Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de envío directo de Microsoft para formar una «tubería de ataque altamente eficiente» en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest. «La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados», dijo la compañía de seguridad cibernética en un informe compartido con Hacker News. «De 32 agentes de usuario marcados observados en este plazo, Axios representó el 24.44% de toda la actividad». El abuso de Axios fue marcado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para enviar solicitudes HTTP y recibir respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365. Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la herramienta se explota regularmente junto con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación», agregó la compañía. Del mismo modo, las campañas de phishing también se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado envío directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico. Al amplificar el abuso de Axios a través del envío directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para garantizar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha encontrado que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con «eficiencia incomparable». Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antes de ampliar su enfoque para atacar a todos los usuarios. Llamando al enfoque que cambia el juego para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que también les permite montar las operaciones de phishing a una escala sin precedentes. En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo real o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener acceso a recursos sensibles. «Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos». Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para facilitar el robo de credenciales. Como una capa adicional de evasión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de desarrollo de aplicaciones. Además de reducir la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores también significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y volar bajo el radar. Para mitigar el riesgo planteado por esta amenaza, se aconseja a las organizaciones que obtengan el envío directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para reconocer los correos electrónicos de phishing y bloquear los dominios sospechosos. «Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el acceso inicial y la explotación a gran escala. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de manera que son escalables y precisos». «Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de envío directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar». El desarrollo se produce cuando Mimecast detalló una campaña de recolección de credenciales a gran escala dirigida a profesionales de la industria hotelera al hacerse pasar por plataformas de gestión de hoteles de confianza. «Esta operación de recolección de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles». Los hallazgos también siguen el descubrimiento de una campaña en curso que ha empleado una oferta naciente de phishing as-a-Service (PHAAS) llamada Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens. La cadena de ataque es notable por aprovechar servicios como AHA[.]IO para organizar páginas de destino iniciales que se disfrazan de notificaciones para compartir por correo electrónico para engañar a los destinatarios de correo electrónico y engañarlos para que hagan clic en enlaces falsos que redirigen a las páginas de cosecha de credenciales, pero no antes de completar una verificación de verificación de tendencia de CloudFlare para filtrar herramientas y lijados automatizados de seguridad. Las páginas de phishing también incluyen otras características avanzadas como geofencing y filtrado de IP para bloquear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la nube, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de análisis. Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de grado empresarial, utilizando tácticas de evasión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas. «El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El análisis técnico revela que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas». «Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la línea entre el tráfico legítimo y malicioso».