Un grupo sospechoso de estar alineado con Rusia ha sido atribuido a una campaña de phishing que emplea flujos de trabajo de autenticación de código de dispositivo para robar las credenciales de Microsoft 365 de las víctimas y realizar ataques de apropiación de cuentas.
Proofpoint realiza un seguimiento de la actividad, en curso desde septiembre de 2025, bajo el nombre de UNK_AcademicFlare.
Los ataques implican el uso de direcciones de correo electrónico comprometidas que pertenecen a organizaciones gubernamentales y militares para atacar entidades dentro del gobierno, grupos de expertos, educación superior y sectores de transporte en los EE. UU. y Europa.
«Por lo general, estas direcciones de correo electrónico comprometidas se utilizan para realizar actividades de divulgación benignas y establecer relaciones relacionadas con el área de especialización de los objetivos para, en última instancia, organizar una reunión o entrevista ficticia», dijo la empresa de seguridad empresarial. dicho.
Como parte de estos esfuerzos, el adversario afirma compartir un enlace a un documento que incluye preguntas o temas para que el destinatario del correo electrónico los revise antes de la reunión. La URL apunta a una URL de Cloudflare Worker que imita la cuenta de Microsoft OneDrive del remitente comprometido e indica a la víctima que copie el código proporcionado y haga clic en «Siguiente» para acceder al supuesto documento.
Sin embargo, al hacerlo, se redirige al usuario a la URL legítima de inicio de sesión del código del dispositivo de Microsoft, donde, una vez que se ingresa el código proporcionado previamente, hace que el servicio genere un token de acceso que luego los tres actores pueden recuperar para tomar el control de la cuenta de la víctima.
El phishing del código del dispositivo fue documentado en detalle por Microsoft y Volexity en febrero de 2025, atribuyendo el uso del método de ataque a clústeres alineados con Rusia como Storm-2372, APT29, UTA0304 y UTA0307. Durante los últimos meses, Inteligencia de amenazas de Amazon y volexidad han advertido sobre continuos ataques organizados por actores de amenazas rusos que abusan del flujo de autenticación del código del dispositivo.
Proofpoint dijo que UNK_AcademicFlare es probablemente un actor de amenazas alineado con Rusia, dado que apunta a especialistas centrados en Rusia en múltiples grupos de expertos y organizaciones gubernamentales y del sector energético de Ucrania.
Los datos de la compañía muestran que múltiples actores de amenazas, tanto alineados con el estado como motivados financieramente, se han aferrado a la táctica de phishing para engañar a los usuarios para que les den acceso a cuentas de Microsoft 365. Esto incluye un grupo de delincuencia electrónica llamado TA2723 que ha utilizado señuelos relacionados con los salarios en correos electrónicos de phishing para dirigir a los usuarios a páginas de destino falsas y activar la autorización del código del dispositivo.
Se estima que la campaña de octubre de 2025 se vio impulsada por la fácil disponibilidad de ofertas de software criminal como el kit de phishing Graphish y herramientas del equipo rojo como SquarePhish.
«Al igual que SquarePhish, la herramienta está diseñada para ser fácil de usar y no requiere experiencia técnica avanzada, lo que reduce la barrera de entrada y permite que incluso los actores de amenazas poco calificados lleven a cabo sofisticadas campañas de phishing», dijo Proofpoint. «El objetivo final es el acceso no autorizado a datos personales u organizacionales confidenciales, que pueden explotarse para robar credenciales, apropiarse de cuentas y comprometerse aún más».
Para contrarrestar el riesgo que representa el phishing de códigos de dispositivos, la mejor opción es crear una política de acceso condicional utilizando la condición de flujos de autenticación para bloquear el flujo de códigos de dispositivos para todos los usuarios. Si eso no es factible, se recomienda utilizar una política que utilice un enfoque de lista permitida para permitir la autenticación de código de dispositivo para usuarios, sistemas operativos o rangos de IP aprobados.
Fuente