Se ha atribuido a un grupo presuntamente alineado con Rusia una campaña de suplantación de identidad que emplea flujos de trabajo de autenticación de códigos de dispositivos para robar las credenciales de Microsoft 365 de las víctimas y llevar a cabo ataques de apropiación de cuentas.
La actividad, en curso desde septiembre de 2025, está siendo rastreada por Proofpoint con el nombre UNK_AcademicFlare .
Los ataques implican el uso de direcciones de correo electrónico comprometidas pertenecientes a organizaciones gubernamentales y militares para atacar a entidades del gobierno, centros de estudios, educación superior y sectores del transporte en los EE. UU. y Europa.
«Por lo general, estas direcciones de correo electrónico comprometidas se utilizan para llevar a cabo actividades de divulgación benignas y crear relaciones en relación con el área de especialización de los objetivos y, en última instancia, organizar una reunión o entrevista ficticia», dijo la empresa de seguridad empresarial dijo .
Como parte de estos esfuerzos, el adversario afirma haber compartido un enlace a un documento que incluye preguntas o temas para que el destinatario del correo electrónico los revise antes de la reunión. La URL apunta a una URL de trabajo de Cloudflare que imita la cuenta de Microsoft OneDrive del remitente comprometido y le indica a la víctima que copie el código proporcionado y haga clic en «Siguiente» para acceder al supuesto documento.
Sin embargo, al hacerlo, se redirige al usuario a la URL de inicio de sesión legítima del código del dispositivo de Microsoft, donde, una vez que se introduce el código proporcionado anteriormente, el servicio genera un token de acceso que los tres actores pueden recuperar para tomar el control de la cuenta de la víctima.
La suplantación de identidad con código de dispositivo documentadas en detalle por Microsoft y Volexity en febrero de 2025, atribuyendo el uso del método de ataque a clústeres alineados con Rusia, como Storm-2372, APT29, UTA0304 y UTA0307. Durante los últimos dos meses, Inteligencia de amenazas de Amazon y Volejidad han advertido de los continuos ataques organizados por actores de amenazas rusos que abusan del flujo de autenticación del código de los dispositivos.
Proofpoint dijo que es probable que UNK_AcademicFlare sea un actor de amenazas alineado con Rusia, dado que apunta a especialistas centrados en Rusia en varios centros de estudios y organizaciones gubernamentales y del sector energético de Ucrania.
Los datos de la empresa muestran que varios actores de amenazas, tanto alineados con el estado como con motivaciones financieras, se han aferrado a la táctica de suplantación de identidad para engañar a los usuarios para que les den acceso a las cuentas de Microsoft 365. Esto incluye a un grupo dedicado a la delincuencia electrónica llamado TA2723, que ha utilizado engaños salariales en correos electrónicos de suplantación de identidad para dirigir a los usuarios a páginas de destino falsas y activar la autorización de los dispositivos mediante códigos.
Se considera que la campaña de octubre de 2025 se vio impulsada por la disponibilidad inmediata de ofertas de software contra el crimen, como el kit de suplantación de identidad Graphish, y herramientas de red, como SquarePhish .
«Al igual que SquarePhish, la herramienta está diseñada para ser fácil de usar y no requiere conocimientos técnicos avanzados, lo que reduce la barrera de entrada y permite que incluso los actores de amenazas poco cualificados lleven a cabo sofisticadas campañas de suplantación de identidad», afirma Proofpoint. «El objetivo final es el acceso no autorizado a datos personales u organizacionales confidenciales, que pueden aprovecharse para robar credenciales, hacerse con el control de cuentas y, además, poner en peligro la situación».
Para contrarrestar el riesgo que supone la suplantación de identidad con código de dispositivo, la mejor opción es crear una política de acceso condicional mediante la condición Flujos de autenticación para bloquear el flujo de código de dispositivo para todos los usuarios. Si esto no es posible, se recomienda utilizar una política que utilice un enfoque de listas permitidas para permitir la autenticación del código del dispositivo para los usuarios, sistemas operativos o rangos de IP aprobados.