Ciberdelincuentes del grupo Storm-2657 secuestran nóminas universitarias en EE. UU. mediante ataques “pirate payroll”

Introducción

Desde marzo de 2025, un grupo de cibercrimen identificado como Storm-2657 ha desplegado una campaña dirigida contra empleados de universidades estadounidenses, con el objetivo de secuestrar y desviar sus salarios a través de sofisticados ataques conocidos como “pirate payroll”. Esta campaña, que se ha intensificado en los últimos meses, pone de manifiesto la creciente sofisticación de los grupos de amenazas persistentes (APT) en la explotación de plataformas de recursos humanos y la manipulación de infraestructuras críticas en el sector educativo.

Contexto del Incidente

El sector de la educación superior en Estados Unidos se ha convertido en un objetivo prioritario para diversos actores maliciosos debido a la gran cantidad de datos personales y financieros que gestionan, así como a la compleja infraestructura tecnológica que presentan. En este contexto, Storm-2657 ha centrado sus esfuerzos en interceptar los procesos de pago de nóminas, comprometiendo cuentas de empleados y modificando las configuraciones de depósito directo para desviar fondos a cuentas controladas por los atacantes.

El modus operandi de estos ataques se alinea con tendencias observadas en otros sectores, donde el fraude de nómina y la manipulación de sistemas ERP/HRM han causado pérdidas millonarias y múltiples brechas de datos, con implicaciones directas en el cumplimiento normativo (GDPR, NIS2) y en la reputación institucional.

Detalles Técnicos

La campaña de Storm-2657 aprovecha principalmente ataques de phishing altamente personalizados, dirigidos a empleados con acceso a portales de recursos humanos y nóminas. Según los primeros análisis, los correos maliciosos simulan notificaciones legítimas del departamento de RR. HH., incluyendo enlaces a falsas páginas de autenticación o documentos adjuntos infectados.

En la fase de explotación, los atacantes emplean técnicas de credential harvesting (MITRE ATT&CK T1081) y, tras obtener acceso, utilizan herramientas de post-explotación como Cobalt Strike y scripts PowerShell para la escalada de privilegios y la persistencia. Se han identificado campañas que explotan vulnerabilidades conocidas (CVE-2023-34362 en MOVEit Transfer y CVE-2024-21410 en Exchange Server), aunque la mayoría de los accesos iniciales provienen de phishing.

Una vez comprometida la cuenta, los atacantes acceden al módulo de gestión de nóminas y modifican los datos bancarios del empleado afectado. Los IoC recogidos incluyen direcciones IP de origen en Europa del Este, proxies Tor, y dominios de phishing registrados recientemente. Además, algunas variantes del ataque emplean técnicas de living-off-the-land (LOLbins) para evitar la detección, y se ha observado el uso de proxies inversos como Evilginx2 para capturar tokens de autenticación MFA.

Impacto y Riesgos

Se estima que al menos 30 universidades han sido afectadas, con más de 1.500 empleados impactados y una desviación de fondos que supera los 2,5 millones de dólares solo en los meses de marzo a mayo de 2025. El impacto no se limita a las pérdidas económicas directas: la exposición de credenciales y datos personales puede derivar en fraudes de identidad, compromisos adicionales de cuentas y sanciones regulatorias por incumplimiento de GDPR y NIS2, especialmente en el caso de universidades que colaboran con instituciones europeas.

Los riesgos principales incluyen:

– Desvío de nóminas y fraude financiero.
– Compromiso de información sensible de empleados y estudiantes.
– Pérdida de confianza institucional y daño reputacional.
– Riesgo de ataques subsecuentes aprovechando las credenciales exfiltradas.

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de ataques, se recomienda:

– Aplicar autenticación multifactor (MFA) robusta en todos los accesos a sistemas de nóminas y recursos humanos, preferentemente utilizando tokens hardware o soluciones FIDO2 que resistan phishing avanzado.
– Revisar los logs de acceso y los cambios en la configuración de nóminas en busca de patrones anómalos, implementando alertas automatizadas para cualquier modificación de datos bancarios.
– Sensibilizar a los empleados sobre campañas de phishing dirigidas, realizando simulacros periódicos y actualizando los protocolos de reporte de incidentes.
– Segmentar los sistemas críticos y restringir los accesos según el principio de mínimo privilegio.
– Monitorizar y bloquear IoCs conocidos relacionados con Storm-2657, incluyendo dominios de phishing y direcciones IP sospechosas.
– Mantener los sistemas actualizados y aplicar parches de seguridad de forma prioritaria, especialmente en soluciones SaaS o portales web expuestos.

Opinión de Expertos

Analistas de amenazas de firmas como Mandiant y Palo Alto Networks subrayan que la profesionalización de Storm-2657, junto a su uso combinado de ingeniería social y herramientas ofensivas comerciales, representa un salto cualitativo en el fraude de nóminas. Destacan que la explotación de vulnerabilidades conocidas en paralelo con el phishing eleva la tasa de éxito de los ataques, y que el sector educativo debe adoptar un enfoque Zero Trust para proteger los activos críticos.

Implicaciones para Empresas y Usuarios

El caso de Storm-2657 evidencia la necesidad de reforzar la ciberseguridad en procesos administrativos sensibles, no solo en sectores tradicionalmente considerados críticos. Las universidades europeas, ante la inminente entrada en vigor de la directiva NIS2, deberán revisar sus políticas de gestión de identidades y realizar auditorías periódicas en sus sistemas de RR. HH. para evitar incidentes similares. Además, la colaboración internacional en la compartición de IoCs y la respuesta a incidentes se vuelve prioritaria para contener campañas transfronterizas.

Conclusiones

La campaña “pirate payroll” de Storm-2657 marca un precedente en la explotación de sistemas de nóminas universitarios, combinando técnicas avanzadas de phishing, explotación de vulnerabilidades y manipulación de procesos internos. Este caso refuerza la urgencia de adoptar medidas de seguridad holísticas, invertir en formación y concienciación, y anticipar la evolución de las TTP de los actores de amenazas. El refuerzo del cumplimiento normativo y la cooperación entre instituciones serán claves para limitar el alcance y el impacto de futuras campañas.

(Fuente: www.bleepingcomputer.com)