En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
En los últimos años, Microsoft Teams se ha convertido en una de las herramientas de colaboración más populares en las empresas, transformándose en un canal estratégico no solo para la comunicación, sino también para la gestión de documentos, reuniones y procesos operativos.
Sin embargo, esta creciente importancia no ha pasado desapercibida para los ciberdelincuentes, quienes están desarrollando técnicas de ataque e ingeniería social cada vez más sofisticadas en esta plataforma, con el objetivo de infiltrarse en las redes corporativas y robar información confidencial. La combinación de confianza implícita en la herramienta y el alto volumen de comunicaciones diarias crea un terreno fértil para campañas de ataque dirigidas.
Un claro ejemplo es la vanguardista operación de ingeniería social orquestada por el grupo malicioso EncryptHub, que implementó una estrategia perversa capaz de combinar técnicas de suplantación de identidad con exploits técnicos específicos. Como se anticipó en el análisis de ayer, esta avanzada campaña aprovecha tácticas de suplantación de identidad y vectores de ciberataque, comprometiendo significativamente la seguridad de la infraestructura corporativa.
Este nuevo enfoque, que se hace pasar por personal de TI, demuestra cómo se difuminan los límites entre la ingeniería social y los ataques técnicos, lo que abre escenarios cada vez más complejos para la ciberdefensa.
El ataque comienza con actores de amenazas que se hacen pasar por departamentos internos de TI y envían solicitudes de conexión de Microsoft Teams a los empleados objetivo.
Una vez que las víctimas aceptan la solicitud y establecen una sesión remota, los atacantes las guían a través de la ejecución de comandos de PowerShell que parecen legítimos, pero que en realidad descargan y ejecutan scripts maliciosos.
El comando inicial ejecutado elude las políticas de seguridad de Windows y descarga un script de PowerShell llamado «runner.ps1» desde dominios controlados por el atacante, como cjhsbam[.]com.
Este script está diseñado para explotar CVE-2025-26633, una vulnerabilidad en el framework de la Consola de Administración de Microsoft denominada «MSC EvilTwin».
CVE-2025-26633 se divulgó oficialmente como una vulnerabilidad de día cero en marzo de 2025, aunque se observaron ejemplos de ataques relacionados ya en febrero de 2025. Desde entonces, Microsoft ha publicado parches de seguridad, pero la vulnerabilidad continúa explotándose activamente contra sistemas sin parches.
La vulnerabilidad tiene una puntuación CVSS de 7.0, lo que indica una gravedad alta, y se ha añadido al catálogo de vulnerabilidades explotadas conocidas de CISA, lo que subraya su carácter crítico para agencias federales y entornos empresariales.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
La campaña destaca la persistente eficacia de los ataques de ingeniería social combinados con la explotación técnica. «La ingeniería social sigue siendo una de las herramientas más eficaces en el arsenal de un ciberdelincuente, y el grupo emergente EncryptHub se ha sumado rápidamente a esta tendencia», señalaron los investigadores de Trustwave.
Los expertos en ciberseguridad recomiendan implementar estrategias de defensa multicapa, incluyendo la corrección inmediata de CVE-2025-26633, la monitorización avanzada de la actividad de Microsoft Management Console y una formación integral de usuarios centrada en las tácticas de ingeniería social.
Las organizaciones también deberían limitar las capacidades de acceso remoto e implementar procedimientos estrictos de verificación de las interacciones con el soporte de TI.
Redazione Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
Redazione
