ARToken: nuevo phishing PhaaS roba cuentas de Microsoft 365

Iniciado por Dragora, Julio 03, 2026, 11:47:44 AM

Tema anterior - Siguiente tema

0 Miembros y 3 Visitantes están viendo este tema.


Los ataques dirigidos contra Microsoft 365 continúan evolucionando a un ritmo acelerado. Investigadores de seguridad han identificado una nueva plataforma de Phishing-as-a-Service (PhaaS) denominada ARToken, una sofisticada herramienta que permite a ciberdelincuentes comprometer cuentas corporativas, robar tokens de autenticación y mantener acceso persistente a los entornos empresariales.

El hallazgo, realizado por investigadores de Cisco Talos, revela que ARToken comparte una estrecha relación técnica con EvilTokens, una plataforma de phishing descubierta meses atrás que revolucionó los ataques mediante el uso del flujo de autenticación OAuth 2.0 Device Authorization Grant, conocido como phishing por código de dispositivo.

Lo preocupante es que esta nueva infraestructura no solo facilita el robo de credenciales, sino que incorpora automatización, inteligencia artificial y herramientas avanzadas para ejecutar campañas de Business Email Compromise (BEC) a gran escala, convirtiéndose en una de las amenazas más sofisticadas dirigidas contra organizaciones que utilizan Microsoft 365.

Cisco Talos descubre el panel de administración de ARToken

Durante una investigación de respuesta a incidentes, los especialistas de Cisco Talos localizaron una infraestructura de phishing que exponía un panel de administración desarrollado en React, denominado ARToken Panel.

El análisis del código JavaScript del lado del cliente permitió descubrir más de 80 endpoints de API, ofreciendo una visión sin precedentes sobre el funcionamiento interno de la plataforma.

La ingeniería inversa del panel reveló numerosas funciones que hasta ahora no habían sido documentadas públicamente y que van mucho más allá de un kit tradicional de phishing.

Entre sus principales capacidades destacan:

  • Robo de tokens de autenticación de Microsoft 365.
  • Obtención y renovación de Primary Refresh Tokens (PRTs).
  • Acceso persistente a cuentas comprometidas.
  • Administración de buzones de Outlook.
  • Acceso a SharePoint y OneDrive.
  • Automatización de campañas de compromiso de correo empresarial (BEC).
  • Implementación de infraestructura maliciosa mediante Cloudflare Workers.
  • Gestión multiusuario para afiliados.

Estas funciones convierten a ARToken en una plataforma criminal extremadamente completa, diseñada para facilitar campañas de phishing altamente efectivas.

La fuerte conexión entre ARToken y EvilTokens

Según Cisco Talos, existen múltiples indicadores técnicos que apuntan a que ARToken funciona como una plataforma afiliada de EvilTokens o incluso como una evolución directa del servicio.

Los investigadores identificaron numerosas coincidencias, entre ellas:

  • Uso del mismo flujo de autenticación mediante código de dispositivo de Microsoft.
  • Llamadas API idénticas como POST /api/device/start.
  • Los mismos endpoints utilizados para gestionar y renovar Primary Refresh Tokens.
  • Arquitectura basada en Cloudflare Workers.
  • Modelo multiinquilino para afiliados.

Estas similitudes muestran que ambos servicios comparten gran parte de su infraestructura y metodología operativa.

¿Cómo funciona el phishing por código de dispositivo?

A diferencia del phishing convencional, donde la víctima introduce directamente sus credenciales en un sitio falso, el phishing por código de dispositivo aprovecha un mecanismo completamente legítimo de autenticación de Microsoft.

El proceso es relativamente sencillo:

  • El atacante genera un código de dispositivo válido utilizando la API oficial de Microsoft.
  • La víctima recibe un correo electrónico fraudulento solicitando introducir dicho código.
  • El usuario accede al portal oficial de autenticación de Microsoft.
  • Microsoft valida la autenticación correctamente.
  • Los tokens de acceso son entregados al atacante.

Debido a que la autenticación ocurre en la infraestructura legítima de Microsoft, este método consigue eludir la autenticación multifactor (MFA) en numerosos escenarios, convirtiéndose en una técnica especialmente peligrosa para organizaciones de todo el mundo.

Acceso persistente mediante Primary Refresh Tokens

Una de las características más peligrosas de ARToken es su capacidad para trabajar con Primary Refresh Tokens (PRTs).

Estos tokens permiten mantener sesiones autenticadas durante largos periodos sin necesidad de volver a introducir credenciales.

El panel descubierto por Cisco Talos incluye funciones para:

  • Crear nuevos PRT.
  • Renovar automáticamente los tokens.
  • Actualizar sesiones comprometidas.
  • Recuperar el acceso incluso tras la expiración de otros tokens.

Esto significa que un atacante puede conservar el acceso a una cuenta durante semanas o incluso meses si no se detecta la intrusión.

Capacidades avanzadas para ataques Business Email Compromise (BEC)

Tras comprometer una cuenta, ARToken incorpora herramientas específicas para ejecutar campañas de Business Email Compromise, uno de los fraudes corporativos más rentables para los ciberdelincuentes.

Entre las funciones disponibles destacan:

  • Acceso completo a buzones de Outlook.
  • Envío de correos utilizando la identidad de la víctima.
  • Descarga automática de archivos adjuntos.
  • Creación de reglas de bandeja de entrada para ocultar mensajes.
  • Reenvío automático de correos.
  • Monitorización simultánea de múltiples buzones.
  • Búsqueda automática mediante palabras clave.

Estas capacidades permiten identificar conversaciones financieras activas y suplantar a empleados legítimos para solicitar transferencias bancarias fraudulentas.

SharePoint y OneDrive también son objetivos

La plataforma no se limita al correo electrónico.

Los operadores también pueden acceder a:

  • Bibliotecas de documentos de SharePoint.
  • Archivos almacenados en OneDrive.
  • Información corporativa confidencial.
  • Documentación financiera.
  • Contratos empresariales.

Además del robo de información, la plataforma facilita la subida de archivos maliciosos para distribuir malware dentro de la organización comprometida.

Funciones inéditas descubiertas por Cisco Talos

El informe también documenta características que no habían aparecido en investigaciones anteriores sobre EvilTokens.

Entre ellas sobresalen:

  • Monitorización simultánea de múltiples cuentas comprometidas.
  • Importación de tokens robados desde otras herramientas.
  • Compartición de accesos entre distintos operadores criminales.
  • Reglas silenciosas que eliminan o esconden mensajes.
  • Páginas de phishing que modifican automáticamente su contenido según la ubicación geográfica de la víctima.

Estas funciones demuestran un elevado grado de madurez en la plataforma y un claro enfoque hacia operaciones criminales organizadas.

Inteligencia artificial para automatizar el fraude

Investigaciones previas ya habían revelado que EvilTokens incorporaba inteligencia artificial para automatizar gran parte del fraude.

Los sistemas analizan automáticamente los buzones comprometidos buscando:

  • Facturas.
  • Conversaciones financieras.
  • Datos bancarios.
  • Pagos pendientes.
  • Proveedores habituales.

Posteriormente utilizan modelos de lenguaje (LLM) para redactar correos electrónicos convincentes, traducir conversaciones entre distintos idiomas y generar respuestas adaptadas al contexto de cada organización.

La automatización reduce considerablemente el trabajo manual de los atacantes y aumenta la probabilidad de éxito de las campañas BEC.

Campañas de phishing altamente convincentes

Cisco Talos también examinó diversos correos asociados con ARToken.

Los mensajes estaban orientados principalmente a departamentos de cuentas por pagar, utilizando supuestas facturas pendientes como señuelo.

Uno de los aspectos más peligrosos es que los enlaces aparentaban dirigir a sitios legítimos de SharePoint.

Sin embargo, las víctimas terminaban accediendo a un tenant controlado por los atacantes dentro de Microsoft 365, lo que incrementa notablemente la credibilidad del fraude y reduce las sospechas de los usuarios.

Los ataques mediante código de dispositivo siguen creciendo

El phishing por código de dispositivo está experimentando un crecimiento sin precedentes.

Investigaciones recientes indican que este tipo de ataques se multiplicó 37 veces durante el último año, mientras que al menos 11 kits de phishing comerciales ya ofrecen esta técnica a grupos criminales.

El éxito de este método radica en que aprovecha mecanismos oficiales de autenticación, dificultando la detección por parte de soluciones tradicionales de seguridad y permitiendo eludir numerosos controles de autenticación multifactor.

Cómo proteger Microsoft 365 frente a ARToken y EvilTokens

Ante la evolución de estas amenazas, las organizaciones deben reforzar su estrategia de seguridad implementando medidas específicas:

  • Restringir el uso del flujo de autenticación por código de dispositivo cuando no sea necesario.
  • Supervisar continuamente la emisión y renovación de tokens de autenticación.
  • Implementar soluciones avanzadas de detección de anomalías basadas en inteligencia artificial.
  • Revisar periódicamente reglas de reenvío y eliminación automática en Outlook.
  • Aplicar el principio de mínimo privilegio en Microsoft 365.
  • Capacitar a los empleados para identificar campañas de phishing sofisticadas.
  • Monitorizar accesos inusuales a SharePoint y OneDrive.
  • Utilizar soluciones especializadas para detectar ataques de compromiso de correo empresarial (BEC).

En fin...

La aparición de ARToken confirma que el ecosistema del Phishing-as-a-Service continúa profesionalizándose y evolucionando hacia plataformas cada vez más automatizadas. Su estrecha relación con EvilTokens, el uso del phishing por código de dispositivo, el robo de Primary Refresh Tokens, la automatización mediante inteligencia artificial y las capacidades avanzadas para ejecutar ataques BEC convierten a esta amenaza en un serio riesgo para cualquier organización que dependa de Microsoft 365.

Ante este panorama, confiar únicamente en la autenticación multifactor ya no resulta suficiente. Las empresas deben complementar sus defensas con monitorización continua, protección avanzada del correo electrónico, análisis del comportamiento de usuarios y una sólida estrategia de concienciación en ciberseguridad para reducir el impacto de estas campañas cada vez más sofisticadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login