CloudHopper
CloudHopper (es una campaña de phishing multietapa que "salta" entre infraestructuras de nube confiables).
Nombres Alternativos / Aliases
- Multi-Stage Cloud Phishing Campaign (por Check Point).
- Credential Harvesting Campaign (por xorlab/Ravenmail).
- Abuso de Google Cloud Application Integration.
- TripeCloud Campaign (Alternativa descriptiva por el uso de Google, AWS y Microsoft).
Fecha de Detección / Actividad
- Período de Actividad Observado: 14 días en diciembre de 2025.
- Fecha de Divulgación Pública: 2 de enero de 2026 (artículo de The Hacker News).
- Estado: Google ha implementado bloqueos contra el abuso específico de la función de notificación por correo electrónico.
Actor de Amenaza (Atribución)
- Atribución: Actualmente no atribuida a un grupo conocido (APT o grupo criminal con nombre).
- Tipo de Actor: Presumiblemente cibercriminales motivados por el robo de credenciales para acceso inicial, posible monetización o ataques secundarios.
- Sophistication: Moderada-Alta, demostrando un profundo conocimiento de los servicios en la nube y técnicas de evasión.
Resumen Ejecutivo
Esta campaña de phishing de varias etapas abusa de funciones legítimas de automatización en la nube para distribuir correos electrónicos altamente convincentes que eluden los controles de seguridad tradicionales. Los atacantes utilizaron la tarea "Send Email" de Google Cloud Application Integration para enviar correos desde una dirección legítima de Google (noreply-application-integration@google.com), evitando las comprobaciones DMARC/SPF. Los correos, que imitan notificaciones empresariales rutinarias (alertas de buzón de voz, acceso a documentos), contenían enlaces a Google Cloud Storage. Desde allí, una cadena de redirecciones que incluía un CAPTCHA falso en googleusercontent.com dirigía a las víctimas a páginas de inicio de sesión falsas de Microsoft 365 alojadas en AWS S3, con el objetivo final de robar credenciales. Los ataques también incluían variantes de phishing de consentimiento OAuth. La campaña fue global y afectó a múltiples sectores industriales.
Vectores de Ataque
- Correo Electrónico (Vector Inicial): Abuso de la función "Send Email" de Google Cloud Application Integration para entregar señuelos de phishing directamente a la bandeja de entrada, desde una fuente aparentemente legítima.
- Enlaces Maliciosos (Ingeniería Social): Enlaces incrustados en los correos que apuntan a recursos alojados en servicios de nube confiables (Google Cloud Storage) para iniciar la cadena de redirección.
- Phishing de Consentimiento OAuth (Variante): Uso de aplicaciones maliciosas de Azure AD para engañar a las víctimas y que concedan permisos de acceso amplios a sus recursos en la nube.
Técnicas, Tácticas y Procedimientos (TTPs)
| Táctica (MITRE ATT&CK) | Técnica | Descripción / Implementación |
|---|---|---|
| Recolección de Credenciales (T1110) | Phishing (T1566.002) | Correos de spearphishing que imitan notificaciones de Google sobre acceso a archivos o alertas de buzón de voz. |
| Suplantación de Identidad (T1584.004) | Abuso de Infraestructura Legítima | Uso de dominios y servicios de Google (*.google.com, *.cloud.google.com, *.googleusercontent.com) para alojar etapas iniciales del ataque, aumentando la legitimidad percibida.
|
| Evitar Defensas (T1497.001) | Pruebas de Humanidad Falsas (CAPTCHA) | Implementación de un CAPTCHA falso para bloquear el escaneo automatizado por herramientas de seguridad, mientras se permite el paso a usuarios humanos. |
| Evasión de Defensas (T1564.001) | Encubrimiento en Recursos Legítimos | Alojamiento de páginas de inicio de sesión falsas en buckets públicos de Amazon S3, otro servicio de confianza. |
| Acceso Inicial (T1534) | Phishing de Consentimiento OAuth (T1566.001) | Redirección a prompts de consentimiento de aplicaciones Azure AD maliciosas para obtener tokens OAuth y acceso persistente. |
| Ocultar Actividad Maliciosa (T1027) | Ofuscación de Archivos o Información | Cadena de redirecciones múltiples (Google Cloud Storage → googleusercontent.com → AWS S3) para ofuscar el destino final y la infraestructura de ataque. |
Flujo de Ataque (Kill Chain)
- Preparación & Reconocimiento: Creación de una integración en Google Cloud Application Integration y configuración de recursos en AWS S3/Microsoft Azure.
- Entrega: Envío de 9,394 correos electrónicos desde
noreply-application-integration@google.coma ~3,200 objetivos globales. - Explotación: El usuario hace clic en el enlace que apunta a storage.cloud.google[.]com.
- Instalación (Etapa de Redirección): Redirección a un dominio googleusercontent[.]com que presenta un CAPTCHA falso.
- Acción en Objetivos: Tras completar el CAPTCHA, redirección final a una página de inicio de sesión falsa de Microsoft 365 alojada en un bucket de AWS S3.
- Objetivo Cumplido: Robo de credenciales de Microsoft 365. Variante: Redirección a un prompt de phishing de consentimiento OAuth de Azure AD para obtener tokens de acceso.
- Persistencia (en variante OAuth): Los tokens de acceso y actualización obtenidos permiten acceso delegado y persistente a los recursos de la víctima en Azure.
Infraestructura Utilizada
| Tipo | Ejemplos / Características | Propósito |
|---|---|---|
| Servicios de Nube Legítimos | Google Cloud Application Integration, Google Cloud Storage, Google User Content (googleusercontent.com), Amazon S3 Buckets, Microsoft Azure AD (para aplicaciones maliciosas). | Alojamiento de etapas del ataque, elusión de listas negras de dominios y aprovechamiento de la confianza del usuario. |
| Dominios de Apoyo | Dominios que no son de Microsoft que alojan las páginas de inicio de sesión falsas de M365. | Simular la página legítima de inicio de sesión de Microsoft. |
| Correo Electrónico Legítimo | noreply-application-integration@google[.]com
|
Vector de entrega inicial con alta tasa de entrega, eludiendo DMARC/SPF. |
Objetivos y Sectores Atacados
- Objetivo Principal: Credenciales de Microsoft 365 (y por extensión, acceso a correo, documentos, identidad corporativa).
- Objetivo Secundario (Variante): Tokens OAuth para acceso persistente a recursos en Azure (suscripciones, VM, almacenamiento, bases de datos).
- Sectores Prioritarios: Manufactura, tecnología, servicios financieros, servicios profesionales y minorista.
- Otros Sectores Afectados: Medios, educación, salud, energía, gobierno, viajes y transporte.
- Distribución Geográfica: Organizaciones en EE.UU., Asia-Pacífico, Europa, Canadá y América Latina.
Impacto y Riesgo
- Nivel de Riesgo: Alto. Combina ingeniería social convincente, abuso de infraestructuras de confianza y técnicas de evasión efectivas.
- Impacto Potencial:
- Robo de Credenciales Privilegiadas: Pérdida de confidencialidad, posible acceso a sistemas corporativos críticos.
- Compromiso de Cuenta en la Nube (OAuth): Acceso persistente y no autorizado a entornos Azure/AWS, potencial para despliegue de malware, exfiltración de datos o cryptomining.
- Suplantación de Identidad y Fraude Interno: Uso de cuentas comprometidas para lanzar ataques de phishing secundarios dentro de la organización o hacia contactos externos.
- Pérdida Financiera y de Datos: Extorsión, fraude financiero directo o filtración de información sensible.
- Carácter de la Amenaza: Demuestra una tendencia peligrosa de abuso de API y servicios de automatización de la nube ("serverless phishing") para operaciones maliciosas a gran escala.
Recomendaciones de Mitigación
- Capacitación de Usuarios: Educar específicamente sobre esta campaña: notificaciones de Google o Microsoft que solicitan credenciales, enlaces que redirigen a CAPTCHAs inesperados o peticiones de consentimiento de aplicaciones desconocidas.
- Protección de Correo Electrónico Avanzada: Implementar soluciones que vayan más allá de DMARC/SPF/DKIM, utilizando análisis de comportamiento, detonación de URL en tiempo real (sandboxing) y análisis de contenido para detectar imitaciones sofisticadas.
- Políticas de Acceso a Aplicaciones en la Nube (CASB/SSPM):
- Revisar y restringir los permisos de las aplicaciones OAuth conectadas a los entornos de Microsoft 365 y Google Workspace.
- Implementar políticas que requieran la aprobación del administrador para que los usuarios conecten aplicaciones de terceros con amplios permisos.
- Seguridad en Configuraciones de Nube:
- Auditar y asegurar la configuración de buckets S3 y contenedores de almacenamiento en la nube (principio de mínimo privilegio, no públicos a menos sea necesario).
- Monitorizar logs de Google Cloud Platform y AWS en busca de actividades anómalas relacionadas con Application Integration o la creación masiva de enlaces pre-firmados de S3.
- Segmentación de Red y Políticas de Acceso Cero Confianza (ZTNA): Limitar el movimiento lateral desde cuentas comprometidas, asumiendo que las credenciales pueden ser robadas.
Herramientas de Detección
- Sistemas de Detección de Phishing (Email Security Gateways): Configurados para marcar correos que, aunque pasen DMARC/SPF, provengan de servicios de automatización inusuales (
noreply-application-integration@), contengan patrones de redirección sospechosos o imiten plantillas corporativas específicas. - Soluciones CASB (Cloud Access Security Broker): Para detectar y revocar aplicaciones OAuth maliciosas que hayan obtenido consentimiento.
- SIEM/SOAR con Reglas Personalizadas:
- Alertar sobre múltiples redirecciones de usuario en corto tiempo que pasen por dominios
googleusercontent.comhacia destinos IP no asociados a Microsoft. - Correlacionar intentos de inicio de sesión de M365 desde direcciones IP o agentes de usuario inusuales poco después de una redirección desde un dominio de Google.
- Alertar sobre múltiples redirecciones de usuario en corto tiempo que pasen por dominios
- Plataformas EDR/XDR: Para detectar actividad posterior al compromiso que pueda originarse desde cuentas M365 robadas.
Referencias y Fuentes
- Lakshmanan, R. (2026, Enero 2). Cybercriminals Abuse Google Cloud Email Feature in Multi-Stage Phishing Campaign. The Hacker News. Enlace al Artículo
- Check Point Research: Divulgación inicial de la campaña, análisis del flujo de ataque y estadísticas.
- xorlab & Ravenmail: Divulgaciones posteriores sobre la variante de phishing de consentimiento OAuth y el uso de AWS S3.
- MITRE ATT&CK Framework: Para el mapeo de TTPs (T1566.002, T1566.001, T1497.001, etc.).
Historial de Revisiones
| Fecha | Versión | Autor | Cambios Realizados |
|---|---|---|---|
| 2026-01-07 | 1.0 | Equipo de Threat Intelligence | Creación inicial de la entrada en la wiki basada en el informe público. |
Indcadores de Compromiso / IOC
Bajo seguimiento
Etiquetas / Categorías
phishing credential-harvesting cloud-security google-cloud aws microsoft-365 oauth-phishing multi-stage business-email-compromise mitre-attack campana-cloudhopper serverless-phishing