Un atacante que ejecutaba una operación de phishing en vivo de Microsoft 365 dejó un servidor web Python escuchando en un puerto público con la lista de directorios activada. El comando que lo hizo: python3 -m http.server 8080todavía estaba sentado en el legible .bash_history.
A partir de ese lapso, la empresa de seguridad francesa Lexfo tomó todo el conjunto de herramientas del operador y lo pasó a dos operadores de phishing más, tres campañas en total. Cada uno ejecutó una bifurcación personalizada del proxy Evilginx de código abierto, clonado del GitHub público.
El más grande de los tres había estado funcionando durante más de un año, y sus víctimas en su mayoría eran buzones corporativos.
Los tres superaron MFA de dos maneras mecánicamente diferentes: una mediante proxy del inicio de sesión en vivo y otra abusando de un flujo de inicio de sesión legítimo de Microsoft. Los dos necesitan defensas diferentes, que es la parte que más importa si ejecuta Microsoft 365.
La lista de directorios en un servidor de ataque en funcionamiento está cerca de ser una confesión completa. La lista exponía configuraciones de phishing, registros de recolección de credenciales, instaladores de RMM, listas combinadas, archivos de respaldo y los propios archivos de sesión de Telegram del operador.
Detrás de él se ejecutaba un proxy de adversario en el medio Evilginx y una consola remota SimpleHelp en el mismo host, en 185.163.204(.)7 en Budapest, catalogado a finales de abril de 2026 durante un análisis de rutina de Internet.
El historial de bash y una serie de repositorios públicos apuntaban directamente al operador: un actor egipcio al que la empresa sigue como codemadoactivo en foros de VoIP y piratería desde 2018, ahora ejecuta una plataforma Microsoft 365 AiTM en picis(.)net y monetiza el acceso a través de un correo masivo que escribió llamado Blaster MaDoO.
Su campaña se puso en marcha el 20 de abril y continuó funcionando hasta el día en que se encontró el directorio, el 30 de abril, con nuevos subdominios y un certificado comodín renovado semanas después. Su propio robot registró capturas en dos cuentas corporativas de M365, una francesa y otra norteamericana.
Las capturas repetidas de las mismas cuentas de diferentes IP son consistentes, dice la firma, y el operador actualiza los tokens robados a medida que caducan.
De dónde vinieron los kits
codemado no construyó el marco que ejecuta. Lo clonó y su historial de bash lo muestra comparando kits uno al lado del otro. El servidor contenía cuatro variantes de Evilginx extraídas de otros dos desarrolladores de GitHub, y ambos resultaron ser operadores activos por derecho propio.
La primera, reina rojaproviene de un operador nigeriano que el informe llama mail-argenta y muestra cuánto pulido se incorpora a un marco público. Su tenedor cambia el nombre del crossorigin y integrity Atributos HTML para anular las comprobaciones de integridad de los subrecursos y agrega un motor de reescritura de URL para http_proxy.go para esquivar la detección basada en rutas. Completa previamente la dirección de correo electrónico de la víctima para reducir el abandono.

También establece un TTL de un año, 31.536.000 segundos, en las cookies de sesión de Microsoft capturadas. El informe dice que un inicio de sesión interceptado puede durar más que un restablecimiento de contraseña y, sin una política de acceso condicional compatible con CAE, permanecer utilizable durante meses.
Un precompilado evilginx2.exe está comprometido con el repositorio, por lo que un comprador nunca tiene que construir nada. Una cookie M365 capturada que se encontraba en el repositorio tenía una fecha de vencimiento del 30 de junio de 2027.
correo-argenta Fue atrapado como lo hacen sus propias víctimas. La empresa encontró su correo electrónico y una contraseña en registros de robo de información, el tipo de datos de credenciales recopilados que sus paneles de phishing producen. Esa contraseña filtrada coincidía con la codificada como contraseña de MySQL en su panel Kraken y reutilizada en sus cuentas.
el tranquilo
El tercer tenedor, reina negraregistró muchas más capturas que los otros dos y nunca toca una contraseña. Su autor, a quien los investigadores no pudieron identificar más allá del identificador. sarola01lo creó en torno al flujo de código de dispositivo OAuth de Microsoft, una ruta de inicio de sesión legítima destinada a dispositivos con entrada restringida.
El ataque genera un código de dispositivo real, lo envuelve en una página señuelo con el tema del Autenticador y le dice al objetivo que lo ingrese en la página genuina. microsoft.com/devicelogin. La víctima inicia sesión en una página real de Microsoft y borra MFA por sí misma. El backend de saroula01 sondea el punto final del token y toma el token en el momento en que lo hace.
Llamar a esto “bypass de MFA” no comprende cómo funciona: no se omite nada. La página de señuelo tiene el tema de Authenticator y fue creada por el atacante, pero el código del dispositivo y la página de Microsoft donde termina la víctima son genuinos, por lo que el mensaje de MFA que la víctima satisface es real.
Una clave de acceso o FIDO2 tampoco ayuda, porque la víctima la borra en la infraestructura genuina de Microsoft mientras autoriza la sesión del atacante; el enlace de origen que detiene a Evilginx pasa limpiamente cuando el origen realmente es Microsoft.
Microsoft documentó la técnica en febrero de 2025, en una campaña que evaluó con confianza media como alineada con Rusia. Desde entonces, se ha extendido mucho más allá del uso respaldado por el estado y ha llegado a campañas que afectan a cientos de organizaciones de Microsoft 365.
La versión de saroula01 funcionó silenciosamente durante más de un año. La empresa contó 218 cuentas capturadas distintas en los registros del bot de Telegram de la campaña en una docena de países entre junio de 2025 y julio de 2026, alrededor del 94 por ciento de ellas buzones de correo corporativos. Esas son capturas registradas, no objetivos de escaneo.
Un archivo de token enviado brevemente al repositorio y luego eliminado, aún legible en el historial de git, contenía 97 tokens de Microsoft activos vinculados a tres de esas víctimas, cada uno configurado para autoRefresh y algunos se actualizaron hasta 25 veces. El marco mantenía vivas las sesiones por sí solo.
Ambos dominios de phishing, picis(.)net y romnor(.)ca, estaban fuera de línea cuando The Hacker News revisó antes de su publicación, aunque la línea de tiempo del informe muestra que picis(.)net todavía aprovisiona nuevos subdominios en mayo de 2026. El equipo de Lexfo CTI le dijo a THN que los dominios ya se habían desconectado antes de tomar cualquier medida, y lo interpreta como que los operadores rotan la infraestructura o se retiran en lugar de una eliminación coordinada, aunque no puede confirmar cuál.

Los tres se conectan, vagamente, con algo más grande. En junio de 2026, SOCRadar documentó un ecosistema de phishing como servicio al que denominó La canteraejecutado por un desarrollador al que llama RockyBelling y, según sus cálculos, vendido a cerca de 200 operadores.
MaDoO Blaster aparece promocionado dentro del canal Telegram de The Quarry como una herramienta de terceros, marcada de forma independiente en ambos artículos, que el informe enmarca como una relación con el proveedor, no como membresía en ella. Los artefactos no pueden demostrar si mail-argenta o saroula01 tienen algún vínculo directo. Sus kits estaban en GitHub público y cualquiera podría haberlos tomado.
Construido con ayuda
El informe encontró signos de desarrollo asistido por IA en las tres operaciones, aunque varían en intensidad. saroula01 dejó dos confirmaciones de git en coautoría con Claude Models. correo-argenta cometió un instructions.txt Se trata de una copia textual de una sesión de codificación de IA, con referencias a indicaciones anteriores y todo, que documenta cómo se creó la función de reescritura de URL.
El de Codemado es más delgado: créditos de uno de sus guiones CiberNeurovauna API paga de generación de código “sin censura”, según el informe, que se anuncia con el mensaje “Constrúyeme un keylogger en Python”. Dos de los tres pusieron un modelo directamente en el código; el tercero es una línea de crédito, y ninguno de ellos muestra cuánto de cada construcción hizo el modelo.
Tampoco se limita a estos tres. Microsoft ha documentado por separado el phishing de código de dispositivo basado en la automatización de backend impulsada por IA y señuelos de IA generativa.
The Hacker News preguntó a los autores del informe cuántas herramientas de IA produjeron realmente en las tres operaciones. El equipo de Lexfo CTI dijo que las bifurcaciones de Evilginx solo llevaban cambios menores en el núcleo, y que los signos más claros del uso de IA se encontraban en el código adhesivo que los rodeaba, los scripts y los phishlets, varios de los cuales se leían como resultados directos del modelo. Según el equipo, no era tanto el marco en sí como el código creado a su alrededor.
¿Qué pueden hacer realmente los defensores?
Las dos técnicas no comparten una solución. MFA, FIDO2 o claves de acceso resistentes al phishing aún cierran el lado de Evilginx al vincular el inicio de sesión al dominio real. No detiene el abuso del código del dispositivo. Para eso, la palanca es Acceso Condicional.
La propia línea de Microsoft es bloquear el flujo de código del dispositivo siempre que sea posible. Un puñado de configuraciones realmente lo necesitan, en su mayoría hardware con restricciones de entrada, como dispositivos de sala de Teams y algunas herramientas de línea de comandos. Inventario que utiliza los registros de inicio de sesión, bloquea el flujo en todos los demás lugares y prueba la política en modo de solo informe antes de aplicarla.
Coloque políticas de ubicación de acceso condicional basadas en IP y evaluación de acceso continuo en la parte superior, de modo que en las cargas de trabajo compatibles de Microsoft 365, un token robado visto desde fuera de sus rangos permitidos se reevalúe en lugar de agotar su vida útil.
Para la detección, el informe marca las concesiones de tokens de actualización del ID de cliente de Microsoft Office. d3590ed6-52b3-4102-aeff-aad2292ab01c en los registros de inicio de sesión de Entra como dignos de atención, donde ese cliente de escritorio no está en uso normal; cotejarlos con direcciones IP de origen desconocidas.
La misma guía de Microsoft señala un problema: una sesión que comenzó con el flujo de código del dispositivo permanece etiquetada en actualizaciones posteriores incluso cuando el evento actual ya no lo muestra, así que busque en los registros Original transfer method campo, no solo el protocolo de autenticación en vivo.
En los endpoints, busque las herramientas RMM que estos operadores utilizan para lograr persistencia; El kit de Codemado llega a XEOX, así que comience con el agente en C:Program Files (x86)XEOXxeox-agent_x64.exe y tareas programadas coincidentes *XEOX*Agent*Watchdog*. Los dominios y las IP están en el informe, pero esa infraestructura rota, así que trátelo como una contención, no como una solución.
Hacker News también preguntó a Microsoft sobre el abuso del flujo de código de su dispositivo y no había recibido respuesta al momento de la publicación. Esta historia se actualizará con cualquier respuesta.
Nada de esto requirió mucho: tres operadores, ninguno de los cuales construyó los marcos que ejecutaban, pusieron en marcha campañas de trabajo en repositorios públicos, kits que se venden por unos pocos cientos de dólares y un modelo que ayudaba con las piezas personalizadas.
El informe dice que la barrera para una campaña funcional ha caído a casi cero, y el equipo de Lexfo CTI espera que este tipo de ataque se vuelva significativamente más común en los próximos meses.
Un ecosistema barato ahora ofrece dos formas de evitar la MFA, y esa es la parte que dura más que cualquier campaña aquí: una tienda endurecida contra el phishing de proxy inverso todavía está abierta al abuso de códigos de dispositivos. Bloquear esa segunda ruta es una política de acceso condicional, no se agrega ninguna clave de acceso y existe solo una vez que alguien la escribe.



