Hackers vinculados a Rusia usan ‘device code’ de Microsoft 365 para secuestros de cuentas

diciembre 20, 2025

Hackers vinculados a Rusia usan ‘device code’ de Microsoft 365 para secuestros de cuentas

Resumen de la campaña

Un grupo presuntamente alineado con Rusia ha sido atribuido a una campaña de phishing que explota los flujos de autenticación por «device code» para robar credenciales de Microsoft 365 y ejecutar secuestros de cuentas (account takeover). Proofpoint sigue la actividad desde septiembre de 2025 bajo el seudónimo UNK_AcademicFlare. Según el informe original, los atacantes utilizan direcciones de correo electrónico comprometidas pertenecientes a entidades gubernamentales como parte de sus tácticas para facilitar la suplantación y la confianza del destinatario.

Qué es el «device code» y por qué importa

El flujo de autenticación por «device code» (a menudo parte de los protocolos OAuth 2.0) está diseñado para permitir el inicio de sesión en dispositivos con capacidad de entrada limitada (por ejemplo, televisores o dispositivos IoT). El proceso normal solicita al usuario que visite una URL en otro dispositivo e introduzca un código para completar la autenticación. Este flujo también se utiliza en integraciones legítimas de aplicaciones con Microsoft 365 y Azure AD.

El problema ocurre cuando los atacantes manipulan ese flujo para engañar a usuarios y administradores y así obtener tokens de acceso sin pasar por una contraseña tradicional. Al obtener tokens válidos, el atacante puede acceder a correo, archivos y servicios de Microsoft 365 sin necesidad de conocer la contraseña del usuario, lo que dificulta la detección y facilita el movimiento lateral y la exfiltración de datos.

Contexto y antecedentes

El abuso de flujos OAuth y mecanismos de consentimiento de aplicaciones en la nube no es nuevo. En los últimos años han proliferado campañas que buscan que una víctima autorice aplicaciones maliciosas o introduzca códigos de autorización, lo que permite a los atacantes obtener tokens válidos y evadir controles tradicionales centrados en contraseñas.

  • Proliferación de la nube: Microsoft 365 y otros servicios SaaS concentran correos, calendarios y documentos; comprometer una cuenta de M365 ofrece un punto de acceso muy valioso.
  • Evasión de MFA tradicional: ciertos flujos OAuth y device code pueden usarse para eludir medidas basadas en contraseñas y factores de autenticación cuando el proceso se presenta como legítimo.
  • Tendencia geopolítica: grupos vinculados a estados han sido responsabilizados por campañas de espionaje y recolección de inteligencia dirigidas a sectores gubernamentales y académicos.

Análisis técnico y comentarios para practicantes

Para equipos de seguridad y operadores de identidad, los riesgos principales de este tipo de campañas son:

  • Obtención de tokens: el objetivo es conseguir tokens OAuth que autoricen accesos duraderos a servicios sin necesidad de contraseñas.
  • Persistencia y movimiento lateral: con tokens válidos se pueden configurar reglas de reenvío, acceder a SharePoint/OneDrive y pivotar a otras cuentas o aplicaciones.
  • Difícil detección por SIEM: las operaciones pueden parecer inicios de sesión legítimos si proceden de IPs o ubicaciones plausibles, o si el atacante usa infraestructura comprometida interna.

Para defensores: monitorizar únicamente intentos de contraseña es insuficiente. Es imprescindible instrumentar la detección de flujos OAuth/device_code, el inventario de consentimientos de aplicaciones y la revocación rápida de tokens comprometidos.

Detecciones prácticas:

  • Revisar logs de Azure AD por eventos de device_code y por consentimientos de aplicaciones inusuales.
  • Correlacionar la aparición de códigos de dispositivo con picos de inicio de sesiones o con cambios en configuraciones de reenvío/buzones.
  • Monitorizar la creación de aplicaciones y service principals, y establecer alertas para consentimiento de aplicaciones de terceros en cuentas de alto valor.

Casos comparables y estadísticas relevantes

Campañas que abusan de OAuth, consentimiento de aplicaciones o flujos de autorización para obtener acceso han sido documentadas por múltiples firmas de seguridad en los últimos años. Aunque las tácticas exactas varían, el patrón de inducir al usuario a aceptar o introducir un código que entrega tokens ha sido una constante en ataques dirigidos a entornos de nube.

  • Informes sectoriales (por ejemplo, de Microsoft y empresas de ciberseguridad) han señalado un aumento sostenido de phishing dirigido a servicios en la nube y de abusos de autorización OAuth durante la última mitad de la década anterior.
  • Informes de la industria sobre incidentes muestran que el secuestro de cuentas y credenciales comprometidas siguen entre las principales causas de filtraciones y accesos no autorizados (fuentes como el Verizon DBIR subrayan la importancia del factor humano y las credenciales robadas como vectores frecuentes).

Riesgos, implicaciones y recomendaciones accionables

Riesgos e implicaciones:

  • Exposición de datos sensibles de gobiernos y entidades públicas, lo que puede conducir a espionaje, filtraciones o manipulación de información.
  • Compromiso de la confianza: correos y comunicaciones oficiales pueden usarse para campañas adicionales (BEC, spear-phishing).
  • Coste operativo y reputacional al tener que contener, investigar y remediar accesos de alto impacto.

Recomendaciones técnicas y operativas para reducir la superficie de ataque:

  • Aplicar políticas de Conditional Access en Azure AD: restringir acceso por ubicación, exigir MFA de tipo phishing-resistant (por ejemplo, claves FIDO2) para cuentas de alto privilegio y exigir inicios interactivos cuando sea pertinente.
  • Limitar o bloquear el uso de flujos de device_code si no son necesarios en la organización, y restringir la posibilidad de que usuarios concedan consentimiento a aplicaciones de terceros.
  • Implementar revisiones periódicas de aplicaciones registradas y consentimientos otorgados; revocar tokens y aplicaciones sospechosas.
  • Monitorizar específicamente los eventos relacionados con OAuth/device_code, los consentimientos de aplicaciones y la creación de service principals. Configurar alertas para patrones anómalos.
  • Bloquear o segmentar cuentas administrativas y de servicio; utilizar cuentas de privilegio (just-in-time, aprovisionamiento temporal) y principio de mínimo privilegio.
  • Formación continua: entrenar a usuarios clave para reconocer solicitudes legítimas vs. pantallas de autenticación manipuladas; campañas de phishing dirigidas deben incluir escenarios de OAuth/device_code.
  • Preparar playbooks de respuesta: incluir pasos para rotación de credenciales, revocación de tokens, análisis de acceso y notificación a stakeholders y autoridades según el impacto.

Conclusión

La campaña atribuida a UNK_AcademicFlare subraya una tendencia sostenida: los atacantes cada vez explotan más los flujos de autenticación en la nube (como device_code y OAuth) para obtener acceso sin recurrir a contraseñas convencionales. Para defensores, la prioridad debe ser reducir la capacidad de conceder consentimientos y tokens maliciosos, endurecer las políticas de acceso condicional, y elevar la adopción de factores de autenticación resistentes al phishing. La detección temprana mediante monitorización específica de flujos OAuth y la capacidad de revocar rápidamente tokens comprometidos son controles críticos para mitigar este vector.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad