El gigante tecnológico identifica una ola de ataques mediante PDF, códigos QR y plataformas legítimas para distribuir malware como Latrodectus, Remcos y BruteRatel.
Microsoft ha emitido una nueva alerta de ciberseguridad que afecta especialmente a organizaciones estadounidenses en plena temporada de impuestos. Diversas campañas de phishing avanzadas están siendo utilizadas para propagar malware altamente sofisticado, con técnicas que combinan archivos PDF, códigos QR y servicios de terceros aparentemente confiables, como DocuSign o Dropbox.
Estos ataques están diseñados para robar credenciales, instalar puertas traseras y permitir la infiltración silenciosa de redes empresariales. Los analistas de la compañía han identificado a Storm-0249 como uno de los grupos responsables, conocido por emplear troyanos como Latrodectus, Remcos RAT, GuLoader, BruteRatel C4, y nuevas herramientas de post-explotación como AHKBot.
Phishing como servicio y técnicas evasivas
Las campañas están aprovechando plataformas PhaaS (Phishing-as-a-Service) como RaccoonO365, que permiten generar páginas falsas que imitan el entorno de inicio de sesión de Microsoft 365, dirigidas a captar credenciales corporativas. Uno de los casos documentados por Microsoft, fechado el 6 de febrero de 2025, describe una cadena de infección iniciada con un archivo PDF que redirige al usuario a una URL acortada. Desde allí, se le presenta una falsa página de DocuSign que, según el sistema operativo y la dirección IP, puede entregar un archivo JavaScript que descarga BRc4, la puerta de entrada para Latrodectus.
En otra campaña observada entre el 12 y el 28 de febrero, se enviaron más de 2.300 correos maliciosos sin cuerpo de texto, con archivos PDF que contenían códigos QR maliciosos. Estos apuntaban a enlaces de phishing que suplantaban Microsoft 365. Los sectores más afectados fueron consultoría, TI y la ingeniería.
Multicapa de infección: de archivos ZIP a macros de Excel
Además de los PDF, los actores de amenazas están utilizando archivos .lnk ocultos en ZIPs y documentos de Excel con macros maliciosas. Un ejemplo detectado por Microsoft involucra el uso de macros de Excel para descargar e iniciar scripts de AutoHotKey, que a su vez ejecutan módulos de captura de pantalla y exfiltración de datos.
También se han detectado enlaces ocultos en archivos SVG y URLs redirigidas a través de servicios como Rebrandly, lo que permite sortear muchos filtros antiphishing tradicionales. Estas técnicas están diseñadas para ocultar la URL final de los sitios maliciosos, dificultando su detección por parte de los sistemas de seguridad.
Ingenio criminal y explotación de plataformas legítimas
Entre los recursos explotados por los atacantes figuran servicios de colaboración ampliamente utilizados, como Adobe, DocuSign, Canva, Zoho o Dropbox, que permiten que los correos maliciosos pasen desapercibidos por las puertas de enlace de correo electrónico (SEG).
El análisis de Palo Alto Networks también revela un patrón en el uso de códigos QR en campañas dirigidas a Europa y EE.UU., donde los atacantes evitan mostrar directamente la URL maliciosa, optando por mecanismos de redirección abiertos en sitios confiables.
Microsoft ha detectado que incluso plataformas como Facebook han sido utilizadas para redirigir tráfico a páginas falsas que ofrecen instaladores de Windows 11, que en realidad distribuyen Latrodectus o Gh0st RAT, según investigaciones recientes.
Consecuencias y medidas de protección recomendadas
Los ataques documentados no solo buscan robar contraseñas, sino también mantener persistencia, mover lateralmente dentro de las redes corporativas y preparar el terreno para futuras intrusiones. El uso de tareas programadas, ejecución de comandos remotos y recopilación de credenciales está cada vez más presente en estas campañas.
Microsoft recomienda implementar autenticación multifactor (MFA) resistente al phishing, filtrar el tráfico saliente hacia dominios sospechosos, utilizar navegadores seguros y capacitar a los usuarios para identificar intentos de suplantación.
Estas campañas demuestran que el ecosistema del cibercrimen se profesionaliza y se adapta rápidamente. Las organizaciones deben estar preparadas no solo para detectar amenazas conocidas, sino también para mitigar tácticas cada vez más creativas y persistentes, en especial aquellas que combinan ingeniería social con distribución automatizada de malware.
Esta nueva oleada de campañas demuestra que la ciberseguridad en entornos corporativos ya no puede depender únicamente de filtros tradicionales. La superposición entre plataformas legítimas y herramientas delictivas exige una defensa integral, donde cada interacción digital debe ser verificada y monitorizada.
