Estrategias habituales de ingeniería social utilizadas para implementar herramientas de gestión y supervisión remotas con el fin de obtener acceso inicial
10 de octubre de 2025
Por el equipo de investigación de amenazas de Mimecast
- Se mantiene la tendencia a pasar de la distribución tradicional de malware al uso indebido de herramientas legítimas de supervisión y gestión remotas (RMM) para obtener acceso inicial
- Campañas dirigidas a organizaciones de diversos sectores que utilizan señuelos de ingeniería social, como recibos de pago falsos, invitaciones a reuniones y documentación fiscal.
- Entre las plataformas RMM más populares que están siendo objeto de ataques se encuentran ScreenConnect (ConnectWise Control), LogMeIn Resolve, TeamViewer y AnyDesk
- El uso indebido de las soluciones de gestión remota (RMM) permite un acceso remoto persistente al camuflarse entre las operaciones legítimas de TI, eludiendo así los controles de seguridad tradicionales
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast sigue observando cómo los autores de amenazas abandonan cada vez más los archivos adjuntos de correo electrónico tradicionales que contienen malware y optan por herramientas legítimas de supervisión y gestión remotas (RMM) para establecer el acceso inicial. Este cambio estratégico permite a los atacantes eludir numerosos controles de seguridad, ya que el software RMM suele ser utilizado por los equipos de TI y, a menudo, figura en la lista blanca de los entornos empresariales.
Estas campañas ponen de manifiesto sofisticadas técnicas de ingeniería social diseñadas para engañar a los usuarios y que instalen voluntariamente los agentes RMM. Estas operaciones utilizan diversos señuelos, desde recibos de pago falsos distribuidos a través de Evernote hasta invitaciones fraudulentas a reuniones de Zoom. A continuación se muestran algunas de las campañas que hemos observado en los últimos meses y que se han utilizado para descargar diversas herramientas de RMM.
Atractivo financiero
En esta campaña se utiliza un correo electrónico falso con un aviso de transferencia y una confirmación de pago para engañar a los destinatarios y que descarguen archivos maliciosos. Estas campañas se hacen pasar por comunicaciones financieras legítimas, alegando que los pagos se han procesado mediante transferencia bancaria y instando a los usuarios a descargar los recibos de pago de "" a través de servicios para compartir archivos como Evernote.
Los señuelos se aprovechan de situaciones empresariales urgentes relacionadas con transacciones financieras, sacando partido del carácter rutinario de las comunicaciones sobre el procesamiento de pagos que los empleados gestionan habitualmente.
A los destinatarios se les envían archivos adjuntos en formato PDF que parecen legítimos y que contienen documentación de pago; sin embargo, al hacer clic en estos enlaces, en lugar de acceder a los registros financieros reales, se les redirige a la descarga de una herramienta RMM. Este método de ingeniería social se aprovecha de la confianza y la urgencia que suelen caracterizar a las confirmaciones de transacciones financieras, lo que hace que los usuarios sean más propensos a interactuar con el contenido malicioso.
Señuelo para la infraccióndelos derechos de autor
Los autores de amenazas están utilizando notificaciones falsas de infracción de derechos de autor, suplantando la identidad de prestigiosos bufetes de abogados, para engañar a los destinatarios y que descarguen contenido malicioso. Estas campañas afirman que es necesario adoptar medidas legales urgentes en relación con las infracciones de los derechos de autor y remiten a los usuarios a los enlaces seguros de "y" para que consulten los informes completos y eviten sanciones. Estos mensajes se aprovechan del temor a las consecuencias legales y a la responsabilidad económica, lo que hace que los destinatarios sean más propensos a hacer clic en los enlaces, creyendo que deben atender de inmediato reclamaciones legítimas relacionadas con los derechos de autor.
En lugar de acceder a documentos jurídicos reales, se redirige a las víctimas para que descarguen una herramienta RMM que proporciona a los atacantes acceso remoto persistente a los sistemas comprometidos. Este enfoque de ingeniería social combina la autoridad y la urgencia de las amenazas legales con la legitimidad percibida de la imagen de marca de un bufete de abogados consolidado, con el fin de maximizar la implicación de las víctimas.
Estafa de la firma electrónica
Los autores de las amenazasestán aprovechando los flujos de trabajo de las firmas electrónicas enviando invitaciones falsas para firmar documentos en las que se hacen pasar por plataformas legítimas de firma electrónica, como Authentisign. Estas campañas se dirigen a los destinatarios con solicitudes urgentes para que firmen documentos comerciales, como acuerdos de distribución o de cesión, aprovechando el carácter rutinario que tiene el procesamiento de documentos electrónicos en las operaciones empresariales actuales. Los destinatarios que hagan clic en los botones « "» o «START SIGNING»" son redirigidos a páginas web maliciosas que muestran páginas falsas de verificación CAPTCHA, diseñadas para eludir los escáneres de seguridad automatizados y crear una falsa sensación de legitimidad.
La implementación del CAPTCHA sirve para ocultar el código, bloqueando los navegadores sin interfaz gráfica y las herramientas de seguridad, al tiempo que desactiva las capacidades de inspección, antes de redirigir finalmente a los usuarios para que descarguen herramientas de RMM en lugar de acceder a las plataformas de firma propiamente dichas. Este enfoque de ingeniería social de múltiples niveles se aprovecha de la confianza y del carácter urgente de los procesos de firma de contratos, al tiempo que aplica medidas avanzadas contra el análisis para eludir los controles de seguridad.
Reunión de Zoom: Lure
Los ciberdelincuentes se hacen pasar por organizadores legítimos de reuniones enviando invitaciones fraudulentas a reuniones de Zoom que parecen proceder de compañeros de trabajo o contactos profesionales. Estas campañas aprovechan la generalización de las videoconferencias en las comunicaciones empresariales actuales, utilizando nombres conocidos y enlaces a reuniones de Zoom que parecen oficiales para ganarse la confianza de los destinatarios. Las invitaciones falsas incluyen opciones como « "» y «Aceptar/Rechazar»" que imitan las funciones legítimas de integración con el calendario, lo que anima a los usuarios a interactuar de forma inmediata sin verificar la información. Las víctimas que hacen clic en estos enlaces son redirigidas a sitios maliciosos que descargan herramientas de gestión remota (RMM), lo que proporciona a los atacantes acceso remoto persistente a los sistemas comprometidos. Este método de ingeniería social se aprovecha del carácter habitual y de confianza que tienen las invitaciones a reuniones, lo que hace que los empleados sean menos propensos a examinar con detenimiento los enlaces que perciben como comunicaciones empresariales habituales.
Alerta de seguridad falsa de ScreenConnect como señuelo
En esta campaña, los autores de la amenaza se dirigían a administradores de TI y proveedores de servicios gestionados mediante sofisticadas alertas falsas de inicio de sesión de ScreenConnect en las que se alegaba un acceso no autorizado desde direcciones IP sospechosas. Estas campañas se hacen pasar por notificaciones de seguridad legítimas de ScreenConnect y muestran información detallada de la cuenta —incluidos dominios específicos, cuentas de usuario y ubicaciones geográficas— para ganarse la confianza del personal técnico. Estos señuelos se aprovechan de la mayor concienciación en materia de seguridad de los profesionales de las tecnologías de la información, presentándoles situaciones urgentes que requieren una revisión inmediata de la seguridad "y la adopción de medidas" que los administradores, naturalmente, considerarían prioritarias. En lugar de acceder a los paneles de seguridad reales de ScreenConnect, las víctimas que hacen clic en los enlaces « "» y «Review Security» (" ) son redirigidas a páginas de recopilación de credenciales diseñadas para sustraer las credenciales de superadministrador. Este método de ingeniería social se centra específicamente en los privilegios elevados de los administradores de TI, lo que podría proporcionar a los atacantes un amplio acceso a múltiples entornos de clientes gestionados.
Notificación falsa sobre el intercambio de documentos como señuelo
Los autores de amenazas se hacen pasar por plataformas legítimas de intercambio de documentos enviando notificaciones falsas sobre el intercambio de archivos que parecen proceder de compañeros de trabajo o de figuras de autoridad dentro de las organizaciones. Estas campañas se valen de nombres que inspiran confianza, como ", el subjefe de gabinete", y títulos de documentos que parecen oficiales, como "ADVANCE NOTICE .docx", para generar una sensación de urgencia y legitimidad entre los destinatarios. Los mensajes fraudulentos incluyen advertencias sobre remitentes externos e instan a "a revisar el documento sin demora," imitando notificaciones de seguridad auténticas de plataformas como Google Drive o SharePoint para disipar las sospechas. En lugar de acceder a documentos compartidos reales, las víctimas que hacen clic en los botones « "» (Abrir) o «" » (Abrir) son redirigidas a sitios web maliciosos que descargan herramientas de gestión remota (RMM), lo que proporciona a los atacantes acceso remoto persistente a los sistemas comprometidos.
Estas aplicaciones legítimas ofrecen capacidades de control remoto persistentes, al tiempo que se presentan como software empresarial autorizado, lo que hace que su detección resulte considerablemente más difícil que en el caso de las instalaciones de malware tradicionales. Los estudios del sector indican que esta tendencia refleja la creciente eficacia de las soluciones de seguridad del correo electrónico a la hora de detectar el malware tradicional, lo que obliga a los autores de las amenazas a adoptar estrategias más sofisticadas de uso indebido de herramientas legítimas. Este cambio supone una transformación fundamental en la metodología de los ataques, que pasa de la implementación de código malicioso al aprovechamiento de software de confianza ya existente con fines maliciosos.
Protección de Mimecast
Las capacidades avanzadas de detección de amenazas de Mimecast han identificado y bloqueado con éxito estas campañas gracias a múltiples capas de protección.
IOC detectados
Enlaces de descarga
- hxxp://dl[.]dropbox[.]com/scl/fi/y8nwd9911fen2xlgm7ogi/Invoice_00299[.]zip?rlkey=pq8f9ui5fdxxg1bzvv4h8bd3v&st=m9m3youl&dl=0
- hxxps://store8[.]gofile[.]io/download/direct/7f0d3fca-f5d5-432b-a9ca-34b6a936f608/IntuitproPlugin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/9f5a47f8-cb82-4955-b4dc-6d4dd480512b/IntuitPluginCore3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/b9f9f024-93fa-43db-8567-7aef21436c4b/IntuitPluginCore3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/42c735a7-0a8e-444e-8d55-252cb384557d/IntuitPluginCore3[.]0[.]exe
- hxxps://file-eu-par-2[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/1ed0603c-12e1-43cf-b7c7-34b4fc94d12b/IntuitPluggin3[.]0[.]exe
- hxxps://store8[.]gofile[.]io/download/direct/75309ae0-a457-4a96-9f63-1b969945e7ac/IntuitPluggin3[.]0[.]exe
- hxxps://bitbucket[.]org/thanksforusingourwebsite/serv/downloads/Statement-415322025[.]exe
- hxxps://podcast[.]zozaljubali[.]com/Remittance%20Advice_pdf[.]exe
Enlaces de alojamiento
- hxxps://sptr[.]eomail6[.]com/f/a/
- hxxps://skyexchange[.]win/wp-scripts/dee54[.]php
- fn3699[.]kafinora[.]cyou
- fnback9636[.]site
- hxxps://docs[.]google[.]com/document/d/15zYZoGTgMCreSji6V4KJntdP0ZM0b3
Recomendaciones
Gestión de la seguridad de RMM:
- Establecer políticas aprobadas sobre herramientas de gestión remota (RMM) y mantener listas de permitidos estrictas con el software de acceso remoto autorizado
- Implemente requisitos de autenticación adicionales para la instalación de herramientas de gestión remota de equipos (RMM), exigiendo la aprobación del departamento de TI antes de su implementación
- Supervisar el tráfico de red para detectar comunicaciones RMM no autorizadas y establecer valores de referencia para los patrones de uso legítimos de RMM
- En el caso de los MSP, implementen instancias de RMM segregadas con acceso limitado entre clientes y una supervisión mejorada del uso de las cuentas de superadministrador
Concienciación de los usuarios en materia de seguridad:
- Informe a los usuarios del personal sobre el uso legítimo de las herramientas de RMM en el ámbito empresarial, haciendo hincapié en la necesidad de obtener la autorización del departamento de TI antes de su instalación
- Realice simulaciones en las que se incluyan solicitudes de instalación de RMM camufladas como asistencia informática o comunicaciones empresariales
- Haga hincapié en la verificación de las comunicaciones a través de los canales oficiales, especialmente aquellas en las que se solicite la descarga de software
Las organizaciones deben auditar de inmediato las implementaciones existentes de RMM e implementar un sistema de supervisión mejorado para detectar si estas herramientas legítimas se están utilizando con fines maliciosos, ya que es posible que la detección tradicional basada en firmas no identifique este patrón de uso indebido.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!