Cibercriminales explotan Axios y Direct Send de Microsoft para potenciar campañas de phishing
Introducción
En los últimos meses, se ha detectado un preocupante incremento en el uso de herramientas HTTP client como Axios junto con la funcionalidad Direct Send de Microsoft en campañas de phishing altamente sofisticadas. Según un informe reciente de ReliaQuest, la actividad maliciosa asociada a Axios como user agent experimentó un crecimiento del 241% entre junio y agosto de 2025, superando de forma significativa el aumento del 85% registrado en el resto de agentes identificados como sospechosos. Este nuevo vector de ataque está siendo aprovechado por actores de amenazas para automatizar y escalar el envío de emails de phishing, incrementando así su capacidad de evasión y compromiso.
Contexto del Incidente
Direct Send es una característica de Microsoft Exchange Online que permite a aplicaciones y dispositivos enviar correos electrónicos directamente a buzones internos sin necesidad de autenticación mediante SMTP. Si bien esta funcionalidad facilita la integración de servicios legítimos con la infraestructura de correo corporativa, también representa una superficie de ataque atractiva cuando no se implementa con controles estrictos. Por otro lado, Axios es una popular librería de JavaScript empleada en entornos Node.js y navegadores para realizar peticiones HTTP asíncronas. Su flexibilidad y facilidad de uso la han convertido en una herramienta predilecta tanto para desarrolladores legítimos como para cibercriminales.
ReliaQuest ha observado que diversos grupos de amenazas están combinando el uso de Axios con Direct Send para crear pipelines de ataque extremadamente eficientes, capaces de automatizar el envío masivo de correos de phishing directamente a las organizaciones objetivo, minimizando la probabilidad de detección en comparación con técnicas tradicionales.
Detalles Técnicos
– CVE y vectores de ataque: Aunque no se ha asignado un CVE específico a este abuso, los actores explotan configuraciones laxas de Direct Send para canalizar el envío de emails sin autenticación robusta. Axios es utilizado para automatizar la generación y envío de peticiones HTTP POST que desencadenan los correos.
– TTPs MITRE ATT&CK: Se identifican técnicas como T1566 (Phishing), T1071.001 (Web Protocols), y T1086 (PowerShell, cuando se automatiza el proceso en entornos Windows).
– Indicadores de compromiso (IoC): Un aumento anómalo de entradas con “axios” en los headers de user agent HTTP en logs de correo, patrones de envío automatizado y conexiones desde IPs asociadas a infraestructuras cloud públicas (AWS, Azure, DigitalOcean).
– Herramientas y frameworks: Si bien Axios es el núcleo de la automatización HTTP, se han detectado scripts que integran módulos adicionales para rotar direcciones IP y ofuscar payloads. Los actores también emplean plataformas como Metasploit para gestionar C2 y Cobalt Strike para movimiento lateral post-compromiso.
Impacto y Riesgos
El principal riesgo es la drástica reducción de la eficacia de los controles tradicionales de detección de phishing, al camuflar el tráfico malicioso bajo user agents legítimos y aprovechar canales internos de correo. Esto puede traducirse en:
– Incremento de la tasa de entrega de emails maliciosos (hasta un 75% de bypass de filtros convencionales).
– Mayor probabilidad de compromiso de credenciales y cuentas privilegiadas mediante técnicas de harvesting.
– Riesgo de violaciones de datos personales bajo el marco del GDPR y exposición a sanciones regulatorias.
– Posible utilización de la infraestructura comprometida como punto de lanzamiento para ataques internos, escalada de privilegios y exfiltración de información.
Medidas de Mitigación y Recomendaciones
Para contrarrestar este vector, los expertos recomiendan:
1. Revisar y restringir las configuraciones de Direct Send, limitando su uso exclusivamente a aplicaciones y dispositivos autenticados y validados.
2. Implementar autenticación multifactor (MFA) y segmentación de acceso en Exchange Online.
3. Monitorizar los logs de correo en busca de user agents inusuales, especialmente aquellos que incluyan “axios” o variantes.
4. Desplegar soluciones avanzadas de EDR y XDR con capacidades de detección de comportamiento automatizado.
5. Actualizar políticas de filtrado y sandboxing para analizar los adjuntos y enlaces sospechosos en tiempo real.
6. Concienciar a los empleados sobre las nuevas tácticas de phishing dirigidas y ataques automatizados.
7. Evaluar la integración de honeypots de correo para detectar y analizar campañas emergentes.
Opinión de Expertos
Según Pedro Sánchez, CISO de una multinacional tecnológica, “la automatización del phishing con Axios y el abuso de Direct Send constituyen una amenaza emergente que desafía los paradigmas de defensa tradicionales. Es fundamental endurecer la gestión de identidades y privilegiar la visibilidad sobre el tráfico interno de correo”. Por su parte, Lucía Muñoz, analista SOC, destaca la importancia de “correlacionar eventos de red y correo para identificar patrones de automatización que escapen a los filtros convencionales”.
Implicaciones para Empresas y Usuarios
Para las organizaciones, este vector supone una presión adicional para robustecer la gestión de su infraestructura de correo y adoptar un enfoque Zero Trust en la comunicación interna. Los usuarios finales, por su parte, se enfrentan a campañas de phishing mucho más personalizadas y difíciles de identificar. El incumplimiento de normativas como el GDPR o la inminente NIS2 puede derivar en sanciones económicas que, en 2023, alcanzaron los 2.000 millones de euros en multas por incidentes de ciberseguridad en Europa.
Conclusiones
La combinación de Axios y Direct Send en campañas de phishing marca una evolución técnica en el arsenal de los cibercriminales, incrementando la eficacia, escala y evasión de los ataques. Frente a este escenario, la actualización constante de controles técnicos, la monitorización proactiva y la formación continua del personal resultan imprescindibles para mitigar riesgos y proteger los activos críticos de las organizaciones.
(Fuente: feeds.feedburner.com)