Investigadores de ciberseguridad llaman la atención sobre una campaña activa de phishing mediante código de dispositivo que está atacando identidades de Microsoft 365 en más de 340 organizaciones de EE.UU., Canadá, Australia, Nueva Zelanda y Alemania.
La actividad, según Huntress, fue detectada por primera vez el 19 de febrero de 2026, con casos posteriores que aparecen a un ritmo acelerado desde entonces. Notablemente, la campaña aprovecha redirecciones de Cloudflare Workers y las sesiones capturadas se redirigen a una infraestructura alojada en un servicio PaaS llamado Railway, convirtiéndola efectivamente en un motor de robo de credenciales.
Construcción, organizaciones sin fines de lucro, bienes raíces, manufactura, servicios financieros, salud, legal y gobierno son algunos de los sectores prominentes atacados como parte de la campaña.
Lo que también hace inusual a esta campaña no son solo las técnicas de phishing de código de dispositivo involucradas, sino la variedad de técnicas observadas. Señuelos de licitaciones de construcción, generación de código en páginas de destino, suplantación de DocuSign, notificaciones de buzón de voz y abuso de páginas de Microsoft Forms están impactando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com.
El phishing de código de dispositivo se refiere a una técnica que explota el flujo de autorización OAuth de dispositivo para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar control de las cuentas de las víctimas. Lo significativo de este método de ataque es que los tokens siguen siendo válidos incluso después de restablecer la contraseña de la cuenta.
A alto nivel, el ataque funciona de la siguiente manera:
- El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API legítima de código de dispositivo.
- El servicio responde con un código de dispositivo.
- El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión ("microsoft[.]com/devicelogin") e ingresar el código de dispositivo.
- Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.
Una vez que el usuario ha caído víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el endpoint de la API de tokens OAuth y pueden ser recuperados proporcionando el código de dispositivo correcto. El atacante, por supuesto, conoce el código de dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión de código de dispositivo. Y aunque ese código es inútil por sí mismo, una vez que la víctima ha sido engañada para autenticarse, los tokens resultantes pertenecen a cualquiera que sepa qué código de dispositivo se usó en la solicitud original.
El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. Múltiples grupos alineados con Rusia, conocidos como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare, han sido atribuidos a estos ataques.
La técnica es insidiosa, no menos porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación de código de dispositivo, dando a los usuarios ninguna razón para sospechar que algo podría estar mal.
En la campaña detectada por Huntress, el abuso de autenticación se origina desde un pequeño grupo de direcciones IP de Railway.com, de las cuales tres representan aproximadamente el 84% de los eventos observados:
- 162.220.234[.]41
- 162.220.234[.]66
- 162.220.232[.]57
- 162.220.232[.]99
- 162.220.232[.]235
El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de servicios de redirección legítimos de proveedores de seguridad como Cisco, Trend Micro y Mimecast para eludir los filtros de spam y desencadenar una cadena de redirección de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.
Los sitios de destino observados instan a la víctima a proceder al endpoint de autenticación de código de dispositivo legítimo de Microsoft e ingresar un código proporcionado para leer algunos archivos. El código se renderiza directamente en la página cuando la víctima llega. Esta es una iteración interesante de la táctica, ya que normalmente el adversario debe producir y luego proporcionar el código a la víctima. Al renderizar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque.
La página de destino también incluye un botón "Continuar a Microsoft" que, al hacer clic, abre una ventana emergente que muestra el endpoint de autenticación legítimo de Microsoft ("microsoft[.]com/devicelogin").
Casi todos los sitios de phishing de código de dispositivo han sido alojados en una instancia de Cloudflare workers[.]dev, lo que ilustra cómo los actores de amenazas están armando la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión en busca de inicios de sesión de IP de Railway, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura de Railway si es posible.
Huntress ha atribuido desde entonces el ataque de Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que debutó el mes pasado en Telegram. Además de anunciar herramientas para enviar correos electrónicos de phishing y eludir filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redirección abierta a dominios vulnerables para ocultar los enlaces de phishing.
Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24/7 y un canal de comentarios de soporte. También tienen comentarios de clientes.
La revelación se produce mientras Palo Alto Networks Unit 42 también advirtió sobre una campaña similar de phishing de código de dispositivo, destacando el uso de técnicas anti-bot y anti-análisis para pasar desapercibidos, mientras exfiltran cookies del navegador al actor de amenazas al cargar la página. La observación más temprana de la campaña data del 18 de febrero de 2026.
La página de phishing "deshabilita la funcionalidad de clic derecho, selección de texto y operaciones de arrastre", dijo la compañía, añadiendo que "bloquea los atajos de teclado para herramientas de desarrollador (F12, Ctrl+Shift+I/C/J) y visualización de código fuente (Ctrl+U)" y "detecta herramientas de desarrollador activas mediante una heurística de tamaño de ventana, que posteriormente inicia un bucle infinito de depuración".
Actualización
En un análisis de seguimiento publicado el 30 de marzo de 2026, Sekoia describió EvilTokens como un nuevo kit de phishing de código de dispositivo para Microsoft llave en mano que se vende bajo un modelo PhaaS desde mediados de febrero de 2026. También ofrece a los clientes plantillas de phishing autoalojadas que incluyen:
- Una página señuelo que suplanta a un servicio de Microsoft o una aplicación confiable (por ejemplo, Adobe Acrobat, DocuSign o SharePoint) como parte de correos electrónicos de phishing con señuelos financieros, de reuniones, logísticos o de nómina.
- Un código de verificación para que el usuario copie.
- Instrucciones para completar la verificación de identidad a través de Microsoft.
- Un botón "Continuar a Microsoft" que redirige a la página legítima de inicio de sesión de dispositivo de Microsoft.
Así, cuando un usuario copia el código de verificación y hace clic en el botón "Continuar a Microsoft", la página de phishing abre la página legítima de inicio de sesión de dispositivo de Microsoft en una ventana emergente. Una vez que se ingresa el código de verificación, se redirige a la página de inicio de sesión estándar de autenticación de Microsoft. Tan pronto como se completa el inicio de sesión, el atacante obtiene acceso a la cuenta de la víctima para el servicio objetivo.
Las campañas que aprovechan el servicio PhaaS han atacado organizaciones en América del Norte, Central y del Sur, Europa, Medio Oriente, Asia y Oceanía. Entre los más afectados se encuentran EE.UU., Australia, Canadá, Francia, India, Suiza y los EAU. El alcance extenso y la diversidad de estas campañas reflejan la rápida adopción de EvilTokens, añadió Sekoia.
EvilTokens proporciona un kit de phishing de código de dispositivo para Microsoft llave en mano y una gama de características avanzadas para llevar a cabo ataques BEC, incluyendo armamento de accesos, recolección de correos electrónicos, capacidades de reconocimiento, una interfaz de webmail integrada y automatización impulsada por IA. El PhaaS EvilTokens opera a través de bots completamente funcionales en Telegram y mejora continuamente su kit de phishing con nuevas capacidades. En un futuro cercano, el operador tiene la intención de extender el soporte a páginas de phishing de Gmail y Okta.
(La historia se actualizó después de su publicación el 31 de marzo de 2026 para incluir detalles adicionales de EvilTokens.)
