Los hackers rusos explotan OAuth 2.0 para hackear cuentas de Microsoft 365

Los actores de amenaza rusos explotan el hackeo de Microsoft OAuth 365 cuentas Los hackers rusos han explotado flujos de trabajo de autenticación OAuth 2.0 legítimos para secuestrar cuentas de Microsoft 365. A medida que el espacio de ciberseguridad evoluciona con el tiempo, los ciberatacantes están probando diferentes medidas para atacar a sus víctimas.

Recientemente, una empresa de ciberseguridad, Volexity, descubrió e informó sobre una serie de ciberataques en curso desde marzo de 2025.

Los hackers rusos atacan a los aliados de Ucrania hackeando sus cuentas de Microsoft 365

Dos actores de amenaza rusos, rastreados como UTA0352 y UTA0355, apuntan principalmente a cuentas de Microsoft 365 de individuos vinculados a Ucrania y derechos humanos, utilizando tácticas de ingeniería social altamente dirigidas.

Ahora, debes estar preguntándote cómo los hackers rusos han logrado atraer a la víctima a caer en su trampa, ¿verdad? Bueno, los ciberatacantes primero se hacen pasar por funcionarios europeos o utilizan cuentas gubernamentales ucranianas hackeadas para contactar a las víctimas a través de aplicaciones de mensajería como WhatsApp y Signal. Volexity-UTA0352-Mensajes-Signal-y-WhatsApp-BG-NATO-UA Imagen: Volexity

Los hackers atraen a las víctimas a hacer clic en enlaces maliciosos sin sospechar

Los hackers rusos atraen a los objetivos a hacer clic en enlaces maliciosos alojados en la infraestructura de Microsoft o a compartir códigos de autorización OAuth. Válidos por 60 días, estos códigos otorgan a las víctimas acceso a su correo electrónico y otros recursos de Microsoft 365. volexity-uta0355-Phishing-Correo-Gobierno-Ucrania Imagen: Volexity Los investigadores de seguridad de Volexity señalan, “ Cabe destacar que este código también apareció como parte de la URI en la barra de direcciones. Visual Studio Code parece haber sido configurado para facilitar la extracción y el intercambio de este código, mientras que la mayoría de los otros casos simplemente llevarían a páginas en blanco. ”

En algunos casos, los hackers rusos registran nuevos dispositivos en el ID de Microsoft Entra de la víctima, eludiendo la autenticación de dos factores (2FA). Engañan a los usuarios para que aprueben solicitudes falsas de 2FA bajo la apariencia de acceder a una instancia de SharePoint. Volexity-uta0365-EVS-MFA-Rumania-Spoof-1 Imagen: Volexity

Es poco probable que las víctimas sospechen

Dado que los hackers rusos han estado utilizando la propia infraestructura de Microsoft, es bastante difícil para las víctimas sospechar de algún juego sucio. Sin mencionar que estos ataques son bastante diferentes a la pesca tradicional. Los atacantes utilizan redes proxy para imitar la ubicación de la víctima, asegurando que las víctimas no sospechen nada malo.

Los códigos OAuth robados permiten un acceso prolongado que habilita a los hackers a leer correos electrónicos, acceder a archivos y mantener una entrada no autorizada. Vale la pena mencionar que todo esto es posible incluso si las víctimas cambian sus contraseñas.

Volexity, en su informe, señala, “ En los registros revisados por Volexity, el registro inicial del dispositivo fue exitoso poco después de interactuar con el atacante. El acceso a los datos del correo electrónico ocurrió al día siguiente, que fue cuando UTA0355 había ingenierizado una situación donde su solicitud de 2FA sería aprobada. ”

Dicho esto, esta no es la primera instancia de atacantes abusando de flujos de trabajo de autenticación OAuth. Algunos informes recientes destacaron que los estafadores incluso están abusando de Google OAuth para enviar múltiples correos electrónicos de phishing a los usuarios.