Peligro oculto en archivos SVG: cómo los cibercriminales disfrazan código malicioso de archivos aparentemente inofensivos

Una campaña de phishing en varias etapas bajo el nombre provisional Tykit está dirigida a usuarios corporativos de Microsoft 365 y se utiliza activamente para robar credenciales. Los especialistas de ANY.RUN registraron un aumento de actividad desde mayo de 2025, que alcanzó su pico en otoño. En algunos casos se trató de cientos de cuentas comprometidas, principalmente en el sector financiero.

La característica principal del ataque es el uso de archivos SVG que contienen código JavaScript que, mediante una máscara XOR, oculta la carga maliciosa y provoca la redirección a una página de inicio de sesión falsificada. Estos elementos se repiten en todas las muestras analizadas, y los servidores utilizados tienen patrones de dominio similares y conservan la estructura de la lógica del cliente.

Las páginas falsificadas imitan la interfaz de inicio de sesión de Microsoft 365 y se alojan en dominios generados con un parámetro del tipo «/?s=», que contiene el correo electrónico de la víctima en Base64. Las solicitudes a los servidores de control se realizan por etapas: primero se valida la dirección introducida, luego se muestra el formulario para introducir la contraseña, y después los datos robados se envían al servidor de los atacantes. Los scripts en la página incluyen medidas anti-depuración, como bloquear la apertura de las herramientas de desarrollo (DevTools) y desactivar el menú contextual. También se utiliza un CAPTCHA basado en Cloudflare Turnstile para protegerse del análisis automatizado.

La captura de datos va acompañada del envío de peticiones JSON al servidor en las rutas «/api/validate» y «/api/login». La primera se usa para validar la dirección introducida, la segunda para transferir el usuario y la contraseña. En respuesta, el servidor controla el comportamiento de la página: puede mostrar un mensaje de error, simular una nueva entrada o redirigir al usuario al sitio real, ocultando el ataque. También existe lógica para enviar información de depuración a través de «/x.php» en determinadas condiciones.

Los principales objetivos son organizaciones de EE. UU., Canadá, países de Europa, América Latina, el sudeste asiático y Oriente Medio. Se han registrado ataques en los sectores de la construcción, la consultoría, las TI, las telecomunicaciones, la educación, la administración pública y el comercio. El esquema utilizado permite eludir la autenticación de dos factores mediante el robo de tokens, lo que aumenta la persistencia de los atacantes en la red de la víctima y les permite moverse dentro de la infraestructura.

Algunos componentes de la infraestructura de Tykit indican claramente el uso del modelo Phishing-as-a-Service: separación de roles entre servidores de distribución y recolección de datos, además de la existencia de claves similares a tokens de licencia.

ANY.RUN analizó un conjunto de indicadores, incluidas las firmas de archivos SVG, llamadas características a funciones como eval() y parseInt(), así como patrones comunes de variables y la lógica de JavaScript. Se elaboraron reglas para detectar la actividad de Tykit, que permiten identificar la amenaza tanto por archivos como por interacciones de red. Se prestó especial atención a los dominios que comienzan por «segy» y que usan el patrón «loginmicr(o|0)s…cc», así como a la estructura de las solicitudes con el parámetro «/?s=».

Para protegerse de ataques similares, los especialistas recomiendan comprobar el contenido de los archivos SVG, aislar los adjuntos sospechosos en una sandbox, migrar a métodos de autenticación resistentes al phishing y monitorizar las solicitudes sospechosas. Incrementar la concienciación del personal sobre las amenazas, así como usar herramientas de análisis automático, permite responder más rápidamente a los incidentes y reducir el tiempo de detección y mitigación de la amenaza.