Netcrook Logo
👤 CRYSTALPROXY
🗓️ 13 Apr 2026   🌍 North America

Piratas de Nómina: Cómo los Secuestradores de Sesiones Están Saqueando los Sueldos Canadienses

Una nueva ola de ciberdelincuencia está redirigiendo salarios mediante el sigiloso secuestro de sesiones, eludiendo la seguridad tradicional y dejando a los trabajadores canadienses con las manos vacías.

Es día de pago, pero tu cuenta está vacía. Llamas a Recursos Humanos. Insisten en que tu salario fue enviado a tiempo. Mientras tanto, al otro lado del mundo, un ciberdelincuente celebra un golpe limpio. Bienvenido a la última evolución del robo de salarios: una campaña calculada del actor de amenazas Storm-2755, que explota grietas invisibles en la identidad digital para desviar silenciosamente los sueldos canadienses.

Datos Rápidos

  • Storm-2755 apunta a empleados canadienses secuestrando sesiones de Microsoft 365.
  • Los atacantes utilizan envenenamiento SEO y malvertising para atraer a las víctimas a una página de inicio de sesión falsa.
  • Las credenciales y los tokens de sesión se capturan mediante una configuración de adversario en el medio.
  • Las sesiones secuestradas pueden permanecer activas hasta 30 días, permitiendo fraudes repetidos.
  • Los atacantes eluden la MFA tradicional y los controles de acceso reproduciendo los tokens robados.

Dentro del Saqueo de Nómina

Storm-2755, rastreado por el Equipo de Detección y Respuesta de Microsoft, no es un grupo de ciberdelincuencia común. A diferencia de agrupaciones anteriores que atacaban universidades estadounidenses, esta campaña está enfocada con precisión láser en organizaciones canadienses de todo tipo, apuntando a cualquiera cuyos empleados puedan ser engañados por un señuelo de phishing convincente.

La operación comienza con un anzuelo digital: dominios controlados por los atacantes, como bluegraintours[.]com, son impulsados artificialmente a la cima de los resultados de búsqueda para consultas populares como “Office 365” o incluso errores comunes como “Office 265”. Usuarios desprevenidos aterrizan en una réplica casi perfecta de la página de inicio de sesión de Microsoft 365. Pero este no es un sitio de phishing común: es un proxy de adversario en el medio (AiTM), que captura de forma transparente tanto las credenciales de inicio de sesión como, crucialmente, los tokens de sesión activos.

Lo que hace que esta campaña sea especialmente insidiosa es su sofisticación técnica. Al insertarse entre el usuario y el sistema de autenticación de Microsoft, Storm-2755 recolecta no solo contraseñas, sino también cookies de sesión y tokens OAuth - llaves digitales que permiten acceso continuo a las cuentas sin activar nuevas comprobaciones de seguridad. La telemetría de Microsoft revela un patrón revelador: tras varios intentos fallidos, aparece un inicio de sesión exitoso, pero el ID de sesión subyacente permanece sin cambios, lo que indica un token reproducido en lugar de un inicio de sesión nuevo.

El uso por parte de los atacantes del cliente HTTP Axios, y la aparente explotación de una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) (CVE‑2025‑27152), les permite mantener el acceso e incluso manipular servicios de backend durante la reproducción. Una vez dentro, evitan el malware evidente y se enfocan en el sigilo. Inicios de sesión no interactivos en OfficeHome ocurren cada 30 minutos, manteniendo la sesión robada activa hasta un mes, a menos que los defensores actúen.

¿El objetivo final? Cambiar silenciosamente los datos de depósito directo, redirigiendo los salarios a cuentas bancarias controladas por los atacantes. Las víctimas a menudo no se dan cuenta de lo sucedido hasta que el dinero ya ha desaparecido.

Defendiéndose de Ladrones Invisibles

Microsoft insta a las organizaciones a tratar a Storm-2755 como un modelo para el futuro del fraude salarial. Las respuestas rápidas - revocar tokens, restablecer credenciales y MFA, eliminar reglas de bandeja de entrada - son cruciales. Pero la verdadera defensa reside en actualizar a MFA resistente al phishing (como FIDO2), endurecer los controles de sesión y habilitar la evaluación continua de acceso para cortar los tokens robados en cuanto cambien las condiciones de riesgo.

Conclusión

La campaña de Storm-2755 es una advertencia contundente: en la era del secuestro de sesiones, las contraseñas y la MFA tradicional ya no son suficientes. A medida que los atacantes se vuelven más audaces e ingeniosos, las organizaciones deben replantear sus defensas - o arriesgarse a ver cómo sus nóminas desaparecen en el éter digital.

WIKICROOK

  • Envenenamiento SEO: El envenenamiento SEO ocurre cuando los atacantes manipulan los resultados de búsqueda para promover sitios web maliciosos, engañando a los usuarios para que visiten páginas dañinas o fraudulentas.
  • Adversario: Un adversario es cualquier persona o grupo que intenta vulnerar sistemas informáticos o datos, a menudo con fines maliciosos como robo o sabotaje.
  • Token de Sesión: Un token de sesión es un código digital único que mantiene a los usuarios conectados a sitios web o aplicaciones. Si es robado, los atacantes pueden acceder a las cuentas sin necesidad de contraseña.
  • Servidor: Un servidor es una computadora o software que proporciona datos, recursos o servicios a otras computadoras, llamadas clientes, a través de una red.
  • Phishing: El phishing es un ciberdelito en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
Session Hijacking Cybercrime Canadian Payroll
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news