Investigadores de ciberseguridad han descubierto una campaña de espionaje persistente que permitió a atacantes desconocidos mantener acceso al buzón de correo de **Outlook** de un alto ejecutivo de una bolsa de valores durante al menos cinco meses. La brecha, detallada por **Symantec** y el Threat Hunter Team de **Carbon Black**, implicó la exfiltración sigilosa de toda la bandeja de entrada del ejecutivo, enrutada a través de servicios de nube para consumidores para enmascarar la actividad maliciosa. ### Exfiltración Encubierta de Datos Los atacantes copiaron meticulosamente el contenido del buzón en lotes pequeños y repetidos, asegurando que el tráfico se mezclara sin problemas con las operaciones normales en la nube. Este método, combinado con el uso de servicios legítimos como **Dropbox** y **OneDrive**, subraya un esfuerzo deliberado para permanecer indetectados y complicar la atribución. La naturaleza de los datos comprometidos – que potencialmente incluyen detalles de cotización no públicos, asuntos de cumplimiento, términos de acuerdos y planes que mueven el mercado – sugiere fuertemente un objetivo de recopilación de inteligencia sobre robo financiero. ### Acceso Profundo y Orígenes Inciertos La actividad maliciosa inicial se observó el 10 de octubre de 2025, momento en el cual los atacantes ya habían logrado privilegios a nivel de SYSTEM en la máquina del ejecutivo. Desplegaron binarios disfrazados como el actualizador de **Adobe** y **OneDrive**, lo que indica un compromiso profundo. Si bien el punto de entrada inicial sigue siendo desconocido, **Symantec** sugiere que probablemente provino de movimiento lateral dentro de la red, originado en un dispositivo previamente comprometido. La operación escaló el 12 de noviembre, cuando los atacantes obtuvieron un token de API de **Dropbox** y comenzaron a subir datos a través de `curl`. Su herramienta principal para la exfiltración fue un ladrón de buzones personalizado construido sobre **Aspose**, una biblioteca legítima de .NET utilizada para leer archivos OST y PST de **Outlook**. Esta herramienta se ejecutaba periódicamente, extrayendo nuevos datos de correo electrónico en rangos de fechas específicos, asegurando una copia casi continua, pero discreta, del buzón. ### Tácticas y Herramientas Evasivas Para mantener el sigilo, los atacantes configuraron tareas programadas para imitar servicios legítimos del sistema de **Adobe**, **Lenovo** y **OneDrive**. Para la exfiltración a través de **OneDrive**, se conectaron directamente a direcciones IP codificadas de **Microsoft**, eludiendo las búsquedas de DNS que las herramientas perimetrales podrían monitorear o bloquear. Aunque probaron brevemente el host de archivos públicos `temp.sh`, lo abandonaron en favor de los servicios en la nube más encubiertos. Un análisis adicional de la intrusión reveló un conjunto de herramientas más amplio, que incluía **FRPC** para tunelizar tráfico, **Secretsdump** para extraer credenciales de Windows, **SharpDecryptPwd** para recuperar contraseñas de aplicaciones guardadas y una herramienta para eludir el Control de Cuentas de Usuario (UAC) de Windows. El uso de herramientas públicas y servicios en la nube para consumidores ha evitado, hasta ahora, la atribución definitiva a un grupo de actores de amenazas específico. ### Más Allá de los Parches: El Imperativo del Monitoreo Este incidente es particularmente notable porque no implicó la explotación de una vulnerabilidad recién divulgada o una **CVE**. En cambio, fue una intrusión dirigida contra el buzón de una persona, enfatizando que el parcheo tradicional por sí solo no puede mitigar tales amenazas. La carga de la defensa recae directamente en un monitoreo robusto y capacidades de respuesta rápida. Para los profesionales de seguridad de TI que protegen organizaciones con información que mueve el mercado – como bolsas, reguladores o firmas financieras – la vigilancia es primordial. Los indicadores clave de compromiso incluyen actividad inusual de exportación de buzones, patrones de acceso sospechosos a **Outlook**, cargas a cuentas personales de **Dropbox** o **OneDrive**, tunelización inesperada y volcado de credenciales en sistemas utilizados por usuarios privilegiados. El monitoreo proactivo de estos comportamientos es crucial para detectar y frustrar intentos de espionaje sofisticados similares.