Investigadores de ZeroBAC han revelado detalles de una nueva plataforma de «phishing como servicio» (PhaaS) llamada Forg365, dirigida a cuentas de Microsoft 365. La plataforma, distribuida a través de Telegram mediante suscripción de 400 dólares al mes, combina en una única interfaz operativa varias técnicas avanzadas: phishing mediante códigos de dispositivo (device code phishing), secuestro de sesión según el esquema «adversario en el medio» (AitM), evasión de protecciones antibot, generación de cebos de phishing con IA y acciones automatizadas en buzones comprometidos. Las organizaciones que utilizan Microsoft 365 deberían evaluar de inmediato su nivel de protección frente a device code phishing y revisar sus directivas de acceso condicional.
Arquitectura de la plataforma y cadena de ataque
Según los investigadores, Forg365 es una plataforma madura orientada a operadores, con un panel de control accesible a través de Internet público (dominio logfriend[.]com). El panel ofrece a los operadores un conjunto completo de herramientas: gestión de cuentas, configuración de aplicaciones OAuth, generación de elementos SVG, rotación de perfiles SMTP, creación de correos de phishing con ayuda de IA, almacenamiento de tokens, monitorización de cuentas comprometidas por palabras clave y compatibilidad con extensiones de navegador.
La cadena de ataque comienza con correos de phishing sobre temas de documentos de negocio o aprobación de pagos. Para la entrega se emplea infraestructura legítima: Amazon SES como dominio de envío y Twilio SendGrid para alojar imágenes y recursos de tracking en el cuerpo del mensaje. Este esquema permite que los correos de phishing se mezclen con el tráfico de correo habitual y atraviesen los gateways de seguridad del correo electrónico (SEG).
Device code phishing: pantallas legítimas de Microsoft al servicio de los atacantes
Una de las técnicas clave de Forg365 es la rama de autenticación mediante códigos de dispositivo. Según se indica, la plataforma muestra a la víctima una página de introducción de código de verificación con apariencia de Microsoft y dirige al usuario a un flujo de autenticicación legítimo a través de Microsoft Authentication Broker. La víctima ve pantallas de autenticación reales de Microsoft, pero el código introducido autoriza una sesión controlada por el atacante. Esto hace que el ataque sea extremadamente difícil de detectar por parte del usuario: todos los elementos visuales son auténticos.
Phishing AitM con comportamiento adaptativo
Para el secuestro de sesiones según el esquema AitM, la plataforma utiliza tokens de enrutamiento, cookies de sesión y clasificación de tráfico para determinar si debe mostrar al visitante contenido de phishing o una página señuelo inocua. Cuando detecta una conexión VPN, el sistema redirige a contenido neutral, ocultando las páginas de phishing a investigadores y escáneres automatizados.
ForgCookie: acceso persistente mediante extensión de navegador
Merece especial atención la extensión ForgCookie para navegadores basados en Chromium (Google Chrome, Microsoft Edge, Brave). Según ZeroBAC, la extensión proporciona «actualización automática de cookies SSO para servicios de Microsoft» y funciona con el siguiente algoritmo:
- Solicita datos de la cuenta a la parte servidor de Forg365
- Consulta el endpoint de generación de cookies para la cuenta seleccionada
- Limpia las cookies de sesión existentes de Microsoft
- Inyecta la cookie generada con el token de actualización en el dominio de autenticación de Microsoft
- Inicia un flujo OAuth oculto
- Intercepta las cookies resultantes de Microsoft en todos los dominios de Microsoft
En la práctica, ForgCookie convierte la compromisión puntual de un token en un canal de acceso persistente a la cuenta comprometida, actualizando la sesión de forma automática sin necesidad de repetir el phishing.
Postexplotación con elementos de IA
La funcionalidad de Forg365 va más allá de la recopilación de credenciales y tokens. Según se indica, la plataforma permite monitorizar buzones comprometidos mediante palabras clave predefinidas y generar respuestas a cadenas de correo concretas utilizando IA. Esto significa que los atacantes pueden automatizar el secuestro de la correspondencia empresarial (BEC), una de las formas de ciberdelincuencia financieramente más destructivas.
El ecosistema PhaaS: Forg365 en el contexto de la industrialización del phishing
ZeroBAC describe Forg365 como parte de un ecosistema más amplio que incluye las plataformas Kali365 (también conocida como Octopi365 y Freedom365) y Sneaky 2FA. Este ecosistema refleja la industrialización del phishing: la creación de cebos, la entrega, la evasión de defensas, el procesamiento de tokens y la postexplotación se agrupan en un modelo de suscripción accesible a operadores sin profundos conocimientos técnicos.
En paralelo a la revelación de Forg365, los investigadores han observado varias campañas relacionadas:
- Kali365: según Huntress, la plataforma admite más de 33 cebos distintos e incluye la aplicación de escritorio OctoLink Live para abrir el buzón de la víctima a través de OWA, OneDrive, SharePoint o admin.microsoft.com, así como la herramienta OctoLink Sender para el envío masivo de phishing desde cuentas comprometidas (phishing lateral). Según Arctic Wolf, las páginas de phishing de Kali365 también imitan el mensajero ruso MAX.
- EvilTokens: campaña de device code phishing que explota alias de correo obsoletos. La cadena de redirección pasa por un enlace de tracking de Mailjet, un sitio WordPress comprometido, una intersticial con CAPTCHA y un host en Cloudflare Workers, tres nodos de infraestructura intermedios entre el correo y el propio kit de phishing.
- The Quarry: plataforma PhaaS con un coste de entre 500 y 3 000 dólares que, según SOCRadar, utiliza cebos en nombre de IRS, SSA, Adobe, Microsoft, DocuSign y Dropbox para entregar el software legítimo de acceso remoto ConnectWise ScreenConnect.
- Nyasher y GPPStorm: frameworks para la toma de cuentas de Google mediante flujos de trabajo falsos y páginas de phishing que utilizan URLs blob en lugar de documentos HTML estándar.
Evaluación del impacto
El principal grupo de riesgo son las organizaciones que utilizan Microsoft 365, especialmente aquellas donde está permitida la autenticación mediante códigos de dispositivo y se conservan alias de correo obsoletos de nombres de dominio anteriores (por ejemplo, tras fusiones y adquisiciones). El modelo de suscripción de Forg365 reduce la barrera de entrada para los atacantes: los operadores menos experimentados utilizan plantillas listas para usar, mientras que los más avanzados personalizan las páginas de destino, rotan la infraestructura y gestionan los tokens.
Es importante tener en cuenta que la mayoría de las afirmaciones sobre las capacidades de Forg365 se basan en el informe de una única fuente de investigación (ZeroBAC) y no están respaldadas por recomendaciones oficiales de Microsoft ni de organismos gubernamentales. La magnitud del impacto real de la plataforma aún no se ha determinado.
Recomendaciones prácticas
- Bloquee la autenticación mediante códigos de dispositivo (device code flow) en las directivas de acceso condicional de Azure AD/Entra ID si esta función no es necesaria para los procesos de negocio
- Revise los artefactos de los buzones tras eventos de autenticación mediante códigos de dispositivo en busca de indicios de actividad atípica — creación de reglas de reenvío, lectura masiva de correos, envío de mensajes
- Realice una auditoría de las reglas de flujo de correo (mail-flow rules) para detectar redirecciones no autorizadas
- Retire de servicio los alias de correo obsoletos que ya no correspondan a empleados activos, especialmente aquellos que se conservan de dominios anteriores a fusiones y adquisiciones
- Supervise las aplicaciones OAuth registradas en el tenant para detectar permisos sospechosos y editores desconocidos
- Revise las extensiones de navegador en las estaciones de trabajo de los empleados: la presencia de ForgCookie o extensiones similares que interactúen con dominios de Microsoft requiere una respuesta inmediata
Forg365 demuestra la transición del ecosistema PhaaS desde la simple recopilación de contraseñas hacia un ciclo completo de compromisos: desde la entrega de phishing a través de infraestructura legítima hasta el mantenimiento automatizado del acceso y el secuestro de correspondencia asistido por IA. La acción prioritaria para los defensores es deshabilitar el device code flow en Azure AD/Entra ID y auditar los alias de correo obsoletos que crean vías de entrega de phishing invisibles para los SEG hacia los buzones de trabajo.