Una campaña cibernética extensa ha dirigido a más de 80,000 cuentas de usuarios en cientos de organizaciones al convertir una herramienta de ciberseguridad disponible públicamente en un arma para ataques a gran escala. According to research from cybersecurity firm Proofpoint, the campaign, dubbed “UNK_SneakyStrike,”leverages a penetration testing framework to execute widespread password-spraying attacks against Microsoft Entra ID environments, resulting in multiple successful account takeovers.
The operation, which began in December 2024 and peaked in early January 2025, highlights a significant and evolving threat: the malicious use of Herramientas legítimas diseñadas para profesionales de seguridad. Los atacantes están utilizando un marco de GitHub llamado TeamFiltration , que se creó para ayudar a los equipos de seguridad simular intrusiones y probar defensas. Sin embargo, en manos del actor unk_sneakystrike, se ha convertido en un motor efectivo para el compromiso de la cuenta, como se detalla en
La actividad de la campaña se caracteriza por ráfagos altamente concentrados de ataques de una sola nube, seguido de períodos silenciosos que duran cuatro días, probablemente una táctica a una táctica a detección de estallidos altamente concentrados.
Una herramienta convertida en arma
El marco de Filtración Team no nació una herramienta maliciosa. De acuerdo con una publicación de blog de sus creadores En TrustedSec, comenzó como un proyecto interno en enero de 2021 antes de ser publicada en la conferencia de seguridad en la definición de la conferencia de seguridad en agosto. La poderosa forma de simular escenarios modernos de adquisición de cuentas.
sus características incluyen la exfiltración de datos avanzada y la capacidad de rotar automáticamente las direcciones IP utilizando servicios como FIMEPROX, lo que lo convierte en una potente y accesible accesible de acceso público de seguridad. Los investigadores identificaron la actividad al detectar una cadena de agente de usuario distintiva y anticuada codificada en la herramienta.
Investigación adicional reveló que los ataques se dirigieron constantemente a una lista específica de ID de aplicación de clientes de Microsoft OAuth. This method is used to obtain special “family refresh tokens”from Entra ID, which can then be exchanged for valid access tokens for other connected services like Outlook and OneDrive, dramatically expanding the attacker’s foothold from a single compromised account.
A Persistent and Evolving Threat
This campaign is the latest in a series of significant cyber events targeting the El ecosistema de Microsoft, que a menudo implica técnicas similares. Sigue la mayor violación de 2024 por el grupo respaldado por ruso”Midnight Blizzard”.
Si bien la divulgación inicial de la violación se centró en el compromiso de los correos electrónicos ejecutivos, Microsoft reveló más tarde en A actualización de seguridad que la intrusión fue mucho más severa, con los atacantes que acceden a la compañía y un código fuente. Ese incidente, como unk_sneakystrike, también dependió en gran medida de los ataques con contraseña.
La arma de las herramientas de seguridad también es un tema recurrente. Un informe de 2022 detalló cómo los actores de amenaza se dirigieron a los servidores de Microsoft SQL con contraseñas débiles para instalar traseros con huelga de cobalto, otra herramienta popular de prueba de penetración.
Más recientemente, una campaña separada vio un ataque de botnet un ataque de botnet activamente explotando el factor de la voz de la voz del cliente Microsoft 365 (la aplicación de la retroalimentación de los clientes de la entrada a los usuarios de retroalimentación y las credenciales de logine, incluidas las credenciales de los factores de los factores de los clientes de Microsoft. El ataque plantea una amenaza significativa para la gran cantidad de organizaciones a nivel mundial que dependen de Microsoft 365 y Dynamics 365 para operaciones comerciales.
Esta tendencia de explotar procesos automatizados y lagunas de autenticación se está acelerando, con un informe reciente de tendencias de seguridad de RSA La seguridad que predice un aumento en la hirviendo de contraseña con AI a lo largo de 2025 .
Estas herramientas avanzadas están diseñadas para estar estreamados; como Informe del grupo ASEC de Ahn Lab señalado en los ataques de huelga de cobalto en 2022, el objetivo es operar donde menos se espera.”Como el faro que recibe el comando del atacante y realiza el comportamiento malicioso no existe en un área de memoria sospechosa y, en cambio, opera en el módulo normal wwanmm.dll, puede evitar la detección basada en la memoria”.
El aumento de las herramientas sofisticadas y disponibles públicamente como la filtración en equipo ha reducido el acorazador para llevar a cabo los ataques de la nube, efectivos, contra los entornos de la nube. A medida que los actores de amenaza continúan adoptando y refinando estos métodos, el desafío para los defensores ya no se trata solo de bloquear el malware conocido, sino de detectar el abuso sutil de los sistemas y protocolos legítimos. punto de apoyo.
