Campaña de suplantación de identidad para obtener credenciales con temática de Microsoft Teams que se aprovecha de recursos de formación legítimos
2 de marzo de 2026
Por el equipo de investigación de amenazas de Mimecast
- Campaña de robo de credenciales que se hace pasar por notificaciones de tareas de Microsoft Teams
- Aprovechamiento del servicio de envío de correo electrónico de SendGrid y de los recursos de las plantillas de formación en seguridad de CanIPhish
- Más de 9 000 casos observados entre enero y febrero de 2026
- Organizaciones con sede en EE. UU. de diversos sectores, especialmente en los ámbitos de las finanzas, los servicios profesionales, la industria manufacturera y la sanidad
- Robo de credenciales mediante notificaciones falsas de tareas
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña de phishing de credenciales que utiliza con fines maliciosos materiales legítimos de formación en concienciación sobre seguridad. Los autores de amenazas han modificado plantillas de simulación de phishing disponibles públicamente en CanIPhish, una plataforma legítima de formación en seguridad, para crear señuelos convincentes con temática de Microsoft Teams dirigidos a usuarios empresariales.
Cadena de ataque
La campaña emplea un enfoque en varias fases diseñado para aprovecharse de la confianza de los usuarios en herramientas de comunicación empresarial que les resultan familiares:
1. Entrega inicial: los correos electrónicos se distribuyen a través de la infraestructura de SendGrid utilizando cuentas pirateadas
2. Engaño de ingeniería social: Los destinatarios reciben lo que parece ser una notificación de Microsoft Teams sobre una tarea asignada para revisar un informe de antigüedad de "" relacionado con las cuentas por pagar o la documentación financiera.
3. Uso indebido de plantillas: Los autores de las amenazas obtuvieron plantillas HTML de los ejemplos de simulación de phishing de CanIPhish, a los que se puede acceder públicamente. Estas plantillas, diseñadas originalmente para la formación en materia de seguridad, se modificaron con el fin de:
- Sustituya las URL de simulación por el dominio malicioso destinado a la recopilación de credenciales
- Personalice los nombres de las empresas y los datos de los destinatarios para las organizaciones a las que se dirija
Las plantillas modificadas conservan las referencias al depósito de AWS S3 de CanIPhish para los recursos gráficos (https://caniphish.s3.ap-southeast-2.amazonaws.com/), lo que refuerza aún más la apariencia de legitimidad.
" 4. Captura de credenciales: Los usuarios que hagan clic en los botones « "» (Abrir en Teams), «" » (Abrir en Teams) o « "» (Abrir en el navegador) son redirigidos a la página que se muestra a continuación, donde deben hacer clic en otro enlace para abrir el archivo.
5.Página de CAPTCHA de : Una vez que el usuario hace clic en el enlace, se le redirige a una página de CAPTCHA en la que debe verificar que es una persona. Una vez completado el captcha, se les mostrará una página de inicio de sesión de Microsoft, que es donde el autor de la amenaza recopilará las credenciales.
Público objetivo y regiones
Distribución geográfica
- Objetivo principal: Estados Unidos (más del 95% de las campañas observadas)
- Objetivos secundarios: casos aislados dirigidos contra el Reino Unido, Alemania, Canadá y Australia
Indicadores de compromiso (IOC)
Infraestructura de SendGrid:
- u58401087.ct.sendgrid.net (dominio de seguimiento)
URL maliciosas
- mstexcelauthcopilot[.]powerappsportals[.]com
Asuntos habituales
- [Nombre de la empresa]: Informe del director financiero / Informe de antigüedad (enero - febrero de 2026)
- [Nombre de la empresa]: Informe de cuentas por cobrar / Antigüedad de las cuentas (enero - febrero de 2026)
- Informe de [Nombre de la empresa] / Antigüedad de las cuentas (enero de 2025)
- Informe de servicios financieros de [Nombre de la empresa] / Antigüedad de las cuentas (enero de 2025)
Plantilla: Los asuntos de los correos se personalizan con el nombre de la organización destinataria, seguido de
Protección de Mimecast
Mimecast ha implementado varias capas de detección para identificar y bloquear esta campaña. Nuestro equipo de inteligencia sobre amenazas sigue vigilando esta campaña y actualizará las detecciones a medida que los autores de las amenazas modifiquen sus tácticas.
Recomendaciones
Formación en concienciación sobre seguridad para usuarios
- Informe a los empleados sobre las características específicas de esta campaña, incluyendo el señuelo del informe sobre el envejecimiento y la suplantación de identidad en Microsoft Teams
- Forme al personal para que verifique las asignaciones de tareas inesperadas a través de canales de comunicación independientes antes de hacer clic en los enlaces
- Haga hincapié en la verificación de la autenticación: los usuarios deben comprobar siempre la barra de direcciones antes de introducir sus credenciales; las páginas de inicio de sesión legítimas de Microsoft utilizarán los dominios login.microsoftonline.com o login.microsoft.com, y no variantes de powerappsportals.com
Detección proactiva de amenazas
- Busque en los registros de recepción de correos electrónicos los mensajes procedentes de Sendgrid y con los asuntos indicados
Contexto adicional
Esta campaña refleja una tendencia más amplia por parte de los autores de amenazas a hacer un uso indebido de servicios legítimos, como las plataformas de envío de correo electrónico y los recursos de formación en seguridad de acceso público, con el fin de reforzar la credibilidad de sus ataques. Este tipo de uso indebido pone de manifiesto la necesidad de proteger los materiales formativos y las plataformas de confianza para evitar que se utilicen con fines maliciosos.
Tras la identificación de esta amenaza, Mimecast colaboró estrechamente con CanIPhish para implementar medidas de protección que reduzcan el riesgo de que sus recursos sean objeto de un uso indebido, lo que pone de manifiesto la importancia de la colaboración y el intercambio de información dentro de la comunidad de seguridad para hacer frente de manera eficaz a las amenazas emergentes.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!