Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 03, 2026, 11:47:44 AM

Título: ARToken: nuevo phishing PhaaS roba cuentas de Microsoft 365
Publicado por: Dragora en Julio 03, 2026, 11:47:44 AM
(https://i.imgur.com/1NuNdBc.png)

Los ataques dirigidos contra Microsoft 365 continúan evolucionando a un ritmo acelerado. Investigadores de seguridad han identificado una nueva plataforma de Phishing-as-a-Service (PhaaS) denominada ARToken, una sofisticada herramienta que permite a ciberdelincuentes comprometer cuentas corporativas, robar tokens de autenticación y mantener acceso persistente a los entornos empresariales.

El hallazgo, realizado por investigadores de Cisco Talos, revela que ARToken comparte una estrecha relación técnica con EvilTokens, una plataforma de phishing descubierta meses atrás que revolucionó los ataques mediante el uso del flujo de autenticación OAuth 2.0 Device Authorization Grant, conocido como phishing por código de dispositivo.

Lo preocupante es que esta nueva infraestructura no solo facilita el robo de credenciales, sino que incorpora automatización, inteligencia artificial y herramientas avanzadas para ejecutar campañas de Business Email Compromise (BEC) a gran escala, convirtiéndose en una de las amenazas más sofisticadas dirigidas contra organizaciones que utilizan Microsoft 365.

Cisco Talos descubre el panel de administración de ARToken

Durante una investigación de respuesta a incidentes, los especialistas de Cisco Talos localizaron una infraestructura de phishing que exponía un panel de administración desarrollado en React, denominado ARToken Panel.

El análisis del código JavaScript del lado del cliente permitió descubrir más de 80 endpoints de API, ofreciendo una visión sin precedentes sobre el funcionamiento interno de la plataforma.

La ingeniería inversa del panel reveló numerosas funciones que hasta ahora no habían sido documentadas públicamente y que van mucho más allá de un kit tradicional de phishing.

Entre sus principales capacidades destacan:


Estas funciones convierten a ARToken en una plataforma criminal extremadamente completa, diseñada para facilitar campañas de phishing altamente efectivas.

La fuerte conexión entre ARToken y EvilTokens

Según Cisco Talos, existen múltiples indicadores técnicos que apuntan a que ARToken funciona como una plataforma afiliada de EvilTokens o incluso como una evolución directa del servicio.

Los investigadores identificaron numerosas coincidencias, entre ellas:


Estas similitudes muestran que ambos servicios comparten gran parte de su infraestructura y metodología operativa.

¿Cómo funciona el phishing por código de dispositivo?

A diferencia del phishing convencional, donde la víctima introduce directamente sus credenciales en un sitio falso, el phishing por código de dispositivo aprovecha un mecanismo completamente legítimo de autenticación de Microsoft.

El proceso es relativamente sencillo:


Debido a que la autenticación ocurre en la infraestructura legítima de Microsoft, este método consigue eludir la autenticación multifactor (MFA) en numerosos escenarios, convirtiéndose en una técnica especialmente peligrosa para organizaciones de todo el mundo.

Acceso persistente mediante Primary Refresh Tokens

Una de las características más peligrosas de ARToken es su capacidad para trabajar con Primary Refresh Tokens (PRTs).

Estos tokens permiten mantener sesiones autenticadas durante largos periodos sin necesidad de volver a introducir credenciales.

El panel descubierto por Cisco Talos incluye funciones para:


Esto significa que un atacante puede conservar el acceso a una cuenta durante semanas o incluso meses si no se detecta la intrusión.

Capacidades avanzadas para ataques Business Email Compromise (BEC)

Tras comprometer una cuenta, ARToken incorpora herramientas específicas para ejecutar campañas de Business Email Compromise, uno de los fraudes corporativos más rentables para los ciberdelincuentes.

Entre las funciones disponibles destacan:


Estas capacidades permiten identificar conversaciones financieras activas y suplantar a empleados legítimos para solicitar transferencias bancarias fraudulentas.

SharePoint y OneDrive también son objetivos

La plataforma no se limita al correo electrónico.

Los operadores también pueden acceder a:


Además del robo de información, la plataforma facilita la subida de archivos maliciosos para distribuir malware dentro de la organización comprometida.

Funciones inéditas descubiertas por Cisco Talos

El informe también documenta características que no habían aparecido en investigaciones anteriores sobre EvilTokens.

Entre ellas sobresalen:


Estas funciones demuestran un elevado grado de madurez en la plataforma y un claro enfoque hacia operaciones criminales organizadas.

Inteligencia artificial para automatizar el fraude

Investigaciones previas ya habían revelado que EvilTokens incorporaba inteligencia artificial para automatizar gran parte del fraude.

Los sistemas analizan automáticamente los buzones comprometidos buscando:


Posteriormente utilizan modelos de lenguaje (LLM) para redactar correos electrónicos convincentes, traducir conversaciones entre distintos idiomas y generar respuestas adaptadas al contexto de cada organización.

La automatización reduce considerablemente el trabajo manual de los atacantes y aumenta la probabilidad de éxito de las campañas BEC.

Campañas de phishing altamente convincentes

Cisco Talos también examinó diversos correos asociados con ARToken.

Los mensajes estaban orientados principalmente a departamentos de cuentas por pagar, utilizando supuestas facturas pendientes como señuelo.

Uno de los aspectos más peligrosos es que los enlaces aparentaban dirigir a sitios legítimos de SharePoint.

Sin embargo, las víctimas terminaban accediendo a un tenant controlado por los atacantes dentro de Microsoft 365, lo que incrementa notablemente la credibilidad del fraude y reduce las sospechas de los usuarios.

Los ataques mediante código de dispositivo siguen creciendo

El phishing por código de dispositivo está experimentando un crecimiento sin precedentes.

Investigaciones recientes indican que este tipo de ataques se multiplicó 37 veces durante el último año, mientras que al menos 11 kits de phishing comerciales ya ofrecen esta técnica a grupos criminales.

El éxito de este método radica en que aprovecha mecanismos oficiales de autenticación, dificultando la detección por parte de soluciones tradicionales de seguridad y permitiendo eludir numerosos controles de autenticación multifactor.

Cómo proteger Microsoft 365 frente a ARToken y EvilTokens

Ante la evolución de estas amenazas, las organizaciones deben reforzar su estrategia de seguridad implementando medidas específicas:


En fin...

La aparición de ARToken confirma que el ecosistema del Phishing-as-a-Service continúa profesionalizándose y evolucionando hacia plataformas cada vez más automatizadas. Su estrecha relación con EvilTokens, el uso del phishing por código de dispositivo, el robo de Primary Refresh Tokens, la automatización mediante inteligencia artificial y las capacidades avanzadas para ejecutar ataques BEC convierten a esta amenaza en un serio riesgo para cualquier organización que dependa de Microsoft 365.

Ante este panorama, confiar únicamente en la autenticación multifactor ya no resulta suficiente. Las empresas deben complementar sus defensas con monitorización continua, protección avanzada del correo electrónico, análisis del comportamiento de usuarios y una sólida estrategia de concienciación en ciberseguridad para reducir el impacto de estas campañas cada vez más sofisticadas.

Fuente: https://www.bleepingcomputer.com/