TempMail Ninja
//

Campaña phishing SeasonalInvite: Malware mediante herramientas RMM

6 min de lectura
TempMail Ninja
Campaña phishing SeasonalInvite: Malware mediante herramientas RMM

En el dinámico y hostil panorama de la ciberseguridad corporativa, los atacantes han comprendido que la forma más efectiva de infiltrarse en una red no es forzando las cerraduras con exploits de última generación, sino utilizando las llaves legítimas que los propios departamentos de tecnología ya tienen configuradas. Este sutil cambio de paradigma queda perfectamente ilustrado en el más reciente hallazgo de Vedere Labs, el brazo de investigación de amenazas de Forescout. Los investigadores de la firma han expuesto detalladamente una sofisticada y persistente campaña phishing denominada SeasonalInvite. Activa desde al menos enero de 2026, esta operación no se molesta en programar y compilar malware personalizado y ruidoso; en su lugar, abusa de herramientas de monitoreo y gestión remota (RMM) de uso comercial legítimo para obtener control absoluto sobre entornos Windows y macOS, logrando evadir de manera brillante las soluciones de seguridad tradicionales que confían ciegamente en estos certificados digitales y firmas de nivel empresarial.

El malware ya no es necesario: El abuso de herramientas RMM comerciales

La técnica conocida como “Living off the Land” (vivir de la tierra) consiste en utilizar herramientas preinstaladas en el sistema operativo para llevar a cabo actividades maliciosas. Sin embargo, los operadores de SeasonalInvite han llevado este concepto un paso más allá al especializarse en el abuso de soluciones de administración y soporte remoto comercialmente firmadas y ampliamente utilizadas por los administradores de TI. Al desplegar software legítimo, el atacante no tiene que preocuparse por las firmas de virus o la detección heurística básica de los antivirus comerciales y sistemas de Endpoint Detection and Response (EDR). Después de todo, ¿por qué un agente de seguridad bloquearía una aplicación de soporte remoto legítima y firmada digitalmente?

Durante la investigación liderada por el analista Sai Molige de Vedere Labs, se confirmó el abuso sistemático de cuatro plataformas de RMM líderes en el mercado:

  • ConnectWise ScreenConnect: Una de las soluciones de acceso remoto más populares a nivel global, explotada con configuraciones específicas de enlace directo.
  • LogMeIn Resolve: Ampliamente utilizada en entornos corporativos para soporte técnico en tiempo real.
  • Kaseya: Una herramienta de administración de TI sumamente robusta cuyo agente de software es ideal para la persistencia del atacante.
  • O&O Syspectr: Una suite de RMM de origen alemán. Los analistas señalan que la inclusión de esta herramienta sugiere que los atacantes cuentan con un amplio portafolio de RMMs y eligen cuál desplegar basándose en los perfiles de la víctima, las preferencias geográficas o la afiliación del grupo atacante.

El uso de estas aplicaciones permite a los ciberdelincuentes asegurar un canal de acceso persistente y completamente funcional hacia el dispositivo comprometido, con privilegios administrativos que les facultan para robar información, descargar herramientas adicionales de post-explotación o, eventualmente, desplegar ransomware.

Anatomía de SeasonalInvite: La evolución de una campaña phishing altamente adaptable

La efectividad de SeasonalInvite no radica únicamente en su componente de software, sino en la extraordinaria maleabilidad de su ingeniería social y su capacidad para adaptarse al calendario global. Esta campaña phishing ha demostrado ser una amenaza camaleónica que muta según la época del año en la que se encuentre la víctima.

De impuestos a postales electrónicas: El gancho de la ingeniería social estacional

La campaña comenzó a ser rastreada a principios de 2026. En esos primeros meses del año, los atacantes se enfocaron en temáticas tributarias y suplantación de la Administración del Seguro Social (SSA) de los Estados Unidos, aprovechando que los contribuyentes estaban en plena temporada de declaración de impuestos. De hecho, en marzo de 2026, Microsoft documentó de manera independiente una infraestructura de campaña que se superponía con estos hallazgos, donde las víctimas recibían ganchos de impuestos que conducían a la instalación de ScreenConnect y otra herramienta RMM llamada SimpleHelp.

Con la llegada de la primavera y el verano, la campaña pivotó estratégicamente hacia las celebraciones y los eventos festivos. El gancho más reciente detectado por Vedere Labs involucra el envío de correos electrónicos de phishing o el envenenamiento de motores de búsqueda (SEO poisoning) con invitaciones falsas para ver postales electrónicas (eCards), un recurso sumamente efectivo para captar la atención de usuarios en redes corporativas y personales por igual.

Descarga silenciosa ‘Drive-By’ y ejecución automatizada

Cuando un usuario interactúa con el enlace engañoso, es redirigido a portales web diseñados meticulosamente para imitar a plataformas de postales electrónicas reconocidas, como BlueMountain. El flujo de infección se ejecuta de la siguiente manera:

  1. La víctima llega a una interfaz web sumamente profesional con un diseño limpio.
  2. Se le presenta una animación de carga interactiva acompañada de un mensaje directo: “Your exclusive eCard will download automatically in 3 seconds.” (Tu postal exclusiva se descargará automáticamente en 3 segundos).
  3. Al expirar el contador de tres segundos, se inicia la descarga automatizada (“drive-by download”) de un paquete ejecutable específico para el sistema operativo de la víctima (un instalador de Windows o un paquete DMG para macOS).
  4. Mientras esto ocurre, el kit de phishing retransmite información sensible de la víctima tanto a un servidor de control remoto (backend) como a un bot de Telegram configurado por los atacantes para recibir alertas en tiempo real sobre nuevas infecciones.

La infraestructura oculta detrás del ataque: TDS y filtrado masivo

Para que una operación de phishing de esta envergadura permanezca activa durante meses sin ser desmantelada por los proveedores de hosting o identificada por los rastreadores de seguridad automatizados, se requiere de un motor de distribución técnica formidable. Los atacantes de SeasonalInvite han implementado una infraestructura que asombra por sus dimensiones.

Forescout identificó un total de 959 dominios únicos específicamente temáticos de eCards y postales de felicitación. Sin embargo, para evitar que las empresas de seguridad analicen sus páginas de aterrizaje, los criminales interpusieron un robusto Sistema de Distribución de Tráfico (TDS, por sus siglas en inglés) que actúa como un filtro de aduana digital.

Este TDS consta de un ejército de 2,658 páginas de puerta de enlace (gate pages). La función principal de estas páginas es analizar detalladamente las peticiones entrantes. Si el TDS detecta que la IP, el agente de usuario (User-Agent) o el comportamiento de la petición corresponde a un bot de indexación de Google, a un crawler de una firma de ciberseguridad o a un sandbox de análisis automatizado, la conexión es bloqueada o redirigida a un contenido completamente inofensivo. Solo cuando el sistema verifica con un alto grado de certeza que el visitante es un usuario humano legítimo y vulnerable, se le permite el acceso a la página de phishing real para proceder con la descarga del RMM preconfigurado.

La aceleración por Inteligencia Artificial en el desarrollo de phishing

Otro de los descubrimientos más alarmantes realizados por Sai Molige y el equipo de Vedere Labs en julio de 2026 es el uso evidente de Inteligencia Artificial generativa en la construcción de los artefactos de ataque. Al analizar a nivel técnico el código de las páginas web del kit de phishing de SeasonalInvite, los investigadores descubrieron múltiples indicadores estructurales y comentarios sintácticos característicos del código producido por Modelos de Lenguaje Grande (LLMs).

El uso de la IA permite a estos actores de amenazas:

  • Acelerar el desarrollo: Escribir y depurar plantillas HTML, CSS y JavaScript complejas en cuestión de minutos.
  • Automatizar la personalización: Modificar rápidamente la temática visual del sitio (pasar de un diseño navideño a uno de San Valentín, de Pascua o de impuestos) con solo dar instrucciones de texto a un asistente de IA.
  • Optimizar la evasión de firmas: Modificar sutilmente la estructura del código de forma constante para que los escáneres estáticos de código no puedan identificar firmas comunes de kits de phishing conocidos.

Este uso de la IA demuestra que la barra de entrada para crear campañas técnicamente complejas y visualmente impecables se ha reducido drásticamente, permitiendo que incluso atacantes con habilidades de programación moderadas operen redes

TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.