es la computadora donde las personas acceden a sus correos electrónicos y navegan por la Web. Lamentablemente, se infectó un correo electrónico o una página web, lo que contaminó la PC-A.
2. Una vez en ejecución en la LAN, ya sea de forma autónoma o controlada de forma remota por C & C, el virus comienza a escanear la red e intenta propagarse. Llega a PC-B (vulnerabilidad no parcheada, contraseña deficiente o lo que sea) y la contamina.
3. PC-B pertenece a otra red restringida sin acceso a Internet (¡con posibilidades de que tenga acceso a recursos más interesantes!). El virus puede configurar una forma para que PC-B use PC-A como retransmisión para obtener nuevos pedidos de los datos de C & C y exfiltrado.

Este relevo puede tomar cualquier forma dependiendo de la fantasía y los requisitos del atacante. Puede abarcar desde simples características de tipo proxy hasta una red completa de igual a igual, lo que garantiza que la red del virus seguirá funcionando incluso si se descontaminan algunas máquinas de retransmisión.