En lugar de virus, usan reglas en el correo electrónico: hackers ganan 100.000 dólares al día en redes de minoristas

El equipo Unit 42 de Palo Alto Networks presentó un estudio detallado de una nueva campaña internacional de delincuentes con motivación financiera denominada Jingle Thief. El grupo, que opera desde Marruecos, se especializa en un fraude masivo con tarjetas regalo que se intensifica en la antesala de las festividades. Los objetivos principales son grandes empresas mundiales del comercio minorista y de servicios al consumidor que utilizan plataformas en la nube, sobre todo Microsoft 365.

Según Unit 42, la actividad identificada como el clúster CL-CRI-1032 probablemente está vinculada a actores previamente conocidos como Atlas Lion y STORM-0539. Este grupo destaca por su extraordinaria persistencia en la infraestructura de las víctimas: en casos aislados los atacantes mantuvieron acceso a nubes corporativas durante más de un año, estudiando de forma gradual los procesos y las estructuras internas para obtener los niveles de privilegio necesarios. En la primavera de 2025 Jingle Thief llevó a cabo una serie de ataques coordinados contra varias empresas internacionales simultáneamente.

Tras un exitoso phishing o fraude por SMS, los atacantes iniciaban sesión en Microsoft 365 con cuentas robadas y comenzaban el reconocimiento. Exploraban SharePoint y OneDrive en busca de documentos relacionados con la emisión de tarjetas regalo, operaciones financieras e instrucciones internas, y también se conectaban a Exchange y Entra ID. El grupo no recurría a la infección habitual de sistemas ni a la instalación de malware: todo ocurría en la nube a través de servicios legítimos.

Los pasos siguientes incluían el envío de notificaciones fraudulentas dentro de las empresas, lo que les permitía comprometer nuevas cuentas. Los correos imitaban notificaciones del sistema ServiceNow, solicitudes del departamento de TI o avisos de inactividad. Los enlaces en esos mensajes conducían a páginas falsas de inicio de sesión de Microsoft 365 diseñadas con la imagen corporativa de la organización. Así los atacantes ampliaban gradualmente su presencia, capturando decenas de cuentas y manteniendo el control de la correspondencia.

Una de las tácticas clave fue configurar reglas de reenvío ocultas hacia direcciones externas, lo que les permitía supervisar de forma pasiva las comunicaciones relacionadas con la emisión y aprobación de tarjetas regalo. Para ocultar sus rastros, los atacantes movían automáticamente los correos de phishing y las respuestas de los usuarios a la carpeta de Elementos eliminados, impidiendo que el personal detectara la actividad sospechosa.

Para mantener una presencia a largo plazo, el grupo registraba sus propios dispositivos en Entra ID, conectaba aplicaciones autenticadoras falsas y cambiaba contraseñas mediante mecanismos legítimos de recuperación. Esto proporcionaba un acceso persistente que no dependía del restablecimiento de contraseñas ni del bloqueo de sesiones. Tras consolidarse en el sistema, los miembros de Jingle Thief pasaban al objetivo principal: emitir tarjetas regalo por importes elevados, que luego se cobraban en efectivo rápidamente o se usaban en esquemas de lavado de dinero.

Las tarjetas regalo resultaron un botín conveniente por la combinación de factores: se requiere un mínimo de datos personales para activarlas, las transacciones son difíciles de rastrear, su uso es generalizado y el control interno en las empresas suele ser débil. En foros de la llamada "zona gris" estas tarjetas se venden con descuento, lo que permite a los delincuentes obtener efectivo de forma rápida. Según Unit 42, en uno de los episodios los atacantes controlaron durante diez meses más de sesenta cuentas de una sola empresa global y trataron de emitir masivamente tarjetas costosas en varios programas de fidelidad al mismo tiempo.

Todas las conexiones registradas se realizaron desde rangos de direcciones IP de los proveedores marroquíes MT-MPLS, ASMedi y MAROCCONNECT. A veces los atacantes usaban la VPN Mysterium, aunque con frecuencia se conectaban directamente, lo que confirmó su pertenencia geográfica. Patrones repetidos de dominios y estructuras de URL también apuntan a una infraestructura marroquí común.

La campaña Jingle Thief demuestra lo peligroso que se vuelve el desplazamiento de los ataques hacia los servicios en la nube. Allí los atacantes no comprometen dispositivos finales, sino que explotan funcionalidades legítimas de las plataformas: desde el registro de dispositivos hasta la configuración de reglas de reenvío de correo. Este enfoque dificulta la detección y permite actuar durante meses sin llamar la atención.

Los especialistas de Unit 42 subrayan que, para protegerse contra esquemas similares, es crucial supervisar el comportamiento de los usuarios y analizar inicios de sesión inusuales y cambios en las políticas de identidad. La ciberprotección moderna debe tener en cuenta que la identidad digital es el nuevo perímetro de seguridad.