Un corredor de acceso inicial (IAB) identificado como KongTuke ha cambiado su vector de engaño a Microsoft Teams, logrando en algunos casos una intrusión persistente en redes corporativas en menos de cinco minutos. Este actor convence a empleados, fingiendo ser personal de soporte interno, para que peguen y ejecuten en sus máquinas un comando de PowerShell que descarga desde Dropbox un paquete ZIP con un entorno WinPython portátil que finalmente lanza el malware conocido como ModeloRAT.
La táctica implica varios elementos que la hacen peligrosa: el uso de federación externa en Teams para contactar víctimas, nombres de remitente que aparentan ser internos mediante trucos con espacios Unicode, y el empleo de servicios legítimos (p. ej., Dropbox) para alojar el binario inicial. El resultado es un canal de acceso rápido y convincente que salta controles humanos y automatizados cuando un trabajador confiado ejecuta la orden solicitada.
Técnicamente, la muestra observada por ReliaQuest no es un simple RAT: incorpora una arquitectura de mando y control más resistente con una piscina de cinco servidores, rutas URL aleatorias y capacidad de autoactualización; además mantiene múltiples caminos de acceso (RAT primario, shell inverso y backdoor TCP) en infraestructuras separadas, y usa mecanismos de persistencia variados, incluyendo claves Run, accesos directos de inicio, lanzadores VBScript y tareas programadas a nivel SYSTEM que, según los investigadores, no se eliminan con la rutina de autodestrucción del implante y pueden sobrevivir reinicios.
El cambio de KongTuke ilustra dos tendencias convergentes: la comercialización del acceso por IABs para revenderlo a operadores de ransomware y la instrumentación de plataformas de colaboración como vector de entrega por su confianza implícita. Estas plataformas ofrecen medios fáciles para hacer ingeniería social dirigida y para rotar inquilinos de Microsoft 365 con el fin de evadir bloqueos y listas negras tradicionales.
Para las organizaciones, las implicaciones son claras: no basta con confiar en que los controles perimetrales o la formación básica detendrán estas campañas. Es crítico combinar políticas en el tenant de Microsoft 365, controles de endpoint y telemetría para prevenir, detectar y contener intentos que nacen dentro de flujos de colaboración legítimos.
En lo preventivo inmediato, se recomienda implementar listas de permitidos (allowlists) en la federación externa de Teams y limitar la mensajería directa con dominios no gestionados; Microsoft documenta cómo gestionar el acceso externo y la federación en Teams y Exchange en su centro de administración en línea, y esa configuración debe ser revisada y endurecida en organizaciones con riesgo elevado: https://learn.microsoft.com/microsoft-365/solutions/manage-external-access?view=o365-worldwide. Paralelamente, medidas de hardening como la aplicación estricta de MFA, políticas de acceso condicional, y control de ejecución (AppLocker o Windows Defender Application Control) ayudan a que un comando pegado por un usuario no se traduzca en ejecución de código malicioso.
En detección y respuesta, es esencial buscar artefactos específicos: tareas programadas a nivel SYSTEM, entradas inusuales en Run, accesos directos en carpetas de inicio, lanzadores VBScript y la presencia de entornos WinPython portátiles o ficheros como Pmanager.py. ReliaQuest publicó indicadores de compromiso y un análisis detallado que conviene incorporar a la caza de amenazas y reglas SIEM: https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat. También es recomendable integrar guías de respuesta a ransomware y exfiltración de datos por parte de autoridades como CISA para procedimientos de contención y recuperación: https://www.cisa.gov/stopransomware.
Si se detecta una posible infección, aisle inmediatamente el equipo afectado de la red, preserve memoria y volcado de disco para análisis forense, y considere que la presencia de la tarea programada a nivel SYSTEM puede requerir limpieza manual o reconstrucción del sistema si hay duda sobre la eliminación completa de la persistencia. Además, inicie una revisión de credenciales y sesiones activas: los IABs buscan pivotar y vender acceso, por lo que hay alto riesgo de que cuentas y sesiones hayan quedado comprometidas.
Finalmente, la respuesta organizacional debe incluir una actualización en la formación del personal: más allá de "no hacer clic", explicar por qué pegar comandos y ejecutar binarios desde chats externos es peligroso y qué señales delatan impostores en Teams (nombres con espacios Unicode, dominios no empresariales, solicitudes urgentes e instrucciones técnicas fuera de procedimiento). La combinación de políticas de tenant rigurosas, controles de endpoint proactivos y una respuesta bien ensayada reduce significativamente la ventana de acción de actores como KongTuke.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...