Saldırılar RDP portu üzerinden değil SMB ve NBT protokolleri üzerinden gerçekleşmektedir. RCE açığı mevcut. Siz RDP'yi komple kapatsanız dahi aktif edebilirler.

--

Şimdi inceledim Doublepulsar açığı rdp portunuda kullanabiliyormuş.