Las herramientas DEBULL abusan del flujo de código de dispositivo de Microsoft para apuntar a cuentas M365

Se ha observado una campaña de phishing de código de dispositivo Microsoft 365 que aprovecha señuelos con temas de colaboración para tomar el control de las cuentas de las víctimas entre la última semana de junio de 2026 y principios de julio, según recomendaciones de ZeroBEC.

«La campaña no dependía de una página de contraseña falsa de Microsoft. Utilizó un señuelo malicioso de estilo colaborativo para empujar a los usuarios a la experiencia legítima de inicio de sesión del dispositivo Microsoft, mientras que un agente backend generaba y sondeaba tokens de código de dispositivo del Agente de Autenticación de Microsoft», dijo la compañía de seguridad de correo electrónico en un informe compartido con The Hacker News.

Se evalúa que la actividad comparte superposiciones «fuertes» con una campaña documentada por Microsoft en febrero de 2025 bajo el nombre de Storm-2372, incluido el uso de mensajes o señuelos estilo Teams para engañar a víctimas desprevenidas para que ingresen un código de dispositivo proporcionado por el atacante, junto con sus credenciales, lo que permite efectivamente al actor de amenazas recuperar el token y secuestrar su cuenta.

A pesar de estas similitudes, se evalúa que los actores de amenazas están empleando técnicas de estilo Storm-2372 a través de lo que se ha descrito como una capa de herramientas reutilizable llamada DEBULL.

El phishing de código de dispositivo se refiere a una técnica de robo de identidad en la que los atacantes explotan un mecanismo de autenticación OAuth 2.0 legítimo, específicamente el flujo de concesión de autorización de dispositivo, para evitar la autenticación multifactor (MFA) y obtener acceso persistente a la cuenta sin tener que robar las contraseñas de los usuarios.

A diferencia de los ataques de phishing tradicionales que requieren que los operadores configuren páginas de inicio de sesión falsas de adversario en el medio (AitM), el phishing de código de dispositivo se basa en manipular a un usuario para que complete un mensaje de autenticación real y confiable.

Ciberseguridad

Autenticación de código de dispositivo, por microsoftes un flujo OAuth legítimo diseñado para dispositivos con interfaces limitadas, como televisores inteligentes o impresoras, que no pueden admitir un inicio de sesión interactivo tradicional. En este escenario, al usuario se le presenta un código corto en el dispositivo desde el que intenta iniciar sesión y se le solicita que ingrese ese código en un navegador web en un dispositivo separado para completar la autenticación.

Los actores de amenazas tienen abusado esta separación para insertarse y iniciar el flujo de autenticación. Luego, comparten ese código con el objetivo a través de un señuelo de phishing. Así, cuando el usuario ingresa el código, autoriza la sesión del actor de la amenaza sin su conocimiento, otorgándole acceso a la cuenta.

«El phishing del código del dispositivo no se abre camino», Huntress notas. «Utiliza un flujo de autenticación legítimo para atravesar la puerta principal, sin necesidad de contraseña, sin pasar por MFA y con tokens de sesión entregados directamente al atacante».

Los ataques exitosos de phishing de código de dispositivo pueden facilitar la apropiación total de la cuenta, el robo de información valiosa, el fraude, el compromiso del correo electrónico empresarial (BEC), el movimiento lateral dentro de un entorno comprometido e incluso ataques disruptivos como el ransomware.

«En la mayoría de los ataques de phishing de código de dispositivo actuales, el código se genera dinámicamente cuando un usuario hace clic en el enlace de phishing inicial. Este cambio aparentemente pequeño permite al usuario ver el correo electrónico en cualquier momento para iniciar la cadena de ataque», Proofpoint dicho en un análisis publicado en mayo de 2026. «Estas nuevas implementaciones de las cadenas de ataque de código de dispositivo se pueden comprar a través de ofertas de phishing como servicio (PhaaS), como EvilTokens o Tycoon, o pueden ser creadas y propiedad del actor de amenazas que realiza las campañas».

También se sabe que estas campañas aprovechan el salto de toma de control de cuenta (ATO), una técnica en la que un atacante compromete una cuenta de correo electrónico inicial y luego abusa de ella para enviar enlaces de phishing a un conjunto más amplio de contactos en forma de botón, texto con hipervínculo, incrustado en un documento o código QR. Los enlaces, cuando los visita el destinatario, inician una secuencia de ataque que emplea el proceso de autorización de dispositivos de Microsoft.

ZeroBEC dijo que la campaña que observó implica el uso de pretextos de pago y carpetas compartidas en correos electrónicos de phishing para engañar a las víctimas para que hagan clic en una URL que las lleva a un sitio web de alquiler croata legítimo pero comprometido, que, a su vez, actúa como un orquestador de códigos de dispositivos utilizado para iniciar la cadena de desafío de códigos de dispositivos de Microsoft.

El flujo de trabajo se caracteriza por la presencia de marcadores de desarrollador en idioma turco, aunque las pistas no son suficientes para atribuir definitivamente la procedencia de la campaña. Un análisis más detallado de la infraestructura ha revelado que DEBULL es probablemente una plataforma de phishing como servicio (PhaaS) que utiliza GraphSpy o un flujo de trabajo derivado de GraphSpy para Microsoft 365 y Entra post-explotación.

«Los operadores pueden definir un nombre de página y un slug, editar HTML, CSS y JavaScript directamente y luego elegir cómo se publica el señuelo», dijo ZeroBEC. «Las plantillas integradas incluían una página de autenticación de código de dispositivo de Microsoft 365, una página de devolución de llamada de OAuth y una página de inicio moderna. La plantilla de Microsoft 365 es especialmente importante porque expone el bloque de construcción exacto utilizado por la campaña: una visualización del código de usuario, un comportamiento de copia de código y un vínculo para iniciar sesión en el dispositivo de Microsoft».

«La conclusión más útil es que el arte de identidad al estilo Storm-2372 ahora se está empaquetando en una infraestructura de corredor reutilizable. DEBULL proporciona la capa orientada a la campaña y al operador. GraphSpy o el código derivado de GraphSpy probablemente maneja la capa posterior a la autenticación. El atractivo se puede cambiar sin cambiar la pila de identidades del backend».

La divulgación se produce como lo dijo Cisco Talos. identificado un panel de operador PhaaS con todas las funciones llamado ARToken que comparte infraestructura, contratos API y patrones operativos con la plataforma de phishing de código de dispositivo EvilTokens y está disponible para los afiliados.

Ciberseguridad

«El panel ARToken expone más de 80 puntos finales API para phishing de códigos de dispositivos, persistencia de tokens de actualización primaria (PRT), acceso a correo electrónico, operaciones de compromiso de correo electrónico empresarial (BEC) y exfiltración de SharePoint, todo accesible para los operadores a través de un panel basado en React», dijo Talos.

EvilTokens, como DEBULL, permiten a los atacantes utilizar tokens recolectados como armas para filtrar correos electrónicos, archivos y otros datos confidenciales de cuentas de Microsoft comprometidas, realizar reconocimientos a través de Microsoft Graph API y establecer acceso persistente. Además, incorpora Funciones impulsadas por inteligencia artificial (IA) para automatizar y escalar los flujos de trabajo de BEC, como examinar miles de correos electrónicos recopilados, identificar hilos de correo electrónico relacionados con finanzas y redactar borradores de correos electrónicos de BEC.

ARToken funciona como un conjunto de herramientas completo posterior al compromiso que permite a los operadores aprovechar el token de acceso capturado recuperado luego de una autenticación exitosa del código del dispositivo para mantener el acceso, realizar operaciones de correo electrónico, acceder a OneDrive y SharePoint, y explorar las sesiones de Microsoft 365 de las víctimas fuera del panel utilizando una herramienta dedicada conocida como ARTBrowser.

«Estas características indican que la plataforma es más madura que un simple kit de phishing de código de dispositivo: es un entorno de operaciones BEC completo», dijo el investigador de Talos, Michael Kelley.

El aumento de los ataques de phishing de códigos de dispositivos también ha llevado a otros kits PhaaS como Tycoon 2FA a adoptar la técnica para secuestrar cuentas de Microsoft 365 en sus rebote después de una operación policial, lo que indica un cambio más amplio dentro del panorama de amenazas.

«Los operadores de Tycoon 2FA han reutilizado su kit PhaaS existente como marco de entrega para el phishing de concesión de código de dispositivo OAuth», eSentire anotado en mayo de 2026. «El ataque comienza cuando una víctima hace clic en una URL de seguimiento de clics de Trustifi en un correo electrónico atractivo y culmina cuando la víctima, sin saberlo, otorga tokens OAuth a un dispositivo controlado por el atacante a través del flujo legítimo de inicio de sesión del dispositivo de Microsoft en microsoft.com/devicelogin».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *