Investigadores de ciberseguridad han revelado detalles de una campaña de phishing en la que los atacantes se hacen producirse por mensajes legítimos generados por Google abusando del servicio de integración de aplicaciones de Google Cloud para distribuir correos electrónicos.
La actividad, dijo Check Point, aprovecha la confianza asociada con la infraestructura de Google Cloud para cursar mensajes desde una dirección de correo electrónico legítima (“noreply-application-integration@google(.)com”) para que puedan evitar los filtros de seguridad de correo electrónico tradicionales y tener una mejor oportunidad de arribar a las bandejas de entrada de los usuarios.
“Los correos electrónicos imitan notificaciones empresariales de rutina, como alertas de correo de voz y entrada a archivos o solicitudes de permiso, haciéndolos parecer normales y confiables para los destinatarios”, dijo la compañía de ciberseguridad.
Se ha observado que los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 clientes durante un período de 14 días observado en diciembre de 2025, con las organizaciones afectadas ubicadas en EE. UU., Asia-Pacífico, Europa, Canadá y América Latina.
En el centro de la campaña está el desmán de la tarea “Destinar correo electrónico” de Integración de aplicaciones, que permite a los usuarios cursar notificaciones por correo electrónico personalizadas desde una integración. Google señala en su documentación de soporte que sólo se pueden asociar un mayor de 30 destinatarios a la tarea.
El hecho de que estos correos electrónicos puedan configurarse para enviarse a cualquier dirección de correo electrónico arbitraria demuestra la capacidad del actor de amenazas para hacer un mal uso de una capacidad de automatización legítima en su beneficio y cursar correos electrónicos desde dominios propiedad de Google, evitando efectivamente las comprobaciones DMARC y SPF.
“Para aumentar aún más la confianza, los correos electrónicos siguieron de cerca el estilo y la estructura de notificación de Google, incluido el formato y el idioma familiares”, dijo Check Point. “Los señuelos comúnmente hacían relato a mensajes de correo de voz o afirmaciones de que al destinatario se le había otorgado entrada a un archivo o documento compartido, como el entrada a un archivo ‘Q4’, lo que solicitaba a los destinatarios que hicieran clic en enlaces incrustados y tomaran medidas inmediatas”.
La esclavitud de ataque es un flujo de redirección de varias etapas que comienza cuando un destinatario de correo electrónico hace clic en un enlace alojado en Storage.cloud.google(.)com, otro servicio confiable de Google Cloud. El esfuerzo se considera otro intento de ceñir las sospechas de los usuarios y darle un barniz de legalidad.
Luego, el enlace redirige al becario al contenido servido desde googleusercontent(.)com, presentándole un CAPTCHA falsificado o comprobación basada en imágenes que actúa como una barrera al impedir que los escáneres automatizados y las herramientas de seguridad escudriñen la infraestructura de ataque, al tiempo que permite el paso a usuarios reales.
Una vez que se completa la grado de potencia, el becario es llevado a una página de inicio de sesión falsa de Microsoft alojada en un dominio que no es de Microsoft y, en última instancia, roba las credenciales ingresadas por las víctimas.
En respuesta a los hallazgos, Google bloqueó los esfuerzos de phishing que abusan de la función de notificación por correo electrónico internamente de la integración de aplicaciones de Google Cloud y agregó que está tomando más medidas para evitar un decano uso indebido.
El examen de Check Point ha revelado que la campaña se ha dirigido principalmente a los sectores manufacturero, tecnológico, financiero, de servicios profesionales y minorista, aunque se han destacado otros sectores verticales de la industria, incluidos los medios de comunicación, la educación, la atención sanitaria, la energía, el gobierno, los viajes y el transporte.
“Estos sectores suelen acatar de notificaciones automáticas, documentos compartidos y flujos de trabajo basados en permisos, lo que hace que las alertas de la marca Google sean especialmente convincentes”, añadió. “Esta campaña destaca cómo los atacantes pueden hacer un mal uso de las funciones legítimas de flujo de trabajo y automatización de la nimbo para distribuir phishing a escalera sin la suplantación de identidad tradicional”.
