Blog Blog

Salty2FA: nuevo kit de phishing sofisticado amenaza a múltiples sectores industriales

September 15, 2025
Emiliano Enzo Vega (ArongSecurity)
Salty2FA: nuevo kit de phishing sofisticado amenaza a múltiples sectores industriales

Una amenaza reciente ha sido identificada como una plataforma de Phishing como servicio (PhaaS). Este kit destaca por su capacidad para evadir los mecanismos de autenticación multifactor (MFA), además de replicar con precisión páginas de inicio de sesión legítimas mediante el uso de técnicas avanzadas de phishing. La sofisticación de Salty2FA lo sitúa al mismo nivel que otros kits prominentes en el panorama actual de amenazas de phishing.

La actividad relacionada con Salty2FA comenzó a ganar impulso en junio de 2025. Sin embargo, es probable que variantes tempranas o versiones preliminares del kit, o muestras con características similares, hayan sido desplegadas ya en el período de marzo a abril de 2025. La actividad confirmada atribuida a Salty2FA ha sido observada desde finales de julio de 2025 y se mantiene altamente activo hasta la fecha.

Salty2FA Bajo la Lupa

Salty2FA es un marco de Phishing como servicio (PhaaS) de reciente descubrimiento con una cadena de ejecución y una infraestructura que no habían sido documentadas previamente. Aunque se superponen algunas actividades de Storm-1575 y Storm-1747, se considera lo suficientemente distinto como para ser un marco independiente. El nombre "Salty 2FA" se inspira en sus cargas útiles "saladas", que ayudaron a distinguirlo de otros kits durante el análisis de los analistas.

Mecanismos de Ataque y Sofisticación

El kit de phishing Salty2FA opera creando réplicas convincentes de interfaces de inicio de sesión. Engaña a los usuarios para que introduzcan sus credenciales y tokens MFA, los cuales son capturados por el atacante en tiempo real. Este método neutraliza eficazmente los beneficios de seguridad de la MFA.

Las técnicas empleadas por Salty2FA sugieren el uso de métodos de man in the middle (MitM) o de retransmisión en tiempo real, lo que lo hace más sofisticado que los ataques de phishing tradicionales que solo capturan credenciales estáticas.

Cadena de Ejecución Multi-Etapa y Mecanismos Anti-Análisis

Salty2FA se desarrolla en múltiples etapas e incluye varios mecanismos diseñados para dificultar la detección y el análisis.

  • Etapa 1: script de Entrada Ofuscado. La carga de la página inicial ejecuta un pequeño JavaScript que inicializa el widget Cloudflare Turnstile y retorna un token. Un fragmento de JavaScript ofuscado decodifica la dirección de la siguiente etapa y la inyecta en el DOM.
  • Etapa 2: carga Útil Cifrada y Página de Inicio de Sesión Falsa. La carga útil resultante es una gran página HTML, con "ruido" no funcional y un fragmento de JavaScript ofuscado al final. La página de inicio de sesión falsa replica interfaces legítimas, a menudo de Microsoft 365, y ofusca el texto visible para el usuario.
  • Etapa 3: lógica del Lado del Cliente y mecanismos Anti-Análisis. Toda la lógica de cambio de estados de página y la recopilación/exfiltración de la entrada del usuario es manejada por JavaScript ofuscado. Los identificadores de los elementos de la página se generan dinámicamente y se codifican utilizando una combinación de Base64 y XOR con un valor fijo, lo que dificulta el análisis estático. Además, incluye mecanismos de defensa básicos: ◦ Bloqueo de atajos de teclado que abren herramientas de depuración (ej., DevTools). ◦ Medición del tiempo de ejecución y detención de la actividad si se detecta un retraso, lo que indica un entorno controlado.
  • Etapa 4: exfiltración de Datos e Interacción con el Servidor. Los datos robados se envían a servidores utilizando dominios .ru con endpoints que siguen el formato /<5-6_dígitos>.php. Los datos se codifican con Base64 + XOR y se colocan en el parámetro request= de una solicitud POST, mientras que la clave de decodificación (junto con el ID de sesión de la víctima) se almacena en el parámetro request=.
  • Etapa 5: manejo de MFA Multi-Estado. En respuesta a la solicitud POST, el servidor devuelve un objeto JSON cuyo valor depende del estado actual de la página de phishing. El análisis ha revelado múltiples estados posibles para la página de phishing, incluyendo la solicitud de correo electrónico, contraseña, "mantener sesión iniciada", "contraseña incorrecta" e iniciación y procesamiento de 2FA.

Bypass de Autenticación Multifactor (MFA)

Una de las características más peligrosas de Salty2FA es su capacidad para eludir múltiples métodos de 2FA, incluyendo notificaciones push, SMS y llamadas de voz. Esto permite a los atacantes obtener acceso más allá de las credenciales robadas. La plataforma maneja una comunicación compleja entre las páginas de phishing y los servidores C2.

Infraestructura de Dominio Única

El kit utiliza un patrón de dominio único, con subdominios .com emparejados con dominios .ru. Las páginas de phishing siguen un formato recurrente, incrustando subdominios .com dentro de un patrón como <sub_dominio>.<dominio_principal>.??.com. Las rutas URI que alojan el contenido de phishing también parecen generadas aleatoriamente.

Impacto Potencial

La capacidad de Salty2FA para eludir la MFA debilita la confianza en uno de los controles de seguridad más efectivos actualmente en uso.

Riesgos para Organizaciones

Para las organizaciones europeas y estadounidenses, Salty2FA representa un riesgo significativo, especialmente con el aumento de la adopción de MFA en sectores como finanzas, atención médica, gobierno e infraestructura crítica. Las organizaciones que dependen en gran medida de los servicios en la nube y las soluciones de acceso remoto son particularmente vulnerables.

El éxito de un ataque podría llevar a:

  • Acceso no autorizado a sistemas sensibles y violaciones de datos.
  • Pérdidas financieras y sanciones regulatorias bajo GDPR por fallas en la protección de datos.
  • Daño reputacional y interrupciones operativas.
  • Robo de credenciales, transacciones no autorizadas y movimiento lateral dentro de las redes.
  • Los empleados que trabajan de forma remota son más susceptibles debido a entornos menos controlados.

Aunque la severidad se clasifica como media, un ataque exitoso podría tener consecuencias generalizadas si se dirige a objetivos de alto valor.

Atribución

No se encontró evidencia clara que lo vinculara con actores o kits conocidos. Sin embargo, después de actualizar los métodos de detección y examinar los indicadores, surgieron superposiciones en los IOCs (específicamente dominios) con actividades rastreadas como en los grupos Storm-1575 y Storm-1747.

  • Storm-1575: está asociado con la plataforma PhaaS Dadsec, aunque su actividad no se ha observado recientemente y los límites de atribución son poco claros.
  • Storm-1747: es conocido por Tycoon 2FA, un kit de phishing de vanguardia. Sin embargo, Tycoon 2FA utiliza una infraestructura diferente (principalmente cadenas de dominios es,ru,es) e implementa un código del lado del cliente distinto, incluyendo sus técnicas de ofuscación y exfiltración.

Debido a estas distinciones, Salty2FA se ha designado como un marco único, aunque comparte algunas características con Storm-1575 y Storm-1747, no se puede atribuir de manera confiable a ninguno de los actores conocidos que desarrollaron herramientas como Tycoon2FA, Sneaky2FA, Mamba2FA o EvilProxy.

Regiones e Industrias Afectadas

Las campañas de Salty2FA han sido observadas en múltiples regiones e industrias, con un impacto significativo en empresas de Estados Unidos y la Unión Europea también se extiende por Canada, India y Latino América este último con un gran impacto en el sector financiero.

• Estados Unidos: Finanzas, atención médica, gobierno, logística, energía, consultoría de TI, educación, construcción, metalurgia, bienes raíces, servicios ambientales, gestión de datos/almacenamiento, accesorios para automóviles, petróleo y gas, seguros.

• Europa (Alemania, Reino Unido, Francia, Países Bajos, Suecia, Italia, España, Polonia, Grecia, Suiza): Finanzas, atención médica, gobierno, infraestructura crítica, telecomunicaciones, productos químicos/polímeros, energía (incluyendo paneles solares), fabricación industrial (empaques, automatización), bienes raíces, consultoría.

• Resto del Mundo: Logística (Canadá), TI (Canadá, Francia), metalurgia (India), servicios financieros (LATAM).

Posibles TTPs utilizadas por Salty2FA:

Acceso Inicial (TA0001)

  • T1566: Phishing
    • T1566.002: Enlace de Spearphishing
      • Obtienen acceso inicial entregando principalmente el kit a través de correos electrónicos de phishing. Estos correos están diseñados con señuelos de ingeniería social para inducir a las víctimas a hacer clic en un enlace malicioso
    • T1566.003: Bypass de Autenticación Multifactor (MFA)
      • Capacidad para eludir múltiples métodos de autenticación multifactor (MFA). Intercepta credenciales y tokens de MFA en tiempo real, neutralizando los beneficios de seguridad de la MFA. El kit puede eludir 2FA basado en notificaciones push, SMS y llamadas de voz, y su servidor maneja una comunicación compleja y multi-estado para procesar los diferentes métodos de 2FA.

Ejecución (TA0002)

  • T1204: Ejecución por el Usuario
    • T1204.001: Ejecución a través de un enlace malicioso
      • La cadena de ataque se inicia cuando la víctima interactúa con el correo electrónico de phishing y hace clic en el enlace proporcionado. Esta acción activa el despliegue del kit de phishing en el navegador del usuario.
  • T1059: Intérprete de Comandos y Scripts
    • T1059.007: JavaScript
      • Se utiliza JavaScript extensamente a lo largo de su cadena de ejecución de múltiples etapas. Un pequeño JavaScript "trampolín" inicializa el widget de Cloudflare Turnstile. Posteriormente, un fragmento de JavaScript ofuscado se encarga de decodificar la dirección de la siguiente etapa y la inyecta en el Document Object Model (DOM). Toda la lógica del lado del cliente, incluyendo el cambio entre estados de página, la recopilación de entrada del usuario y la exfiltración de datos, es manejada por JavaScript ofuscado.

Evasión de Defensas (TA0005)

  • T1027: Archivos o Información Ofuscada
    • T1027.001: Binary Padding
      • Emplea múltiples capas de ofuscación para eludir la detección y el análisis. El script de entrada está ofuscado. Las cargas útiles HTML contienen "ruido" no funcional para dificultar el análisis estático. El texto visible para el usuario en la página de inicio de sesión falsa está ofuscado. Los identificadores de los elementos de la página se generan dinámicamente y se codifican mediante una combinación de Base64 y XOR con un valor fijo. Finalmente, los datos robados se "cifran" (codifican) utilizando la misma técnica de Base64 + XOR antes de ser exfiltrados.
  • T1562: Deterioro de Defensas
    • T1562.001: Deshabilitar o Modificar Herramientas
      • El kit incorpora mecanismos anti-análisis para dificultar la depuración y el análisis en entornos controlados. Bloquea atajos de teclado que abren herramientas de depuración (como DevTools) y mide el tiempo de ejecución, deteniendo la actividad si detecta un retraso, lo que sugiere un entorno de laboratorio,

Acceso a Credenciales (TA0006)

  • T1056: Captura de Entrada
    • T1056.003: Captura de portal web
      • Las páginas de phishing clonadas de Salty2FA actúan como página de inicio de sesión maliciosos. Una vez que la víctima introduce su información (correo electrónico, contraseña, códigos MFA) en estos portales, los datos son recolectados y posteriormente exfiltrados a servidores controlados por el atacante.

Recolección (TA0009)

  • T1005: Datos del Sistema Local
    • Recolecta activamente información sensible directamente de la interacción del usuario con la página falsa. Esto incluye el correo electrónico de la víctima, la contraseña y cualquier token o código de MFA introducido. Esta recolección se realiza en tiempo real a medida que el usuario interactúa con la interfaz falsa.

Exfiltración (TA0010)

  • T1567: Exfiltración a Servicio Web
    • T1567.002: Exfiltración a Almacenamiento en la Nube (o sobre Canal C2)
      • Los datos robados se envían a servidores controlados por los atacantes que utilizan dominios .ru. La información es codificada (utilizando Base64 + XOR) y se incluye en el parámetro request= de solicitudes POST. La clave de decodificación y el ID de sesión de la víctima se almacenan en el parámetro session=. Los endpoints de exfiltración siguen un formato /<5/6_dígitos>.php.

Comando y Control (TA0011)

  • T1071: Protocolos de Capa de Aplicación Estándar
    • T1071.001: Protocolos Web (HTTP/HTTPS)
      • La comunicación entre las páginas de phishing y los servidores de Comando y Control (C2) se realiza a través de solicitudes POST utilizando protocolos web (HTTPS). El servidor C2 responde con objetos JSON, lo que permite una interacción compleja y en tiempo real para gestionar los diferentes estados de la página de phishing y el proceso de bypass de MFA.
    • T1071.004: Protocolos de Retransmisión/Proxy
      • La capacidad de Salty2FA para clonar páginas de inicio de sesión e interceptar tokens de MFA en tiempo real sugiere que emplea técnicas de "hombre en el medio" (MitM) o de retransmisión en tiempo real. Esto indica una sofisticación en la comunicación C2 que va más allá de la simple captura estática de credenciales.
  • T1568: Resolución dinámica
    • T1568.002: Algoritmos de generación de dominios
      • Infraestructura dinámica y la ofuscación constante de los indicadores de compromiso (IOCs) sirven para mantener los canales de C2 operativos y evadir la detección a largo plazo.

Impacto (TA0040)

  • T1531: Eliminación del Acceso a la Cuenta
  • T1485: Destrucción de Datos
  • T1486: Datos Cifrados para Impacto

Recomendaciones de Mitigación

Para mitigar eficazmente los riesgos asociados con el kit de phishing Salty2FA, las organizaciones deben adoptar un enfoque de defensa en profundidad que supere la autenticación multifactor (MFA) estándar. Este enfoque requiere la implementación de múltiples capas de seguridad coordinadas.

  • Implementación de Métodos MFA Resistentes al Phishing
    • Utilizar claves de seguridad de hardware basadas en estándares FIDO2/WebAuthn o autenticación mediante certificados digitales.
    • Priorizar tokens basados en aplicaciones o hardware frente a métodos menos seguros como SMS o llamadas de voz, para reducir la posibilidad de interceptación de credenciales en tiempo real.
  • Capacitación Continua de Usuarios
    • Entrenar a los empleados para identificar páginas de inicio de sesión clonadas y reconocer señuelos financieros utilizados por atacantes.
    • Concientizar sobre los riesgos asociados a la captura de credenciales en tiempo real y fomentar la detección temprana de intentos sofisticados de phishing.
  • Implementación de Tecnologías de Protección
    • Desplegar aislamiento del navegador y herramientas anti-phishing que detecten y bloqueen sitios clonados para minimizar la exposición a páginas fraudulentas.
  • Monitoreo y Detección de Comportamientos Anómalos
    • Establecer monitoreo constante de accesos inusuales, como inicios de sesión desde ubicaciones improbables o dispositivos no reconocidos, para detectar compromisos de cuentas de forma temprana y activar respuestas inmediatas.
  • Políticas de Gestión de Sesiones y Autenticación Adaptativa
    • Aplicar políticas estrictas que exijan verificaciones adicionales cuando se identifiquen factores de riesgo, reforzando la protección en escenarios vulnerables.
  • Mantenimiento y Actualización de Sistemas
    • Mantener todos los sistemas actualizados y parcheados para reducir vulnerabilidades explotables por actores maliciosos.
  • Fomento del Intercambio de Inteligencia de Amenazas
    • Promover la colaboración entre comunidades y organizaciones para mejorar la preparación colectiva frente a ataques emergentes y facilitar respuestas coordinadas.
  • Buenas Prácticas de Usuario Final
    • Incentivar a los usuarios a verificar cuidadosamente las URL antes de ingresar credenciales.
    • Recomendar el uso de gestores de contraseñas confiables para disminuir la probabilidad de divulgación ante sitios de phishing.
  • Detección Basada en Comportamiento
    • Priorizar la detección de amenazas mediante análisis de patrones recurrentes, como estructuras de dominio y lógica de página, dado que los indicadores de compromiso (IOCs) cambian constantemente y dificultan su seguimiento.
  • Análisis de Correos Electrónicos Sospechosos con Sandboxes Interactivas
    • Utilizar sandboxes para obtener visibilidad en tiempo real de cadenas de ejecución, robo de credenciales e intentos de interceptación de MFA, facilitando la confirmación rápida de amenazas y reduciendo la carga operativa de los analistas.
  • Integración con Plataformas SIEM y SOAR
    • Integrar los resultados de análisis sandbox en plataformas SIEM y SOAR para acelerar la detección y respuesta a incidentes, optimizando recursos y mejorando la capacidad defensiva global.

La aplicación coordinada de estas medidas fortalecerá significativamente las defensas contra el kit de phishing Salty2FA y mitigará los riesgos asociados.

Conclusión

El kit de phishing Salty2FA representa una amenaza significativa y en constante evolución, evidenciando una creciente sofisticación en los ataques dirigidos a cuentas protegidas mediante autenticación multifactor (MFA). Su capacidad para evadir diversos métodos de 2FA y replicar páginas de inicio de sesión utilizando técnicas avanzadas lo diferencia notablemente de los kits de phishing convencionales. Para que las organizaciones puedan mitigar eficazmente esta amenaza y otras similares, es imprescindible adoptar un enfoque integral que incluya la implementación de MFA resistente al phishing, programas sólidos de concienciación del usuario, tecnologías de detección basadas en análisis comportamental, monitoreo proactivo y el empleo de herramientas avanzadas de análisis como sandboxes interactivas. Además, la adaptación continua de las estrategias defensivas, enfocándose en patrones de comportamiento en lugar de indicadores estáticos de compromiso (IOCs), será esencial para anticiparse y contrarrestar a actores de amenazas cada vez más sofisticados.

Fuentes:

https://thehackernews.com/2025/09/watch-out-for-salty2fa-new-phishing-kit.html

https://any.run/cybersecurity-blog/salty2fa-technical-analysis/

Emiliano Enzo Vega (ArongSecurity)

Emiliano Enzo Vega (ArongSecurity)

Hacker Ético | Analista de ciberseguridad | OSINT | Ciberinteligencia |

Volver al blog