Underc0de - La Casa de los Informáticos

Los actores de amenazas están evolucionando y adoptando técnicas más avanzadas para burlar las defensas de seguridad tradicionales. Una de las más recientes involucra el abuso de Axios, una popular herramienta de cliente HTTP, junto con la función Direct Send de Microsoft 365 (M365). De acuerdo con un informe de ReliaQuest, esta combinación ha permitido crear una canalización de ataque altamente eficiente en campañas de phishing que han logrado tasas de éxito sin precedentes.

Aumento masivo en el uso de Axios en ataques

ReliaQuest reveló que entre junio y agosto de 2025 se observó un incremento del 241% en la actividad del agente de usuario de Axios, cifra que supera ampliamente el crecimiento del 85% registrado por otros agentes combinados. En total, Axios representó el 24,44% de toda la actividad maliciosa detectada en ese período.

El abuso de Axios no es nuevo. En enero de 2025, Proofpoint ya había documentado campañas que lo utilizaban para ataques de apropiación de cuentas (ATO) en entornos Microsoft 365. Axios, al permitir enviar y recibir solicitudes HTTP de forma sencilla, es una herramienta atractiva para atacantes de todo nivel, desde operadores de kits de phishing hasta actores de amenazas avanzadas (APT).

Según ReliaQuest, su versatilidad garantiza que seguirá siendo adoptado en campañas maliciosas debido a su capacidad para imitar flujos de trabajo legítimos y manipular autenticaciones.

Cómo se combina Axios con Microsoft Direct Send

La técnica observada explota Direct Send, una funcionalidad legítima de Microsoft 365 que permite a los usuarios enviar correos electrónicos directamente sin necesidad de autenticación tradicional en SMTP. Al abusar de este método, los atacantes logran falsificar identidades de confianza y distribuir mensajes de phishing que evaden filtros de seguridad y se entregan directamente en las bandejas de entrada de las víctimas.

La combinación de Axios con Direct Send multiplica la efectividad de los ataques:

• Los correos falsificados logran tasas de entrega mucho más altas.
• Axios permite interceptar, modificar y reproducir solicitudes HTTP en tiempo real.
• Los atacantes pueden capturar tokens de sesión o códigos de autenticación multifactor (MFA).
• Se han reportado tasas de éxito cercanas al 70% en campañas recientes, superando con creces las técnicas tradicionales.

Sectores más atacados y evolución de la campaña

ReliaQuest indicó que esta campaña comenzó en julio de 2025, inicialmente dirigida a ejecutivos y gerentes en sectores financieros, de salud y manufactura. Sin embargo, pronto se expandió para atacar a usuarios en todos los niveles, demostrando su escalabilidad.

Los ataques no solo se enfocan en robar credenciales, sino también en interceptar tokens SAS en Azure y otros flujos de autenticación, permitiendo acceso directo a datos corporativos críticos.

Técnicas de phishing empleadas

Las campañas descritas utilizan múltiples capas de engaño para aumentar sus probabilidades de éxito:

• Señuelos en correos electrónicos con temáticas de compensaciones o documentos importantes.
• PDFs maliciosos con códigos QR, que al ser escaneados dirigen a páginas falsas de inicio de sesión de Outlook.
• Infraestructura en Google Firebase, aprovechando la reputación de esta plataforma para evadir bloqueos.
• Branding dinámico, donde las páginas fraudulentas imitan automáticamente la identidad corporativa del dominio de la víctima.
• Alojamiento distribuido y evasión avanzada, incluyendo filtrado geográfico, bloqueo de IP de proveedores de seguridad y rotación de subdominios.

El resultado es una campaña que se asemeja a operaciones de nivel empresarial, difuminando la línea entre tráfico legítimo y malicioso.

Más allá de Axios: Salty2FA y PhaaS

El informe de ReliaQuest se suma a otros hallazgos recientes que muestran cómo el phishing se ha transformado en una industria madura. Por ejemplo, la oferta de phishing como servicio (PhaaS) conocida como Salty2FA está permitiendo a atacantes eludir MFA mediante la simulación de hasta seis métodos de autenticación distintos: SMS, aplicaciones móviles, llamadas telefónicas, notificaciones automáticas, códigos de respaldo y tokens físicos.

Además, compañías como Mimecast han reportado campañas dirigidas a la industria hotelera, haciéndose pasar por plataformas confiables como Expedia Partner Central y Cloudbeds, enviando correos de reservas falsas para recolectar credenciales.

Recomendaciones para mitigar esta amenaza

Ante el riesgo creciente, los especialistas recomiendan implementar medidas inmediatas para reducir la exposición a estos ataques:

• Revisar y deshabilitar Direct Send en Microsoft 365 si no es estrictamente necesario.
• Aplicar políticas anti-spoofing y DMARC en las puertas de enlace de correo electrónico.
• Monitorear patrones de uso de Axios, identificando tráfico sospechoso en los entornos corporativos.
• Entrenar a los empleados para detectar correos de phishing, especialmente los que contienen códigos QR.
• Bloquear dominios e IPs sospechosas, así como aplicar filtrado geográfico cuando corresponda.
• Adoptar soluciones avanzadas de detección de phishing que analicen flujos de autenticación y tráfico API.

En fin, el aumento del 241% en el abuso de Axios y su combinación con Microsoft Direct Send representan un cambio de juego en las tácticas de phishing. Estas campañas logran superar las barreras tradicionales, evadir MFA y escalar operaciones de robo de credenciales a gran velocidad.

El panorama confirma que el phishing ha madurado hasta convertirse en una operación empresarial altamente sofisticada, capaz de explotar debilidades en flujos de autenticación y de aprovechar la confianza en marcas reconocidas como Microsoft, Google o Expedia.

Las organizaciones deben actuar con urgencia, revisando configuraciones, reforzando defensas y entrenando al personal. De lo contrario, la combinación de Axios y Direct Send seguirá consolidándose como una de las herramientas más efectivas en manos de cibercriminales durante 2025.

Fuente: https://thehackernews.com/