La campaña centrada en los recursos humanos pasa de las credenciales a las herramientas de gestión de relaciones con los clientes (RMM)
17 de octubre de 2025
Por el equipo de investigación de amenazas de Mimecast
- Operación de recopilación de credenciales de larga duración llevada a cabo por MCTO3022, dirigida a organizaciones en las que se suplantaba la identidad del departamento de recursos humanos
- Las campañas se basan en los requisitos de cumplimiento del manual del empleado y en las solicitudes de autorización de nóminas
- La última evolución de la campaña incluye una suplantación de identidad en Adobe PDF Sign que utiliza las herramientas de PDQConnect RMM en lugar de la recopilación tradicional de credenciales.
- Estas operaciones ponen de manifiesto técnicas avanzadas de ingeniería social que combinan falsas ofertas de empleo con señuelos relacionados con el cumplimiento normativo en diversos sectores.
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast sigue vigilando la campaña de recopilación de credenciales llevada a cabo por MCTO3022, que ataca sistemáticamente a las organizaciones mediante tácticas de suplantación de identidad del departamento de recursos humanos. Esta operación persistente combina las tácticas tradicionales de cumplimiento del manual del empleado con sistemas avanzados de autorización de nóminas, lo que demuestra una madurez operativa significativa y una gran capacidad de adaptación táctica a lo largo de períodos prolongados de campaña. Las iniciativas relacionadas con los recursos humanos suelen centrarse en la actualización del manual del empleado y en los requisitos de cumplimiento normativo, aprovechando las políticas de la organización que exigen la participación de los empleados en las comunicaciones de RR. HH.
Estas campañas se aprovechan del carácter rutinario de los procesos de cumplimiento normativo en materia de recursos humanos, haciendo que las comunicaciones maliciosas parezcan operaciones empresariales habituales que los empleados deben llevar a cabo sin demora. MCTO3022 demuestra su capacidad para eludir la detección mediante el uso indebido estratégico de servicios legítimos, entre los que se incluyen dominios de SharePoint para el alojamiento inicial de direcciones URL y plataformas de encuestas de Mailchimp para la recopilación de credenciales. Este enfoque basado en la infraestructura permite al autor de la amenaza aprovechar la confianza y la capacidad de entrega asociadas a las plataformas empresariales consolidadas, al tiempo que mantiene la flexibilidad operativa mediante la rápida rotación de dominios y el cambio de servicios.
El alcance de la operación va más allá de la recopilación tradicional de credenciales y abarca el reconocimiento basado en la contratación, en el que se publican ofertas de empleo falsas para puestos de representante regional con el fin de recabar información detallada de los solicitantes. Este enfoque de doble finalidad apunta a la existencia de sofisticadas capacidades de recopilación de información diseñadas para facilitar tanto el robo inmediato de credenciales como las actividades de reconocimiento organizativo a largo plazo.
Últimas novedades sobre la campaña: Implementación de PDQConnect RMM
Las actividades recientes de la campaña revelan que MCTO3022 ha evolucionado más allá de la recopilación tradicional de credenciales para implementar herramientas de supervisión y gestión remotas (RMM), concretamente PDQConnect, a través de sus ya conocidos señuelos de autorización de nóminas en formato Adobe PDF Sign. Este cambio táctico supone una escalada significativa de las capacidades del actor malicioso, que ha pasado del robo de credenciales al establecimiento de un acceso remoto persistente.
Esta evolución concuerda con las tendencias generales del sector, en las que los autores de amenazas abusan cada vez más de herramientas legítimas de gestión remota (RMM) para establecer un acceso persistente, al tiempo que eluden los sistemas tradicionales de detección de malware. PDQConnect, al tratarse de una herramienta legítima de gestión remota, suele eludir los controles de seguridad que se centran en la detección de firmas de malware tradicionales. Este enfoque permite a MCTO3022 mantener un acceso a largo plazo a los sistemas comprometidos, lo que podría facilitar la sustracción de datos, el movimiento lateral y el despliegue de herramientas maliciosas adicionales.
Protección de Mimecast
Mimecast ha implementado capacidades de detección mejoradas dirigidas a las tácticas específicas de MCTO3022, incluido el análisis de patrones de ingeniería social relacionados con los recursos humanos.
Destinatarios
Diversos sectores, principalmente de EE. UU. y el Reino Unido
Indicadores de compromiso (IOC)
Dominios alojados:
- go[.]pardot[.]com
- fwtrack[.]dataprivacycrm[.]com
- fwtrack[.]hrcommcenter[.]com
- fwtrack[.]crmhrnotice[.]com
- fwtrack[.]strykler[.]com
- fwtrack[.]hrevalutions[.]com
Patrones habituales en el asunto de los correos electrónicos:
- IMPORTANTE: Manual del empleado revisado de 2024: Tarea obligatoria
- Recordatorio: ¡Período de inscripción abierta para las prestaciones anuales!
- Política de protección de datos y confidencialidad de los empleados: Aceptación obligatoria
- Solicitud de RR. HH.: Se requiere la firma de la Política de Conducta Empresarial
- Calendario de formación obligatoria para todo el personal de AP
- IMPORTANTE: Manual del empleado — Revisado el 30 de julio
Medidas inmediatas:
- Informe a los usuarios sobre las sofisticadas tácticas de suplantación de identidad relacionadas con los recursos humanos, haciendo hincapié en que las comunicaciones legítimas de este departamento no suelen requerir que se acceda de inmediato a enlaces externos ni que se descargue software.
- Llevar a cabo simulaciones de phishing que incorporen situaciones previstas en el manual del empleado y en los procesos de autorización de nóminas, con mensajes urgentes y solicitudes de instalación de herramientas de gestión remota (RMM).
- Capacitar al personal para que verifique las comunicaciones inusuales de RR. HH. mediante contacto directo con los departamentos de RR. HH., utilizando los medios de contacto oficiales
- Haga hincapié en la importancia de informar sobre cualquier comunicación sospechosa relacionada con una oferta de empleo en la que se solicite información personal detallada o la instalación de software
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!