Una campaña reciente demuestra que los atacantes ya no necesitan explotar vulnerabilidades de software para entrar en redes corporativas: les basta con engañar a la gente. Investigadores de la firma BlueVoyant han descrito cómo operadores malintencionados se comunican por Microsoft Teams con empleados de organizaciones financieras y sanitarias para ganarse su confianza y conseguir acceso remoto a través de la herramienta Quick Assist, desplegando después un nuevo malware al que han bautizado como A0Backdoor. Puedes leer el informe completo de los analistas en el blog de BlueVoyant aquí.
El vector inicial es puro ingeniería social: antes de enviar el mensaje por Teams, los atacantes saturan la bandeja de entrada de la víctima con correos basura para que el envío posterior parezca legítimo y urgente. Luego, se hacen pasar por personal de soporte interno para ofrecer ayuda con el problema de los mensajes no deseados y piden a la persona que inicie una sesión de Quick Assist. Quick Assist es una herramienta integrada en Windows diseñada para asistencia remota; Microsoft ofrece orientación sobre su uso y riesgos en su centro de soporte oficial.
Una vez que el atacante obtiene la sesión remota, introduce una cadena de herramientas maliciosas que incluyen instaladores MSI que aparentan ser componentes legítimos de Teams y del servicio CrossDeviceService (un componente relacionado con la app Phone Link). Lo preocupante es que esos instaladores estaban digitalmente firmados y alojados en una cuenta personal de almacenamiento en la nube de Microsoft, lo que ayuda a sortear controles básicos de detección.
La técnica de persistencia y ejecución que describen los investigadores mezcla ingeniería social con abusos de mecanismos válidos del sistema. Los instaladores usan una técnica conocida como DLL sideloading, en la que un ejecutable legítimo carga una librería maliciosa colocada con el mismo nombre esperado por ese binario. MITRE documenta este tipo de abuso como una forma frecuente de "secuestro del flujo de ejecución" en su matriz ATT&CK. En este caso, la librería maliciosa —identificada como hostfxr.dll por los analistas— contiene datos comprimidos o cifrados que se desencriptan en memoria para convertirse en shellcode, y luego delegan la ejecución a ese código malicioso.
Para dificultar el análisis, el código malicioso crea numerosos hilos con CreateThread, una maniobra que puede hacer caer depuradores o consumir recursos durante el análisis dinámico, aunque no parece afectar al funcionamiento normal del sistema. El shellcode realiza comprobaciones para detectar entornos de laboratorio o sandbox, y calcula una clave derivada de SHA‑256 que usa para descifrar el núcleo del A0Backdoor, el cual está protegido con AES. El malware se reubica en memoria, descifra sus rutinas esenciales y comienza a recoger información del host mediante llamadas a APIs de Windows como DeviceIoControl, GetUserNameExW y GetComputerNameW para construir una huella del equipo comprometido.
Otro componente sofisticado es la forma en que el backdoor se comunica con su centro de mando: emplea consultas DNS de tipo MX hacia resolutores públicos, colocando metadatos codificados en subdominios de alta entropía. Los servidores de correo devuelven registros MX que contienen comandos codificados; el malware extrae y decodifica la etiqueta más a la izquierda del nombre devuelto para recuperar instrucciones o configuraciones. Este uso de registros MX ayuda al tráfico a mezclarse con la actividad legítima y puede evitar detecciones que están más orientadas a técnicas de túnel DNS basadas en TXT. Si quieres comprender mejor cómo el DNS se convierte en canal de exfiltración o mando y control, Cloudflare tiene material divulgativo sobre técnicas de DNS tunneling.
BlueVoyant indica que entre los objetivos confirmados figuran una institución financiera en Canadá y una organización sanitaria con alcance global. Los investigadores valoran con una confianza moderada‑alta que la campaña comparte elementos con las tácticas, técnicas y procedimientos que se relacionaban con el grupo detrás del ransomware BlackBasta, un actor que había quedado en evidencia tras la filtración de sus chats internos. No obstante, la firma subraya que hay novedades en este ataque: el uso de instaladores MSI firmados, librerías maliciosas cargadas por binarios legítimos y el propio A0Backdoor con su canal C2 por registros MX son evoluciones respecto a campañas anteriores.
¿Qué lecciones prácticas deja todo esto para empresas y usuarios? Primero, que la superficie de ataque incluye ahora canales colaborativos como Teams y utilidades de asistencia remota; por tanto, la formación de personal debe incorporar escenarios reales donde el atacante llama o escribe haciéndose pasar por soporte. En el plano técnico conviene restringir el uso de Quick Assist o exigir verificación adicional antes de iniciar sesiones remotas, aplicar políticas que impidan la instalación de paquetes MSI que no estén aprobados por el departamento de TI, y reforzar el registro y la inspección del tráfico DNS para detectar consultas con subdominios de alta entropía o patrones inusuales en registros MX.
Las soluciones Endpoint Detection & Response (EDR) y las plataformas de protección contra amenazas modernas pueden ayudar a identificar patrones de DLL sideloading, ejecución de código directamente en memoria y comportamientos de fingerprinting del sistema. También es importante que los equipos de seguridad correlacionen picos anómalos de correo entrante con posteriores contactos por Teams u otras plataformas de mensajería interna, porque ese patrón de "spam primero, luego suplantación del soporte" es una firma de la campaña.
Para usuarios individuales la recomendación es simple y directa: no aceptes control remoto si no fías al interlocutor y no puedes verificar su identidad por un canal independiente. Si alguien afirma ser de TI, cuelga y llama al número oficial de tu departamento; no sigas instrucciones recibidas por mensajes oportunistas. Y si detectas algo sospechoso, repórtalo inmediatamente para que los equipos de seguridad puedan responder y contener la posible intrusión.
Si quieres profundizar en la investigación técnica, el informe de BlueVoyant es la referencia más completa disponible aquí, mientras que recursos como la matriz ATT&CK de MITRE explican el abuso de DLL sideloading y la documentación de Microsoft sobre Quick Assist detalla cómo funciona la herramienta. Entender estas piezas separadas ayuda a ver el panorama completo: los atacantes combinan ingeniería social con técnicas técnicas avanzadas, y la defensa debe responder con formación, controles técnicos y monitoreo especializado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...