¡Se acerca la piratería de nóminas! Y la transferencia de nóminas va a parar a manos de delincuentes.

Redazione RHC : 28 octubre 2025 06:40

Según un nuevo informe de Microsoft Threat Intelligence , el grupo Storm-2657, con motivaciones financieras, está llevando a cabo ataques a gran escala contra universidades y empresas , utilizando cuentas de empleados robadas para redirigir los salarios a sus propias cuentas bancarias.

Los expertos denominan a este tipo de ataque » piratería de nóminas». Durante la campaña, los atacantes intentaron acceder a plataformas de RR. HH. en la nube, como Workday, para alterar los datos de nómina de las víctimas.

Una investigación de Microsoft reveló que la campaña había estado activa desde la primera mitad de 2025. Los atacantes utilizaron correos electrónicos de phishing cuidadosamente elaborados para robar códigos de autenticación multifactor mediante esquemas Adversario-en-el-Middle (AitM).

Tras obtener las credenciales de inicio de sesión, se infiltraron en las bandejas de entrada de los empleados y en los servicios de RR. HH. de la empresa, donde modificaron la configuración de pago . Para ocultar su rastro, Storm-2657 creó reglas de Outlook que suprimieron automáticamente las notificaciones de Workday ante cualquier cambio de perfil.

Microsoft registró al menos 11 ataques de cuentas exitosos en tres universidades. Estas direcciones se utilizaron para enviar miles de correos electrónicos de phishing a otros campus, con un total aproximado de 6000 víctimas potenciales en 25 universidades .

Algunos mensajes parecían ser bajas médicas o una investigación sobre un incidente en el campus . Los asuntos incluían » Caso similar a COVID reportado: Verifique el estado de su contacto » o » Informe de mala conducta del profesorado «. Otros correos electrónicos imitaban correos de recursos humanos y contenían enlaces a documentos supuestamente oficiales sobre salarios y compensaciones . Google Docs, una herramienta común en el ámbito académico, se usaba a menudo como camuflaje, lo que dificultaba la detección de los ataques.

Una vez que obtuvieron acceso, los atacantes modificaron los perfiles de las víctimas, a menudo reemplazando las cuentas bancarias utilizadas para las transferencias de nómina . En algunos casos, también agregaron sus propios números de teléfono como dispositivos MFA, manteniendo así el control del perfil sin el conocimiento del propietario. Estas acciones se registraron en los registros de Workday como eventos » Cambiar cuenta » o » Administrar opciones de pago «, pero los usuarios no fueron notificados debido a los filtros de correo electrónico.

Microsoft enfatiza que los ataques no están relacionados con vulnerabilidades en los productos Workday. El problema radica en la falta o debilidad de la protección MFA . Por lo tanto, la compañía insta a las organizaciones a migrar a métodos de autenticación avanzados y resistentes al phishing: claves FIDO2 , Windows Hello para Empresas y Microsoft Authenticator .

Se recomienda a los administradores que fuercen estos métodos en el ID de inicio de sesión e implementen la autenticación sin contraseña.

La publicación de Microsoft describe los llamados a herramientas de seguridad que puedan detectar señales de intrusión, desde reglas de correo electrónico sospechosas hasta cambios en los detalles de pago y nuevos dispositivos MFA .

La compañía también informa que ya se ha puesto en contacto con varias organizaciones afectadas, proporcionándoles información sobre las TTP utilizadas y recomendaciones para restaurar la seguridad.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli