Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de remesa directo de Microsoft para formar una «tubería de ataque en gran medida competente» en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest.
«La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados», dijo la compañía de seguridad cibernética en un crónica compartido con Hacker News. «De 32 agentes de sucesor marcados observados en este plazo, Axios representó el 24.44% de toda la actividad».
El despotismo de Axios fue impresionado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para cursar solicitudes HTTP y percibir respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365.
Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la útil se explota regularmente inmediato con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación», agregó la compañía.
Del mismo modo, las campañas de phishing igualmente se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado remesa directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico.
Al amplificar el despotismo de Axios a través del remesa directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para respaldar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha enfrentado que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con «eficiencia incomparable».
Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antiguamente de ampliar su enfoque para atacar a todos los usuarios.
Llamando al enfoque que cambia el entretenimiento para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que igualmente les permite costar las operaciones de phishing a una escalera sin precedentes.
En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo auténtico o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener comunicación a medios sensibles.
«Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos».
Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para simplificar el robo de credenciales. Como una capa adicional de diversión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de progreso de aplicaciones.
Encima de resumir la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores igualmente significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y volatilizarse bajo el radar.
Para mitigar el peligro planteado por esta amenaza, se aconseja a las organizaciones que obtengan el remesa directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para investigar los correos electrónicos de phishing y rodear los dominios sospechosos.
«Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el comunicación original y la explotación a gran escalera. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de modo que son escalables y precisos».
«Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de remesa directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar».
El progreso se produce cuando Mimecast detalló una campaña de casa recoleta de credenciales a gran escalera dirigida a profesionales de la industria hotelera al hacerse acaecer por plataformas de papeleo de hoteles de confianza.
«Esta operación de casa recoleta de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles».
Los hallazgos igualmente siguen el descubrimiento de una campaña en curso que ha empleado una ofrecimiento inaugural de phishing as-a-Service (PHAAS) convocatoria Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens.
La sujeción de ataque es trascendental por exprimir servicios como AHA (.) IO para organizar páginas de destino iniciales que se disfrazan de notificaciones compartidas de Onedrive para engañar a los destinatarios de correo electrónico y engañarlos para que haga clic en enlaces falsos que redirigen a las páginas de casa recoleta de credenciales, pero no antiguamente de completar una demostración de demostración de timbre en la cirro para filtrar herramientas de seguridad automatizadas y landboxes.
Las páginas de phishing igualmente incluyen otras características avanzadas como geofencing y filtrado de IP para rodear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la cirro, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de disección.
Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de naturaleza empresarial, utilizando tácticas de diversión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas.
«El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El disección técnico revela que la infraestructura maliciosa mantiene una pulvínulo de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas».
«Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la radio entre el tráfico razonable y zorro».
