Estafas en Teams: atacantes usan soporte falso para instalar malware EtherRAT
Ciberdelincuentes se hacen pasar por técnicos de TI en Microsoft Teams para engañar a empleados y desplegar un troyano de acceso remoto que se comunica mediante contratos inteligentes de Ethereum.
10 de julio de 2026 · 4 min de lectura

¿Qué ha ocurrido?
Una sofisticada campaña de ciberataques está utilizando Microsoft Teams como vector principal para distribuir el malware EtherRAT, según reveló Palo Alto Networks Unit 42 en un informe publicado el 7 de julio de 2026. Los atacantes combinan phishing por correo electrónico con llamadas de ingeniería social en Teams para engañar a empleados de diversas organizaciones. El modus operandi comienza con un correo electrónico que simula ser una encuesta laboral legítima. Poco después, la víctima recibe una llamada de Microsoft Teams desde una cuenta externa, identificada con la etiqueta 'External unfamiliar', que indica que el contacto proviene de fuera de la organización y no tiene una relación de confianza establecida. El atacante se hace pasar por personal de soporte técnico de TI y, durante la llamada, convence al empleado para que instale herramientas legítimas de control remoto como HopToDesk o AnyDesk, supuestamente para resolver un problema técnico. Una vez que el atacante tiene control remoto, descarga un paquete MSI que instala el troyano EtherRAT. Según Brian Janower, investigador de Unit 42, los registros de auditoría de Microsoft Teams confirman que el atacante inició un chat cruzado entre inquilinos desde una cuenta controlada por él. Esta técnica no es nueva, pero su efectividad radica en la confianza que los empleados depositan en las herramientas corporativas y en la autoridad percibida del personal de TI.
¿Por qué es importante?
EtherRAT no es un malware común; es un troyano de acceso remoto (RAT) escrito en Node.js que opera en Windows, Linux y macOS, lo que le confiere un amplio alcance. Su característica más innovadora es la evasión de comunicaciones de mando y control (C2). En lugar de utilizar una dirección IP o dominio fijo, EtherRAT consulta un contrato inteligente en la blockchain de Ethereum para obtener la dirección activa del servidor C2. Como respaldo, emplea un dominio convencional. Esta técnica, conocida como 'C2 basado en blockchain', dificulta el bloqueo y la detección por parte de sistemas de seguridad tradicionales, ya que la dirección del C2 cambia dinámicamente. El malware ha sido vinculado anteriormente con la explotación de la vulnerabilidad React2Shell (CVE-2022-47966) y ha aparecido en campañas de múltiples grupos de amenazas, lo que sugiere que es una herramienta compartida o vendida en el mercado negro. Unit 42 también descubrió un directorio abierto que contiene versiones 1 a 9 de EtherRAT, con muestras actualizadas hasta el 26 de junio de 2026, lo que indica un desarrollo activo y una evolución constante del malware. Esta campaña es la más reciente en una tendencia creciente de abusar de plataformas de colaboración empresarial. El mes pasado, investigadores encontraron que el grupo DragonForce enmascaraba tráfico C2 como comunicaciones legítimas de Teams después de comprometer una red. En este caso, Teams se utiliza en una fase temprana de la intrusión, aprovechando la ingeniería social para sortear las defensas perimetrales.
Consecuencias y lecciones
Esta campaña demuestra cómo los atacantes están explotando la confianza inherente en las herramientas de colaboración empresarial. Al hacerse pasar por personal de TI, logran que los propios empleados abran la puerta al ataque, evitando firewalls y sistemas de detección de intrusiones. Las consecuencias para las empresas pueden ser graves: robo de datos, instalación de ransomware, acceso persistente a la red y daño reputacional. Para mitigar estos riesgos, las organizaciones deben implementar políticas estrictas sobre el uso de cuentas externas en Teams, restringiendo las comunicaciones entrantes de fuentes no confiables. Además, es crucial capacitar a los empleados para que identifiquen estafas de soporte técnico y verifiquen la identidad de quienes llaman a través de canales alternativos, como un número de teléfono conocido o un ticket de soporte. Un artefacto forense útil, según Unit 42, es que Teams crea archivos con el prefijo 'CtrlVirtualCursorWin_*' durante las sesiones de control remoto, lo que puede servir como indicador de compromiso (IOC) para los equipos de seguridad. La monitorización de sesiones de control remoto y el uso de soluciones de seguridad que detecten comportamientos anómalos, como la instalación de herramientas de acceso remoto no autorizadas, son medidas adicionales recomendadas.
¿Qué deben saber los lectores?
- Nunca conceder control remoto a alguien que llama sin previo aviso o sin haber verificado su identidad por otro canal, como un correo interno o una llamada a un número conocido.
- Desconfiar de encuestas por correo electrónico seguidas de llamadas de Teams no solicitadas. Esta combinación es una señal de alerta.
- Las cuentas externas en Teams muestran la etiqueta 'External unfamiliar': es una señal de alerta que indica que el contacto no es de confianza.
- EtherRAT es multiplataforma y utiliza blockchain para evadir la detección de C2, lo que lo hace especialmente peligroso.
- Mantener el software actualizado y usar soluciones de seguridad que detecten comportamientos anómalos, como la ejecución de scripts de Node.js no autorizados o conexiones a contratos inteligentes.
En resumen, esta campaña subraya la necesidad de una estrategia de seguridad que combine tecnología, políticas y formación continua. Los atacantes evolucionan constantemente, y las empresas deben hacer lo mismo para protegerse.
Puntos clave
- Atacantes utilizan Microsoft Teams para suplantar al soporte técnico y engañar a empleados.
- El malware EtherRAT es un RAT multiplataforma (Windows, Linux, macOS) que usa contratos inteligentes de Ethereum para obtener su C2.
- Unit 42 encontró un repositorio público con versiones actualizadas de EtherRAT, indicando desarrollo activo.
- Teams genera archivos 'CtrlVirtualCursorWin_*' durante sesiones de control remoto, útiles para forense.
- La campaña resalta la necesidad de formación en seguridad y políticas restrictivas para cuentas externas en Teams.
Preguntas frecuentes
¿Cómo funciona la estafa en Microsoft Teams?
Los atacantes envían un phishing con una encuesta falsa, luego llaman por Teams haciéndose pasar por soporte técnico y piden control remoto del equipo, instalando EtherRAT mediante un MSI.
¿Qué es EtherRAT?
Es un troyano de acceso remoto escrito en Node.js que afecta Windows, Linux y macOS. Se comunica con su C2 a través de un contrato inteligente en Ethereum, lo que dificulta su bloqueo.
¿Cómo puedo protegerme de esta estafa?
Nunca concedas control remoto a quien no hayas verificado por otro canal. Desconfía de encuestas seguidas de llamadas no solicitadas. Revisa la etiqueta 'External unfamiliar' en Teams.
¿Qué indicadores de compromiso existen?
Los archivos 'CtrlVirtualCursorWin_*' creados por Teams durante sesiones de control remoto pueden indicar actividad maliciosa.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.