Una sofisticada campaña de ataque cibernético ha sido descubierta, en la cual agentes maliciosos están explotando la plataforma Microsoft Teams para la distribución de software malicioso y el establecimiento de acceso persistente en redes corporativas.
Estos ataques representan una evolución en las tácticas de ingeniería social y están dirigidos específicamente a sistemas Windows. Se valen de una técnica novedosa que, según expertos en seguridad, constituye una amenaza significativa para la seguridad empresarial.
En marzo de 2025, la empresa ReliaQuest identificó una compleja cadena de ataque que involucra el uso de phishing a través de Microsoft Teams y la implementación de un método de persistencia nunca antes documentado, denominado secuestro de TypeLib.
Los atacantes se hacen pasar por personal de soporte de TI y envían mensajes de phishing a los empleados a través de Teams, explotando el estado confiable de la plataforma dentro de las organizaciones.
«Los ataques comenzaron cuando el adversario envió mensajes de phishing a los empleados de nuestros clientes a través de Microsoft Teams», dijo ReliaQuest a Cyber Security News. «El atacante utilizó el inquilino fraudulento de Microsoft 365 con el nombre para mostrar ‘Soporte técnico’ para hacerse pasar por un miembro del personal de TI».
Después de establecer contacto, los atacantes convencen a las víctimas para que inicien la herramienta «Quick Assist» incorporada en Windows, lo que permite el acceso remoto al sistema de la víctima.
Este enfoque refleja una tendencia más amplia observada a lo largo de 2024 y principios de 2025, donde se aprovechan herramientas legítimas en más del 60% de los incidentes con manos en el teclado.
Lo que hace que estos ataques sean particularmente preocupantes es la implementación del secuestro TypeLib, una técnica de persistencia teorizada por primera vez por investigadores de seguridad pero que ahora se observa en ataques del mundo real. Este método implica manipular el Registro de Windows para redirigir objetos COM legítimos a scripts maliciosos alojados en URL externas.
«Si explorer.exe llama a la función LoadTypeLib() y secuestramos las claves de registro necesarias para el apodo, se creará una instancia del apodo dentro de explorer.exe y su código se ejecutará», explicaron los investigadores que descubrieron inicialmente la técnica.
Esto permite a los atacantes mantener un acceso persistente que se reactiva automáticamente después de que se reinicia el sistema.
Los expertos en seguridad han vinculado estas técnicas con Storm-1811, un grupo de amenazas conocido por implementar el ransomware Black Basta. Sin embargo, ReliaQuest señala que los ataques muestran evidencia de evolución o posible fragmentación entre los actores de amenazas previamente asociados con Black Basta1.
Las campañas demuestran objetivos precisos, con ataques cuidadosamente programados entre las 2:00 p.m. y 15:00 h. hora local cuando los empleados pueden estar menos atentos. Los atacantes se dirigen específicamente a empleados de nivel ejecutivo y han mostrado un patrón de centrarse en empleados con nombres que suenan femeninos.
Microsoft ha reconocido un aumento significativo de los ataques de phishing a Teams desde abril de 2024, lo que ha provocado numerosos incidentes de seguridad relacionados con los terminales. La configuración predeterminada de Microsoft Teams, que permite llamadas y chats desde dominios externos, se ha convertido en una vulnerabilidad clave explotada por los actores de amenazas.
La empresa de ciberseguridad Sophos ha observado que múltiples actores de amenazas adoptan técnicas similares, incluidos grupos potencialmente conectados a FIN7.
Para defenderse de estos ataques, los expertos en seguridad recomiendan implementar controles estrictos en las comunicaciones externas en Microsoft Teams, habilitar la autenticación multifactor y realizar capacitaciones periódicas para concienciar a los usuarios. Las organizaciones también deberían reforzar los sistemas Windows para evitar la ejecución de código malicioso mediante el secuestro de TypeLib.
Dado que el trabajo remoto sigue siendo una práctica común, las plataformas de colaboración como Microsoft Teams siguen siendo objetivos principales para los atacantes que buscan eludir las medidas tradicionales de seguridad del correo electrónico y explotar la confianza de los empleados en las herramientas de comunicación empresarial.
