Una sofisticada campaña cibernética ha armado un marco legítimo de pruebas de penetración para comprometer miles de cuentas de Microsoft Cloud en cientos de organizaciones en todo el mundo.
La operación maliciosa, designada unk_sneakystrike, aprovecha la filtración de equipo, una herramienta popular de ciberseguridad diseñada originalmente para las evaluaciones de seguridad de Office 365, para realizar ataques de adquisición de cuentas a gran escala dirigidos a equipos de Microsoft, OnEdrive, Outlook y otras aplicaciones empresariales.
TeamFiltration surgió en enero de 2021 como un marco robusto creado por investigadores de amenazas y publicado públicamente en Defcon30.
Originalmente, la herramienta tenía la intención de ayudar a los profesionales de la seguridad a simular intrusiones contra entornos en la nube, ofreciendo capacidades para la adquisición de la cuenta de ID de Office 365, la exfiltración de datos y el establecimiento de acceso persistente.
Sin embargo, como muchas herramientas de seguridad de doble uso, TeamFiltration ahora ha sido reutilizado por los ciberdelincuentes para realizar ataques no autorizados contra organizaciones legítimas.
La campaña Unk_Sneakystrike comenzó sus operaciones en diciembre de 2024, con actividad en enero de 2025.
Investigadores de prueba identificado El uso malicioso de la filtración de equipo mediante un análisis cuidadoso de las características distintivas de la herramienta y los patrones de ataque.
Desde el inicio de la campaña, los actores de amenaza han apuntado a más de 80,000 cuentas de usuarios en aproximadamente 100 inquilinos en la nube, lo que resulta en múltiples compromisos de cuentas exitosos.
Los atacantes explotan las capacidades avanzadas de TeamFiltration para realizar ataques sistemáticos de enumeración y contraseña de contraseña.
El marco utiliza la API de Microsoft Teams y la infraestructura de servicios web de Amazon desplegados en múltiples regiones geográficas, con la mayoría del tráfico malicioso que se origina en los Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).
Este enfoque distribuido ayuda a los atacantes a evadir la detección mientras mantienen la resiliencia operativa.
Mecanismo de infección e implementación técnica
La sofisticación técnica de unk_sneakystrike radica en su explotación del ecosistema de aplicaciones de clientes OAuth de Microsoft.
Flujo de ejecución de TeamFiltration (Fuente – PRUEBA)
TeamFiltration se dirige a aplicaciones de clientes específicas que pertenecen al grupo “Token de actualización familiar” de Microsoft, lo que permite a los atacantes obtener tokens de autenticación especiales que se pueden intercambiar en múltiples servicios de Microsoft.
La configuración del marco revela una lista predefinida de aplicaciones de destino:-
var clientIdList = new List {(“1FEC8E78-BCE4-4AAF-AB1B-5451CC387264”, “Microsoft Teams”), (“04B07795-8DDB-461A-BBEE-02F9E1BF7B46”, “Microsoft Azure CLI”),,,,,,,,,,,,,, “),,,”),, “),”), “),”), ” (“AB9B8C07-8F02-4F72-87FA-80105867A763”, “OneDrive SyncEngine”), (“D3590ED6-52B3-4102-AFF-AAD2292AB01C”, “Microsoft Office”)};
Los analistas de Probpoint señalaron que los atacantes mantienen la persistencia a través de una técnica de “trasero” a través de OneDrive, cargando archivos maliciosos a entornos de destino y reemplazando archivos de escritorio legítimos con lookalike cargados de malware.
El patrón de ataque de la campaña implica ráfagas altamente concentradas dirigidas a múltiples usuarios dentro de entornos de nube individuales, seguido de períodos inactivos que duran de cuatro a cinco días.
Este enfoque táctico, combinado con la rotación sistemática de la región de AWS, demuestra la sofisticada comprensión de los actores de la amenaza de las técnicas de evasión de detección y la gestión de la infraestructura.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
