Un actor de amenazas conocido como Tormenta-2657 Se ha observado que secuestra cuentas de empleados con el objetivo final de desviar pagos de salario a cuentas controladas por atacantes.
«Storm-2657 está apuntando activamente a una variedad de organizaciones con sede en EE. UU., particularmente empleados en sectores como la educación superior, para obtener llegada a plataformas de software como servicio (SaaS) de medios humanos (RRHH) de terceros como Workday», dijo el equipo de Microsoft Threat Intelligence en un mensaje.
Sin bloqueo, el hércules tecnológico advirtió que cualquier plataforma de software como servicio (SaaS) que almacene información de medios humanos o de pagos y cuentas bancarias podría ser el objetivo de este tipo de campañas con motivación financiera. Algunos aspectos de la campaña, cuyo nombre en código es Payroll Pirates, fueron destacados previamente por Silent Push, Malwarebytes y Hunt.io.
Lo que hace que los ataques sean notables es que no explotan ninguna rotura de seguridad en los servicios mismos. Más adecuadamente, aprovechan las tácticas de ingeniería social y la error de protecciones de autenticación multifactor (MFA) para tomar el control de las cuentas de los empleados y, en última instancia, modificar la información de suscripción para enrutarlas a cuentas administradas por los actores de la amenaza.
En una campaña observada por Microsoft en la primera centro de 2025, se dice que el atacante obtuvo llegada original a través de correos electrónicos de phishing diseñados para compilar sus credenciales y códigos MFA utilizando un enlace de phishing de adversario en el medio (AitM), obteniendo así llegada a sus cuentas de Exchange Online y apoderándose de los perfiles de Workday a través del inicio de sesión único (SSO).
Asimismo se ha observado que los actores de amenazas crean reglas en la bandeja de entrada para eliminar los correos electrónicos de notificación de advertencia entrantes de Workday con el fin de ocultar los cambios no autorizados realizados en los perfiles. Esto incluye alterar la configuración de suscripción de salario para redirigir pagos de salario futuros a cuentas bajo su control.
Para certificar un llegada persistente a las cuentas, los atacantes registran sus propios números de teléfono como dispositivos MFA para las cuentas de las víctimas. Es más, las cuentas de correo electrónico comprometidas se utilizan para distribuir más correos electrónicos de phishing, tanto interiormente de la estructura como a otras universidades.
Microsoft dijo que observó 11 cuentas comprometidas con éxito en tres universidades desde marzo de 2025 que se utilizaron para cursar correos electrónicos de phishing a casi 6.000 cuentas de correo electrónico en 25 universidades. Los mensajes de correo electrónico presentan señuelos relacionados con enfermedades o avisos de mala conducta en el campus, lo que induce una falsa sensación de aprieto y engaña a los destinatarios para que hagan clic en enlaces falsos.
Para mitigar el peligro que plantea Storm-2657, se recomienda adoptar métodos MFA sin contraseña y resistentes al phishing, como las claves de seguridad FIDO2, y revisar las cuentas en averiguación de signos de actividad sospechosa, como dispositivos MFA desconocidos y reglas de bandeja de entrada maliciosas.
