Marc Sureda
Los investigadores de Proofpoint han identificado un incremento en el uso de herramientas de monitorización y gestión remota (RMM) para llevar a cabo ataques a través del correo electrónico. Al mismo tiempo, se observa una disminución en el uso de grandes cargadores y botnets por parte de intermediarios de acceso inicial.
Uno de los factores que puede explicar esta tendencia es la Operación Endgame, una iniciativa que desmanteló familias de malware como IcedID, Trickbot y Bumblebee en 2024.
Un cambio en las tácticas de ataque
La adopción de herramientas RMM como ScreenConnect y Atera muestra cómo los ciberdelincuentes se apoyan en software legítimo diseñado para administradores de TI, unas soluciones que facilitan la gestión remota de grandes flotas de ordenadores, pero que en manos de ciberdelincuentes, sirven para ganar acceso no autorizado a los ordenadores, robar datos y, finalmente, desplegar ransomware en los dispositivos comprometidos.
La preferencia por estos mecanismos se vincula a la capacidad de evadir controles de seguridad, dado que las herramientas RMM suelen catalogarse como software fiable. Esto contribuye a que pasen desapercibidas, aumentando las posibilidades de éxito de los atacantes.
Grupos de amenazas y ataques observados
Según Proofpoint, varios actores de amenazas han incorporado las RMM como carga útil de primera etapa en sus campañas. TA2725, activo desde marzo de 2022, se ha centrado en objetivos de Brasil, México y España, recurriendo al envío de señuelos de facturas de energía y a la instalación de ScreenConnect como principal recurso.
Otro grupo, TA583, emplea tácticas similares y lleva a cabo múltiples campañas diarias, a menudo basadas en ataques de phishing de credenciales. Una vez que el sistema de la víctima queda comprometido, se posibilita la apropiación de cuentas, el robo de datos y la cesión de accesos a otros actores.
La inyección ZPHP y la amenaza UAC-0050 se han caracterizado por el uso de NetSupport en sus operaciones, incorporando a veces Lumma Stealer como variante. Por su parte, Bluetrait se utiliza en campañas de menor escala en correos en francés o inglés, donde los atacantes adjuntan archivos MSI comprimidos para descargar herramientas RMM de manera subrepticia.
Por su parte, los ataques denominados TOAD (orientados al teléfono) recurren al envío de emails con un número telefónico que dirige al usuario a instalar software RMM, bajo pretextos como disputas relativas a facturas.
Medidas de seguridad y recomendaciones
Ante el incremento de campañas basadas en RMM, los expertos de Proofpoint sugieren limitar la descarga de cualquier herramienta RMM que no haya sido aprobada por el departamento de TI. Además, recomiendan reforzar la detección de red, emplear soluciones de protección de endpoints para supervisar la conexión a servidores RMM y formar a los usuarios para que identifiquen e informen de actividades sospechosas.
Los investigadores destacan que estos programas de administración remota suelen considerarse fiables en el ámbito corporativo, lo que facilita que los atacantes se oculten tras ellos. La previsión es que este tipo de campañas continúe aumentando, por lo que la vigilancia y la adopción de contramedidas es esencial para salvaguardar la infraestructura de las organizaciones.
