La campagna dedicata alle risorse umane sposta l’attenzione dalle credenziali agli strumenti RMM

17 ottobre 2025

A cura del Mimecast Threat Research Team

Panoramica della campagna

Il team Mimecast Threat Research continua a monitorare la campagna di raccolta delle credenziali condotta da MCTO3022, che prende sistematicamente di mira le organizzazioni ricorrendo a tattiche di usurpazione dell’identità del dipartimento delle risorse umane. Questa operazione di lunga durata combina le tradizionali strategie volte a indurre il rispetto del regolamento aziendale con sistemi evoluti di autorizzazione delle buste paga, dimostrando una notevole maturità operativa e capacità di adattamento tattico nel corso di campagne di lunga durata. Le attività relative alle risorse umane si concentrano in genere sugli aggiornamenti del manuale del personale e sui requisiti di conformità, avvalendosi delle politiche aziendali che impongono il coinvolgimento dei dipendenti nelle comunicazioni in materia di risorse umane.

Queste campagne sfruttano la natura routinaria dei processi di conformità in ambito risorse umane, facendo apparire le comunicazioni malevole come normali operazioni aziendali che i dipendenti sono tenuti a portare a termine tempestivamente. MCTO3022 dimostra capacità di elusione attraverso l’uso improprio strategico di servizi legittimi, tra cui domini SharePoint per l’hosting iniziale degli URL e piattaforme di sondaggi Mailchimp per la raccolta delle credenziali. Questo approccio basato sull’infrastruttura consente all’autore della minaccia di sfruttare la fiducia e l’affidabilità associate alle piattaforme aziendali consolidate, mantenendo al contempo la flessibilità operativa grazie al rapido ricambio dei domini e al cambio di servizi.

L’ambito dell’operazione va oltre la tradizionale raccolta di credenziali e comprende attività di ricognizione finalizzate al reclutamento, nell’ambito delle quali vengono pubblicati annunci di lavoro per posizioni fittizie di rappresentanti regionali al fine di raccogliere informazioni dettagliate sui candidati. Questo approccio a duplice scopo fa supporre l'esistenza di sofisticate capacità di raccolta di informazioni, concepite per supportare sia il furto immediato di credenziali sia attività di ricognizione organizzativa a più lungo termine.

Ultimi sviluppi della campagna: implementazione di PDQConnect RMM

Le recenti attività della campagna dimostrano che MCTO3022 si è evoluto oltre la tradizionale raccolta di credenziali, arrivando a implementare strumenti di monitoraggio e gestione remota (RMM), in particolare PDQConnect, attraverso le proprie esche consolidate basate sull’autorizzazione delle buste paga tramite Adobe PDF Sign. Questo cambiamento tattico rappresenta un significativo aumento delle capacità dell'autore della minaccia, che è passato dal furto di credenziali all'implementazione di un accesso remoto persistente.

Tale evoluzione è in linea con le tendenze più generali del settore, in cui gli autori delle minacce abusano sempre più spesso di strumenti RMM legittimi per ottenere un accesso persistente, eludendo al contempo i tradizionali sistemi di rilevamento del malware. PDQConnect, essendo uno strumento legittimo di gestione remota, spesso elude i controlli di sicurezza incentrati sul rilevamento delle firme dei malware tradizionali. Questo approccio consente a MCTO3022 di mantenere un accesso a lungo termine ai sistemi compromessi, favorendo potenzialmente l’esfiltrazione di dati, il movimento laterale e l’implementazione di ulteriori strumenti dannosi.

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento potenziate mirate alle tattiche specifiche di MCTO3022, tra cui l’analisi dei modelli di ingegneria sociale incentrati sulle risorse umane.

Obiettivi

Diversi settori, prevalentemente negli Stati Uniti e nel Regno Unito

Indicatori di compromissione (IOC)

Domini in hosting:

• go[.]pardot[.]com
• fwtrack[.]dataprivacycrm[.]com
• fwtrack[.]hrcommcenter[.]com
• fwtrack[.]crmhrnotice[.]com
• fwtrack[.]strykler[.]com
• fwtrack[.]hrevalutions[.]com

Modelli comuni di oggetto dell'e-mail:

• IMPORTANTE: Manuale del dipendente aggiornato al 2024: attività obbligatoria
• Promemoria: Iscrizione annuale ai benefici!
• Politica sulla protezione dei dati e sulla riservatezza dei dipendenti: accettazione obbligatoria
• Richiesta delle Risorse Umane: firma obbligatoria sulla politica relativa al codice di condotta aziendale
• Programma di formazione obbligatoria per tutto il personale AP
• IMPORTANTE: Manuale del dipendente – Aggiornato il 30/07

Azioni immediate:

• Informare gli utenti sulle sofisticate tattiche di furto d’identità da parte di presunti rappresentanti delle Risorse Umane, sottolineando che le comunicazioni legittime da parte delle Risorse Umane in genere non richiedono l’accesso immediato a link esterni né il download di software
• Condurre simulazioni di phishing che includano scenari tratti dal manuale del personale e relativi alle autorizzazioni per le buste paga, con messaggi urgenti e richieste di installazione di strumenti RMM
• Formare il personale affinché verifichi le comunicazioni insolite provenienti dall’ufficio Risorse Umane tramite contatto diretto con i dipartimenti delle Risorse Umane, utilizzando i canali di contatto ufficiali
• Sottolineare l’importanza di segnalare le comunicazioni relative a opportunità di lavoro sospette che richiedono informazioni personali dettagliate o l’installazione di software

Ricerca delle minacce:

• Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne.