Un actor de amenazas conocido como Tormenta-2657 Se ha observado que secuestra cuentas de empleados con el objetivo final de desviar pagos de salario a cuentas controladas por atacantes.
“Storm-2657 está apuntando activamente a una variedad de organizaciones con sede en EE. UU., particularmente empleados en sectores como la educación superior, para obtener camino a plataformas de software como servicio (SaaS) de capital humanos (RRHH) de terceros como Workday”, dijo el equipo de Microsoft Threat Intelligence en un referencia.
Sin confiscación, el hércules tecnológico advirtió que cualquier plataforma de software como servicio (SaaS) que almacene información de capital humanos o de pagos y cuentas bancarias podría ser el objetivo de este tipo de campañas con motivación financiera. Algunos aspectos de la campaña, cuyo nombre en código es Payroll Pirates, fueron destacados previamente por Silent Push, Malwarebytes y Hunt.io.
Lo que hace que los ataques sean notables es que no explotan ninguna descompostura de seguridad en los servicios mismos. Más perfectamente, aprovechan las tácticas de ingeniería social y la desidia de protecciones de autenticación multifactor (MFA) para tomar el control de las cuentas de los empleados y, en última instancia, modificar la información de cuota para enrutarlas a cuentas administradas por los actores de la amenaza.
En una campaña observada por Microsoft en la primera medio de 2025, se dice que el atacante obtuvo camino original a través de correos electrónicos de phishing diseñados para resumir sus credenciales y códigos MFA utilizando un enlace de phishing de adversario en el medio (AitM), obteniendo así camino a sus cuentas de Exchange Online y apoderándose de los perfiles de Workday a través del inicio de sesión único (SSO).
Igualmente se ha observado que los actores de amenazas crean reglas en la bandeja de entrada para eliminar los correos electrónicos de notificación de advertencia entrantes de Workday con el fin de ocultar los cambios no autorizados realizados en los perfiles. Esto incluye alterar la configuración de cuota de salario para redirigir pagos de salario futuros a cuentas bajo su control.
Para certificar un camino persistente a las cuentas, los atacantes registran sus propios números de teléfono como dispositivos MFA para las cuentas de las víctimas. Es más, las cuentas de correo electrónico comprometidas se utilizan para distribuir más correos electrónicos de phishing, tanto internamente de la estructura como a otras universidades.
Microsoft dijo que observó 11 cuentas comprometidas con éxito en tres universidades desde marzo de 2025 que se utilizaron para remitir correos electrónicos de phishing a casi 6.000 cuentas de correo electrónico en 25 universidades. Los mensajes de correo electrónico presentan señuelos relacionados con enfermedades o avisos de mala conducta en el campus, lo que induce una falsa sensación de aprieto y engaña a los destinatarios para que hagan clic en enlaces falsos.
Para mitigar el peligro que plantea Storm-2657, se recomienda adoptar métodos MFA sin contraseña y resistentes al phishing, como las claves de seguridad FIDO2, y revisar las cuentas en indagación de signos de actividad sospechosa, como dispositivos MFA desconocidos y reglas de bandeja de entrada maliciosas.
