Se cree que un grupo que se cree está afiliado a Rusia está detrás de una campaña de phishing que utiliza flujos de trabajo de autenticación de código de dispositivo para robar las credenciales de Microsoft 365 de las víctimas y realizar ataques de apropiación de cuentas.
Proofpoint realiza un seguimiento de esta actividad, que ha estado en curso desde septiembre de 2025, con el nombre UNK_AcademicFlare.
Este ataque implica ataques a organizaciones dentro del gobierno, grupos de expertos, educación superior y sectores de transporte en los Estados Unidos y Europa utilizando direcciones de correo electrónico comprometidas que pertenecen a organizaciones gubernamentales y militares.
«Por lo general, estas direcciones de correo electrónico comprometidas se utilizan para actividades inocuas y para establecer relaciones relacionadas con el campo de especialización del objetivo con el fin de, en última instancia, organizar reuniones o entrevistas ficticias», dijo la firma de seguridad empresarial.
Como parte de estos esfuerzos, los atacantes afirman compartir enlaces a documentos que contienen preguntas y temas que los destinatarios del correo electrónico pueden revisar antes de la reunión. Esta URL apunta a una URL de Cloudflare Worker que imita la cuenta de Microsoft OneDrive del remitente comprometido e indica a las víctimas que copie el código proporcionado y haga clic en «Siguiente» para acceder al supuesto documento.
Sin embargo, al hacerlo, el usuario es redirigido a una URL legítima de inicio de sesión con código de dispositivo de Microsoft y, una vez que se ingresa el código proporcionado previamente, el servicio genera un token de acceso, que los tres atacantes luego recuperan para tomar el control de la cuenta de la víctima.
El phishing de códigos de dispositivos fue bien documentado tanto por Microsoft como por Volexity en febrero de 2025, y el uso de esta técnica de ataque se ha atribuido a clústeres alineados con Rusia, incluidos Storm-2372, APT29, UTA0304 y UTA0307. Durante los últimos meses, Amazon Threat Intelligence y Volexity han advertido sobre continuos ataques por parte de actores de amenazas rusos que explotan los flujos de autenticación de códigos de dispositivos.
Proofpoint dijo que UNK_AcademicFlare era probablemente un actor de amenazas alineado con Rusia, dado que apuntaba a expertos rusos en múltiples grupos de expertos, el gobierno ucraniano y organizaciones del sector energético.
Los datos de la compañía muestran que varios atacantes alineados con el estado y motivados financieramente están utilizando tácticas de phishing para engañar a los usuarios para que otorguen acceso a sus cuentas de Microsoft 365. Esto incluye un grupo de delincuencia electrónica llamado TA2723 que utiliza correos electrónicos de phishing relacionados con la nómina para atraer a los usuarios a páginas de destino falsas y activar la verificación del código del dispositivo.
A la campaña de octubre de 2025 se le atribuye haber sido facilitada por la fácil disponibilidad de productos de crimeware como el kit de phishing Graphish y herramientas del equipo rojo como SquarePhish.
«Al igual que SquarePhish, esta herramienta está diseñada para ser fácil de usar y no requiere experiencia técnica avanzada, lo que reduce la barrera de entrada y permite que atacantes incluso menos capacitados lleven a cabo sofisticadas campañas de phishing», afirmó Proofpoint. «El objetivo final es el acceso no autorizado a datos personales u organizacionales confidenciales, que pueden usarse para el robo de credenciales, la apropiación de cuentas y otras violaciones de seguridad».
La mejor opción para combatir el riesgo que representa el phishing de códigos de dispositivos es crear una política de acceso condicional con una condición de flujo de autenticación para bloquear el flujo de códigos de dispositivos para todos los usuarios. Si eso no es posible, recomendamos utilizar una política que permita la autenticación de código de dispositivo para usuarios, sistemas operativos o rangos de IP autorizados mediante un enfoque de lista permitida.
Source link
