.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Los equipos de Detección y Respuesta Gestionadas (MDR) de Sophos informaron a finales del año pasado de una campaña de phishing que intentaba engañar a los usuarios para que instalaran LogMeIn Resolve (antes GoToResolve), una herramienta de supervisión y gestión remota (RMM), con el fin de obtener acceso remoto sin supervisión. Tras una investigación más reciente, hemos identificado algunos aspectos interesantes de esta campaña.
En dos casos que observamos, el autor de la amenaza fue un paso más allá tras obtener el acceso inicial, utilizando tanto instalaciones preexistentes como nuevas de la herramienta RMM ScreenConnect para descargar más binarios en los dispositivos afectados: en un caso, un infostealer; en el otro, otra herramienta RMM legítima.
Encontramos evidencia de esta campaña desde abril de 2025, aunque la mayor parte de la actividad maliciosa parece haber tenido lugar entre octubre y noviembre de 2025. En total, identificamos más de 80 organizaciones afectadas, ubicadas principalmente en EE. UU., en múltiples sectores.
Durante nuestra investigación, descubrimos que otros investigadores habían detectado lo que parece ser una campaña similar. Nuestra investigación valida y confirma algunos de esos hallazgos.
En el momento de escribir este artículo, algunos de los enlaces de phishing que observamos durante nuestra investigación parecen seguir activos, lo que sugiere que la campaña podría estar en curso.
Sophos rastrea este grupo de actividad maliciosa como STAC6405.
Lee el artículo completo en inglés aquí.