Grupo alineado con Rusia explota autenticación de dispositivo en campaña de phishing contra Microsoft 365

Introducción

En el panorama actual de la ciberseguridad, los ataques de phishing han evolucionado significativamente, empleando técnicas cada vez más sofisticadas para evadir los controles tradicionales y comprometer infraestructuras críticas. Recientemente, la firma de seguridad Proofpoint ha identificado una campaña activa atribuida a un grupo alineado con intereses rusos, designado como UNK_AcademicFlare, que utiliza flujos de autenticación de código de dispositivo para obtener credenciales de Microsoft 365 y ejecutar ataques de toma de control de cuentas (ATO). Este artículo profundiza en la naturaleza técnica de la amenaza, los vectores de ataque y las implicaciones para las organizaciones.

Contexto del Incidente

La campaña, en actividad desde septiembre de 2023, se ha dirigido principalmente a organismos gubernamentales, instituciones académicas y empresas del sector tecnológico en Europa y Norteamérica. Los atacantes han aprovechado cuentas de correo previamente comprometidas para enviar correos de phishing altamente personalizados, lo que incrementa la tasa de éxito al evadir sistemas de filtrado basados en reputación.

El grupo UNK_AcademicFlare, aunque recientemente catalogado, presenta TTPs (Tactics, Techniques and Procedures) consistentes con otras amenazas atribuidas a actores patrocinados por el estado ruso. El enfoque en flujos de autenticación de código de dispositivo revela una adaptación clara a los controles de seguridad modernos, como la autenticación multifactor (MFA), que tradicionalmente protege a los usuarios finales de ataques de suplantación.

Detalles Técnicos

La campaña explota el flujo de autenticación OAuth Device Code Flow, un mecanismo legítimo que permite la autenticación de dispositivos sin interfaz de usuario completa (por ejemplo, terminales IoT o consolas). Los atacantes envían correos con enlaces a portales falsificados de Microsoft 365, solicitando a la víctima ingresar un código de dispositivo específico en un dominio legítimo de Microsoft (por ejemplo, https://microsoft.com/devicelogin). Al introducir el código, la víctima autoriza involuntariamente el acceso malicioso a su cuenta.

Este vector elude la protección MFA estándar, ya que la interacción del usuario se produce directamente sobre la infraestructura de Microsoft. Las TTPs observadas coinciden con técnicas MITRE ATT&CK, concretamente:

– T1192: Spearphishing Link
– T1078: Valid Accounts
– T1110: Brute Force (uso posterior de credenciales)
– T1557: Man-in-the-Middle (en variantes observadas)

Indicadores de compromiso (IoC) reportados incluyen dominios de control temporales, direcciones IP asociadas a infraestructuras en la nube comprometidas, y patrones de correo con asunto y cuerpo personalizados para cada objetivo.

El exploit no se encuentra aún integrado en frameworks públicos como Metasploit o Cobalt Strike, aunque se han detectado scripts customizados en Python y PowerShell circulando en foros underground, lo que incrementa el riesgo de proliferación.

Impacto y Riesgos

La campaña ha registrado tasas de éxito superiores al 14% en entornos donde los controles de acceso se basan exclusivamente en MFA tradicional. Entre los impactos observados destacan:

– Acceso no autorizado a información confidencial (correos, documentos, datos personales)
– Toma de control de cuentas con privilegios administrativos
– Uso de las cuentas comprometidas para movimientos laterales y ataques de Business Email Compromise (BEC)
– Riesgos de exfiltración de datos y violaciones de la GDPR, con potenciales multas de hasta el 4% de la facturación global

Se estima que los daños económicos derivados de incidentes similares superan los 120 millones de euros anuales solo en la Unión Europea, de acuerdo con datos de la ENISA.

Medidas de Mitigación y Recomendaciones

La mitigación efectiva de este vector requiere un enfoque multicapa:

– Deshabilitar el Device Code Flow en Azure AD para todos los usuarios salvo aquellos estrictamente requeridos
– Configurar políticas de acceso condicional que restrinjan el uso de flujos OAuth en función de criterios de riesgo y ubicación
– Monitorizar logs de acceso y correlacionar eventos de autorización de aplicaciones con patrones anómalos
– Implementar detección de comportamientos sospechosos en el uso de dispositivos y aplicaciones no autorizadas
– Formar a los usuarios en la identificación de correos de phishing avanzados, especialmente aquellos que emplean dominios legítimos en el cuerpo del mensaje

Opinión de Expertos

Especialistas de Proofpoint y Microsoft advierten que “el Device Code Flow, aunque legítimo, representa un vector subestimado que puede ser explotado para eludir capas de seguridad tradicionales”. Analistas SOC y pentesters recomiendan una revisión urgente de las políticas de OAuth y de los registros de auditoría para detectar posibles accesos no autorizados.

Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar la revisión de sus políticas de identidad y acceso, especialmente en el contexto de la inminente entrada en vigor de la directiva NIS2, que refuerza los requisitos de seguridad para infraestructuras esenciales. Los usuarios, por su parte, deben extremar la precaución ante solicitudes de autenticación que involucren códigos de dispositivo y validar siempre la legitimidad de las aplicaciones que solicitan acceso.

Conclusiones

La campaña atribuida a UNK_AcademicFlare ilustra la rápida evolución de los actores de amenazas estatales y la necesidad de una defensa en profundidad que trascienda la simple MFA. El control granular de los flujos OAuth y la concienciación de los usuarios se perfilan como elementos clave para mitigar este tipo de ataques. La coordinación entre los equipos de seguridad, la adopción de monitorización avanzada y la actualización constante de las políticas de acceso resultan imprescindibles para proteger los entornos Microsoft 365 frente a estas amenazas emergentes.

(Fuente: feeds.feedburner.com)