La suplantación de identidad de Services Australia impulsa una operación de robo de credenciales que se prolonga durante todo el año
17 de octubre de 2025
Por Ankit Gupta, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
- MCTO3001 - Operación de amenazas con campañas de suplantación de identidad de Services Australia y Centrelink en múltiples sectores
- Uso indebido de la infraestructura de servicios de correo electrónico legítimos (SendGrid, Mailgun, Office 365) con un nombre de usuario que hace referencia al Gobierno australiano
- Objetivo de la campaña: Obtención de credenciales y robo de datos mediante la suplantación de identidad de una autoridad gubernamental
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast sigue vigilando MCTO3001, una operación continuada de recopilación de credenciales que, desde 2023, se ha centrado específicamente en organizaciones australianas. MCTO3001 opera durante todo el año con temas de cebo en constante evolución, aprovechando la autoridad y la confianza asociadas a las comunicaciones gubernamentales. Los autores de las amenazas detrás de MCTO3001 emplean un enfoque táctico coherente, utilizando principalmente cuentas de correo electrónico comprometidas junto con servicios legítimos de envío masivo de correos electrónicos, como SendGrid, Mailgun y la infraestructura de Office 365.
Una característica distintiva del MCTO3001 es el uso sistemático de .gov.au o la referencia a nombres de visualización «gov» asociados a una infraestructura de envío no gubernamental. Los encabezados de los correos electrónicos muestran sistemáticamente campos de destinatario falsificados o totalmente ausentes en los encabezados « "» y «To:" », lo que indica una manipulación de los encabezados diseñada para eludir la detección, al tiempo que se mantiene la apariencia de correspondencia oficial del Gobierno. La operación se hace pasar estratégicamente por Services Australia, aprovechando su profundo conocimiento de los sistemas de prestaciones australianos, entre los que se incluyen las pensiones de jubilación (Superannuation), Medicare, las ayudas para demandantes de empleo (JobSeeker) y las prestaciones fiscales familiares (Family Tax Benefits).
Último análisis de la campaña
La última campaña de phishing denominada «MCTO3001» tiene como objetivo a los usuarios australianos, en particular a aquellos que disponen de cuentas en Centrelink. El principal señuelo utilizado en esta campaña es un correo electrónico en el que se afirma que se ha detectado un "intento de inicio de sesión" o un intento de inicio de sesión sospechoso en la cuenta de Centrelink del destinatario.
El correo electrónico, redactado para imitar fielmente las comunicaciones oficiales de Centrelink o myGov, insta al destinatario a verificar su cuenta haciendo clic en un enlace que se le proporciona. Esta táctica de ingeniería social se aprovecha de la urgencia y el miedo, lo que lleva a los usuarios a actuar con rapidez y sin la debida precaución.
Una vez que la víctima hace clic en el enlace, se le redirige a una página de inicio de sesión falsa de MyGov diseñada para obtener sus credenciales
Una característica técnica clave de esta campaña es el uso indebido de Portmap.io, un servicio legítimo de túneles inversos. Portmap.io permite a los usuarios dar acceso a servidores locales desde Internet mediante la creación de direcciones URL públicas que redirigen el tráfico hacia un equipo situado detrás de un NAT o de cortafuegos.
Los autores de amenazas como MCTO3001 aprovechan este servicio para desplegar rápidamente sitios web de phishing sin necesidad de registrar nuevos dominios ni contratar un servicio de alojamiento. Cada caso de phishing puede utilizar un subdominio y un puerto únicos, generados aleatoriamente (por ejemplo, hxxps://michdev-44475[.]portmap[.]io:44475/wett/tat/), lo que dificulta que los defensores bloqueen o incluyan en una lista negra dicha infraestructura. El uso de Portmap.io también complica la atribución, ya que el verdadero origen del servidor de phishing queda oculto tras la infraestructura del servicio, y estos túneles permiten a los atacantes rotar o desmantelar rápidamente su infraestructura para eludir la detección y las medidas de desactivación.
Protección de Mimecast
Mimecast ha implementado funciones de detección dirigidas específicamente a los patrones de suplantación de identidad del Gobierno australiano utilizados por MCTO3001, lo que incluye el análisis de los estilos de comunicación de Services Australia y la terminología relacionada con la suspensión de prestaciones.
Destinatarios
Una amplia orientación a múltiples industrias y sectores australianos
IOC
URL maliciosas:
- hxxps://myatoclaimc[.]replit[.]app/
- hxxps://gqr[.]sh/Tbdf
- hxxps://theuniversaldynamic[.]com/shared/
- hxxps://primeraeventsmanagementcompany[.]com/ads
- hxxps://myatoclaima[.]replit[.]app/
- hxxps://nwenwi[.]replit[.]app
- hxxps://digitalpath[.]co[.]in/ads
- hxxps://myaunamend[.]replit[.]app
- hxxps://aunewclmmmm[.]replit[.]app
- hxxps://tirini[.]net/pqoieer/
- hxxps://luyret[.]replit[.]app
- hxxps://auclaimnow[.]replit[.]app
- hxxps://aunewmyclmm[.]replit[.]app
Patrones habituales en el asunto de los correos electrónicos:
- Tiene un aviso relativo a la presentación de la declaración de 2024-2025
- Hay una actualización importante disponible en myGov
- Equipo de Fiscalidad de Australia
- Nueva actualización de Centralink para 2025
- Su reembolso mediante transferencia electrónica ya está listo
- Nuevo mensaje en la bandeja de entrada
- ¡¡¡Actualización del aviso sobre reembolsos!!!
- Nuevo mensaje
- myGov: Aviso de pago pendiente
- Una nueva notificación en su myGov
- Nuevo mensaje de pago
- Nuevo mensaje de 2025
- Le hemos enviado una notificación con información fiscal
- Nueva evaluación de la renta para 2025
- Acceda a su extracto actualizado a través de myGov
Recomendaciones
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas
Concienciación en materia de seguridad:
- Informar a los usuarios sobre las tácticas de suplantación de identidad de Services Australia y Centrelink,
- Llevar a cabo simulaciones de phishing que incorporen situaciones de suspensión urgente de cuentas de Services Australia dirigidas específicamente a los empleados del sector educativo
- Haga hincapié en que las comunicaciones oficiales legítimas suelen enviarse a través de portales gubernamentales seguros
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!