Una campaña atribuida al actor de amenaza Storm-2755 está afectando a trabajadores mediante técnicas de adversario en el medio (AiTM) y manipulación de cuentas Microsoft 365. En Canadá, un atacante logró redirigir pagos salariales explotando fallas en autenticación, monitoreo y protección de identidades.
Una nueva campaña de ciberataques ha encendido las alertas en el ecosistema corporativo, luego de que investigadores identificaran operaciones dirigidas a desviar pagos salariales mediante el compromiso de cuentas empresariales. La actividad maliciosa, rastreada e identificada con el nombre de Storm-2755, actualmente apunta a trabajadores en Canadá, aunque su alcance podría ampliarse a otras regiones y sectores de la economía.
De acuerdo con el análisis publicado por Microsoft, los atacantes emplean técnicas de adversario en el medio (AiTM) para interceptar sesiones activas de autenticación, lo que les permite eludir mecanismos de seguridad como la autenticación multifactor (MFA). “Los actores de amenaza están utilizando sofisticadas campañas de phishing para capturar credenciales y tokens de sesión”, detalla la compañía, advirtiendo que este enfoque permite acceder a cuentas sin necesidad de contraseñas adicionales.
Una vez dentro de los entornos corporativos, los atacantes modifican información crítica en plataformas de gestión de recursos humanos o sistemas de pago, redirigiendo los depósitos salariales hacia cuentas controladas por los cibercirminales. Este tipo de operación, conocido como “Payroll Pirate”, se caracteriza por su impacto directo en los trabajadores, quienes ven comprometidos sus ingresos sin una intrusión evidente en los sistemas financieros tradicionales.
Investigaciones adicionales señalan que los atacantes también están aprovechando resultados manipulados en búsquedas dentro de entornos como Microsoft 365, facilitando el acceso a enlaces maliciosos que simulan portales legítimos. Esta técnica incrementa la efectividad del phishing al integrarse en flujos de trabajo cotidianos, reduciendo la sospecha de los usuarios.
Asimismo, reportes coinciden en que la campaña no se limita al robo de credenciales, sino que busca mantener persistencia mediante el secuestro de sesiones activas. Esto refuerza una tendencia creciente en la que los atacantes priorizan el control continuo de accesos sobre la explotación puntual de vulnerabilidades.
Los expertos advierten que este tipo de amenazas pone en evidencia debilidades estructurales en la gestión de identidades digitales y apuntan a que la confianza excesiva en mecanismos como MFA, sin controles adicionales de contexto o monitoreo de comportamiento, abre la puerta a ataques más avanzados. “El uso de tokens de sesión robados permite a los atacantes operar como usuarios legítimos, dificultando su detección”, señalan los analistas de Microsoft.
Frente a este escenario, el reporte comparte una serie de recomendaciones, entre ellas, fortalecer la visibilidad sobre accesos, implementar políticas de acceso condicional y reforzar la capacitación de usuarios frente a campañas de phishing cada vez más sofisticadas. La revisión periódica de configuraciones en sistemas de pago y recursos humanos también se vuelve clave para detectar cambios no autorizados.