Las invitaciones a las fiestas navideñas incluyen herramientas de acceso remoto
5 de diciembre de 2025
Por Hiwot Mendahun, Ankit Gupta y el equipo de investigación de amenazas de Mimecast
- Los ciberdelincuentes están aprovechando la temporada festiva para suplantar la identidad de servicios legítimos de invitaciones a fiestas, como Punchbowl, con el fin de distribuir herramientas de supervisión y gestión remotas (RMM).
- Dirigido principalmente a empresas estadounidenses de los sectores financiero, de servicios profesionales (contabilidad, asuntos jurídicos) e inmobiliario
- Los enlaces que figuran en estas invitaciones falsas redirigen a los usuarios a través de Google Sites y HubSpot para que descarguen el software cliente ScreenConnect RMM.
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña en curso que aprovecha la temporada festiva para distribuir herramientas de acceso remoto camufladas como invitaciones a fiestas navideñas; se han identificado más de 2.300 dominios como objetivos, principalmente en Estados Unidos, con una concentración notable en Australia. Esta técnica se basa en patrones ya conocidos de suplantación de identidad de servicios legítimos de gestión de invitaciones, como Evite y Punchbowl, para distribuir tanto páginas de suplantación de identidad destinadas a obtener credenciales como malware. La campaña actual supone una evolución de esta táctica y se centra específicamente en el mayor volumen de comunicaciones relacionadas con los eventos navideños de las empresas.
Flujo del ataque
El ataque comienza con correos electrónicos enviados desde cuentas de correo electrónico empresariales legítimas, pero que han sido comprometidas, lo que confiere una credibilidad inmediata al mensaje. Estas cuentas comprometidas suelen pertenecer a proveedores de servicios externos de confianza, como despachos de contabilidad, bufetes de abogados o consultoras empresariales. Los destinatarios reciben lo que parece ser una invitación auténtica a una fiesta o un acto festivo. El correo electrónico contiene un enlace que, supuestamente, ofrece información sobre el evento u opciones para confirmar la asistencia.
Al hacer clic en él, el enlace inicia una cadena de redireccionamientos en varias etapas diseñada para eludir la detección. En algunas campañas se observa que los usuarios son redirigidos a través de Google Sites o del servicio de interacción de HubSpot, lo que enmascara aún más el destino malicioso. En otras campañas, vemos una página de destino en la que se indica al usuario que haga clic en el botón «Descargar archivo», lo que iniciará la descarga. Las páginas de destino finales contienen instaladores del cliente ScreenConnect RMM que se hacen pasar por descargas de invitaciones a fiestas.
Por qué las herramientas de RMM son peligrosas
A diferencia del malware tradicional, ScreenConnect es una herramienta legítima de administración remota que utilizan los profesionales de TI para la gestión de sistemas. Sin embargo, cuando lo utilizan los autores de amenazas, proporciona un acceso remoto persistente que a menudo resulta inofensivo para las herramientas de seguridad, sobre todo en las organizaciones del segmento medio (entre 500 y 5.000 empleados), que suelen carecer de capacidades de detección de nivel empresarial. Una vez instalado, los atacantes pueden:
- Ejecutar comandos con privilegios de administrador
- Sustrar datos confidenciales, como credenciales, información financiera y propiedad intelectual
- Instalar malware o ransomware adicional
- Desplácese lateralmente por la red para comprometer otros sistemas
- Mantener el acceso a largo plazo para futuros ataques
- Aprovechar las relaciones de confianza con los proveedores para infiltrarse en las organizaciones de los clientes, lo que permite comprometer la cadena de suministro
Protección de Mimecast
Mimecast ofrece múltiples capas de defensa contra estos ataques de ingeniería social relacionados con las fiestas:
IOC
Nombres de los archivos:
- Invitación de Navidad de Bluewep
- ScreenConnect.ClientSetup
- CHRISTMAS_BUNDLE_AGENT_468181_V10_14_4_RW.MSI
Hash de archivos (SHA256):
- FE5AA50D5DED1FF44138D6125188F531EF9DF1FCB64374EEB90A33E95941585C
- 5E3DEA219DD75763719D82DE99136318F0D224608EC310E5372010EFF6FF0D67
- ee5b6da2a0a0ce53dd8a2542fd68aadf99920746bec57805b95447482c524916
URL:
- hxxp://sites.google.com/view/party-invite-download-e-card/home
- dxmc1w04.na2.hs-service-engage[.]com
- hxxps://rac[.]am/MINE
- hxxps://stashie-co[.]com/
Destinatarios
Empresas del segmento medio (entre 500 y 5.000 empleados) en Estados Unidos (83% de las empresas seleccionadas) y Australia (4%), principalmente de los sectores financiero, de servicios profesionales (contabilidad, jurídico), inmobiliario/hipotecario, sanitario y público.
Recomendaciones
Sensibilización de los usuarios en materia de seguridad
- Informe a los usuarios. Recuerde a los empleados que comprueben las invitaciones inesperadas a fiestas a través de canales secundarios, especialmente cuando contengan enlaces de descarga. Haga hincapié en que las invitaciones legítimas a eventos corporativos no suelen requerir la descarga de software. Las organizaciones deben estar especialmente atentas durante los periodos de fin de año, cuando aumenta el volumen de transacciones financieras y puede reducirse la plantilla.
Detección proactiva de amenazas
- Análisis de registros de URL: Busque en los registros de URL indicadores técnicos relacionados con estas campañas
- Implemente un sistema de seguimiento centrado en las cuentas que mantengan relaciones comerciales con terceros, en particular aquellas relacionadas con los servicios de contabilidad, jurídicos y de asesoramiento financiero, que son objeto de ataques de forma desproporcionada
Control de la implementación de la herramienta RMM
- Establezca políticas de listas de aplicaciones permitidas para impedir la instalación no autorizada de herramientas de acceso remoto
- Si se utilizan ScreenConnect o herramientas RMM similares de forma legítima, asegúrese de que solo se puedan implementar las versiones aprobadas por el departamento de TI a través de canales controlados
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!