Los piratas informáticos afiliados a la inteligencia rusa han obtenido acceso a las aplicaciones de mensajería de miles de usuarios con una campaña global de phishing, advirtieron el viernes el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un anuncio de servicio público.

Los objetivos de alto valor que persiguen incluyen a funcionarios actuales y anteriores del gobierno estadounidense, figuras políticas, personal militar y periodistas, dijeron las dos agencias en el PSA conjunto sobre los intentos de los piratas informáticos de infiltrarse en aplicaciones de mensajería comercial (CMA).

El alerta estadounidense viene inmediatamente después de un anterior Advertencia de las autoridades holandesas.quien dijo la semana pasada que los piratas informáticos rusos estaban “involucrados en un intento global a gran escala” de apoderarse de las cuentas de WhatsApp y Signal. La advertencia holandesa también siguió a una advertencia similar de Alemania en febrero.

Las agencias estadounidenses enfatizaron que los piratas informáticos no habían podido eludir el cifrado de extremo a extremo, sino que habían manipulado a los usuarios para que renunciaran al acceso. El esquema involucra a piratas informáticos que se hacen pasar por personal de ayuda de Signal y luego los invitan a hacer clic en un enlace o proporcionar códigos de verificación o un número de identificación personal de la cuenta.

«Después de comprometer una cuenta, los actores maliciosos pueden ver los mensajes y las listas de contactos de las víctimas, enviar mensajes y realizar phishing adicional contra otras cuentas CMA», explica la PSA. «(Nota: los informes muestran que los actores de amenazas se dirigen específicamente a las cuentas de Signal, pero pueden aplicar métodos similares contra otras CMA)».

Sin embargo, «los usuarios de CMA que fortalecen su ciberseguridad personal y se defienden contra los intentos de ingeniería social pueden reducir el riesgo de que la cuenta se vea comprometida y limitar la efectividad de las tácticas, técnicas y procedimientos actuales de los actores de amenazas», dijeron las agencias.

La campaña rusa es sólo la última que busca eludir las protecciones que ofrecen las aplicaciones comerciales de mensajería. CISA advirtió en noviembre sobre software espía dirigido a aplicaciones de mensajería.

En ocasiones ha habido un nexo de inteligencia ruso con el reciente ataque. El año pasado, Google Threat Intelligence Group destacó los intentos rusos de atacar a los usuarios de Signal en Ucrania.

«Anticipamos que las tácticas y métodos utilizados para atacar a Signal aumentarán en prevalencia en el corto plazo y proliferarán a actores de amenazas adicionales y regiones fuera del teatro de guerra de Ucrania», dijo la compañía.

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados», afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho. «En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

«Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «soporte» y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.

Luego, el actor de la amenaza siguió comprobando periódicamente para asegurarse de que el dispositivo fuera accesible, una acción consistente con un corredor de acceso inicial (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.

«La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», dijo SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un acceso más profundo. Después de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento lateral adicional.

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor de amenazas descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware Java, lanzado mediante carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y la sección de registro del SISTEMA a un servidor externo («172.67.196[.]232») sobre el puerto 443.

«Si bien es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la recolección de credenciales y la contención del incidente», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware».

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de recolección de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.

El kit de phishing basado en suscripcióncual surgió por primera vez en agosto de 2023fue descrita por Europol como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de 120 dólares por 10 días o 350 dólares por acceso a un panel de administración basado en web durante un mes.

El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.

La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.

«Permitió a miles de ciberdelincuentes acceder de forma encubierta al correo electrónico y a cuentas de servicios basados ​​en la nube», Europol dicho. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.

Al caracterizar a Tycoon 2FA como «peligroso», Intel 471 dicho el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.

Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)

Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, notó que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.

Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.

«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», Microsoft dicho.

«También permitió a los actores de amenazas que usaban su servicio establecer persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del usuario. Los códigos MFA se transmitieron posteriormente a través de los servidores proxy de Tycoon 2FA al servicio de autenticación».

El kit también empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para alojar la infraestructura de phishing en Cloudflare.

Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesión.

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso», señaló Proofpoint.

Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores más experimentados.

«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas tomadas tenían habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas».

«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener acceso a cuentas de correo electrónico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas».