Los actores de amenaza están abusando de los servidores privados virtuales (VP) para comprometer las cuentas de software como servicio (SaaS), según una investigación de DarkTrace. El proveedor de ciberseguridad identificó compromisos de la cuenta SaaS coordinados en múltiples entornos de clientes, todos los cuales involucraron inicios de sesión de direcciones IP vinculadas a varios proveedores de VPS. Las cuentas comprometidas se utilizaron para realizar ataques de phishing de seguimiento, y los actores de amenaza toman medidas para evitar la detección y permitir el acceso persistente. Un VPS es un servidor virtualizado legítimo utilizado ampliamente por las empresas para proporcionar recursos dedicados y control en un dispositivo físico compartido. Sin embargo, los atacantes pueden abusar de los atacantes para evitar las defensas basadas en la geolocalización imitando el tráfico local, evadiendo los controles de reputación de propiedad intelectual con infraestructura limpia y recién aprovisionada y combinando un comportamiento legítimo. «Los proveedores de VPS como Hyonix y Host Universal ofrecen una configuración rápida y una mínima huella de inteligencia de código abierto (OSINT), lo que dificulta la detección. Estos servicios no solo son rápidos para las veces sino también asequibles, lo que los dificulta atractivos para los atacantes que buscan una infraestructura anónima de bajo costo para las campañas escalables», los investigadores de Darktrace advierten en un blog publicados en un blog en un blog. Con actividad legítima del usuario, una táctica que hace que las herramientas de seguridad tradicionales en gran medida ineficaz ”, continuaron. Cómo los atacantes comprometen SaaS a través de la infraestructura de VPS Se observaron una serie de incidentes que afectan las cuentas SaaS de los clientes de DarkTrace en mayo de 2025. Muchas alertas vinculadas al proveedor de VPS Hyonix e incluyeron intentos de fuerza bruta, inicios anómalos y creación de reglas de boxes en la bandeja de entrada de phishing. En un caso, dos dispositivos internos en un entorno del cliente iniciaron inicios de IP externos raros asociados con los proveedores de VPS Hyonix y el host Universal. Estos inicios de sesión ocurrieron a los pocos minutos de la actividad legítima del usuario de las geolocaciones distantes, lo que indica que se había producido secuestro de sesión. Poco después de los inicios de sesión, el actor de amenaza eliminó los correos electrónicos que se refirieron a los documentos de factura de la carpeta de ‘elementos enviados’ del usuario, lo que sugiere un intento de ocultar correos electrónicos de phishing que se habían enviado desde la cuenta comprometida. Los investigadores también observaron una serie de actividades sospechosas de SaaS, incluida la creación de nuevas reglas de correo electrónico. Estas reglas recibieron nombres vagos o genéricos, probablemente reducir la probabilidad de detección mientras redirigían o eliminaban los correos electrónicos entrantes para mantener el acceso y ocultar la actividad del buzón malicioso de los usuarios legítimos. Aunque no se detectó un movimiento lateral de las cuentas SaaS comprometidas, múltiples dispositivos de usuario reflejaron esta actividad, lo que sugiere una campaña coordinada. «En particular, tres usuarios se crearon reglas de bandeja de entrada casi idénticas, mientras que otro usuario tenía una regla diferente relacionada con facturas falsas, reforzando la probabilidad de un conjunto de infraestructura y técnicas compartidas», señalaron los investigadores. En una cuenta, se observaron intentos de modificar la configuración de recuperación de la cuenta, mientras que en otra, el atacante restableció las contraseñas o la información de seguridad actualizada de IP externos raros. Estas acciones sugirieron una intención de permanecer sin ser detectada mientras potencialmente establece el escenario para la exfiltración de datos o la distribución de spam.