Una campaña reciente de EvilTokens dirigida a empresas de EE. UU. y Europa está exponiendo un nuevo punto ciego en la seguridad del correo electrónico. Esta técnica de “phishing fantasma” mantiene oculta la página maliciosa hasta que se descifra y cobra vida dentro del navegador de la víctima.
Para los líderes de seguridad, el riesgo es claro: las comprobaciones de URL tradicionales pueden no detectar el ataque, mientras que el acceso a Microsoft 365, los datos confidenciales y el tiempo de respuesta ya están en juego.
El correo electrónico parece seguro. El navegador cuenta una historia diferente
Un ataque reciente de EvilTokens muestra cómo un enlace de phishing puede parecer inofensivo durante la inspección inicial y al mismo tiempo conducir a la apropiación de una cuenta de Microsoft 365.
El kit utiliza Microsoft Device Code Phishing para convencer a las víctimas de que completen un flujo de inicio de sesión legítimo de Microsoft y, sin saberlo, autoricen el acceso a sus cuentas. No es necesario robar la contraseña directamente.
El ataque real permanece oculto hasta que se abre la página en el navegador. Su HTML está cifrado con AES-GCM y se vuelve visible sólo después de que el navegador lo descifra y muestra el contenido de phishing en el DOM.
Como resultado, las comprobaciones de URL estáticas y los controles a nivel de red pueden capturar la respuesta inicial sin ver lo que el empleado realmente ve. Esta brecha de visibilidad puede conducir a:
- Exposición más larga a la adquisición de cuenta de Microsoft 365
- Contención retrasada y decisiones de respuesta
- Acceso no autorizado al correo electrónico corporativo, archivos y servicios en la nube
- Más incierto las alertas aumentaron a analistas senior
- Investigación superior carga de trabajo y costos operativos
- Evidencia incompleta para bloquear la infraestructura relacionada
Sin embargo, el flujo de ataque completo se descubrió dentro del Interactive Sandbox de ANY.RUN. Explore la sesión de análisis para ver qué reveló el navegador y cómo los equipos pueden usar esta evidencia para responder más rápido.
Verifique el reciente ataque de EvilTokens y obtenga IOC relevantes
![]() |
| Se revela un complicado phishing fantasma dentro del sandbox de ANY.RUN |
Dónde está afectando más el phishing fantasma
Threat Intelligence de ANY.RUN muestra la actividad reciente de EvilTokens concentrada en EE. UU. y Europa, dirigida a proveedores de tecnología, manufactura, educación, banca, consultoría, servicios financieros y seguridad administrada.
![]() |
| TI de ANY.RUN muestra actividad de amenazas dirigidas a regiones específicas |
Es difícil ignorar la superposición. Según los datos de envíos de sandbox de ANY.RUN de 15 000 organizaciones, la exposición al phishing en 2026 alcanzó 75,6% en consultoría, 72,8% en servicios financieros, 71,9% en manufactura, 67,9% en tecnología, 66,7% en banca y 66,1% entre MSSP.
Esto hace que el phishing oculto sea especialmente peligroso para estos sectores. Una cuenta de Microsoft 365 comprometida puede exponer datos confidenciales, permitir el compromiso y el fraude del correo electrónico empresarial y desencadenar una costosa respuesta a incidentes.
Cuanto más tiempo permanezca oculto el ataque, mayores serán las posibilidades de que una cuenta se convierta en un incidente comercial más amplio.
Detenga el phishing oculto antes de que le cueste a su negocio.
Reduzca la exposición, los costos de incidentes y el riesgo de apropiación de cuentas.
Haga visible el fantasma antes de que la empresa pague el precio
La forma más eficaz de exponer el phishing fantasma es abrir enlaces sospechosos en un entorno limitado que admita la inspección de datos en el navegador.
Dentro del Interactive Sandbox de ANY.RUN, los analistas van más allá de la respuesta cifrada AES-GCM y ven qué sucede después de que la página se descifra. Pueden ver cómo aparece el contenido de phishing en el DOM, conectar el cambio a una solicitud Fetch/XHR y rastrear el código del dispositivo de Microsoft hasta el punto final /api/device/start.
![]() |
| El DOM HTML descifrado visto en el panel de investigación de datos del navegador |
La vista de datos en el navegador reúne el flujo completo del ataque en una sola investigación:
- Las instantáneas de DOM muestran cuando la página oculta cambia y aparece el código de usuario.
- Las solicitudes HTTP revelan la comunicación backend detrás del flujo de código del dispositivo.
- Los detalles de la URL exponen el destino final y las firmas de detección activadas.
- Los indicadores proporcionan dominios, puntos finales, hashes e infraestructura para una mayor búsqueda.
En lugar de reconstruir el ataque manualmente, los equipos obtienen evidencia directa de cómo se comporta la página, qué solicita y qué artefactos respaldan la contención y la detección.
![]() |
| Instantáneas DOM que muestran el código descifrado |
De la evidencia a nivel del navegador a una transferencia de SOC más clara
Para llevar esta evidencia del Nivel 1 al Nivel 2, la investigación genera automáticamente un informe con un resumen de IA y los próximos pasos recomendados.
![]() |
| Informe generado automáticamente a partir de la sesión de análisis de EvilTokens |
En lugar de reconstruir el caso a partir de datos sin procesar del navegador, los analistas senior reciben los hallazgos clave, el comportamiento observado, los indicadores y el contexto de respuesta en un solo lugar. Esto agiliza las transferencias, reduce el trabajo repetido y ayuda a los equipos a pasar de la validación a la contención con menos demora.
Detenga el phishing fantasma en el navegador antes de que llegue a la empresa
El caso EvilTokens expone una verdad incómoda: un correo electrónico puede pasar la inspección mientras el ataque real espera dentro del navegador.
Sin visibilidad a nivel de navegador, el SOC se ve obligado a tomar decisiones de alto riesgo con evidencia parcial. Ese retraso les da a los atacantes más tiempo para obtener acceso, ampliar su alcance y convertir una cuenta de Microsoft 365 comprometida en un costoso incidente comercial.
Esto ayuda a los líderes de seguridad a:
- Reducir la ventana de exposición antes de que una cuenta comprometida se convierta en un incidente más amplio
- Reducir la presión sobre los analistas senior proporcionando al Nivel 1 suficiente evidencia para resolver más casos
- Acelerar la contención con contexto de ataque completo disponible desde la primera escalada
- Mejorar la cobertura de detección utilizando el comportamiento del navegador, la infraestructura y patrones de ataque repetibles
- Reduzca el costo de la respuesta de phishing eliminando la investigación manual y el trabajo duplicado
- Tomar decisiones de riesgo con evidencia en lugar de confiar en análisis limpios o veredictos no concluyentes
El phishing moderno ya no se revela completamente en el correo electrónico o en la respuesta URL inicial. Los equipos de seguridad necesitan visibilidad que siga el ataque al navegador y lo exponga antes de que la empresa pague el precio.
Reducir la exposición empresarial: Ofrezca a los analistas pruebas completas del navegador para contener el phishing fantasma más rápido y evitar que una cuenta comprometida se convierta en un incidente costoso.







