Los actores de amenazas están abusando de herramientas de cliente HTTP como Axios junto con la función Direct Send de Microsoft para formar una «canalización de ataques altamente eficiente» en las últimas campañas de suplantación de identidad, según los nuevos hallazgos de ReliaQuest.
«La actividad de los agentes de usuario de Axios aumentó un 241% entre junio y agosto de 2025, lo que superó el crecimiento del 85% de todos los demás agentes de usuario marcados juntos», dijo la empresa de ciberseguridad dijo en un informe compartido con The Hacker News. «De los 32 agentes de usuario detectados en este período, Axios representó el 24,44% de toda la actividad».
El abuso de Axios fue marcado anteriormente de Proofpoint en enero de 2025, en el que se detallan las campañas que utilizan clientes HTTP para enviar solicitudes HTTP y recibir respuestas HTTP de servidores web para llevar a cabo ataques de apropiación de cuentas (ATO) en entornos de Microsoft 365.
ReliaQuest dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la herramienta se explota regularmente junto con los populares kits de suplantación de identidad. «La utilidad de Axios significa que es casi seguro que todo tipo de actores de amenazas la están adoptando, independientemente de su nivel de sofisticación o motivación», añade la empresa.
Del mismo modo, también se han observado campañas de suplantación de identidad que utilizan cada vez más una función legítima de Microsoft 365 (M365) llamada Envío directo a engañar a los usuarios de confianza y distribuye mensajes de correo electrónico.
Al amplificar el abuso de Axios a través de Microsoft Direct Send, el ataque tiene como objetivo convertir en arma un método de entrega confiable para garantizar que sus mensajes pasen por pasarelas seguras y lleguen a las bandejas de entrada de los usuarios. De hecho, se ha descubierto que los ataques que combinaban Axios con Direct Send han logrado una tasa de éxito del 70% en campañas recientes, superando a las campañas que no son de Axios con una «eficiencia sin igual».
Se dice que la campaña observada por ReliaQuest comenzó en julio de 2025, inicialmente dirigida a ejecutivos y gerentes de los sectores financiero, sanitario y manufacturero, antes de ampliar su enfoque para dirigirse a todos los usuarios.
Al calificar este enfoque como un punto de inflexión para los atacantes, la empresa señaló que la campaña no solo logra eludir las defensas de seguridad tradicionales con una precisión mejorada, sino que también les permite organizar operaciones de suplantación de identidad a una escala sin precedentes.
En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar tokens de sesión o códigos de autenticación multifactor (MFA) en tiempo real o aprovechar los tokens SAS en los flujos de trabajo de autenticación de Azure para obtener acceso a recursos confidenciales.
«Los atacantes utilizan este punto ciego para eludir la MFA, secuestrar los tokens de sesión y automatizar los flujos de trabajo de suplantación de identidad», afirma ReliaQuest. «La capacidad de personalización que ofrece Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos».
Los mensajes de correo electrónico implican el uso de señuelos con temática de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos que, al escanearlos, dirigen a los usuarios a páginas de inicio de sesión falsas que imitan a Microsoft Outlook para facilitar el robo de credenciales. Como medida adicional de evasión defensiva, algunas de estas páginas se alojan en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de desarrollo de aplicaciones.
Además de reducir la barrera técnica para los ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores también significa que ofrece a los atacantes una forma de mezclarse con el tráfico normal y pasar desapercibidos.
Para mitigar el riesgo que representa esta amenaza, se recomienda a las organizaciones que protejan Direct Send y lo deshabiliten si no es necesario, que configuren políticas adecuadas contra la suplantación de identidad en las pasarelas de correo electrónico, que capaciten a los empleados para que reconozcan los correos electrónicos de suplantación de identidad y que bloqueen los dominios sospechosos.
«Axios amplifica el impacto de las campañas de suplantación de identidad al cerrar la brecha entre el acceso inicial y la explotación a gran escala. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes utilizar como arma las credenciales robadas de forma escalable y precisa».
«Esto convierte a Axios en una parte integral del creciente éxito de las campañas de suplantación de identidad de Direct Send, ya que demuestra cómo los atacantes están evolucionando más allá de las tácticas de suplantación de identidad tradicionales para aprovechar los sistemas de autenticación y las API a un nivel que las defensas tradicionales no pueden gestionar».
La novedad se produce cuando Mimecast detalló una campaña de recopilación de credenciales a gran escala dirigida a profesionales del sector hotelero haciéndose pasar por las plataformas de gestión hotelera confiables Expedia Partner Central y Cloudbeds en correos electrónicos que afirman ser confirmaciones de reservas de huéspedes y notificaciones centrales de socios.
«Esta operación de recolección de credenciales aprovecha la naturaleza rutinaria de las comunicaciones sobre reservas de hotel», dijo la empresa dijo . «La campaña emplea líneas de asunto urgentes y críticas para la empresa, diseñadas para impulsar la acción inmediata por parte de los gerentes y el personal del hotel».
Los hallazgos también se producen tras el descubrimiento de una campaña en curso que ha empleado una oferta incipiente de suplantación de identidad como servicio (PhaaS) llamada Salty 2FA para robar las credenciales de inicio de sesión de Microsoft y eludir la MFA mediante la simulación de seis métodos diferentes: autenticación por SMS, aplicaciones de autenticación, llamadas telefónicas, notificaciones push, códigos de respaldo y tokens de hardware.
La cadena de ataques destaca por aprovechar servicios como Aha [.] io para crear páginas de destino iniciales que se hacen pasar por notificaciones compartidas de OneDrive para engañar a los destinatarios del correo electrónico y engañarlos para que hagan clic en enlaces falsos que redirigen a páginas de recopilación de credenciales, pero no sin antes completar una comprobación de verificación de Cloudflare Turnstile para filtrar las herramientas de seguridad automatizadas y los entornos limitados.
Las páginas de suplantación de identidad también incluyen otras funciones avanzadas, como el geofencing y el filtrado de IP, para bloquear el tráfico de los rangos de direcciones IP de los proveedores de seguridad conocidos y los proveedores de nube, deshabilitar los atajos para iniciar las herramientas de desarrollo en los navegadores web y asignar nuevos subdominios a cada sesión de la víctima. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de análisis.
Estos hallazgos ilustran cómo los ataques de suplantación de identidad han madurado hasta convertirse en operaciones de nivel empresarial, utilizando tácticas de evasión avanzadas y simulaciones de MFA convincentes, al tiempo que explotan plataformas confiables e imitan los portales corporativos para dificultar la distinción entre actividades reales y fraudulentas.
«El kit de suplantación de identidad implementa una funcionalidad de marca dinámica para mejorar la eficacia de la ingeniería social», continúa dijo . «El análisis técnico revela que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas en función de los dominios de correo electrónico de las víctimas».
«Salty2fa demuestra cómo los ciberdelincuentes ahora abordan la infraestructura con la misma planificación metódica que las empresas utilizan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la línea entre el tráfico legítimo y el malicioso».