En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
Redazione Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...
OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
Redazione
