Malware firmado suplanta apps de trabajo y abre la puerta a backdoors RMM en empresas

En febrero de 2026, el equipo de Microsoft Defender Experts detectó varias campañas de phishing atribuidas a un actor desconocido. El objetivo fue claro: aprovechar señuelos cotidianos del entorno laboral (reuniones, facturas, documentos financieros) y la confianza que generan las firmas digitales para introducir malware firmado que termina instalando herramientas de remote monitoring and management (RMM), asegurando acceso persistente a los sistemas comprometidos.

Estas campañas evidencian cómo el branding familiar (Teams, Zoom, Adobe, Google Meet) y certificados “confiables” pueden reducir la sospecha del usuario y facilitar el acceso inicial dentro de entornos corporativos.

Resumen de la cadena de ataque

Con base en telemetría de Defender y análisis forense, Microsoft observó correos engañosos que entregaban PDF falsos o enlaces a sitios clonados. El usuario era inducido a descargar ejecutables maliciosos que se hacían pasar por software legítimo, entre ellos:

  • msteams.exe
  • trustconnectagent.exe
  • adobereader.exe
  • zoomworkspace.clientsetup.exe
  • invite.exe

Los archivos estaban firmados digitalmente con un certificado Extended Validation (EV) emitido a TrustConnect Software PTY LTD, lo que aumentaba la credibilidad del archivo y favorecía la ejecución por parte de la víctima.

Una vez ejecutados, estos instaladores desplegaban varias plataformas RMM, incluyendo ScreenConnect, Tactical RMM y Mesh Agent, permitiendo persistencia y, potencialmente, movimiento lateral dentro del entorno.

Campaña con PDF adjunto: el “documento restringido” como anzuelo

En uno de los escenarios, el correo incluía un PDF falso. Al abrirlo, la víctima veía una imagen borrosa y estática que simulaba un documento restringido. Un botón llamativo, como “Open in Adobe”, invitaba a “continuar”.

Al hacer clic, el usuario era redirigido a una web suplantada que imitaba el centro de descargas de Adobe. Allí se mostraba un aviso de “aplicación desactualizada” y se iniciaba la descarga de un supuesto instalador/actualización. En realidad, se trataba de un paquete de RMM firmado por TrustConnect Software PTY LTD.

Campaña con invitaciones de reunión: Teams y Zoom como señuelos

En otra variante, el actor distribuyó correos altamente convincentes que imitaban invitaciones y comunicaciones laborales, como:

  • solicitudes de reunión o transcripciones
  • propuestas de proyecto (bids)
  • comunicaciones financieras

Los enlaces llevaban a sitios fraudulentos con mensajes tipo “update required” o “out of date”, diseñados para provocar una acción rápida. El archivo descargado aparentaba ser un instalador de Teams, Zoom o Google Meet, pero terminaba instalando herramientas RMM igualmente firmadas con el certificado EV vinculado a TrustConnect.

Instalación del backdoor RMM con ScreenConnect y persistencia

Tras ejecutar el falso instalador (por ejemplo, desde la carpeta Descargas), se observó un patrón orientado a parecer “legítimo”:

  • creación de una copia secundaria del ejecutable en C:\Program Files
  • registro del binario como servicio de Windows para ejecutar al inicio
  • creación de una clave Run en:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • nombre del valor: TrustConnectAgent
    • ruta configurada: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe

Como parte del flujo, se establecía conexión saliente hacia el dominio de mando y control (C2) trustconnectsoftware[.]com.

Luego, los ejecutables iniciaban comandos PowerShell codificados para descargar cargas adicionales. El análisis indicó descargas de instaladores .msi de ScreenConnect, preparados en rutas temporales y ejecutados mediante msiexec.exe para completar la instalación del cliente y reforzar la persistencia con múltiples entradas de registro.

Microsoft señaló que, en este caso, la actividad podría involucrar una versión on-premises de ScreenConnect distribuida en un MSI que no estaba firmado por ConnectWise (los MSI on-premises pueden ser no firmados por defecto). Posteriormente, se detectó que binarios asociados estaban firmados con certificados ya revocados, un patrón observado en intrusiones similares.

La persistencia se reforzó con servicios bajo rutas como:

  • HKLM\SYSTEM\ControlSet001\Services\ScreenConnect Client [ID hexadecimal único]

Y con configuraciones que referenciaban ScreenConnect.ClientService.exe en:

  • C:\Program Files (x86)\ScreenConnect Client [Client ID]

Los parámetros incluían identificadores y metadatos codificados para facilitar la reconexión y mantener el acceso remoto de forma continua y discreta.

Redundancia: Tactical RMM y MeshAgent como canales adicionales

El actor no se limitó a ScreenConnect. En paralelo, se observó la instalación de Tactical RMM mediante el mismo enfoque (PowerShell codificado y descargas desde infraestructura controlada por el atacante). Durante ese despliegue, Tactical RMM instaló MeshAgent, agregando otro canal de control remoto.

El uso combinado de múltiples frameworks RMM sugiere una estrategia para garantizar continuidad operativa: si un acceso se detecta o se elimina, el atacante conserva alternativas para mantener el control.

Mitigación y recomendaciones de protección

Microsoft recomendó varias acciones para reducir el impacto y limitar el abuso de RMM no autorizados:

Control de aplicaciones y bloqueo por editor/certificado

  • Implementar Windows Defender Application Control (WDAC) o AppLocker para bloquear herramientas de administración no aprobadas.
  • Aprovechar la capacidad de marcar certificados como no confiables (por reglas de publicador) para impedir la ejecución de software firmado por editores no autorizados.
  • Usar en Microsoft Defender for Endpoint la acción de bloqueo por certificado para aplicaciones firmadas.

Endurecimiento del entorno y visibilidad

  • Para RMM aprobados en la organización, habilitar MFA cuando sea posible.
  • Buscar instalaciones RMM no aprobadas; si se detectan, restablecer contraseñas de cuentas usadas para instalar servicios RMM y ampliar la investigación si se usaron cuentas con privilegios elevados.
  • Activar protección en la nube (cloud-delivered protection) en Microsoft Defender Antivirus o equivalente.

Protección de correo y navegación

  • Habilitar Safe Links y Safe Attachments en Microsoft Defender for Office 365.
  • Activar Zero-hour auto purge (ZAP) para retirar correos maliciosos ya entregados cuando haya nueva inteligencia.
  • Impulsar el uso de navegadores con Microsoft Defender SmartScreen para bloquear sitios de phishing y descargas maliciosas.

Reglas de reducción de superficie de ataque (ASR)

  • Activar reglas orientadas a frenar técnicas comunes, incluyendo:
    • protección avanzada contra ransomware
    • bloqueo de creación de procesos desde PsExec y WMI (según compatibilidad)
    • bloqueo de ejecutables que no cumplan criterios de prevalencia/antigüedad/lista de confianza

Detecciones observadas en Microsoft Defender XDR

Microsoft enumeró cobertura por táctica, con señales como:

  • Acceso inicial: detección de phishing y clics en URLs maliciosas, además de remoción posterior a la entrega en Defender for Office 365.
  • Ejecución: PowerShell con comandos codificados y descargas; ejecución de comandos sospechosos vía ScreenConnect (Defender for Endpoint).
  • Malware: detecciones de aplicaciones maliciosas suplantando software de trabajo, incluyendo familias/alertas como “Kepavll” y “Screwon” (según la telemetría descrita).

Búsqueda e indicadores clave para hunting

Para rastrear actividad relacionada, Microsoft compartió consultas de hunting en Defender XDR. En términos prácticos, la investigación se enfocó en:

  • archivos firmados por TrustConnect Software PTY LTD
  • conexiones de red hacia trustconnectsoftware[.]com
  • ejecución sospechosa de instaladores ScreenConnect vía PowerShell y msiexec
  • presencia de instaladores suplantando apps de trabajo (Teams/Zoom/Adobe)

También se listaron indicadores de compromiso (hashes SHA-256, URLs, dominios e IPs) asociados a la entrega de ejecutables y a infraestructura de control, incluyendo el dominio Pacdashed[.]com para despliegues adicionales y múltiples dominios utilizados como vectores de distribución.

Conclusión

Estas campañas muestran una evolución peligrosa en el phishing corporativo: ya no basta con “parecer real”, ahora también se busca parecer confiable mediante firmas digitales EV y marcas conocidas. El resultado es un acceso inicial silencioso que se convierte rápidamente en persistencia con herramientas RMM, con redundancia suficiente para resistir limpiezas parciales. Fortalecer el control de aplicaciones, endurecer el correo y vigilar RMM no autorizados se vuelve decisivo para cortar este tipo de intrusiones desde el primer eslabón.

Visítanos diariamente para que no te pierdas ninguna noticia.

Suscríbete al canal de YouTube donde verás Unboxing y Reviews de smartphones. Además, no olvides visitar nuestras redes sociales.

Dejar un comentario

Crea una web o blog en WordPress.com

Subir ↑