Un grupo de ciberdelincuencia identificado como Storm-2657 ha atacado a empleados universitarios de EE. UU. desde marzo de 2025, utilizando ataques de «pirata de nómina» para comprometer cuentas y secuestrar pagos de salarios mediante sofisticadas tácticas de ingeniería social destinadas a eludir las medidas de seguridad. Los analistas de Microsoft Threat Intelligence que descubierto La campaña observó que los actores de amenazas se dirigen específicamente a las cuentas de Workday para desviar la nómina. Los analistas señalaron, sin embargo, que los métodos de ataque no son exclusivos de una plataforma, lo que indica que otros sistemas de software como servicio (SaaS) de recursos humanos (RRHH) de terceros también podrían ser vulnerables a técnicas de infiltración similares. La atención se mantiene en las plataformas que manejan datos confidenciales de los empleados y transacciones financieras. Según un informe de Microsoft, la escala de la operación ha sido significativa. «Hemos observado 11 cuentas comprometidas con éxito en tres universidades que se utilizaron para enviar phishing «Estos ataques no representan ninguna vulnerabilidad» en la plataforma o los productos de Workday, sino más bien actores de amenazas motivados financieramente que utilizan tácticas sofisticadas de ingeniería social y aprovechan la falta total de autenticación multifactor (MFA) o la falta de MFA resistente al phishing para comprometer cuentas”. Para ejecutar los ataques, Storm-2657 crea correos electrónicos de phishing personalizados para cada objetivo para aumentar su credibilidad y la probabilidad de éxito. Los temas de estos correos electrónicos son variados y están diseñados para provocar una respuesta inmediata por parte del destinatario. Ejemplos de estas comunicaciones engañosas incluyen advertencias urgentes sobre brotes de enfermedades en el campus, informes confidenciales sobre presunta mala conducta de los profesores y correos electrónicos que se hacen pasar por el rector de la universidad. Otros señuelos incluyen mensajes que pretenden ser de RR.HH., compartir información sobre compensaciones y beneficios de los empleados o vincular a documentos de RR.HH. falsificados a los que se requieren credenciales del usuario para acceder. El método técnico para el compromiso inicial implica el uso de enlaces de adversario en el medio (AITM) integrados en los correos electrónicos de phishing. Cuando una víctima hace clic en estos enlaces, se la dirige a una página de inicio de sesión falsa que intercepta sus credenciales, incluidas las códigos de autenticación multifactor que ingresan. Este robo de códigos MFA es lo que permite a los actores de amenazas obtener acceso no autorizado a la cuenta Exchange Online de la víctima, estableciendo un punto de apoyo inicial dentro de la red de la universidad. Una vez dentro de una cuenta de correo electrónico pirateada, los atacantes toman medidas inmediatas para cubrir sus huellas y facilitar el robo financiero. Configuran nuevas reglas de bandeja de entrada diseñadas para buscar y eliminar automáticamente cualquier correo electrónico de notificación de advertencia enviado desde Workday. esta acción impide que el usuario legítimo sea alertado sobre cambios posteriores no autorizados realizados en su perfil. Con este ocultamiento, los atacantes utilizan el inicio de sesión único (SSO) para pasar de la cuenta de correo electrónico comprometida directamente al perfil de Workday de la víctima. A partir de ahí, modifican las configuraciones de pago de salarios, redirigiendo futuros depósitos de nómina a cuentas financieras bajo su control. Las cuentas comprometidas también sirven como plataforma de lanzamiento para expandir el ataque. «Tras el compromiso de las cuentas de correo electrónico y las modificaciones de la nómina en Workday, el actor de amenazas aprovechó las cuentas a las que accedió recientemente para distribuir más correos electrónicos de phishing, tanto dentro de la organización como externamente a otras universidades», agregó Microsoft. Para mantener el acceso a largo plazo, los atacantes establecieron persistencia registrando sus propios números de teléfono como dispositivos MFA para las cuentas comprometidas. Esto se hizo a través de los perfiles de Workday o Duo MFA asociado. configuraciones, lo que les permite aprobar futuras acciones maliciosas y evadir la detección incluso si se cambiaron las contraseñas. En respuesta a la campaña, Microsoft identificó a los clientes afectados y se comunicó con algunos para brindarles asistencia con la mitigación. La compañía también publicó una guía detallada para ayudar a las organizaciones a investigar estos ataques e implementar MFA resistente al phishing, una defensa clave para proteger las cuentas de los usuarios de este tipo de compromiso. Estos ataques de «piratas de nómina» se clasifican como Variante de estafas de compromiso de correo electrónico empresarial (BEC), que en general se dirige a empresas e individuos que procesan regularmente pagos por transferencia bancaria.
