Atacantes desconocidos pasaron al menos cinco meses dentro del buzón de Outlook de un alto ejecutivo de una importante bolsa de valores mundial, copiando la bandeja de entrada en lotes pequeños y repetidos y enrutando a través de Dropbox y OneDrive para que el tráfico se mezclara con la actividad normal de la nube.
El equipo Threat Hunter de Symantec y Carbon Black informó la campaña esta semana. Esto apunta a espionaje, no a apropiación de dinero: Symantec dijo que los comandos indican recopilación de inteligencia, no robo con fines de lucro.
Ni el ejecutivo ni la bolsa fueron nombrados. El valor es bastante claro: la bandeja de entrada de un ejecutivo de bolsa puede contener detalles de cotización no públicos, asuntos de cumplimiento, términos de acuerdos, planes de movimiento del mercado, además del calendario y los contactos del ejecutivo.
Cinco meses de acceso silencioso le brindaron al atacante una lectura detallada de los tratos del ejecutivo y hacia dónde se dirigía la organización, sin necesidad de un amplio acceso a otros sistemas comerciales.
La primera actividad maliciosa apareció el 10 de octubre de 2025. Para entonces, el atacante ya estaba ejecutando dos archivos binarios como SISTEMA, el nivel de privilegio más alto de Windows, uno falsificando el actualizador de Adobe y el otro falsificando OneDrive. Cuando los defensores notaron algo, el intruso tenía el control total de la máquina y aún se desconoce cómo entró por primera vez.
Sin embargo, Symantec confirmó que los primeros signos probablemente provinieron del movimiento lateral de un dispositivo previamente comprometido. La operación se puso en marcha el 12 de noviembre. El atacante sacó un token API de Dropbox, comenzó a cargar datos con curl e implementó la herramienta principal: un ladrón de buzones de correo creado en Aspose, una biblioteca .NET legítima que lee archivos OST y PST de Outlook. Envuelto en un ejecutable, convirtió el buzón a PST y lo escribió en el disco, ejecutándose cada vez con una contraseña y un indicador de rango de fechas.
La primera ejecución abarcó todo a partir de agosto de 2025. Después de eso, el atacante regresó cada dos o cuatro semanas, cada ejecución tomó solo los días desde la última, ocho más hasta el 17 de febrero de 2026. El resultado es una copia casi continua del buzón, cortada lo suficientemente fina como para no llamar la atención del software de seguridad.
El sigilo surgió al hacer que el trabajo pareciera normal. Tareas programadas planteadas como servicios del sistema Adobe, Lenovo y OneDrive. Para la exfiltración, el atacante utilizó Dropbox y OneDrive Personal, y para OneDrive se conectaron a direcciones IP de Microsoft codificadas en lugar del nombre de host onedrive.live.com, por lo que no hubo búsquedas de DNS para que una herramienta perimetral las detectara o bloqueara.
El atacante también probó el servidor de archivos público temp.sh una vez en noviembre y luego lo abandonó. La última actividad observada, el 19 de marzo de 2026, fue una nueva puerta trasera que se organizó pero nunca se ejecutó, lo que, según Elias, puede significar que el atacante perdió el acceso poco después.
Los indicadores publicados por Symantec apuntan a un kit de intrusión más amplio, no sólo un capturador de buzones de correo: FRPC para canalizar el tráfico, Secretsdump para extraer credenciales de Windows, SharpDecryptPwd para recuperar contraseñas de aplicaciones guardadas y una herramienta para eludir el Control de cuentas de usuario de Windows. El informe no dice cómo se utilizó cada uno aquí y ninguno de ellos señala a un grupo específico.
No hay CVE en esta historia. Fue una intrusión en el buzón de una persona, no la explotación de una falla recién revelada, lo cual es parte de por qué vale la pena leerlo: ningún parche soluciona esto, y la carga pasa al monitoreo y la respuesta.
La atribución tampoco está resuelta. La combinación de herramientas públicas y servicios de nube para el consumidor dejó poco para vincular la actividad a un actor conocido, y eso permanece abierto hasta que una fuente más sólida diga lo contrario. Dirigir la filtración a través de Dropbox y OneDrive para integrarse es una jugada muy trillada, y una que Microsoft ha señalado como una forma deliberada de eludir las defensas perimetrales y la atribución turbia.
Si defiende una bolsa, un regulador o cualquier empresa que tenga acceso a información que mueve el mercado, introduzca los hashes ahora y observe el comportamiento detrás de ellos: actividad inusual de exportación de buzones de correo, acceso extraño a Outlook, cargas a cuentas personales de Dropbox o OneDrive, túneles inesperados y volcado de credenciales en sistemas vinculados a usuarios privilegiados.
