Las plataformas Phishing-As-A-Service (PHAA) siguen evolucionando, dando a los atacantes formas más rápidas y baratas de entrar en cuentas corporativas. Ahora, investigadores en Any.run ha descubierto un nuevo participante: Salty2faun kit de phishing diseñado para evitar múltiples métodos de autenticación de dos factores y pasar por alto las defensas tradicionales.
Ya vistos en campañas en todo Estados Unidos y la UE, Salty2FA pone en riesgo a las empresas al atacar a las industrias de finanzas a energía. Su cadena de ejecución de múltiples etapas, infraestructura evasiva y su capacidad para interceptar credenciales y códigos 2FA lo convierten en uno de los marcos PHAA más peligrosos vistos este año.
Por qué Salty2fa eleva las apuestas para las empresas
La capacidad de salty2fa para Bypass Push, SMS y 2FA basado en la voz significa que las credenciales robadas pueden conducir directamente a la adquisición de la cuenta. Ya dirigido a los sectores de finanzas, energía y telecomunicaciones, el kit convierte los correos electrónicos comunes de phishing en infracciones de alto impacto.
¿Quién está siendo atacado?
Any. RUN Analistas asignaron campañas Salty2FA y encontraron actividad que abarca múltiples regiones e industrias, con el Las empresas de EE. UU. Y la UE son más fuertemente golpeadas.
| Región | Industrias clave dirigidas |
| Estados Unidos | Finanzas, atención médica, gobierno, logística, energía, consultoría de TI, educación, construcción |
| Europa (Reino Unido, Alemania, España, Italia, Grecia, Suiza) | Telecomunicaciones, productos químicos, energía (incluida solar), fabricación industrial, bienes raíces, consultoría |
| En todo el mundo / otro | Logística, TI, Metalurgia (India, Canadá, Francia, Latam) |
¿Cuándo comenzó a llegar a las empresas Salty2fa?
Según los datos de Any. Las campañas confirmadas han estado activas desde finales de julio y continúan hasta el día de hoy, generando docenas de nuevas sesiones de análisis diariamente.
Caso del mundo real: cómo salty2fa explota empleados empresariales
Un caso reciente analizado por cualquiera. RUN muestra cuán convincente puede ser Salty2FA en la práctica. Un empleado recibió un correo electrónico con la línea de asunto «Solicitud de revisión externa: 2025 Corrección de pago», Un señuelo diseñado para desencadenar la urgencia y evitar el escepticismo.
Cuando se abre en la caja de arena any.
Ver el caso del mundo real del ataque Salty2FA
 |
| Correo electrónico malicioso con salty2fa Attack analizado dentro de cualquiera. |
Etapa 1: señuelo por correo electrónico
El correo electrónico contenía una solicitud de corrección de pago disfrazada de un mensaje comercial de rutina.
Únase a 15k+ empresas en todo el mundo que reduzcan el tiempo de investigación y detengan las violaciones más rápido con cualquiera.
Etapa 2: Redirección e inicio de sesión falso
El enlace condujo a una página de inicio de sesión de la marca Microsoft, envuelta en comprobaciones de CloudFlare para evitar filtros automatizados. En el sandbox, cualquier interactividad automatizada de RUN manejó la verificación automáticamente, exponiendo el flujo sin clics manuales y recortando el tiempo de investigación para los analistas.
 |
| La verificación de CloudFlare se completó automáticamente dentro de cualquiera. |
Etapa 3: robo de credenciales
Los detalles de los empleados ingresados en la página fueron cosechados y exfiltrados a servidores controlados por los atacantes.
 |
| Página falsa de Microsoft, lista para robar credenciales de las víctimas |
Etapa 4: 2FA Bypass
Si la cuenta tenía habilitada la autenticación de múltiples factores, la página de phishing solicitó códigos y podría interceptar la verificación de las llamadas de empuje, SMS o incluso de voz.
Al ejecutar el archivo en el sandbox, los equipos de SOC podrían ver la cadena de ejecución completa en tiempo real, desde el primer clic hasta el robo de credenciales y la intercepción 2FA. Este nivel de visibilidad es crítico, porque los indicadores estáticos como los dominios o los hashes mutan a diario, pero los patrones de comportamiento siguen siendo consistentes. El análisis de Sandbox ofrece una confirmación más rápida de las amenazas, la carga de trabajo reducida de los analistas y una mejor cobertura contra los kits de PHAA en evolución como Salty2FA.
Detener salty2fa: lo que SOCS debe hacer a continuación
Salty2FA muestra qué tan rápido está evolucionando el phishing como servicio y por qué los indicadores estáticos por sí solos no lo detendrán. Para los líderes de SOC y de seguridad, la protección significa cambiar el enfoque a los comportamientos y la velocidad de respuesta:
- Confiar en la detección de comportamiento: Haga un seguimiento de los patrones recurrentes como las estructuras de dominio y la lógica de la página en lugar de perseguir los COI constantes.
- Detonar correos electrónicos sospechosos en una caja de arena: La visibilidad de la cadena completa revela el robo de credenciales y los intentos de intercepción de 2FA en tiempo real.
- Endurecer las políticas de MFA: Favorece los tokens basados en aplicaciones o de hardware sobre SMS y voz, y use el acceso condicional a los inicios de sesión de riesgo de bandera.
- Capacitar a los empleados en señuelos financieros: Los ganchos comunes como «Corrección de pagos» o «Declaración de facturación» siempre deben generar sospechas.
- Integre los resultados de Sandbox en su pila: Alimentar datos de ataque en vivo en la detección de velocidades de SIEM/SOAR y reduce la carga de trabajo manual.
Al combinar estas medidas, las empresas pueden convertir salty2fa de un riesgo oculto en una amenaza conocida y manejable.
Aumentar la eficiencia de SOC con Sandboxing interactivo
Las empresas de todo el mundo están recurriendo a cajas de arena interactivas como cualquier otra. Los resultados son medibles:
- Eficiencia 3 × SOC combinando análisis interactivos y automatización.
- Hasta un 50% de investigaciones más rápidasTiempo de corte de horas a minutos.
- El 94% de los usuarios informan triaje más rápidocon COI y TTP más claros para la toma de decisiones seguras.
- 30% menos escalas de nivel 1 – Tier 2a medida que los analistas junior ganan confianza y el personal superior se libera para concentrarse en tareas críticas.
Con visibilidad en 88% de las amenazas en menos de 60 segundoslas empresas obtienen la velocidad y la claridad que necesitan para detener el phishing antes de conducir a una violación importante.
Prueba cualquiera.: construido para SOC empresariales que necesitan investigaciones más rápidas, defensas más fuertes y resultados medibles.