{"id":753,"date":"2026-05-04T18:54:00","date_gmt":"2026-05-04T18:54:00","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/04\/la-campana-de-phishing-llega-a-mas-de-80-organizaciones-que-utilizan-las-herramientas-simplehelp-y-screenconnect-rmm-cyberdefensa-mx\/"},"modified":"2026-05-04T18:54:00","modified_gmt":"2026-05-04T18:54:00","slug":"la-campana-de-phishing-llega-a-mas-de-80-organizaciones-que-utilizan-las-herramientas-simplehelp-y-screenconnect-rmm-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/04\/la-campana-de-phishing-llega-a-mas-de-80-organizaciones-que-utilizan-las-herramientas-simplehelp-y-screenconnect-rmm-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a de phishing llega a m\u00e1s de 80 organizaciones que utilizan las herramientas SimpleHelp y ScreenConnect RMM \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado una campa\u00f1a activa de phishing dirigida a m\u00faltiples vectores desde al menos abril de 2025, con software leg\u00edtimo de administraci\u00f3n y monitoreo remoto (RMM) como una forma de establecer un acceso remoto persistente a los hosts comprometidos.<\/p>\n

La actividad, cuyo nombre en clave VENENOSO#AYUDANTE<\/strong>ha impactado a m\u00e1s de 80 organizaciones, la mayor\u00eda de las cuales est\u00e1n en EE. UU., seg\u00fan Securonix. Comparte superposiciones con grupos previamente rastreados por canario rojo<\/a> y Sophos, el \u00faltimo de los cuales le ha dado el nombre de STAC6405. Si bien no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a, la compa\u00f1\u00eda de ciberseguridad dijo que se alinea con un corredor de acceso inicial (IAB) con motivaci\u00f3n financiera o una operaci\u00f3n precursora de ransomware.<\/p>\n

\u00abEn este caso, se utilizan RMM SimpleHelp y ScreenConnect personalizados para evitar las defensas, ya que la v\u00edctima desprevenida las instala leg\u00edtimamente\u00bb, afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Dejando de lado el hecho de que el uso de herramientas RMM leg\u00edtimas puede evadir la detecci\u00f3n, la implementaci\u00f3n de SimpleHelp y ScreenConnect indica un intento de crear una \u00abarquitectura de acceso redundante de doble canal\u00bb que permita operaciones continuas incluso cuando cualquiera de ellos sea detectado y bloqueado.<\/p>\n

Todo comienza con un correo electr\u00f3nico de phishing que se hace pasar por la Administraci\u00f3n de la Seguridad Social (SSA) de EE. UU., donde se le indica al destinatario que verifique su direcci\u00f3n de correo electr\u00f3nico y descargue una supuesta declaraci\u00f3n de la SSA haciendo clic en un enlace incrustado en el mensaje. El enlace apunta a un sitio web empresarial mexicano leg\u00edtimo pero comprometido (\u00abgruta.com[.]mx\u00bb), lo que indica una estrategia deliberada para evadir los filtros de spam de correo electr\u00f3nico.<\/p>\n

\"\"<\/a><\/div>\n

Luego, la \u00abdeclaraci\u00f3n SSA\u00bb se descarga desde un segundo dominio controlado por el atacante (\u00abservidor.cubatiendaalimentos.com[.]mx\u00bb), un ejecutable que es responsable de entregar la herramienta SimpleHelp RMM. Se cree que el atacante obtuvo acceso a una \u00fanica cuenta de usuario de cPanel en el servidor de alojamiento leg\u00edtimo para preparar el binario.<\/p>\n

Tan pronto como la v\u00edctima abre el ejecutable de Windows empaquetado con JWrapper, pensando que es un documento, el malware se instala como un servicio de Windows con persistencia en modo seguro, se asegura de que se est\u00e9 ejecutando mediante un \u00abvigilante autorreparable\u00bb que lo reinicia autom\u00e1ticamente cuando se elimina, y enumera peri\u00f3dicamente los productos de seguridad registrados usando el espacio de nombres WMI root\\SecurityCenter2 cada 67 segundos, y sondea la presencia del usuario cada 23 segundos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Para facilitar el acceso al escritorio totalmente interactivo, el cliente de acceso remoto SimpleHelp adquiere SeDebugPrivilege a trav\u00e9s de Ajustar privilegios de token<\/a>mientras que \u00abelev_win.exe\u00bb, un archivo ejecutable leg\u00edtimo asociado con el software, se utiliza para obtener privilegios a nivel de SISTEMA. Esto, a su vez, permite al operador leer la pantalla, inyectar pulsaciones de teclas y acceder a recursos del contexto del usuario.<\/p>\n

Luego se abusa de este acceso remoto elevado para descargar e instalar ConnectWise ScreenConnect, que ofrece un mecanismo de comunicaci\u00f3n alternativo si se elimina el canal SimpleHelp.<\/p>\n

\u00abLa versi\u00f3n implementada de SimpleHelp (5.0.1) proporciona un conjunto integral de capacidades de administraci\u00f3n remota\u00bb, dijeron los investigadores. \u00abLa organizaci\u00f3n v\u00edctima queda en un estado en el que el atacante puede regresar en cualquier momento, ejecutar comandos silenciosamente en la sesi\u00f3n de escritorio del usuario, transferir archivos bidireccionalmente y pasar a sistemas adyacentes, mientras que los antivirus est\u00e1ndar y los controles basados \u200b\u200ben firmas no ven nada m\u00e1s que software leg\u00edtimamente firmado por un proveedor acreditado del Reino Unido\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado una campa\u00f1a activa de phishing dirigida a m\u00faltiples vectores desde al menos abril de 2025, con software leg\u00edtimo de administraci\u00f3n y monitoreo remoto (RMM) como una forma de establecer un acceso remoto persistente a los hosts comprometidos. La actividad, cuyo nombre en clave VENENOSO#AYUDANTEha impactado a m\u00e1s de 80 organizaciones, la mayor\u00eda […]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,24,205,95,1793,98,389,365,1166,1248,2274,92],"class_list":["post-753","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-cyberdefensa-mx","tag-herramientas","tag-las","tag-llega","tag-mas","tag-organizaciones","tag-phishing","tag-rmm","tag-screenconnect","tag-simplehelp","tag-utilizan"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=753"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/753\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}