Un asociación sospechoso de estar en línea con Rusia ha sido atribuido a una campaña de phishing que emplea flujos de trabajo de autenticación de código de dispositivo para robar las credenciales de Microsoft 365 de las víctimas y realizar ataques de apropiación de cuentas.
Proofpoint realiza un seguimiento de la actividad, en curso desde septiembre de 2025, bajo el nombre de UNK_AcademicFlare.
Los ataques implican el uso de direcciones de correo electrónico comprometidas que pertenecen a organizaciones gubernamentales y militares para atacar entidades en el interior del gobierno, grupos de expertos, educación superior y sectores de transporte en los EE. UU. y Europa.
“Por lo común, estas direcciones de correo electrónico comprometidas se utilizan para realizar actividades de divulgación benignas y establecer relaciones relacionadas con el ámbito de especialización de los objetivos para, en última instancia, organizar una reunión o entrevista ficticia”, dijo la compañía de seguridad empresarial.
Como parte de estos esfuerzos, el adversario afirma compartir un enlace a un documento que incluye preguntas o temas para que el destinatario del correo electrónico los revise ayer de la reunión. La URL apunta a una URL de Cloudflare Worker que imita la cuenta de Microsoft OneDrive del remitente comprometido e indica a la víctima que copie el código proporcionado y haga clic en “Venidero” para ceder al supuesto documento.
Sin confiscación, al hacerlo, se redirige al legatario a la URL legítima de inicio de sesión del código del dispositivo de Microsoft, donde, una vez que se ingresa el código proporcionado previamente, hace que el servicio genere un token de entrada que luego los tres actores pueden recuperar para tomar el control de la cuenta de la víctima.
El phishing de códigos de dispositivos fue documentado en detalle tanto por Microsoft como por Volexity en febrero de 2025, atribuyendo el uso del método de ataque a clústeres alineados con Rusia, como Storm-2372, APT29, UTA0304 y UTA0307. En los últimos meses, Amazon Threat Intelligence y Volexity han ducho sobre continuos ataques organizados por actores de amenazas rusos que abusan del flujo de autenticación del código del dispositivo.
Proofpoint dijo que UNK_AcademicFlare es probablemente un actor de amenazas en línea con Rusia, poliedro que apunta a especialistas centrados en Rusia en múltiples grupos de expertos y organizaciones gubernamentales y del sector energético de Ucrania.
Los datos de la compañía muestran que múltiples actores de amenazas, tanto alineados con el estado como motivados financieramente, se han aferrado a la táctica de phishing para engañar a los usuarios para que les den entrada a cuentas de Microsoft 365. Esto incluye un asociación de delincuencia electrónica llamado TA2723 que ha utilizado señuelos relacionados con los salarios en correos electrónicos de phishing para dirigir a los usuarios a páginas de destino falsas y activar la autorización del código del dispositivo.
Se estima que la campaña de octubre de 2025 se vio impulsada por la dócil disponibilidad de ofertas de crimeware como el kit de phishing Graphish y herramientas del equipo rojo como SquarePhish.
“Al igual que SquarePhish, la aparejo está diseñada para ser dócil de usar y no requiere experiencia técnica descubierta, lo que reduce la barrera de entrada y permite que incluso los actores de amenazas poco calificados lleven a angla sofisticadas campañas de phishing”, dijo Proofpoint. “El objetivo final es el entrada no facultado a datos personales u organizacionales confidenciales, que pueden explotarse para robar credenciales, apropiarse de cuentas y comprometerse aún más”.
Para contrarrestar el peligro que representa el phishing de códigos de dispositivos, la mejor opción es crear una política de entrada condicional utilizando la condición de flujos de autenticación para asediar el flujo de códigos de dispositivos para todos los usuarios. Si eso no es factible, se recomienda utilizar una política que utilice un enfoque de cinta permitida para permitir la autenticación de código de dispositivo para usuarios, sistemas operativos o rangos de IP aprobados.
