Ciberdelincuentes usan Microsoft Teams para distribuir malware en ataques que comprometen redes en minutos

Un nuevo informe de seguridad ha revelado una preocupante campaña de ciberataques en la que ciberdelincuentes están utilizando Microsoft Teams como canal de entrada para infectar redes corporativas con el malware ModeloRAT, un troyano de acceso remoto altamente peligroso.

Según investigación de ReliaQuest, los atacantes están aprovechando la confianza que los empleados depositan en herramientas internas como Teams para ejecutar técnicas de ingeniería social muy efectivas. En algunos casos, las redes pueden quedar comprometidas en menos de cinco minutos.

El ataque comienza con un mensaje enviado a través de Microsoft Teams desde cuentas externas que aparentan ser personal de soporte técnico o del departamento de TI. Los ciberdelincuentes intentan generar urgencia y confianza para convencer a la víctima de ejecutar un comando de PowerShell aparentemente legítimo.

Ese comando descarga posteriormente un archivo comprimido desde servicios como Dropbox, que contiene un entorno portátil de WinPython. A partir de ahí, se despliega el malware ModeloRAT, capaz de obtener control remoto del sistema, capturar pantallas, recopilar información del usuario y robar archivos sensibles.

Uno de los aspectos más peligrosos de esta campaña es la credibilidad del canal utilizado. Al tratarse de Microsoft Teams, una herramienta ampliamente utilizada en entornos corporativos, los mensajes maliciosos parecen más fiables, lo que facilita que los usuarios caigan en la trampa.

Los investigadores señalan además que los atacantes rotan entre múltiples entornos de Microsoft 365 para evitar ser bloqueados, y utilizan técnicas avanzadas como espacios Unicode ocultos para simular identidades internas de soporte técnico.

La versión más reciente de ModeloRAT incluye mecanismos de persistencia mejorados, con servidores de control redundantes, rutas aleatorias y sistemas de autoactualización. También puede mantenerse activo mediante tareas programadas, claves de registro y accesos automáticos al inicio del sistema, lo que dificulta su eliminación completa.

Microsoft ya ha trabajado en mejorar las protecciones contra phishing en Teams, pero este tipo de ataques demuestra que la plataforma sigue siendo un objetivo atractivo para los ciberdelincuentes debido a su uso masivo en empresas.