Campaña por WhatsApp usa VBScript para instalar ManageEngine RMM
Resumen rápido
Una campaña abusa de WhatsApp y documentos señuelo para ejecutar VBScript que termina instalando una herramienta legítima de gestión remota (RMM). El atacante consigue control persistente camuflado como software de IT.
Una nueva campaña de ingeniería social reparte documentos fraudulentos a través de WhatsApp para engañar a la víctima y que ejecute un script VBScript. El script no suelta malware tradicional: descarga e instala una herramienta legítima de gestión y monitorización remota (RMM) de ManageEngine, que el atacante usa después como puerta trasera.
El abuso de RMM legítimos —AnyDesk, ConnectWise, ManageEngine y similares— es una técnica de evasión cada vez más común. Al tratarse de binarios firmados y de uso habitual en entornos corporativos, levantan menos sospechas que un implante a medida y suelen pasar por debajo del radar de muchas listas de bloqueo.
La cadena combina dos clásicos: entrega por mensajería de confianza y ejecución mediante scripting nativo de Windows (VBScript a través de wscript/cscript). Una vez instalado el RMM, el operador obtiene sesión remota interactiva, transferencia de ficheros y ejecución de comandos sin desplegar nada que un antivirus marque como malicioso.
La defensa pasa por inventariar qué herramientas RMM están autorizadas en la organización y alertar sobre cualquier otra que aparezca, vigilar la ejecución de VBScript desde rutas de usuario y bloquear instaladores RMM no aprobados en los endpoints.
¿Estás cubierto en DefensOps?
DefensOps detecta los TTPs de esta amenaza con reglas premium del motor de detección:
- Regla 111005 — PowerShell ofuscado / encoded command (
T1059.001) · plan Professional
Técnicas MITRE ATT&CK cubiertas: T1059.001
Plan mínimo: Professional
Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.
Fuente primaria: https://thehackernews.com/2026/06/whatsapp-vbscript-campaign-uses-fake.html
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1059.001
- PowerShell ofuscado / encoded command · T1059.001 · regla 111005 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.