En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
Redazione Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
Redazione
