Los ciberdelincuentes explotan cada vez más **Microsoft Teams** para atacar a empleados, haciéndose pasar por personal de TI y de soporte técnico. **KongTuke**, conocido por vender acceso a redes a operadores de ransomware, ha adoptado este método para obtener rápidamente un punto de apoyo dentro de las organizaciones. ### El Vector de Ataque El ataque consiste en convencer a las víctimas para que ejecuten un comando malicioso de PowerShell, el cual descarga y ejecuta el malware "ModeloRAT".  *El comando de PowerShell utilizado en los ataques observados. Fuente: ReliaQuest* Investigadores de **ReliaQuest** han observado este cambio en las tácticas, señalando que **KongTuke** anteriormente dependía de señuelos web como "FileFix" y "CrashFix". Según **ReliaQuest**, "Esta actividad en Teams, que parece complementar, en lugar de reemplazar, ese enfoque basado en la web, marca la primera vez que vemos a KongTuke usar una plataforma de colaboración para el acceso inicial." ### Detalles de la Campaña La campaña ha estado activa desde al menos abril de 2026, con **KongTuke** rotando a través de cinco inquilinos de **Microsoft 365** para evadir la detección. Para hacerse pasar por soporte de TI interno, el atacante utiliza trucos de espacios en blanco Unicode para que el nombre de visualización parezca legítimo. El comando malicioso de PowerShell descarga un archivo ZIP desde **Dropbox** que contiene un entorno WinPython portátil, el cual luego lanza ModeloRAT (Pmanager.py) basado en Python. ### Capacidades de ModeloRAT El malware recopila información del sistema y del usuario, captura capturas de pantalla y puede exfiltrar archivos. **ReliaQuest** destaca varias evoluciones clave en la versión de ModeloRAT utilizada en esta campaña: 1. **Arquitectura de C2 Resiliente:** Un grupo de cinco servidores, conmutación automática por error, rutas de URL aleatorias y capacidad de autoactualización. 2. **Múltiples Rutas de Acceso:** Un RAT principal, un shell inverso y un backdoor TCP, ejecutándose en infraestructura separada. 3. **Persistencia Ampliada:** Claves de registro de ejecución, accesos directos de inicio, lanzadores VBScript y tareas programadas a nivel de SYSTEM.  *La tarea programada persistente. Fuente: ReliaQuest* Notablemente, la tarea programada no es eliminada por la rutina de autodestrucción del implante, lo que le permite persistir a través de reinicios del sistema. ### Estrategias de Mitigación Para defenderse de ataques iniciados por Teams, se recomienda restringir la federación externa de **Microsoft Teams** utilizando listas de permitidos. Esto puede ayudar a bloquear los intentos de contacto inicial. Los administradores también deben aprovechar los indicadores de compromiso (IOCs) proporcionados en el informe de **ReliaQuest** para buscar proactivamente signos de compromiso y artefactos de persistencia. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="imagen del artículo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">El 99% de lo que Mythos encontró sigue sin parchear.</a></h2> <p>La IA encadenó cuatro vulnerabilidades de día cero en un solo exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits.</p> <p>En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Reclama tu Lugar</a></p> </div> </div>