
Según los hallazgos de ZeroBEC, se observaron campañas de phishing de código de dispositivo Microsoft 365 aprovechando señuelos con temas de colaboración para tomar el control de las cuentas de las víctimas desde la última semana de junio hasta principios de julio de 2026.
«Esta campaña no se basó en una página de contraseña falsa de Microsoft; utilizó un señuelo de estilo de colaboración malicioso para atraer a los usuarios a una experiencia legítima de inicio de sesión en un dispositivo Microsoft mientras un corredor backend generaba y sondeaba tokens de código de dispositivo del Agente de Autenticación de Microsoft», dijo la compañía de seguridad de correo electrónico en un informe compartido con The Hacker News.
Se considera que esta actividad tiene una superposición «fuerte» con una campaña que Microsoft documentó en febrero de 2025 con el nombre Storm-2372. Esto implica el uso de mensajes o señuelos estilo Teams para engañar a las víctimas desprevenidas para que ingresen el código del dispositivo y las credenciales proporcionadas por el atacante, lo que le permite efectivamente recuperar el token y hacerse cargo de la cuenta.
A pesar de estas similitudes, se estima que los atacantes utilizan técnicas de estilo Storm-2372 a través de lo que se conoce como una capa de herramientas reutilizable llamada DEBULL.
El phishing de código de dispositivo se refiere a una técnica de robo de identidad en la que un atacante explota los mecanismos de autenticación legítimos de OAuth 2.0, específicamente el flujo de concesión de autorización de dispositivo, para evitar la autenticación multifactor (MFA) y obtener acceso permanente a la cuenta sin robar las contraseñas de los usuarios.
A diferencia de los ataques de phishing tradicionales, que requieren que los operadores configuren una página de inicio de sesión falsa de intermediario (AitM), el phishing de código de dispositivo se basa en manipular a un usuario para completar un mensaje de autenticación real y confiable.
Según Microsoft, la autenticación de código de dispositivo es un flujo OAuth canónico diseñado para dispositivos con interfaces limitadas que no pueden admitir el inicio de sesión interactivo tradicional, como televisores e impresoras inteligentes. En este escenario, al usuario se le presenta un código corto en el dispositivo en el que intenta iniciar sesión y se le solicita que ingrese el código en el navegador web de otro dispositivo para completar la autenticación.
Los actores de amenazas aprovechan esta separación para inyectarse e iniciar flujos de autenticación. Luego comparte ese código con su objetivo a través de un señuelo de phishing. Por lo tanto, cuando un usuario ingresa un código, la sesión del actor de la amenaza se autoriza sin su conocimiento y se le otorga acceso a su cuenta.
«El phishing de códigos de dispositivos no se puede piratear», señala Huntress. «Utiliza un flujo de autenticación legítimo para atravesar la puerta principal; no se requiere contraseña, se omite MFA y el token de sesión se pasa directamente al atacante».
Los ataques exitosos de phishing de códigos de dispositivos pueden facilitar ataques destructivos como la apropiación total de cuentas, el robo de información valiosa, el fraude, el compromiso del correo electrónico empresarial (BEC), el movimiento lateral dentro de un entorno comprometido e incluso el ransomware.

«En la mayoría de los ataques de phishing de código de dispositivo actuales, el código se genera dinámicamente cuando el usuario hace clic en el enlace de phishing inicial. Este pequeño cambio permite al usuario ver el correo electrónico en cualquier momento y comenzar la cadena de ataque», dijo Proofpoint en un análisis publicado en mayo de 2026. «Estas nuevas implementaciones de cadenas de ataque de código de dispositivo se pueden comprar o crear a través de servicios de phishing como servicio (PhaaS) como EvilTokens o Tycoon». Son propiedad de los actores de amenazas que ejecutan las campañas. «
También se sabe que estas campañas utilizan saltos de adquisición de cuenta (ATO). Esta es una técnica en la que un atacante compromete la cuenta de correo electrónico inicial y luego la explota para enviar un enlace de phishing en forma de botón, texto con hipervínculo, texto incrustado en un documento o código QR a un conjunto más amplio de contactos. Una vez que el destinatario accede al enlace, comienza una secuencia de ataque utilizando el proceso de autenticación del dispositivo de Microsoft.
ZeroBEC dijo que las campañas que observó incluían el uso de pretextos de pago o de carpeta compartida en correos electrónicos de phishing para engañar a las víctimas para que hicieran clic en una URL que los llevaba a un sitio web de alquiler croata legítimo pero comprometido. Este sitio web actúa como un orquestador de código de dispositivo utilizado para iniciar la cadena de desafío de código de dispositivo de Microsoft.
Este flujo de trabajo se caracteriza por la presencia de un marcador de desarrollador en turco, pero las pistas no son suficientes para identificar de forma concluyente el origen de la campaña. Un análisis más detallado de la infraestructura revela que DEBULL es probablemente una plataforma de phishing como servicio (PhaaS) que utiliza GraphSpy o un flujo de trabajo posterior a la explotación derivado de GraphSpy para Microsoft 365 y Entra.
«Los operadores pueden definir nombres de páginas y slugs, editar HTML, CSS y JavaScript directamente y elegir cómo se publican sus señuelos», dijo ZeroBEC. «La plantilla integrada incluía una página de autenticación de código de dispositivo de Microsoft 365, una página de devolución de llamada de OAuth y una página de inicio moderna. La plantilla de Microsoft 365 es especialmente importante porque expone los componentes exactos utilizados en la campaña: visualización del código de usuario, comportamiento de copia del código y enlace al inicio de sesión del dispositivo de Microsoft».
«Una conclusión más útil es que el arte de identidad estilo Storm-2372 está empaquetado en una infraestructura de corredor reutilizable. DEBULL proporciona las capas del lado de la campaña y del lado del operador. GraphSpy o el código derivado de GraphSpy pueden manejar la capa posterior a la autenticación. Puede cambiar la tentación sin cambiar la pila de identidades del backend».
Esta divulgación se produce cuando Cisco Talos anunció que ha identificado un panel de operador PhaaS con todas las funciones de la marca ARToken que compartirá su infraestructura, contratos API y patrones operativos con la plataforma de phishing de código de dispositivo EvilTokens y lo pondrá a disposición de los afiliados.
«El panel ARToken expone más de 80 puntos finales API para phishing de códigos de dispositivos, persistencia de tokens de actualización primaria (PRT), acceso a correo electrónico, operaciones de compromiso de correo electrónico empresarial (BEC) y filtraciones de SharePoint, a todos los cuales los operadores pueden acceder a través de un panel basado en React», dijo Talos.
Al igual que DEBULL, EvilToken permite a los atacantes armados con tokens recopilados extraer correos electrónicos, archivos y otros datos confidenciales de cuentas de Microsoft comprometidas, realizar reconocimientos a través de la API de Microsoft Graph y establecer un acceso persistente. Además, incluye funciones impulsadas por inteligencia artificial (IA) para automatizar y ampliar los flujos de trabajo de BEC, como examinar miles de correos electrónicos recopilados, identificar hilos de correo electrónico financieros y redactar borradores de correos electrónicos de BEC.
ARToken sirve como un conjunto completo de herramientas posteriores a una infracción. Esto permite a los operadores aprovechar los tokens de acceso capturados y recuperados después de una autenticación exitosa del código del dispositivo para mantener el acceso, realizar operaciones de correo electrónico, acceder a OneDrive y SharePoint y explorar la sesión de Microsoft 365 de la víctima fuera del panel utilizando una herramienta especializada llamada ARTBrowser.

«Estas características demuestran que esta plataforma es más madura que un simple kit de phishing de código de dispositivo; es un entorno de producción BEC completo», afirmó el investigador de Talos, Michael Kelley.
El aumento de los ataques de phishing de códigos de dispositivos ha llevado a otros kits PhaaS, como Tycoon 2FA, a adoptar técnicas para secuestrar cuentas de Microsoft 365 en reacción a operaciones policiales, lo que marca un cambio más amplio en el panorama de amenazas.
«Los operadores de Tycoon 2FA reutilizaron los kits PhaaS existentes como marco de entrega para el phishing de concesión de código de dispositivo OAuth», señaló eSentire en mayo de 2026. «Este ataque comienza cuando la víctima hace clic en una URL de seguimiento de clics de Trustifi en un correo electrónico señuelo y culmina cuando la víctima, sin saberlo, otorga un token OAuth a un dispositivo controlado por un atacante a través del flujo de inicio de sesión legítimo del dispositivo de Microsoft en Microsoft.com/devicelogin».
Source link
