Campaña de BEC que utiliza hilos de correo electrónico falsos generados por IA
11 de agosto de 2025
Por Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
- Una campaña de fraude en facturas de tipo BEC a gran escala tiene como objetivo a organizaciones internacionales de diversos sectores, utilizando solicitudes de pago urgentes para aprovecharse de los procesos empresariales en los que el tiempo es un factor clave.
- Los atacantes utilizan sistemas de automatización sofisticados, entre los que se incluyen contenidos de correo electrónico generados por inteligencia artificial, la creación programática de archivos y tecnología de navegador sin interfaz gráfica que genera facturas en formato PDF antes de su distribución.
- La campaña emplea técnicas avanzadas de engaño que combinan hilos de correo electrónico falsos con confirmaciones inventadas del director general y la creación automática de código HTML para dar una falsa apariencia de legitimidad.
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña de business email compromise (BEC) que utiliza hilos de correo electrónico falsos automatizados para llevar a cabo fraudes relacionados con facturas a gran escala (registrada internamente con el número MCTO5003). Esta campaña supone una evolución significativa en las tácticas del BEC, ya que combina la ingeniería social tradicional con una automatización avanzada basada en la inteligencia artificial para crear conversaciones ficticias pero convincentes entre ejecutivos y proveedores de servicios externos. Los autores de las amenazas crean cadenas de correos electrónicos falsos que parecen correspondencia empresarial legítima, y cada hilo está cuidadosamente elaborado para incluir la autorización del director general o de un alto ejecutivo para el pago urgente de facturas. Las campañas muestran claros indicios de automatización, desde contenidos de correo electrónico generados por inteligencia artificial hasta archivos PDF adjuntos creados de forma programada mediante tecnología de navegador sin interfaz, justo antes del envío del correo electrónico.
El análisis técnico de la campaña revela varios indicadores de una implementación automatizada.
El análisis lingüístico y estructural del cuerpo del correo electrónico reveló características —como un lenguaje muy fluido, un contexto coherente y la ausencia de errores gramaticales típicos— que apuntan claramente a que el contenido ha sido generado por un modelo de lenguaje a gran escala (LLM), en lugar de haber sido redactado manualmente.
El código HTML del correo electrónico contiene varios comentarios incrustados que ilustran qué debe incluirse en cada sección del correo electrónico.
<!-- AVISO SOBRE LA FACTURA ORIGINAL --> (FALSA)
<!-- CONFIRMACIÓN DEL DIRECTOR EJECUTIVO --> (FALSO)
<!-- SEGUIMIENTO DEL COBRO --> (FALSO)
<!-- CORREO DE SEGUIMIENTO DEL DIRECTOR EJECUTIVO -->
<!-- AVISO FINAL PARA EL DEPARTAMENTO DE CONTABILIDAD --> (PRIMER MENSAJE DIRIGIDO AL EQUIPO DE FINANZAS DE TARGET)
Además, en algunas campañas se utilizan elementos de formato no estándar, como las etiquetas <wbr /> y separadores visuales insertados manualmente, lo que indica una generación sistemática en lugar de un reenvío auténtico de correos electrónicos.
Las cadenas de correos electrónicos falsos suelen seguir un patrón predecible: una factura inicial de un supuesto proveedor, seguida de una confirmación por parte de un directivo y que concluye con instrucciones de pago urgentes. Entre los asuntos más habituales se incluyen: « ": Factura por gastos publicitarios», «" », « ": N.º de factura [números]», «" » y « ": Último recordatorio sobre su pago», «" », todos ellos diseñados para transmitir urgencia y legitimidad. Estas campañas se hacen pasar por marcas y servicios muy conocidos, como, por ejemplo, LinkedIn, diversas empresas de consultoría y plataformas publicitarias. Cada hilo de conversación creado se adapta a la organización en cuestión, incorporando los nombres reales de los empleados y contextos empresariales para reforzar la credibilidad.
Análisis de archivos
Los archivos PDF adjuntos presentan coherencia en sus metadatos, ya que todos se han creado siguiendo unas especificaciones técnicas idénticas: Mozilla/5.0 HeadlessChrome/138.0.0.0 con Skia/PDF m138 como generador. Las marcas de tiempo de creación de los archivos revelan que las facturas se generan apenas unos instantes antes del envío del correo electrónico, y el hecho de que los archivos tengan el mismo tamaño en las distintas campañas apunta a un procesamiento automatizado de plantillas.
A partir de campañas similares, hemos observado dos niveles de solicitudes de pago: en el primero, se presta un servicio de carácter profesional general, y el pago solicitado suele ser más bajo , oscilando entre los 4.850 y los 10.000 dólares. Sin embargo, en las campañas que se hacían pasar por marcas conocidas observamos un aumento significativo del número de solicitudes;
LinkedIn: entre ~12 000 y 80 000
ZoomInfo: entre 50 000 y 90 000 aproximadamente
Presupuesto: ~50k
Protección de Mimecast
Mimecast ha implementado unas funciones de detección exhaustivas para identificar y bloquear los correos electrónicos relacionados con esta campaña automatizada de BEC. Seguimos vigilando la evolución de las tácticas y técnicas que utilizan estos actores maliciosos para garantizar que nuestros clientes sigan estando protegidos frente a esta sofisticada amenaza. Consulte la página «Protección avanzada de BEC » para obtener más información sobre cómo nuestras capacidades avanzadas de inteligencia artificial y procesamiento del lenguaje natural contribuyen a la detección de amenazas en constante evolución.
Objetivos:
Organizaciones internacionales de todos los sectores
Indicadores de compromiso (IOC)
Asuntos habituales:
- Resumen de la facturación mensual efectiva
- Resumen mensual de los servicios de consultoría escalables
- Pago atrasado n.º INV103068 correspondiente a [empresa]
- Último recordatorio sobre su pago correspondiente al n.º de factura [número]
- Factura por gastos publicitarios correspondientes al periodo comprendido entre [fechas]
Dominios del remitente:
- zuki.com.vc
- adspendplatf.onice.io
- consumercomplaintonline.com
- outboundemailprotecction-onmsn.com
- june1.tw
- active-r.co.jp
- Consultant.com
Patrones de archivos:
- BS-INV-2025-0631.pdf
- DD-INV-2025-0631.pdf
- TG-INV-2025-0631.pdf
Indicadores técnicos:
- PDF Creator: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, similar a Gecko) HeadlessChrome/138.0.0.0 Safari/537.36
- Generador de PDF: Skia/PDF m138
- Tamaño de los archivos: 57 kB en todas las campañas
- Comentarios HTML: <!-- SEGUIMIENTO DEL CORREO ELECTRÓNICO DEL DIRECTOR EJECUTIVO --> , <!-- CONTABILIDAD AL DIRECTOR EJECUTIVO -->
Recomendaciones
Medidas de seguridad para el correo electrónico
- Implemente la protección avanzada contra el BEC para identificar la creación de hilos de correo electrónico falsos y los patrones de formato HTML no estándar
- Aplique un análisis de archivos adjuntos para detectar archivos PDF generados mediante programación que contengan firmas de metadatos sospechosas
- Configure políticas de análisis de contenido para marcar los correos electrónicos que contengan solicitudes de pago urgentes en las que se suplantara la identidad de un directivo
Controles de procesos
- Establezca procedimientos de verificación multicanal para todos los pagos de facturas, exigiendo una confirmación por teléfono o en persona en el caso de las solicitudes urgentes
- Implemente la separación de funciones en el procesamiento de pagos, garantizando que ninguna persona pueda autorizar pagos basándose únicamente en instrucciones enviadas por correo electrónico
- Cree procesos estandarizados de incorporación de proveedores que incluyan información de contacto y datos de pago verificados
Formación en sensibilización de los usuarios
- Formar a los equipos de finanzas y contabilidad sobre las últimas tácticas de BEC, en particular el uso de hilos de correo electrónico falsos en los que se suplantaba la identidad de directivos
- Realice simulaciones periódicas de phishing que pongan a prueba específicamente la capacidad de reconocer hilos de conversación inventados y situaciones de pago urgentes
- Forme a los empleados para que identifiquen indicadores técnicos sospechosos, como direcciones de respuesta inusuales e incoherencias en el dominio del remitente.
Detección proactiva de amenazas:
- Busque en los registros de recepción de correos electrónicos los IOC que se indican en esta notificación
- Esté atento a cualquier aumento repentino de correos electrónicos relacionados con facturas procedentes de dominios nuevos o no verificados