Actores de amenazas no identificados han estado atacando servidores Microsoft Exchange expuestos públicamente para inyectar código malicioso en las páginas de inicio de sesión y robar credenciales. Positive Technologies, en un análisis publicado la semana pasada, identificó dos tipos diferentes de código keylogger escritos en JavaScript en la página de inicio de sesión de Outlook: aquellos que guardan los datos recopilados en un archivo local accesible desde internet y aquellos que envían inmediatamente los datos recopilados a un servidor externo.
El proveedor de ciberseguridad ruso afirmó que los ataques han afectado a 65 víctimas en 26 países, y marcan la continuación de una campaña documentada por primera vez en mayo de 2024, que atacaba entidades en África y Oriente Medio. En ese momento, la compañía detectó no menos de 30 víctimas que incluían agencias gubernamentales, bancos, empresas de TI e instituciones educativas, con evidencia del primer compromiso que data de 2021.
Las cadenas de ataque implican explotar vulnerabilidades conocidas en Microsoft Exchange Server (por ejemplo, ProxyShell) para insertar código keylogger en la página de inicio de sesión. Actualmente no se sabe quién está detrás de estos ataques. Algunas de las vulnerabilidades utilizadas son: CVE-2014-4078, CVE-2020-0796, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, CVE-2021-31206, CVE-2021-31207, CVE-2021-34473 y CVE-2021-34523.
El código JavaScript malicioso lee y procesa los datos del formulario de autenticación, luego los envía a través de una solicitud XHR a una página específica en el servidor Exchange comprometido. La página de destino contiene una función manejadora que lee la solicitud entrante y escribe los datos en un archivo en el servidor.
El archivo que contiene los datos robados es accesible desde una red externa. Variantes selectas con capacidad de keylogging local también recopilan cookies de usuario, cadenas User-Agent y marcas de tiempo. Una ventaja de este enfoque es que las posibilidades de detección son casi nulas, ya que no hay tráfico saliente para transmitir la información.
La segunda variante detectada por Positive Technologies utiliza un bot de Telegram como punto de exfiltración a través de solicitudes XHR GET, con las credenciales codificadas en los encabezados APIKey y AuthToken. Un segundo método implica usar un túnel DNS junto con una solicitud HTTPS POST para enviar las credenciales y evadir las defensas de la organización.
Veintidós de los servidores comprometidos pertenecían a organizaciones gubernamentales, seguidas por infecciones en empresas de TI, industriales y logísticas. Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía se encuentran entre los 10 principales objetivos.
Un gran número de servidores Microsoft Exchange accesibles desde Internet siguen siendo vulnerables a vulnerabilidades antiguas. Al incrustar código malicioso en páginas de autenticación legítimas, los atacantes pueden pasar desapercibidos durante largos períodos mientras capturan credenciales de usuario en texto claro.
Actualización
En un análisis publicado el 15 de agosto de 2025, Positive Technologies atribuyó los keyloggers al grupo de hackers homónimo detrás del malware PhantomCore. La evaluación se basa en un análisis de la infraestructura del atacante, incluido un dominio llamado "voen-pravo[.]online" que alojaba un archivo protegido por contraseña llamado "archiveCalculatorVyplatSetup_1.0.6.zip". Dentro del archivo hay una aplicación escrita con Qt que imita una calculadora de pagos, pero contiene código malicioso para contactar un servidor externo y recuperar una carga útil de segunda etapa, un malware llamado PhantomDL vinculado a PhantomCore.
En los últimos meses, se han identificado 10 víctimas en cuyos servidores había un keylogger de Exchange previamente considerado. Todas las víctimas son empresas en Rusia dedicadas a consultoría TI o desarrollo de soluciones TI. El número de cuentas recopiladas de los sistemas víctimas supera las 5.000.
(La historia se actualizó después de su publicación el 18 de agosto de 2025 para incluir información de atribución).
