Storm-2657 mantiene desde marzo de 2025 una campaña de intrusiones contra universidades de Estados Unidos centrada en plataformas de recursos humanos, con el objetivo de alterar los datos de pago y desviar salarios a cuentas controladas por los atacantes. Según Microsoft Threat Intelligence, la táctica combina phishing, robo de credenciales y manipulación de autenticación para entrar en HR‑SaaS como Workday. Actividades similares, referidas como Payroll Pirates, ya habían sido descritas por Silent Push, Malwarebytes y Hunt.io.
Educación superior y HR‑SaaS: un blanco atractivo para el fraude de nómina
Las universidades gestionan miles de identidades distribuidas y dependen de servicios externos como Workday, lo que amplifica el impacto de la ingeniería social. Cualquier plataforma SaaS que procese datos de RR. HH., IBAN/ACH y órdenes de pago se convierte en un objetivo de alto valor. La combinación de SSO, controles MFA heterogéneos y la confianza implícita en la mensajería interna facilita la escalada silenciosa del compromiso.
Cadena de ataque: del phishing al abuso de SSO y la manipulación de nómina
En la primera mitad de 2025, Microsoft observó mensajes de phishing que recolectaban credenciales y códigos MFA en páginas falsas. Con contraseñas y tokens de sesión robados, los actores ingresaban a Exchange Online y, aprovechando el Single Sign-On, pivotaban hacia Workday dentro de la misma sesión corporativa de confianza para cambiar perfiles y datos bancarios.
Persistencia mediante SSO y MFA débil
El SSO reduce fricción para el usuario, pero un account takeover concede acceso transversal a aplicaciones integradas. La ausencia de MFA resistente al phishing o el uso de factores heredados (por ejemplo, SMS) eleva el riesgo de interceptación. En varios incidentes, Storm-2657 añadió sus propios números telefónicos como métodos MFA, consolidando la persistencia y dificultando el proceso de recuperación.
Evasión operativa: reglas de buzón y spear‑phishing desde cuentas legítimas
Tras la intrusión, los atacantes creaban reglas en el servidor para ocultar notificaciones de Workday, silenciando alertas de cambios en nómina. Con esas cuentas comprometidas se enviaron casi 6.000 correos de phishing a destinatarios de 25 universidades, explotando temas de urgencia como enfermedades de personal o incidentes en campus para inducir clics en enlaces falsos.
Alcance y TTP: ingeniería social por encima de exploits
Desde marzo, Microsoft registró 11 cuentas comprometidas en tres universidades estadounidenses. El conjunto de TTP mapea a MITRE ATT&CK: phishing de credenciales (T1566), uso de cuentas válidas (T1078), manipulación de autenticación y MFA (T1098/T1556) y reglas de correo para ocultación (T1114). El énfasis no está en vulnerabilidades de software, sino en el abuso de mecanismos de confianza y procesos de autenticación legítimos.
Medidas de mitigación prioritarias para HR‑SaaS en universidades
- MFA resistente al phishing: implantar FIDO2/WebAuthn y retirar SMS/voz; exigir MFA reforzada para high‑risk actions como cambios de datos de pago.
- Gobernanza de SSO y sesiones: limitar vida de tokens, habilitar acceso condicional y políticas basadas en riesgo; bloquear protocolos heredados y legacy auth.
- Supervisión de reglas de buzón: alertar sobre creación/edición de reglas que oculten mensajes de plataformas de RR. HH.
- Auditoría de factores MFA: revisión periódica de dispositivos y números “de confianza”; revocación de asociaciones sospechosas.
- Verificación out‑of‑band de nómina: confirmar por canal independiente cualquier cambio de cuenta bancaria del empleado.
- Formación y simulaciones: campañas que emulen avisos de HR y mensajes de “urgencia” típicos de campus.
- Telemetría y alertas: monitorear inicios de sesión anómalos, envíos masivos y modificaciones inusuales de perfiles en HR‑SaaS.
Las operaciones de Storm-2657 evidencian que el vector dominante es la ingeniería social apoyada por SSO y MFA débiles. Adoptar MFA resistente al phishing, establecer puntos de control alrededor de cambios de nómina y vigilar reglas de correo reduce drásticamente el riesgo. Es el momento de validar políticas, probar planes de respuesta y reforzar la higiene de identidad para cerrar el grifo del fraude salarial antes de que escale.
