Servidor mal configurado expone operaciones de phishing contra Microsoft 365

Publicado el

Un servidor mal configurado ha sido la causa de la exposición de tres operaciones de phishing que tienen como objetivo a Microsoft 365. Este incidente fue descubierto por la firma de seguridad francesa Lexfo, que identificó un servidor web en Python que estaba escuchando en un puerto público, con la opción de listado de directorios habilitada. El comando que provocó esta situación, `python3 -m http.server 8080`, permanecía en el historial de comandos, lo que facilitó la tarea a los investigadores.

A partir de esta única lapse de seguridad, Lexfo pudo acceder a la herramienta completa del operador de phishing y rastrear a otros dos operadores implicados, sumando tres campañas en total. Cada una de estas campañas utilizaba una versión personalizada del proxy de código abierto Evilginx, clonado desde GitHub. La más extensa de las tres había estado activa durante más de un año, dirigiendo sus ataques principalmente a buzones corporativos.

Las tres operaciones lograron eludir la autenticación multifactor (MFA) mediante dos métodos distintos: una utilizando un proxy para interceptar el inicio de sesión en vivo y otra abusando de un flujo de inicio de sesión legítimo de Microsoft. Esta variabilidad en los métodos de ataque requiere defensas diferenciadas, lo que es crucial para las organizaciones que utilizan Microsoft 365.

El listado de directorios en el servidor de ataque expuso configuraciones de phishing, registros de recolección de credenciales, instaladores de RMM, listas de combinación, archivos de respaldo y los propios archivos de sesión de Telegram del operador. Todo esto estaba gestionado por un proxy Evilginx y una consola remota SimpleHelp en el mismo host, ubicado en Budapest. Este servidor fue catalogado durante un escaneo rutinario de internet en abril de 2026.

El operador, identificado como codemado, es un actor egipcio que ha estado activo en foros de VoIP y hacking desde 2018. Su plataforma de Microsoft 365 AiTM, operando en picis.net, monetiza el acceso a través de un servicio de correo masivo que él mismo desarrolló, llamado MaDoO Blaster. Esta campaña se lanzó el 20 de abril y continuó operando incluso después de que se descubriera el directorio el 30 de abril, con la aparición de nuevos subdominios y un certificado wildcard renovado semanas después.

Los registros de su bot mostraron capturas contra dos cuentas corporativas de M365, una francesa y otra norteamericana. Las capturas repetidas de las mismas cuentas desde diferentes direcciones IP son consistentes con la práctica del operador de actualizar los tokens robados conforme estos caducaban.

Respecto a la procedencia de los kits, codemado no construyó el marco que utiliza, sino que lo clonó. Su historial de comandos revela comparaciones de kits lado a lado. El servidor contenía cuatro variantes de Evilginx obtenidas de otros desarrolladores de GitHub, quienes también eran operadores activos en su propio derecho. La primera variante, red-queen, proviene de un operador nigeriano apodado mail-argenta y muestra el nivel de sofisticación que se puede añadir a un marco público.

La variante red-queen renombra los atributos HTML de crossorigin e integrity para eludir las verificaciones de Subresource Integrity y añade un motor de reescritura de URL a `http_proxy.go` para evitar la detección basada en rutas. Prellena la dirección de correo electrónico de la víctima para reducir la tasa de abandono y establece un TTL de un año para las cookies de sesión de Microsoft capturadas.

Por otro lado, la tercera variante, black-queen, registró muchas más capturas que las otras dos y nunca interactuó con una contraseña. Su autor, conocido como saroula01, la diseñó en torno al flujo de código de dispositivo OAuth de Microsoft, que está destinado a dispositivos con capacidad limitada para la entrada de datos. Este ataque genera un código de dispositivo real y lo presenta en una página de suplantación temática de Authenticator, instruyendo a la víctima a ingresarlo en el sitio genuino de Microsoft.

El éxito de estas campañas destaca la creciente amenaza que representan las operaciones de phishing, especialmente cuando se utilizan técnicas avanzadas de elusión de MFA. Las organizaciones deben reforzar sus defensas y educar a los usuarios sobre los riesgos asociados con el phishing para proteger sus activos digitales.

Fuente

Ver noticia original