Recientemente comencé a notar que varias computadoras en mi red corporativa mostraban un comportamiento inesperado al abrir documentos .txt y .rtf desde una ruta UNC alojada en mi DC usando notepad.exe.
En cada caso, al abrir el documento, notepad.exe forma una conexión TCP en tcp/389 (LDAP) con el DC y también genera lsass.exe como un proceso secundario.
¿Hay alguna razón por la que esto ocurra normalmente en un dominio? He utilizado nuestras herramientas EDR para verificar que no se haya producido ninguna inyección de código malicioso o RPC, que no haya IOC de red maliciosos presentes y que el 'linaje' del proceso (notepad.exe) sea normal (winlogon.exe -> userinit.exe - > explorer.exe -> notepad.exe).
¿Hay algo claramente obvio que me estoy perdiendo? Se agradecen todas y cada una de las ideas.