Resumen ejecutivo
Okta Threat Intelligence ha observado a un actor de ingeniería social abusando de los servicios de mensajería de inquilinos de Slack controlados por atacantes para redirigir a usuarios específicos a proxies de phishing AitM.
Desde julio de 2025, hemos observado un grupo de actividad de amenazas, rastreado
como O-UNC-031, que ha utilizado estas técnicas para atacar a empresas en los sectores de criptomonedas, tecnología financiera ( fintech) y gestión de relaciones con los clientes ( CRM).
El actor de amenazas emplea técnicas sofisticadas, incluido el uso de un proxy Evilginx AitM (Adversario en el Medio) para recopilar credenciales de usuario.
El objetivo principal parece ser el acceso no autorizado a cuentas corporativas.
Análisis de Amenazas
Abuso de los servicios de mensajería de Slack
Un elemento central de la cadena de ataque es el abuso de recursos legítimos de Slack. O-UNC-031 crea sus propios espacios de trabajo de Slack, que sirven como la plataforma principal para enviar señuelos de phishing a los usuarios objetivo.
Para aumentar la credibilidad de sus comunicaciones maliciosas, el actor de amenazas se hace pasar por administradores legítimos y otros empleados de las empresas objetivo.
Esta suplantación toma la forma de ingresar los nombres de estos individuos como el "administrador" de los espacios de trabajo de Slack controlados por el atacante. Los actores de amenazas refuerzan aún más el engaño cargando fotos de perfil de las personas suplantadas, probablemente obtenidas de información disponible públicamente.
Una vez que el espacio de trabajo malicioso de Slack está configurado, los atacantes invitan a usuarios específicos a unirse al espacio de trabajo. Observamos invitaciones enviadas tanto a las direcciones de correo electrónico corporativas como personales de los usuarios específicos.
Independientemente de si el usuario objetivo acepta esta invitación, el simple hecho de invitar al usuario utilizando métodos de comunicación confiables (las funciones de notificación de Slack) crea oportunidades convincentes para el *phishing*.
El actor de amenazas incrusta enlaces de phishing maliciosos directamente dentro de notificaciones de correo electrónico legítimas de Slack, lo que hace que sea significativamente más difícil para los objetivos discernir la intención maliciosa.
El actor de amenazas envía estos mensajes de phishing especialmente diseñados a través de mensajes directos o a través de menciones @channel a usuarios específicos desde dentro del espacio de trabajo controlado por el atacante. Las notificaciones enviadas desde Slack contienen enlaces de phishing que redirigen a los usuarios a páginas de inicio de sesión falsas de autenticación o de la empresa, como se describe a continuación.
Los dominios de phishing que observamos utilizaron los siguientes patrones:
- okta-integrations.com
- <target>-onelogin.com
- <target>admin.io
- <target>-okta.com
- slack-.com<target>
- <target>empleados.com
- <target>okta.com
Los pretextos comunes de ingeniería social que observamos incluyen:
- informando a los objetivos sobre un supuesto cambio en el "sistema de procesamiento de nómina", requiriéndoles que "conecten [su] cuenta de Okta al nuevo sistema de nómina".
- Notificando a los destinatarios de un "desempeño sobresaliente" y su inclusión en un nuevo "espacio de trabajo exclusivo de Slack", incitándolos a conectar su cuenta de Okta.
- Algunos ejemplos de URL de phishing utilizados en los señuelos que observamos incluyen:
- https://<phishing domain>/slack/connection/2138-4f92-acb7-bk51/,
- https://<phishing domain>/integration/slack/<target>/,
- https://<phishing domain>/integration/payroll/<target>/.
Notablemente, un ataque de phishing que probamos en nuestro propio entorno no requirió que el usuario objetivo se uniera al espacio de trabajo para que se le sirvieran enlaces a páginas de phishing:
- El espacio de trabajo de Slack permitía a un usuario autenticado enviar mensajes directos (MD) a un usuario que aún no había aceptado una invitación para unirse al canal.
- El espacio de trabajo de Slack envió notificaciones por correo electrónico al usuario invitado cada vez que se le enviaba un mensaje directo en el espacio de trabajo, incluso si aún no había aceptado la invitación.
- Al habilitar Markdown (llamado “Markup” en Slack), pudimos modificar el texto que aparece en un hipervínculo para que un URI malicioso parezca benigno. Observamos a los atacantes usando este método de engaño.
Slack ha eliminado los inquilinos controlados por el atacante que observamos en esta campaña.
Phishing de adversario en el medio
Para evitar las protecciones tradicionales de MFA, el actor de amenazas despliega Evilginx, un proxy de phishing AitM. Esta herramienta les permite interceptar y robar credenciales, incluyendo tokens de autenticación multifactor (MFA). Sin embargo, Evilginx no es eficaz contra los clientes de Okta cuando los usuarios están inscritos en Okta FastPass, claves de acceso o tarjetas inteligentes y la resistencia al phishing se aplica en la política.
La Inteligencia de Amenazas de Okta observó que Evilginx se empleaba para imitar una variedad de páginas de inicio de sesión, como los widgets de inicio de sesión de Okta y otros portales de autenticación de empresas específicas. Dicho esto, no podemos descartar el uso de kits de phishing adicionales por parte de este actor de amenazas.
Figura 1: Una página de phishing de O-UNC-031 que suplanta a Okta
Sin FastPass, por favor, estamos intentando hacerle phishing
Okta Threat Intelligence observó señuelos de phishing en esta campaña que explícitamente instruían a los objetivos a no utilizar el "Artículo destacado Okta FastPass".
Figura 2: Un señuelo de phishing O-UNC-031 enviado a través de una notificación de Slack
Esto indica que el actor de amenazas es consciente de que Okta FastPass puede tanto bloquear como detectar intentos de phishing de tipo AitM, pero también de que algunos clientes de Okta no aplican la resistencia al phishing en todas las políticas de autenticación. Cuando no se aplica la resistencia al phishing, un actor de amenazas puede intentar convencer a un usuario para que inicie sesión utilizando un factor de seguridad más bajo (Push, contraseña de un solo uso, SMS, etc.).
(Nota del editor: para reforzar la resistencia resistente al phishing, un administrador debe marcar la restricción del factor de posesión “resistente al phishing”, como se muestra en la imagen a continuación).
Figura 2: captura de pantalla de una regla de política de autenticación de Okta Identity Engine
Otras tácticas y procedimientos
Los dominios de phishing utilizados por este actor de amenazas a menudo se alojaban en servidores privados virtuales (VPS) adquiridos de servicios como BitLaunch. El uso de proveedores como BitLaunch es ventajoso para el actor de amenazas debido a su soporte para pagos con criptomonedas, lo que mejora el anonimato, y la capacidad de implementar rápidamente VPS para campañas de corta duración. Del mismo modo, los dominios normalmente se registran a través de NICENIC INTERNATIONAL, probablemente favorecido por el actor de amenazas porque también acepta pagos con criptomonedas y puede ofrecer procedimientos de respuesta a abusos percibidos como laxos o lentos, o características de privacidad específicas.
Se ha observado que la información de WHOIS para estos dominios incluye la siguiente información de registro:
- Registrant State/Province: kond
- País del registrante: AW
Tras la recolección exitosa de las credenciales de usuario de un objetivo, se ha observado que O-UNC-031 utiliza Mullvad VPN e IP residenciales para sus intentos de autenticación en las organizaciones objetivo.
Respuesta ante amenazas
Lo que estamos haciendo:
Estamos activamente involucrados en las siguientes actividades para mitigar esta amenaza:
- Monitorear continuamente los dominios de phishing recién registrados y la infraestructura asociada con esta campaña.
- Presentar de forma proactiva informes de abuso a los registradores y proveedores de alojamiento pertinentes para iniciar solicitudes de eliminación de los sitios maliciosos identificados.
- Proporcionar orientación y asistencia a las organizaciones para mejorar la seguridad de sus entornos Okta e investigar cualquier actividad sospechosa relacionada con cuentas potencialmente comprometidas.
Controles de Protección
Recomendaciones para los clientes
- Inscriba a los usuarios en autenticadores robustos como Okta FastPass, FIDO2 WebAuthn y tarjetas inteligentes.
- Aplique resistencia al phishing en las políticas de autenticación y desactive los métodos de inicio de sesión más débiles.
- Las políticas de autenticación de Okta también se pueden utilizar para restringir el acceso a las cuentas de usuario en función de una variedad de requisitos previos configurables por el cliente. Recomendamos que los administradores restrinjan el acceso a aplicaciones confidenciales a dispositivos que son administrados por herramientas de administración de extremos y protegidos por herramientas de seguridad de extremos. Para el acceso a aplicaciones menos confidenciales, exija dispositivos registrados (que utilicen Okta FastPass) que exhiban indicadores de higiene básica.
- Denegar o requerir mayor seguridad para las solicitudes de redes poco utilizadas. Con Okta Network Zones, el acceso puede ser controlado por ubicación, ASN (Número de Sistema Autónomo), IP y Tipo de IP (que puede identificar proxies de anonimización conocidos).
- Las evaluaciones de Okta Behavior y Risk se pueden utilizar para identificar solicitudes de acceso a aplicaciones que se desvían de los patrones de actividad del usuario establecidos previamente. Las políticas se pueden configurar para actualizar a nivel superior o denegar las solicitudes utilizando este contexto.
- Capacite a los usuarios para que identifiquen indicadores de correos electrónicos sospechosos, sitios de phishing y técnicas comunes de ingeniería social utilizadas por los atacantes. Facilite a los usuarios la notificación de posibles problemas mediante la configuración de Notificaciones para el usuario final y elaboración de informes de Actividad Sospechosa.
- Documente, difunda y cumpla con un proceso estandarizado para validar la identidad de los usuarios remotos que se pongan en contacto con el personal de soporte de TI, y viceversa. Adopte un enfoque de "privilegios permanentes cero" para el acceso administrativo. Asigne a los administradores roles de administrador personalizados con los permisos mínimos necesarios para las tareas diarias, y exija la autorización dual para el acceso JIT (justo a tiempo) a roles con más privilegios.
- Aplique el enlace de sesión IP a todas las aplicaciones administrativas para evitar la reproducción de sesiones administrativas robadas.
- Habilite Protected Actions para forzar la reautenticación cada vez que un usuario administrativo intente realizar acciones confidenciales.
Observación y respuesta a la infraestructura de phishing:
- Revise los registros de aplicaciones (registros de Okta, proxies web, sistemas de correo electrónico, servidores DNS, firewalls) para cualquier evidencia de comunicación con dichos dominios sospechosos.
- Supervise los dominios regularmente para ver si el contenido cambia.
- Si el contenido alojado en el dominio infringe los derechos de autor o las marcas legales, considere proporcionar evidencia y emitir una solicitud de eliminación con el registrador del dominio y/o el proveedor de alojamiento web.
Apéndice A: Indicadores de compromiso
Esta es una investigación en curso, y se pueden identificar IOCs adicionales a medida que evoluciona la campaña. Se aconseja a las organizaciones que permanezcan atentas e implementen las estrategias de mitigación recomendadas. A continuación, se muestran los IOC observados.
| Tipo | Indicador | Comentario | Visto en |
|---|---|---|---|
| IP address | 157.245.242[.]172 | Infraestructura de phishing | 11 de julio de 2025 |
| IP address | 157.245.227[.]25 | Infraestructura de phishing | 9 de julio de 2025 |
| IP address | 157.245.129[.]184 | Infraestructura de phishing | 9 de julio de 2025 |
| IP address | 64.190.113[.]119 | Infraestructura de phishing | 4 de julio de 2025 |
| IP address | 157.245.134[.]111 | Infraestructura de phishing | 4 de julio de 2025 |
| IP address | 167.99.236[.]196 | Infraestructura de phishing | Jul 3, 2025 |
| IP address | 206.188.197[.]224 | Infraestructura de phishing | 2 de julio de 2025 |
| IP address | 50.189.65[.]60 | Infraestructura de phishing | 8 de julio de 2025 |
| Proveedor de VPN | Mullvad VPN | Proveedor de VPN | 2025-07 |
| Whois | kond | Estado/Provincia del registrante | 2025-07 |
| Whois | AW | País del registrante2025-07 | 2025-07 |
También hay indicadores adicionales disponibles en un aviso sin redactar que los clientes de Okta pueden descargar en security.okta.com.
Una nota sobre el lenguaje de estimación
Los equipos de Threat Intelligence de Okta utilizan los siguientes términos para expresar la probabilidad, tal como se describe en la Directiva 203 de la Comunidad de Inteligencia de la Oficina del Director de Inteligencia Nacional de EE. UU.: estándares analíticos.
| Probabilidad | Casi ninguna posibilidad | Muy improbable | Poco probable | Aproximadamente posibilidades parejas | Probable | Muy probable | Casi cierto(mente) |
|---|---|---|---|---|---|---|---|
| Probabilidad | Remoto | Altamente improbable | Improbable | Aproximadamente posibilidades parejas | Probable | Altamente probable | Casi Cierto |
| Porcentaje | 1-5% | 5-20% | 20-45% | 45-55% | 55-80 % | 80-95 % | 95-99% |
