Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de emisión directo de Microsoft para formar una “tubería de ataque mucho valioso” en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest.
“La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados”, dijo la compañía de seguridad cibernética en un mensaje compartido con Hacker News. “De 32 agentes de becario marcados observados en este plazo, Axios representó el 24.44% de toda la actividad”.
El desmán de Axios fue impresionado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para destinar solicitudes HTTP y acoger respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365.
Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la útil se explota regularmente anejo con los populares kits de phishing. “La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación”, agregó la compañía.
Del mismo modo, las campañas de phishing igualmente se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado emisión directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico.
Al amplificar el desmán de Axios a través del emisión directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para respaldar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha antagónico que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con “eficiencia incomparable”.
Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antaño de ampliar su enfoque para atacar a todos los usuarios.
Llamando al enfoque que cambia el surtido para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que igualmente les permite costar las operaciones de phishing a una escalera sin precedentes.
En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo vivo o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener ataque a capital sensibles.
“Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing”, dijo Reliaquest. “La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos”.
Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para favorecer el robo de credenciales. Como una capa adicional de diversión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de avance de aplicaciones.
Encima de aminorar la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores igualmente significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y explotar bajo el radar.
Para mitigar el peligro planteado por esta amenaza, se aconseja a las organizaciones que obtengan el emisión directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para recordar los correos electrónicos de phishing y rodear los dominios sospechosos.
“Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el ataque auténtico y la explotación a gran escalera. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de guisa que son escalables y precisos”.
“Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de emisión directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar”.
El avance se produce cuando Mimecast detalló una campaña de convento de credenciales a gran escalera dirigida a profesionales de la industria hotelera al hacerse advenir por plataformas de dirección de hoteles de confianza.
“Esta operación de convento de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles”, dijo la compañía. “La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles”.
Los hallazgos igualmente siguen el descubrimiento de una campaña en curso que ha empleado una propuesta incipiente de phishing as-a-Service (PHAAS) señal Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens.
La cautiverio de ataque es sobresaliente por beneficiarse servicios como AHA (.) IO para organizar páginas de destino iniciales que se disfrazan de notificaciones compartidas de Onedrive para engañar a los destinatarios de correo electrónico y engañarlos para que haga clic en enlaces falsos que redirigen a las páginas de convento de credenciales, pero no antaño de completar una comprobación de comprobación de timbre en la nimbo para filtrar herramientas de seguridad automatizadas y landboxes.
Las páginas de phishing igualmente incluyen otras características avanzadas como geofencing y filtrado de IP para rodear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la nimbo, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de observación.
Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de límite empresarial, utilizando tácticas de diversión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas.
“El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social”, dijo Ontinue. “El observación técnico revela que la infraestructura maliciosa mantiene una colchoneta de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas”.
“Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la lista entre el tráfico legal y malvado”.
