Una sofisticada campaña cibernética que aprovecha las herramientas legítimas de monitoreo y gestión remota (RMM) se ha convertido en una amenaza significativa para las organizaciones europeas, particularmente las de Francia y Luxemburgo.
Desde noviembre de 2024, los actores de amenaza han implementado documentos PDF cuidadosamente elaborados que contienen enlaces integrados a instaladores RMM, evitando efectivamente las medidas tradicionales de seguridad de correo electrónico y los sistemas de detección de malware.
Este vector de ataque representa una evolución en las tácticas de ingeniería social, explotando la confianza inherente colocada en herramientas administrativas legítimas.
La campaña se dirige principalmente a sectores de alto valor, incluidos las industrias de energía, gobierno, banca y construcción en toda Europa.
El enfoque geográfico en Luxemburgo es particularmente notable, ya que el alto PIB per cápita del país lo convierte en un objetivo atractivo para los cibercriminales motivados financieramente.
PDF utilizado para atacar a una organización de bienes raíces en los Países Bajos (fuente – WithSegure)
En lugar de emplear métodos de distribución a gran escala, estos actores de amenazas demuestran una orientación de precisión a través del contenido de PDF específico de la industria y el uso de lenguaje localizado, lo que sugiere un conocimiento íntimo de las prácticas comerciales regionales.
La metodología de ataque se centra en correos electrónicos de ingeniería social meticulosamente elaborados que falsifican las direcciones comerciales legítimas o utilizan dominios parecidos.
El correo electrónico de ingeniería social utilizado para distribuir PDF malicioso (fuente – WithSegure)
Estos correos electrónicos a menudo se hacen pasar por empleados superiores dentro de las organizaciones objetivo, aumentando drásticamente su credibilidad y tasas de éxito.
Analistas de seguridad identificado Esta campaña a través del análisis de patrones de los metadatos PDF y los mecanismos de entrega, señalando el uso constante de enlaces de descarga directa integrados que apuntan a plataformas legítimas de proveedores RMM.
Los investigadores con seguridad notaron una evolución táctica significativa en el mecanismo de entrega, observando el abuso de plataformas de confianza como Zendesk para distribuir PDF maliciosos.
Este cambio representa un esfuerzo calculado para evadir los controles de seguridad de correo electrónico aprovechando las plataformas que no generalmente están asociadas con campañas de phishing.
Mecanismo de entrega de PDF
La sofisticación técnica de esta campaña radica en su simplicidad y abuso de infraestructura legítima.
Cada PDF contiene un único enlace de descarga directa integrada que se conecta a las URL de proveedores RMM auténticas generadas cuando los atacantes registran cuentas en plataformas como FleetDeck, Atera, BlueTrait y Screenconnect.
Estas URL contienen claves de acceso únicas que vinculan los instaladores directamente con las cuentas controladas por los atacantes.
Ejemplo FleetDeck URL Estructura: hxxps: // agent (.) FleetDeck (.) Io/(unique_identifier)? Win
El análisis de metadatos revela siete nombres de autor distintos, incluidos “Dennis Block” y “Guillaume Vaugeois”, creado usando herramientas comunes como Microsoft Word, Canva e IlovePDF.
Esta diversidad probablemente representa una estrategia de ofuscación intencional para evadir los sistemas de detección que dependen de patrones de metadatos consistentes para la atribución de amenazas.
El éxito de la campaña proviene de explotar la naturaleza legítima de las herramientas RMM, que no requieren configuración adicional después de la instalación e inmediatamente otorgan acceso remoto sin pasos de autenticación del usuario.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
