Un atacante suplantó al soporte interno de IT y convenció a un empleado de otorgar acceso remoto. La técnica evita explotar vulnerabilidades y abusa de herramientas nativas de Windows.
Microsoft reveló el 16 de marzo una campaña de intrusión que prescinde de vulnerabilidades técnicas y se apoya en la manipulación psicológica y el abuso de herramientas legítimas. El equipo de Detection and Response Team (DART) de Microsoft documentó cómo un actor de amenazas utilizó voice phishing (vishing) a través de Microsoft Teams para hacerse pasar por personal de soporte interno y engañar a un empleado, quien terminó otorgando acceso remoto a su dispositivo mediante Quick Assist. El incidente, investigado en noviembre de 2025 tras una solicitud de asistencia de un cliente, evidencia una tendencia creciente: los atacantes están migrando desde la explotación de fallos de software hacia técnicas que abusan de la confianza en plataformas de colaboración corporativa.
La campaña comenzó con llamadas de voz persistentes dirigidas a múltiples empleados. El atacante suplantó la identidad del equipo de soporte de IT, aprovechando la credibilidad inherente de Microsoft Teams como canal interno de comunicación empresarial. Dos de los empleados objetivo identificaron el comportamiento sospechoso y se negaron a cooperar, pero un tercero cayó en la trampa. Convencido de que hablaba con un técnico legítimo, la víctima autorizó una sesión de asistencia remota a través de Quick Assist, la herramienta nativa de Windows para soporte técnico. Este paso inicial no requirió ningún exploit: el propio usuario abrió la puerta al adversario.
Una vez dentro del sistema, el atacante transitó del engaño social a la actividad manual sobre el equipo comprometido. Dirigió al usuario hacia un sitio web malicioso donde se le solicitó ingresar sus credenciales corporativas en un formulario de autenticación falsificado. La captura de credenciales disparó la descarga de múltiples payloads.
Un componente clave fue un paquete Microsoft Installer (MSI) troyanizado que aprovechó mecanismos confiables de Windows para realizar sideloading de una DLL maliciosa, estableciendo un canal de comando y control (C2) que se camuflaba como actividad de software legítimo. Según detalla el reporte oficial de Microsoft, esta técnica permitió al atacante ejecutar código sin levantar alertas inmediatas.
Para expandir su foothold, el actor de amenazas desplegó loaders cifrados y ejecutó comandos remotos utilizando herramientas administrativas estándar del sistema. El tráfico de red se enrutó a través de infraestructura proxy para oscurecer los indicadores de compromiso y evadir la detección por sistemas de monitoreo. Componentes adicionales permitieron el robo de credenciales y el secuestro de sesiones, otorgando al atacante control sostenido e interactivo dentro del entorno comprometido. La filosofía operativa era clara: fusionarse con la actividad empresarial normal en lugar de detonar alarmas.
El equipo de Microsoft Incident Response intervino rápidamente tras confirmar que el vector inicial había sido una llamada de vishing. Los investigadores aislaron los sistemas afectados, protegieron cuentas privilegiadas y bloquearon la actividad del atacante.
El análisis forense determinó que el tiempo de permanencia del adversario fue limitado, no se establecieron mecanismos de persistencia exitosos y no hubo evidencia de compromiso a nivel de directorio. Los objetivos del atacante no se cumplieron. Sin embargo, el incidente marca un punto de inflexión: las organizaciones deben endurecer la vigilancia sobre el uso de herramientas de asistencia remota, implementar controles de acceso estrictos para Quick Assist y capacitar a los empleados para identificar intentos de vishing, incluso cuando provengan de plataformas internas de confianza.
FUENTE ORIGINAL
Microsoft Security Blog↗CURADO POR
Alejandro Vargas