Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

A campaña de phishing vinculado al servicio de alojamiento en la nube de IA Railway ha dado a los piratas informáticos acceso a las cuentas en la nube de Microsoft para cientos de empresas, según investigadores de Huntress.

Rich Mozeleski, gerente de producto del equipo de identidad de Huntress, dijo a CyberScoop que la campaña está actualmente vinculada a un actor más pequeño y aproximadamente una docena de direcciones IP, pero ha logrado comprometer cientos de objetivos en las últimas semanas.

A principios de marzo comprometía unas pocas docenas de objetivos por día, pero a partir del 3 de marzo hubo un “aumento masivo” en ese ritmo. Mozeleski dijo que, además de ser más sofisticado de lo habitual, no se utilizaron correos electrónicos ni dominios idénticos, lo que llevó a los investigadores a sospechar que pudieron haber sido generados a través de herramientas de inteligencia artificial. Las plantillas iban desde señuelos de correo electrónico tradicionales hasta códigos QR y sitios cooptados para compartir archivos.

“Solo la cantidad fue como si se hubiera abierto la Caja de Pandora, y la eficacia estaba por las nubes”, dijo Mozeleski.

Un señuelo de phishing de descarga de archivos personalizado utilizado en la campaña. Los investigadores creen que los atacantes utilizaron IA para generar señuelos únicos a escala. (Fuente: Cazadora)

La campaña de phishing explota el flujo de autenticación de Microsoft para dispositivos como televisores inteligentes, impresoras y terminales, lo que le otorga al atacante tokens OAuth válidos para esa cuenta por hasta 90 días sin necesidad de contraseña o autenticación multifactor.

En última instancia, Huntress ha visto a cientos de sus clientes caer en estafas de phishing, aunque afirman haber evitado la actividad posterior al compromiso en todos los casos. Pero también creen que sus clientes representan sólo una pequeña fracción del probable conjunto total de víctimas, que podría ascender a miles.

Las entidades afectadas abarcan una variedad de sectores: empresas de construcción y comercio, bufetes de abogados, organizaciones sin fines de lucro, bienes raíces, manufactura, finanzas y seguros, atención médica, gobierno y organizaciones de seguridad pública se encontraban entre las 344 víctimas detalladas en el blog de Huntress.

Para proteger a los clientes, Mozeleski dijo que Huntress emitió el miércoles una actualización de la política de acceso condicional a 60.000 inquilinos de la nube de Microsoft en correos electrónicos provenientes de dominios Railway, un acto que describió como «nada que hayamos hecho antes».

Armando la infraestructura codificada por vibraciones

Los investigadores creen que los atacantes estaban utilizando la plataforma como servicio de Railway, creada para ayudar a los no codificadores a crear sitios web y herramientas, para activar la infraestructura de recolección de credenciales para la campaña.

Al utilizar dominios comprometidos y lanzar señuelos personalizados, los correos electrónicos de phishing evitan la mayoría de las soluciones comerciales de filtrado de correo electrónico. No está claro si utilizaron la herramienta de inteligencia artificial de Railway o una separada para generar los señuelos. De cualquier manera, todos los ataques que Huntress ha observado provienen de la infraestructura IP de Railway.com.

En respuesta a las preguntas de CyberScoop el viernes, el ingeniero de soluciones ferroviarias Angelo Saraceno dijo que la compañía está al tanto del incidente y Huntress se puso en contacto por primera vez el 6 de marzo con respecto al tráfico de phishing que se origina desde una dirección IP específica y tres dominios. “Las cuentas asociadas fueron prohibidas y los dominios bloqueados”, dijo Saraceno.

«Nuestras heurísticas están diseñadas para detectar correlaciones: tarjetas de crédito repetidas, fuentes de código compartidas, infraestructura superpuesta», escribió en un correo electrónico. «Cuando una campaña evita esas señales, llega más lejos de lo que nos gustaría».

Saraceno calificó la detección de fraudes de Railway como «un equilibrio» entre atrapar a los malos actores y verse inundado de falsos positivos, señalando un incidente en febrero, cuando un ajuste en el sistema automatizado de control de abusos de la empresa provocó una interrupción del servicio del cliente.

El viernes temprano, Mozeleski le dijo a CyberScoop que Huntress seguía viendo más de 50 compromisos por día vinculados a dominios de phishing de Railway. Cuando se le preguntó qué más podría haber hecho Railway para evitar el abuso de su plataforma, dijo que se podría mejorar la investigación y validación del uso gratuito de su producto. Señaló productos con pruebas similares, como MailChimp y HubSpot, que cuentan con controles y supervisión para que los usuarios no puedan «entrar en un millón de contactos y comenzar a enviar spam».

«No permitan que nadie entre, inicie una prueba, active recursos y comience a utilizar su infraestructura» para ataques cibernéticos, dijo.

Uno de los contrastes más sorprendentes de la campaña fue el uso de la IA para crear una infraestructura de phishing similar a la de un actor de amenazas patrocinado por el estado o un grupo cibercriminal avanzado al servicio de una estafa de phishing común y corriente.

Esto refuerza las advertencias de los expertos en ciberseguridad de que los ciberdelincuentes de bajo nivel, a menudo llamados “script kiddies” por su dependencia de herramientas de piratería automatizadas, están preparados para convertirse en uno de los mayores beneficiarios de la era de la IA generativa. El mes pasado, John Hultquist, analista jefe del Threat Intelligence Group de Google, dijo que espera que las herramientas de inteligencia artificial ayuden a «los grupos cibercriminales más pequeños más que a los piratas informáticos patrocinados por el estado».

Los testimonios en el sitio web de Railway promocionan la capacidad del servicio para ofrecer «escala automática vertical lista para usar», mientras que otro dijo que «hace que la creación de herramientas de terceros autohospedadas sea casi sin esfuerzo».

También puede darles una ventaja sobre las organizaciones víctimas que tienen políticas internas más restrictivas en torno al uso de la IA para la ciberdefensa.

«Estamos viendo a los delincuentes como los primeros impulsores de la IA», dijo Prakash Ramamurthy, director de productos de Huntress. «No tienen ningún reparo en la PII, no tienen ningún reparo en el entrenamiento de modelos… y este incidente, simplemente por el ritmo al que ha evolucionado, es una especie de testimonio de ello».

Los investigadores de ciberseguridad han advertido sobre un aumento en la actividad hacktivista de represalia luego de la operación coordinada entre Estados Unidos e Israel. Campaña militar contra Irán.con nombre en código Epic Fury y Roaring Lion.

«La amenaza hacktivista en Medio Oriente está muy desequilibrada, con dos grupos, Keymous+ y DieNet, impulsando casi el 70% de toda la actividad de ataque entre el 28 de febrero y el 2 de marzo», Radware dicho en un informe del martes. El primer ataque distribuido de denegación de servicio (DDoS) fue lanzado por Hider Nex (también conocido como Túnezn Maskers Cyber ​​Force) el 28 de febrero de 2026.

De acuerdo a detalles compartido por Orange Cyberdefense, Hider Nex es un oscuro grupo hacktivista tunecino que apoya causas pro palestinas. Aprovecha una estrategia de pirateo y filtración que combina ataques DDoS con violaciones de datos para filtrar datos confidenciales y avanzar en su agenda geopolítica. El grupo surgió a mediados de 2025.

En total, se registraron un total de 149 reclamaciones de hacktivistas DDoS dirigidas a 110 organizaciones distintas en 16 países. Los ataques fueron llevados a cabo por 12 grupos diferentes, entre ellos Keymus+, DieNety NoName057(16), que representó el 74,6% de toda la actividad.

De estos ataques, la gran mayoría, 107, se concentraron en Medio Oriente y apuntaron desproporcionadamente a infraestructuras públicas y objetivos a nivel estatal. Europa fue el objetivo del 22,8% de la actividad global total durante el período. Casi el 47,8% de todas las organizaciones objetivo a nivel mundial pertenecían al sector gubernamental, seguido por los sectores de finanzas (11,9%) y telecomunicaciones (6,7%).

«El frente digital se está expandiendo junto con el físico en la región, con grupos hacktivistas atacando simultáneamente a más naciones en el Medio Oriente que nunca», dijo Radware. «La distribución de los ataques dentro de la región se concentró en gran medida en tres naciones específicas: Kuwait, Israel y Jordania, donde Kuwait representó el 28%, Israel el 27,1% y Jordania el 21,5% del total de ataques reclamados».

Además de Keymous+, DieNet y NoName057(16), algunos de los otros grupos que han participado en operaciones disruptivas incluyen Nation of Saviors (NOS), Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, Cyber ​​Islamic Resistance, Dark Storm Team, FAD Team, Evil Markhors y PalachPro, según datos de Flashpoint, Palo Alto Networks Unit 42 y Radware.

El alcance actual de los ciberataques se enumera a continuación:

• Grupos hacktivistas prorrusos como Cardinal y Russian Legion reclamado haber violado las redes militares israelíes, incluido su sistema de defensa antimisiles Cúpula de Hierro.
• Se ha observado una campaña activa de phishing por SMS utilizando una réplica fraudulenta de la aplicación RedAlert del Home Front Command israelí para ofrecer vigilancia móvil y malware de filtración de datos. «Al manipular a las víctimas para que descarguen este APK malicioso bajo la apariencia de una actualización urgente en tiempos de guerra, los adversarios implementan con éxito una interfaz de alerta completamente funcional que enmascara un motor de vigilancia invasivo diseñado para aprovecharse de una población hipervigilante», CloudSEK dicho.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) apuntó a los sectores de energía e infraestructura digital en Medio Oriente, atacando a Saudi Aramco y un centro de datos de Amazon Web Services en los Emiratos Árabes Unidos con la intención de «infligir el máximo dolor económico global como contrapresión a las pérdidas militares», dijo Flashpoint.
• Tormenta de arena de algodón (también conocido como Haywire Kitten) revivido su antiguo personaje cibernético, Equipo Altoufanafirmando haber pirateado sitios web en Bahréin. «Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de su mayor participación en intrusiones en todo el Medio Oriente en medio del conflicto», dijo Check Point.
• Datos recopilados por Nozomi Networks muestra que el grupo de hackers patrocinado por el estado iraní conocido como UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail) fue el cuarto actor más activo en la segunda mitad de 2025, centrando sus ataques en entidades de defensa, aeroespaciales, de telecomunicaciones y de gobiernos regionales para promover las prioridades geopolíticas de la nación.
• Los principales intercambios de criptomonedas iraníes tienen permaneció operativo pero ajustes operativos anunciadosya sea suspendiendo o agrupando retiros, y emitiendo una guía de riesgo que insta a los usuarios a prepararse para una posible interrupción de la conectividad.
• «Lo que estamos viendo en Irán no es una evidencia clara de una fuga masiva de capitales, sino más bien un mercado que gestiona la volatilidad en condiciones conectividad restringida e intervención regulatoria», dijo Ari Redbord, Jefe Global de Políticas de TRM Labs. «Durante años, Irán ha operado una economía sumergida que, en parte, ha utilizado criptomonedas para evadir sanciones, incluso a través de sofisticadas infraestructuras extraterritoriales. Lo que estamos viendo ahora –bajo la presión de la guerra, los cortes de conectividad y los mercados volátiles– es una prueba de estrés en tiempo real de esa infraestructura y la capacidad del régimen para aprovecharla».
• sofos dicho «observó un aumento en la actividad hacktivista, pero no una escalada en el riesgo», principalmente de personas pro-Irán, incluido el equipo Handala Hack y APT Irán en forma de ataques DDoS, desfiguraciones de sitios web y afirmaciones no verificadas de compromisos que involucran infraestructura israelí.
• El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) alertado organizaciones a un mayor riesgo de ataques cibernéticos iraníes, instándolas a fortalecer su postura de ciberseguridad para responder mejor a ataques DDoS, actividad de phishingy Orientación ICS.

En una publicación compartida en LinkedIn, Cynthia Kaiser, vicepresidenta senior del centro de investigación de ransomware en Halcyon y ex subdirectora adjunta de la División Cibernética de la Oficina Federal de Investigaciones, dijo que Irán tiene un historial de uso de operaciones cibernéticas para tomar represalias contra «desaires políticos percibidos», y agregó que estas actividades han incorporado cada vez más ransomware.

«Teherán ha preferido durante mucho tiempo hacer la vista gorda, o al menos indiferente, a las operaciones cibernéticas privadas contra objetivos en EE.UU., Israel y otros países aliados», afirmó Kaiser. agregado. «Eso se debe a que tener acceso a ciberdelincuentes le da opciones al gobierno. Mientras Irán considera su respuesta a las acciones militares de Estados Unidos e Israel, es probable que active a cualquiera de estos ciberactores si cree que sus operaciones pueden generar un impacto de represalia significativo».

La empresa de ciberseguridad SentinelOne también ha juzgado con un alto nivel de confianza en que las organizaciones en Israel, los EE. UU. y las naciones aliadas probablemente enfrenten ataques directos o indirectos, particularmente dentro de los sectores gubernamental, de infraestructura crítica, de defensa, de servicios financieros, académicos y de medios.

«Los actores de amenazas iraníes han demostrado históricamente una voluntad de combinar operaciones de espionaje, perturbación e impacto psicológico para avanzar en objetivos estratégicos», Nozomi Networks dicho. «En períodos de inestabilidad, estas operaciones a menudo se intensifican, apuntando a infraestructuras críticas, redes de energía, entidades gubernamentales y la industria privada mucho más allá de la zona inmediata del conflicto».

Para contrarrestar el riesgo que plantea el conflicto cinético, se recomienda a las organizaciones activar el monitoreo continuo para reflejar la actividad de amenazas intensificada, actualizar las firmas de inteligencia de amenazas, reducir la superficie de ataque externo, realizar revisiones exhaustivas de la exposición de los activos conectados, validar la segmentación adecuada entre las redes de tecnología de la información y de tecnología operativa, y garantizar el aislamiento adecuado de los dispositivos de IoT.

«En conflictos pasados, los actores cibernéticos de Teherán han alineado su actividad con objetivos estratégicos más amplios que aumentan la presión y la visibilidad de los objetivos, incluida la energía, la infraestructura crítica, las finanzas, las telecomunicaciones y la atención médica», dijo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en un comunicado compartido con The Hacker News.

«Los adversarios iraníes han seguido evolucionando su oficio, expandiéndose más allá de las intrusiones tradicionales hacia la nube y las operaciones centradas en la identidad, lo que los posiciona para actuar rápidamente en entornos empresariales híbridos con mayor escala e impacto».

Los cazadores de amenazas han llamado la atención sobre una nueva campaña en la que los malos actores se hacen pasar por soporte de TI falso para entregar el Estragos marco de comando y control (C2) como precursor de la exfiltración de datos o el ataque de ransomware.

Las intrusiones, identificado realizado por Huntress el mes pasado en cinco organizaciones asociadas, involucró a los actores de amenazas que usaban spam de correo electrónico como señuelo, seguido de una llamada telefónica desde un escritorio de TI que activa un canal de entrega de malware en capas.

«En una organización, el adversario pasó del acceso inicial a nueve puntos finales adicionales en el transcurso de once horas, implementando una combinación de funciones personalizadas. Demonio del caos cargas útiles y herramientas RMM legítimas para la persistencia, y la velocidad del movimiento lateral sugiere fuertemente que el objetivo final era la exfiltración de datos, el ransomware o ambos», dijeron los investigadores Michael Tigges, Anna Pham y Bryan Masters.

Vale la pena señalar que el modus operandi es consistente con el bombardeo de correo electrónico y los ataques de phishing de Microsoft Teams orquestados por actores de amenazas asociados con la operación de ransomware Black Basta en el pasado. Si bien el grupo de delitos cibernéticos parece haber guardado silencio luego de una filtración pública de sus registros de chat internos el año pasado, la presencia continua del manual del grupo sugiere dos escenarios posibles.

Una posibilidad es que los antiguos afiliados de Black Basta hayan pasado a otras operaciones de ransomware y las estén utilizando para montar nuevos ataques, o que dos actores de amenazas rivales hayan adoptado la misma estrategia para realizar ingeniería social y obtener acceso inicial.

La cadena de ataque comienza con una campaña de spam cuyo objetivo es saturar las bandejas de entrada del objetivo con correos electrónicos no deseados. En el siguiente paso, los actores de la amenaza, haciéndose pasar por soporte de TI, contactan a los destinatarios y los engañan para que les otorguen acceso remoto a sus máquinas, ya sea a través de una sesión de Quick Assist o instalando herramientas como AnyDesk para ayudar a solucionar el problema.

Con el acceso implementado, el adversario no pierde tiempo en iniciar el navegador web y navegar a una página de destino falsa alojada en Amazon Web Services (AWS) que se hace pasar por Microsoft e indica a la víctima que ingrese su dirección de correo electrónico para acceder al sistema de actualización de reglas antispam de Outlook y actualizar las reglas de spam.

Al hacer clic en un botón para «Actualizar configuración de reglas» en la página falsificada se activa la ejecución de un script que muestra una superposición que solicita al usuario que ingrese su contraseña.

«Este mecanismo tiene dos propósitos: permite que el actor de amenazas (TA) recopile credenciales que, cuando se combinan con la dirección de correo electrónico requerida, proporciona acceso al panel de control; al mismo tiempo, agrega una capa de autenticidad a la interacción, convenciendo al usuario de que el proceso es genuino», dijo Huntress.

El ataque también depende de la descarga del supuesto parche antispam, que, a su vez, conduce a la ejecución de un binario legítimo llamado «ADNotificationManager.exe» (o «DLPUserAgent.exe» y «Werfault.exe») para descargar una DLL maliciosa. La carga útil de DLL implementa la evasión de defensa y ejecuta la carga útil del código shell Havoc generando un hilo que contiene el agente Demon.

Al menos una de las DLL identificadas («vcruntime140_1.dll») incorpora trucos adicionales para eludir la detección por parte del software de seguridad mediante ofuscación del flujo de control, bucles de retardo basados ​​en tiempos y técnicas como Hell’s Gate y Puerta de Halo a gancho Funciones ntdll.dll y omita las soluciones de detección y respuesta de endpoints (EDR).

«Tras el despliegue exitoso del Havoc Demon en la cabeza de playa, los actores de la amenaza comenzaron a moverse lateralmente a través del entorno de la víctima», dijeron los investigadores. «Si bien la ingeniería social inicial y la entrega de malware demostraron algunas técnicas interesantes, la actividad práctica en el teclado que siguió fue comparativamente sencilla».

Esto incluye la creación de tareas programadas para iniciar la carga útil de Havoc Demon cada vez que se reinician los puntos finales infectados, proporcionando a los actores de amenazas un acceso remoto persistente. Dicho esto, se ha descubierto que el actor de amenazas implementa herramientas legítimas de administración y monitoreo remoto (RMM) como Level RMM y XEOX en algunos hosts comprometidos en lugar de Havoc, diversificando así sus mecanismos de persistencia.

Algunas conclusiones importantes de estos ataques son que los actores de amenazas están más que felices de hacerse pasar por personal de TI y llamar a números de teléfono personales si eso mejora la tasa de éxito, técnicas como la evasión de defensa que alguna vez se limitaron a ataques a grandes empresas o campañas patrocinadas por estados se están volviendo cada vez más comunes, y el malware básico se personaliza para eludir firmas basadas en patrones.

También es de destacar la velocidad a la que los ataques progresan rápida y agresivamente desde el compromiso inicial hasta el movimiento lateral, así como los numerosos métodos utilizados para mantener la persistencia.

«Lo que comienza como una llamada telefónica de ‘soporte de TI’ termina con un compromiso de red totalmente instrumentado: Havoc Demons modificados implementados en los puntos finales, herramientas RMM legítimas reutilizadas como persistencia de respaldo», concluyó Huntress. «Esta campaña es un estudio de caso sobre cómo los adversarios modernos superponen la sofisticación en cada etapa: ingeniería social para entrar por la puerta, descarga de DLL para permanecer invisible y persistencia diversificada para sobrevivir a la remediación».