Microsoft alerta AitM y BEC, GNU InetUtils telnetd expone acceso root, Osiris ransomware ejecuta BYOVD con POORTRY
23 de January de 2026Microsoft alerta sobre campaña AitM y BEC multietapa contra el sector energético
Microsoft advirtió sobre una campaña avanzada de phishing Adversary-in-the-Middle (AitM) combinada con ataques BEC (Business Email Compromise), orientada específicamente a empresas del sector energético. La operación se caracteriza por su enfoque multietapa, el uso de servicios legítimos para evadir controles y una persistencia sigilosa mediante reglas de bandeja de entrada.
La campaña aprovecha plataformas ampliamente utilizadas —como SharePoint— para distribuir cargas maliciosas y escalar el alcance a partir de identidades internas comprometidas, enviando miles de correos de phishing tanto internos como externos.
Mecánica del ataque
El ataque comienza con correos de phishing enviados desde cuentas legítimas previamente comprometidas, pertenecientes a organizaciones confiables. Los mensajes se presentan como notificaciones de compartición de documentos y contienen enlaces que redirigen a páginas de autenticación falsas.
Estas páginas capturan credenciales y cookies de sesión, lo que permite a los atacantes:
-
Crear reglas de inbox para borrar correos entrantes y ocultar alertas.
-
Eliminar evidencias, incluidos mensajes de rebote o no entregados.
-
Mantener persistencia sin levantar sospechas inmediatas.
Con las credenciales robadas, los actores maliciosos lanzan ataques AitM adicionales, sincronizando en tiempo real las páginas de inicio de sesión mediante kits phishing-as-a-service. Este enfoque logra evadir MFA no resistente al phishing. En un caso documentado, se enviaron más de 600 correos a contactos internos y externos desde una sola cuenta comprometida.
Impacto en el sector energético
El foco en empresas energéticas subraya la complejidad operacional de la campaña: no se limita a compromisos individuales, sino que habilita BEC a gran escala. Microsoft detectó la actividad mediante Microsoft Defender, identificando patrones de IP y sesiones comprometidas que se repetían en múltiples organizaciones.
La persistencia basada en reglas de correo retrasa la detección y eleva el riesgo para infraestructuras críticas, ampliando la superficie para fraude financiero y espionaje corporativo.
Recomendaciones de mitigación
Microsoft recomienda ir más allá del simple reset de contraseñas. Las acciones clave incluyen:
-
Revocar cookies de sesión activas asociadas a cuentas comprometidas.
-
Auditar y eliminar reglas de inbox sospechosas.
-
Implementar MFA resistente al phishing, como FIDO2.
-
Monitorear abusos en SharePoint y flujos de compartición.
-
Revisiones proactivas de sesiones y detección de anomalías en autenticaciones.
El uso continuo de herramientas de detección temprana permite surfacear patrones anómalos antes de que la campaña escale a incidentes de mayor impacto.