Se ha observado una campaña de
phishing de código de dispositivo Microsoft 365 que aprovecha señuelos
con temas de colaboración para tomar el control de las cuentas de las víctimas
entre la última semana de junio de 2026 y principios de julio, según los
hallazgos de ZeroBEC.
«La campaña no dependía de una página de contraseña falsa de Microsoft.
Utilizó un señuelo malicioso de estilo colaborativo para empujar a los
usuarios a la experiencia legítima de inicio de sesión del dispositivo
Microsoft, mientras que un agente backend generaba y sondeaba tokens de
código de dispositivo del Agente de Autenticación de Microsoft», dijo la compañía de seguridad de correo electrónico.
Se evalúa que la actividad comparte superposiciones «fuertes» con una campaña
documentada por Microsoft en febrero de 2025 bajo el nombre de
Storm-2372, incluido el uso de mensajes o señuelos estilo Teams para engañar a víctimas
desprevenidas para que ingresen un código de dispositivo proporcionado por el
atacante, junto con sus credenciales, lo que permite efectivamente al actor de
amenazas recuperar el token y secuestrar su cuenta.
A pesar de estas similitudes, se evalúa que los actores de amenazas están
empleando técnicas de estilo Storm-2372 a través de lo que se ha descrito como
una capa de herramientas reutilizable llamada DEBULL.
El phishing de código de dispositivo se refiere a una técnica de robo de
identidad en la que los atacantes explotan un mecanismo de autenticación
OAuth 2.0 legítimo, específicamente el flujo de concesión de autorización de
dispositivo, para evitar la autenticación multifactor (MFA) y obtener acceso
persistente a la cuenta sin tener que robar las contraseñas de los
usuarios.

A diferencia de los ataques de phishing tradicionales que requieren que los
operadores configuren páginas de inicio de sesión falsas de adversario en el
medio (AitM), el phishing de código de dispositivo se basa en manipular a un
usuario para que complete un mensaje de autenticación real y confiable.
La autenticación de código de dispositivo,
según Microsoft, es un flujo OAuth legítimo diseñado para dispositivos con interfaces
limitadas, como televisores inteligentes o impresoras, que no pueden admitir
un inicio de sesión interactivo tradicional.
En este escenario, al usuario se le presenta un código corto en el
dispositivo desde el que intenta iniciar sesión y se le solicita que ingrese
ese código en un navegador web en un dispositivo separado para completar la
autenticación.
Los actores de amenazas
han abusado de esta separación
para insertarse e
iniciar el flujo de autenticación. Luego, comparten ese código con el objetivo a través de un señuelo de
phishing. Así, cuando el usuario ingresa el código, autoriza la sesión del
actor de la amenaza sin su conocimiento, otorgándole acceso a la cuenta.
«El phishing del código del dispositivo no se abre paso. Utiliza un flujo
de autenticación legítimo para atravesar la puerta principal, sin necesidad
de contraseña, sin pasar por MFA y con tokens de sesión entregados
directamente al atacante», informa
Huntress
Los ataques exitosos de phishing de código de dispositivo pueden facilitar la
apropiación total de la cuenta, el robo de información valiosa, el fraude, el
compromiso del correo electrónico empresarial (BEC), el movimiento lateral
dentro de un entorno comprometido e incluso ataques disruptivos como el
ransomware.
«En la mayoría de los ataques de phishing de código de dispositivo actuales,
el código se genera dinámicamente cuando un usuario hace clic en el enlace
de phishing inicial. Este cambio aparentemente pequeño permite al usuario
ver el correo electrónico en cualquier momento para iniciar la cadena de
ataque»,
dijo Proofpoint en un análisis publicado en mayo de 2026.
«Estas nuevas implementaciones de las cadenas de ataque de código de
dispositivo se pueden comprar a través de ofertas de phishing como servicio
(PhaaS), como EvilTokens o Tycoon, o pueden ser creadas y propiedad de el
actor de amenazas que dirige las campañas».
También se sabe que estas campañas aprovechan el salto de toma de control de
cuenta (ATO), una técnica en la que un atacante compromete una cuenta de
correo electrónico inicial y luego abusa de ella para enviar enlaces de
phishing a un conjunto más amplio de contactos en forma de botón, texto con
hipervínculo, incrustado en un documento o código QR. Los enlaces, cuando son
visitados por el destinatario, inician una secuencia de ataque que emplea el
proceso de autorización de dispositivos de Microsoft.
ZeroBEC dijo que la campaña que observó implica el uso de pretextos de pago y
carpetas compartidas en correos electrónicos de phishing para engañar a las
víctimas para que hagan clic en una URL que las lleva a un sitio web de
alquiler croata legítimo pero comprometido, que, a su vez, actúa como un
orquestador de códigos de dispositivos utilizado para iniciar la cadena de
desafío de códigos de dispositivos de Microsoft.
El flujo de trabajo se caracteriza por la presencia de marcadores de
desarrollador en idioma turco, aunque las pistas no son suficientes para
atribuir definitivamente la procedencia de la campaña. Un análisis más
detallado de la infraestructura ha revelado que DEBULL es probablemente una
plataforma de phishing como servicio (PhaaS) que utiliza
GraphSpy
o un flujo de trabajo derivado de GraphSpy para Microsoft 365 y Entra después
de la explotación.
«Los operadores pueden definir un nombre de página y un slug, editar HTML,
CSS y JavaScript directamente y luego elegir cómo se publica el señuelo», dijo ZeroBEC.
«Las plantillas integradas incluían una página de autenticación de código
de dispositivo de Microsoft 365, una página de devolución de llamada de
OAuth y una página de inicio moderna. La plantilla de Microsoft 365 es
especialmente importante porque expone el bloque de construcción exacto
utilizado por la campaña: una visualización del código de usuario, un
comportamiento de copia de código y un vínculo para iniciar sesión en el
dispositivo de Microsoft».
«La conclusión más útil es que el arte de identidad al estilo Storm-2372
ahora se está empaquetando en una infraestructura de corredor reutilizable.
DEBULL proporciona la capa orientada a la campaña y al operador. GraphSpy o
el código derivado de GraphSpy probablemente maneja la capa posterior a la
autenticación. El señuelo se puede cambiar sin cambiar la pila de
identidades del backend».
Cisco Talos también identificó un panel de operador PhaaS con todas las funciones llamado
ARToken que comparte infraestructura, contratos API y patrones operativos con
la plataforma de phishing de código de dispositivo EvilTokens y está
disponible para los afiliados.
«El panel ARToken expone más de 80 puntos finales API para phishing de códigos
de dispositivos, persistencia de tokens de actualización primaria (PRT),
acceso a correo electrónico, operaciones de compromiso de correo electrónico
empresarial (BEC) y exfiltración de SharePoint, todo accesible para los
operadores a través de un panel basado en React», dijo Talos.
EvilTokens, como DEBULL, permiten a los atacantes utilizar tokens recolectados como
armas para filtrar correos electrónicos, archivos y otros datos confidenciales
de cuentas de Microsoft comprometidas, realizar reconocimientos a través de la
API Microsoft Graph y establecer acceso persistente. Además,
incorpora funciones impulsadas por inteligencia artificial (IA)
para automatizar y escalar los flujos de trabajo de BEC, como examinar miles
de correos electrónicos recopilados, identificar hilos de correo electrónico
relacionados con finanzas y redactar borradores de correos electrónicos de
BEC.
ARToken funciona como un conjunto de herramientas completo posterior al
compromiso que permite a los operadores aprovechar el token de acceso
capturado recuperado luego de una autenticación exitosa del código del
dispositivo para mantener el acceso, realizar operaciones de correo
electrónico, acceder a OneDrive y SharePoint, y explorar las sesiones de
Microsoft 365 de las víctimas fuera del panel utilizando una herramienta
dedicada conocida como ARTBrowser.
«Estas características indican que la plataforma es más madura que un
simple kit de phishing de código de dispositivo: es un entorno de
operaciones BEC completo», dijo el investigador de Talos, Michael Kelley.
El aumento de los ataques de phishing de códigos de dispositivos también ha
llevado a otros kits PhaaS como
Tycoon 2FA
a adoptar la técnica para
secuestrar cuentas de Microsoft 365
en su recuperación luego de una operación policial, lo que indica un cambio
más amplio dentro del panorama de amenazas.
«Los operadores de Tycoon 2FA han reutilizado su kit PhaaS existente como
marco de entrega para el phishing de concesión de código de dispositivo
OAuth»,
señaló eSentire en mayo de 2026.
«El ataque comienza cuando una víctima hace clic en una URL de seguimiento
de clics de Trustifi en un correo electrónico atractivo y culmina cuando la
víctima, sin saberlo, otorga tokens OAuth a un dispositivo controlado por un
atacante a través del flujo legítimo de inicio de sesión del dispositivo de
Microsoft en microsoft.com/devicelogin.»
Fuente:
THN

