Una botnet masiva con más de 130,000 dispositivos comprometidos está llevando a cabo ataques de password spraying contra cuentas de Microsoft 365 en todo el mundo. Según un informe, los hackers están usando credenciales robadas por malware infostealer para acceder a cuentas a gran escala. Su objetivo principal es explotar la autenticación básica, un sistema obsoleto que aún está activo en muchas organizaciones y que les permite evadir fácilmente la autenticación multifactor (MFA).
Los ciberdelincuentes siempre buscan la forma más sencilla de colarse en cuentas ajenas, y este método les da justo lo que necesitan: acceso sin esfuerzo y sin levantar sospechas. El problema es que muchas empresas siguen confiando en sistemas de seguridad débiles, dejando sus cuentas expuestas a accesos no autorizados, filtraciones de datos y ataques cada vez más sofisticados. Si usas Microsoft 365, esta amenaza no es algo que debas ignorar.
Los hackers están utilizando un método silencioso para evadir la autenticación multifactor (MFA) y acceder a cuentas sin ser detectados. En lugar de iniciar sesión de forma tradicional, emplean sesiones no interactivas con autenticación básica (Basic Auth), un sistema obsoleto que todavía está habilitado en muchas organizaciones y que, en la mayoría de los casos, no activa alertas de seguridad.
El problema es que muchas empresas solo monitorean los inicios de sesión interactivos, sin darse cuenta de que estos ataques pasan desapercibidos. Los inicios de sesión no interactivos se usan comúnmente en la autenticación entre servicios, en protocolos antiguos como POP, IMAP y SMTP, y en procesos automatizados. Esto los convierte en una puerta trasera ideal para los ciberdelincuentes. La autenticación básica, al transmitir credenciales en texto simple, sigue siendo un objetivo fácil para los atacantes en entornos donde aún no ha sido deshabilitada.
Intentos de inicio de sesión fallidos por parte de la botnet (Fuente: SecurityScorecard)
La autenticación básica es un método antiguo que, sorprendentemente, sigue activo en algunas cuentas. Funciona enviando las credenciales del usuario en texto plano o en un formato básico de codificación (base64) con cada solicitud al servidor. Su mayor problema es que carece de medidas de seguridad modernas, como la autenticación multifactor (MFA) o la autenticación basada en tokens, lo que la convierte en un blanco fácil para los atacantes.
Microsoft ya ha comenzado a deshabilitarla en la mayoría de los servicios de Microsoft 365, y su plan es eliminarla por completo en septiembre de 2025 en favor de OAuth 2.0. Sin embargo, mientras siga activa en algunos entornos, seguirá siendo una vulnerabilidad crítica.
La botnet recientemente descubierta está lanzando ataques masivos contra cuentas de Microsoft 365, aprovechando la autenticación básica para probar contraseñas filtradas o comunes.
Lo preocupante es que, al usar este método, los atacantes pueden evadir la autenticación multifactor (MFA) y muchas de las políticas de seguridad que normalmente bloquearían accesos sospechosos. Básicamente, si dan con la combinación correcta de usuario y contraseña, pueden validar las credenciales sin restricciones y sin levantar ninguna alerta.
¿Para qué usan luego estas credenciales? Una vez que logran verificarlas, pueden acceder a servicios más antiguos que no requieren MFA o usarlas en ataques de phishing más sofisticados para engañar a la víctima y tomar el control total de la cuenta.
Aunque este tipo de ataque es discreto, hay formas de detectarlo. Los registros de Entra ID pueden revelar señales clave, como:
En enero, la firma de ciberseguridad SpearTip ya había alertado sobre ataques contra Microsoft 365 usando la biblioteca FastHTTP Go, aunque en ese momento no se mencionaron los inicios de sesión no interactivos. No está claro si esto es una evolución reciente de la botnet para hacerla aún más difícil de detectar.
Conoce más sobre: Malware Explota OAuth de Google para Secuestrar Cuentas
Aunque aún no hay pruebas definitivas, investigadores creen que los operadores de esta botnet podrían estar vinculados a China. Sin embargo, la atribución sigue siendo incierta y falta más evidencia para confirmarlo.
Lo que sí se sabe es que la botnet funciona con seis servidores de comando y control (C2), alojados en Shark Tech, un proveedor de hosting en EE.UU. Además, el tráfico se enruta a través de UCLOUD HK, con sede en Hong Kong, y CDS Global Cloud, un servicio con vínculos en China.
A nivel técnico, los servidores C2 están configurados con Apache Zookeeper y utilizan Kafka para coordinar las operaciones de la botnet, lo que sugiere una infraestructura sofisticada para administrar los dispositivos comprometidos.
Otro dato interesante es que la zona horaria del sistema en estos servidores está configurada en Asia/Shanghai, lo que podría ser una pista sobre su origen. Además, los registros indican que la botnet ha estado activa desde al menos diciembre de 2024, lo que significa que lleva meses operando bajo el radar.
Puertos utilizados por el C2 para el control de botnets
Esta botnet está aprovechando más de 130,000 dispositivos comprometidos para distribuir los intentos de inicio de sesión a través de múltiples direcciones IP. ¿El objetivo? Evitar ser detectada como actividad sospechosa y esquivar bloqueos de seguridad.
Para protegerse, las organizaciones deben tomar medidas cuanto antes:
Si estas medidas aún no están implementadas en tu empresa, es momento de actuar.
Conoce más sobre: Seguridad Avanzada en Microsoft 365 con TecnetProtect
Los ataques de password spraying contra Microsoft 365 están en aumento, y esta botnet masiva es una prueba de ello. Al explotar la autenticación básica, los ciberdelincuentes pueden evadir protecciones de seguridad y acceder a cuentas sin levantar sospechas.
Si tu empresa aún tiene habilitada la autenticación básica, es momento de desactivarla de inmediato y reforzar la seguridad con MFA, políticas de acceso condicional y monitoreo constante de inicios de sesión sospechosos.
Además, contar con una solución de ciberseguridad avanzada como TecnetProtect puede marcar la diferencia. TecnetProtect protege Microsoft 365 con herramientas de seguridad proactiva, monitoreo de amenazas y copias de seguridad automatizadas, asegurando que tu información esté protegida ante cualquier ataque.