Security

Ataques de nómina de Storm-2755 en Canadá

3 min de lectura

Resumen

Microsoft ha detallado una campaña de Storm-2755 con motivación financiera dirigida a empleados canadienses mediante ataques de desvío de nómina. El actor de amenazas utilizó SEO poisoning, malvertising y técnicas adversary-in-the-middle para robar sesiones, eludir MFA heredado y modificar datos de depósito directo, lo que hace que el MFA resistente al phishing y la supervisión de sesiones sean defensas críticas.

¿Necesita ayuda con Security?Hablar con un experto

Los ataques de nómina de Storm-2755 apuntan a empleados canadienses

Introducción

Microsoft Incident Response ha publicado nuevos hallazgos sobre Storm-2755, un actor de amenazas que ejecuta los llamados ataques de payroll pirate contra usuarios canadienses. Para los equipos de TI y seguridad, esta campaña es relevante porque combina SEO poisoning, malvertising y phishing adversary-in-the-middle (AiTM) para secuestrar sesiones autenticadas y redirigir los pagos salariales de los empleados.

Esto importa más allá de Canadá: estas tácticas pueden reutilizarse contra cualquier organización que dependa de Microsoft 365 y de plataformas online de RR. HH. o nómina.

Novedades

Microsoft afirma que Storm-2755 utilizó una cadena de ataque distintiva centrada en una segmentación geográfica amplia de usuarios canadienses, en lugar de un único sector.

Técnicas clave observadas

  • SEO poisoning y malvertising dirigieron a las víctimas a dominios controlados por atacantes desde búsquedas como “Office 365” y errores ortográficos similares.
  • Las víctimas eran enviadas a una página falsa de inicio de sesión de Microsoft 365 diseñada para robar credenciales y tokens de sesión.
  • El actor utilizó técnicas AiTM para capturar cookies de sesión y tokens OAuth, lo que le permitió eludir MFA no resistente al phishing.
  • Microsoft observó actividad sospechosa de user-agent de Axios 1.7.9 y vinculó el flujo con abusos conocidos relacionados con Axios, incluidas preocupaciones sobre CVE-2025-27152.
  • Tras obtener acceso, Storm-2755 buscó recursos relacionados con nómina y RR. HH., y luego suplantó a empleados con correos como “Question about direct deposit.”
  • En algunos casos, el actor también creó reglas de bandeja de entrada para ocultar mensajes que contenían términos como “direct deposit” o “bank”.

Impacto para administradores y organizaciones

El riesgo más inmediato es la pérdida financiera directa. Una vez comprometida una cuenta, el atacante puede usar sesiones legítimas para mezclarse con la actividad normal de la empresa, lo que dificulta la detección.

Los administradores también deben tener en cuenta que el MFA tradicional no siempre es suficiente frente al robo de tokens. Dado que los ataques AiTM reproducen sesiones autenticadas, las organizaciones que dependen de métodos MFA heredados pueden seguir expuestas.

Qué deben hacer ahora los equipos de TI

Microsoft recomienda priorizar mitigaciones que reduzcan la reutilización de tokens y el éxito del phishing.

Acciones recomendadas

  • Implementar MFA resistente al phishing, como FIDO2/WebAuthn.
  • Revisar los registros de inicio de sesión en busca del error 50199, continuidad de sesión inusual y actividad de user-agent de Axios.
  • Supervisar inicios de sesión no interactivos repetidos en aplicaciones como OfficeHome, Outlook, My Sign-Ins y My Profile.
  • Auditar las reglas de bandeja de entrada para detectar palabras clave relacionadas con banca o depósito directo.
  • Investigar accesos sospechosos a plataformas de RR. HH. y nómina como Workday.
  • Revocar los tokens de sesión activos y restablecer las credenciales de las cuentas presuntamente comprometidas.
  • Formar a los usuarios sobre el phishing en resultados de búsqueda y las páginas falsas de inicio de sesión de Microsoft 365.

Conclusión

Storm-2755 demuestra cómo las campañas modernas de phishing están evolucionando desde el simple robo de credenciales hasta el secuestro de sesiones con impacto financiero real. Las organizaciones que usan Microsoft 365 deberían revisar la autenticación resistente al phishing, reforzar la supervisión de comportamientos anómalos de inicio de sesión y coordinar a los equipos de seguridad y RR. HH. en los procesos de verificación de cambios de nómina.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Incident Response
Storm-2755AiTM phishingMicrosoft 365payroll fraudMFA

Artículos relacionados

Security

Vulnerabilidad de EngageSDK Android expuso wallets

Microsoft reveló una grave falla de redirección de intents en EngageSDK para Android, un SDK de terceros, que puso en riesgo potencial a millones de usuarios de crypto wallets por exposición de datos y escalación de privilegios. El problema se corrigió en EngageSDK versión 5.2.1, y el caso subraya el creciente riesgo de seguridad de las dependencias opacas en la cadena de suministro de apps móviles.

Security

Secuestro de DNS en routers SOHO: alerta de Microsoft

Microsoft Threat Intelligence afirma que Forest Blizzard ha comprometido routers domésticos y de pequeñas oficinas vulnerables para secuestrar tráfico DNS y, en algunos casos, habilitar ataques adversary-in-the-middle contra conexiones objetivo. La campaña es relevante para los equipos de TI porque los dispositivos SOHO no administrados usados por empleados remotos e híbridos pueden exponer el acceso a la nube y datos sensibles incluso cuando los entornos corporativos siguen siendo seguros.

Security

Storm-1175 y Medusa ransomware: activos web en riesgo

Microsoft Threat Intelligence advierte que Storm-1175 está explotando rápidamente sistemas vulnerables expuestos a internet para desplegar Medusa ransomware, a veces en solo 24 horas desde el acceso inicial. El enfoque del grupo en fallas recientemente divulgadas, web shells, herramientas RMM y movimiento lateral rápido hace que la velocidad de parcheo, la gestión de la exposición y la detección posterior al compromiso sean fundamentales para los defensores.

Security

Phishing con device code por AI: campaña escala

Microsoft Defender Security Research detalló una campaña de phishing a gran escala que abusa del flujo OAuth de device code mediante señuelos generados por AI, generación dinámica de códigos e infraestructura backend automatizada. La campaña eleva el riesgo para las organizaciones porque mejora las tasas de éxito de los atacantes, elude patrones de detección tradicionales y permite el robo de tokens, la persistencia mediante reglas de bandeja de entrada y el reconocimiento con Microsoft Graph.

Security

Ciberataques con AI aceleran toda la cadena de ataque

Microsoft advierte que los actores de amenazas ya están incorporando AI en todo el ciclo de vida del ciberataque, desde el reconocimiento y el phishing hasta el desarrollo de malware y las operaciones posteriores al compromiso. Para los defensores, esto implica ataques más rápidos y precisos, mayores tasas de éxito en phishing y una necesidad creciente de reforzar la identidad, las protecciones de MFA y la visibilidad sobre superficies de ataque impulsadas por AI.

Security

Webshells PHP con cookies en Linux: evasión

Microsoft advierte que actores de amenazas están usando cookies HTTP para controlar webshells PHP en entornos de hosting Linux, lo que ayuda a que el código malicioso permanezca inactivo salvo que existan valores de cookie específicos. La técnica reduce la visibilidad en registros rutinarios, facilita la persistencia mediante cron jobs y resalta la necesidad de una supervisión más sólida, protección web y detección en endpoints en cargas de trabajo Linux alojadas.