A un grupo sospechoso de estar vinculado a Rusia se le ha atribuido una campaña de phishing que utiliza flujos de trabajo de autenticación de código de dispositivo para robar las credenciales de Microsoft 365 de las víctimas y llevar a cabo ataques de apropiación de cuentas.
Proofpoint realiza un seguimiento de la actividad, que continúa desde septiembre de 2025, con el nombre UNK_AcademicFlare.
Los ataques utilizan direcciones de correo electrónico comprometidas de organizaciones gubernamentales y militares para atacar instituciones gubernamentales, centros de estudios, educación superior y transporte en Estados Unidos y Europa.
“Por lo general, estas direcciones de correo electrónico comprometidas se utilizan para establecer contactos inofensivos y desarrollar relaciones dentro del área de especialización del objetivo, y en última instancia, organizan una reunión o entrevista ficticia”, dijo la firma de seguridad corporativa.
Como parte de este esfuerzo, el oponente dice que compartirá un enlace a un documento con preguntas o temas para que el destinatario del correo electrónico lo revise antes de la reunión. La URL apunta a una URL de Cloudflare Worker que se hace pasar por la cuenta de Microsoft OneDrive del remitente comprometido e indica a la víctima que copie el código proporcionado y haga clic en Siguiente para acceder al supuesto documento.
Sin embargo, esto redirige al usuario a la URL legítima de inicio de sesión del Código de dispositivo de Microsoft donde, después de ingresar el código proporcionado previamente, el servicio genera un token de acceso, que luego los tres actores pueden recuperar para tomar el control de la cuenta de la víctima.
El phishing de códigos de dispositivos fue ampliamente documentado tanto por Microsoft como por Volexity en febrero de 2025, y el uso del método de ataque se rastreó hasta clústeres aliados de Rusia, como Storm-2372, APT29, UTA0304 y UTA0307. En los últimos meses, Amazon Threat Intelligence y Volexity han advertido sobre ataques continuos de actores de amenazas rusos que abusan del flujo de autenticación del código del dispositivo.
Según Proofpoint, UNK_AcademicFlare es probablemente un actor de amenazas alineado con Rusia, ya que apunta a especialistas centrados en Rusia de varios grupos de expertos, así como al gobierno ucraniano y a organizaciones del sector energético.
Los datos de la compañía muestran que múltiples actores de amenazas, tanto afiliados al gobierno como motivados financieramente, han aprovechado la táctica de phishing para engañar a los usuarios para que les otorguen acceso a cuentas de Microsoft 365. Esto incluye un grupo de delitos electrónicos llamado TA2723, que ha utilizado señuelos relacionados con los salarios en correos electrónicos de phishing para dirigir a los usuarios a páginas de destino falsas y activar la autorización del código del dispositivo.
Se estima que la campaña de octubre de 2025 se vio impulsada por la rápida disponibilidad de ofertas de crimeware como el kit de phishing Graphish y herramientas del equipo rojo como SquarePhish.
“Al igual que SquarePhish, la herramienta está diseñada para ser fácil de usar y no requiere experiencia técnica avanzada, lo que reduce la barrera de entrada y permite que incluso los actores de amenazas poco calificados lleven a cabo sofisticadas campañas de phishing”, dijo Proofpoint. “El objetivo final es el acceso no autorizado a datos personales u organizacionales confidenciales, que pueden explotarse para robar credenciales, apropiarse de cuentas y comprometerse aún más”.
Para abordar el riesgo de phishing de códigos de dispositivos, la mejor opción es crear una política de acceso condicional que utilice la condición de flujos de autenticación para bloquear el flujo de códigos de dispositivos para todos los usuarios. Si esto no es posible, se recomienda utilizar una política que utilice un enfoque de lista permitida para habilitar la autenticación de código de dispositivo para usuarios, sistemas operativos o rangos de IP aprobados.
About The Author
