Sistemi görmeden hiçbir profesyonel net yorum yapmaz.
O kadar çok seçenek var ki... Belki sizin remote admin uygulamanızdan sızdı, belki de kullandığınız sitedeki bir sql injection ile powershell'i açıp sunucuya kendi reverse shell'ini gömdü... Belki de hiç backdoor bırakmadı, gitti ön bellekteki userların passwordlerini çekti ve böylece direk RDP ile giriyor.. Seçenek çok...
Yorum yapmak afaki kalır.. Önümüzdeki 1 hafta, 10 gün içerisinde benzer atak olursa o zaman belki yorum yapılabilir. Bu işler şakaya gelmez =)