Microsoft informó sobre una campaña de phishing dirigida a más de 35 000 usuarios en 13 000 empresas, principalmente en los Estados Unidos, entre el 14 y el 16 de abril de 2026. Esta campaña afectó a organizaciones en 26 países, con el 92 % de los correos electrónicos enviados a entidades con sede en los EE. UU.
Los sectores de la salud y las ciencias de la vida fueron los más afectados, representando el 19% de las víctimas. Otros sectores afectados incluyeron servicios financieros con un 18%, servicios profesionales con un 11% y tecnología y software, también con un 11%.
Según el aviso de Microsoft, los correos electrónicos de phishing utilizaban plantillas HTML pulidas de estilo empresarial que incluían indicaciones de acción urgente. Estos diseños tenían como objetivo crear una sensación de autenticidad y urgencia, haciendo que los correos electrónicos parecieran creíbles como comunicaciones internas legítimas.
Los atacantes se hicieron pasar por varias identidades, incluidas «COC regulatorio interno», «Comunicaciones de la fuerza laboral» y «Informe de conducta del equipo». Los correos electrónicos afirmaban haber sido emitidos a través de un «canal interno autorizado», indicando que los enlaces y archivos adjuntos fueron «revisados y aprobados para un acceso seguro».
La campaña empleó tácticas para eludir las medidas tradicionales de seguridad del correo electrónico, como SPF, DKIM y DMARC, mediante el envío de correos electrónicos desde servicios legítimos. Las víctimas eran dirigidas a través de archivos adjuntos PDF maliciosos, que conducían a páginas de destino dañinas.
El proceso incluyó múltiples redirecciones CAPTCHA destinadas a generar una falsa sensación de legitimidad y filtrar las defensas automatizadas. El objetivo final era recolectar credenciales y tokens de Microsoft en tiempo real, evitando efectivamente la autenticación multifactor (MFA).
