En los últimos meses, los investigadores de ciberseguridad han observado un aumento en los registros de dominios maliciosos vinculados a un grupo emergente de delitos electrónicos conocido como intoxicación.
Identificado por primera vez en abril de 2025, este actor ha centrado sus esfuerzos en hacerse pasar por plataformas de correo electrónico legítimas basadas en la nube, especialmente SendGrid, a las credenciales de la empresa cosecha.
Al integrar los intersticiales falsos de Cloudflare Captcha y los datos de ID de rayos en su infraestructura de phishing, la envenenamiento ha logrado evadir detecciones superficiales y atraer objetivos desprevenidos para que entreguen información de inicio de sesión.
Analistas de Domaineols anotado que entre junio y septiembre de 2025, la envenenamiento se registró más de veinte dominios que imitan de cerca los portales de inicio de sesión de Sendgrid.
Estos dominios a menudo se alojaban en rangos de IP asignados a la Corporación de TI del sistema de datos globales (AS42624) y se registraron a través de NiDenic International Group Co., un registrador que ha atraído el escrutinio por sus procesos de verificación laxos.
Los investigadores identificaron errores ortográficos sutiles y estructuras de ruta adicionales, como “sgportAxecutive (.) Com” y “interno-sendgrid (.) Com”, diseñado para explotar tanto la confianza del usuario como las herramientas de detección automatizadas.
El impacto de la campaña de envenenamiento se extiende más allá del simple robo de credenciales. Una vez que se comprometen las credenciales empresariales, el actor despliega técnicas de movimiento lateral dentro de los entornos corporativos para expandir el acceso.
Esta progresión puede conducir a la exfiltración de datos, transferencias de fondos fraudulentos e incluso la implementación de ransomware.
En un incidente no reportado, el envenenamiento aprovechó las credenciales cosechadas para enviar invitaciones de phishing internas a objetivos de alto valor, en última instancia, desviando datos financieros confidenciales.
A pesar de la sofisticación de estas campañas, la evasión de detección sigue siendo un enfoque central para la envenenada.
Al integrar la lógica Captcha Fake Based JavaScript y las ID de rayos generadas dinámicamente, el grupo asegura que cada intersticial parezca único.
Además, su uso de co-anfitrión en dominios de aspecto legítimo agrega una capa adicional de sigilo, retrasando a los equipos de respuesta a incidentes de aislar la infraestructura maliciosa.
Mecanismo de infección y evasión de detección
Un examen más detallado del mecanismo de infección del envenenamiento revela un proceso de varias etapas que capitaliza la confianza humana y las debilidades de filtrado automatizadas.
En la fase inicial, las víctimas reciben un correo electrónico que pretende originarse en SendGrid, completo con encabezados de aspecto legítimo y enlaces de seguimiento.
Cuando el objetivo hace clic en el enlace, se redirigen a una página de Desafío Captcha que parece auténtico.
La envenenada incrusta las fichas de sesión falsificadas para mantener la ilusión de la autenticidad. Después de la validación, los usuarios se les presenta un segundo formulario que solicita sus credenciales SendGrid.
En esta coyuntura, el actor captura los datos enviados antes de reenviar a la víctima a la página legítima de inicio de sesión SendGrid, minimizando la sospecha.
El uso de redireccionamientos encadenados y la ofuscación de guiones asegura que las blocks de URL tradicionales y las defensas basadas en la firma luchen por mantener el ritmo de la infraestructura de dominio que cambia rápidamente.
Al girar continuamente los nombres de dominio y aprovechar los entornos de alojamiento comprometidos, el envenenamiento mantiene una operación de phishing resistente que exige inteligencia de amenazas avanzada y monitoreo proactivo para contrarrestar de manera efectiva.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
