IntelIncidente de SeguridadRU
ALTOIncidente de Seguridad·priority

¿ARToken, PamStealer y Armored Likho? El ciberataque apunta a Microsoft 365 y a redes eléctricas—¿hasta dónde llegará?

Intelrift Intelligence Desk·viernes, 3 de julio de 2026, 14:47Eurasia & Latin America (cross-regional cyber targeting)4 artículos · 3 fuentesEN VIVO

Un conjunto de reportes de ciberseguridad del 3 de julio de 2026 pone de relieve un ecosistema en rápida evolución de robo de credenciales y herramientas de phishing orientadas a objetivos de alto valor. Los investigadores describieron “ARToken”, una plataforma de phishing-as-a-service (PhaaS) que parece operar como afiliada de la operación de phishing EvilTokens, con un enfoque específico en la posibilidad de comprometer entornos de Microsoft 365. En paralelo, Jamf Threat Labs advirtió sobre “PamStealer”, un nuevo stealer de información para macOS distribuido mediante un AppleScript compilado (.scpt) que se hace pasar por la utilidad legítima “Maccy” para extraer credenciales de inicio de sesión en Mac. Por separado, “Armored Likho” fue atribuido a ataques dirigidos a agencias gubernamentales y al sector de energía eléctrica en Rusia, Brasil y Kazajistán, combinando señuelos con motivación financiera y también intrusiones más focalizadas. Geopolíticamente, el hilo conductor es que la infraestructura del cibercrimen se está empaquetando cada vez más para escalar, aunque manteniendo adaptaciones para sectores estratégicos e instituciones cercanas al Estado. Los intentos de compromiso de Microsoft 365 importan porque pueden habilitar acceso persistente, movimiento lateral basado en identidades y, después, acceso a sistemas operativos usados por gobiernos y operadores de infraestructura crítica. El hecho de que Armored Likho apunte al sector de energía eléctrica eleva el perfil de riesgo de “robo de datos” a “disrupción operativa”, incluso si los artículos se centran en intrusiones más que en efectos cinéticos inmediatos. La atribución de Kaspersky y la huella transnacional sugieren que los actores están aprovechando diferencias en madurez defensiva y en los ecosistemas locales de identidad, beneficiándose de las mismas rutas de monetización mientras exploran debilidades específicas del sector. Las implicaciones de mercado y económicas son indirectas, pero pueden volverse relevantes a través del coste del seguro cibernético, la respuesta a incidentes y el gasto en seguridad de identidad. Las organizaciones que dependen de Microsoft 365—desde TI empresarial y oficinas gubernamentales hasta contratistas—enfrentan una mayor demanda de herramientas de seguridad, lo que empuja a reorientar presupuestos hacia seguridad de correo, gobernanza de identidades y detección en endpoints. Para el sector eléctrico, incluso brechas limitadas pueden elevar primas de riesgo operativo y aumentar la probabilidad de remediaciones costosas, como reseteos de credenciales y proyectos de segmentación. Aunque los artículos no aportan movimientos de precios explícitos, la dirección apunta a mayores costes asociados al riesgo cibernético para los ciclos de compras de TI y para los CISOs, con posibles efectos colaterales en la valoración de empresas de ciberseguridad y proveedores ligados a identidad y protección de endpoints. Los próximos puntos a vigilar son si estas campañas se traducen en compromisos más amplios de tenants de Microsoft 365 y si el enfoque sobre el sector eléctrico se extiende a entornos de tecnología operativa (OT). Entre los indicadores a monitorear están los picos en dominios de infraestructura vinculados a EvilTokens/afiliados, nuevas páginas de aterrizaje de PhaaS y la aparición de más stealers para macOS que usen técnicas de suplantación con AppleScript. Para los defensores, los disparadores incluyen concesiones anómalas de consentimiento OAuth, creación inusual de reglas de buzón y patrones repetidos de recolección de credenciales asociados a “Maccy” o señuelos similares. En los próximos días a semanas, el riesgo de escalada aumenta si los actores encadenan el acceso por phishing con escalamiento de privilegios y persistencia en gobiernos y utilities, mientras que la desescalada se vería en forma de desmantelamientos, sinkhole rápido de dominios y una caída medible en la telemetría de robo de credenciales exitoso.

Implicaciones Geopolíticas

  • 01

    Identity and email ecosystems (Microsoft 365) are becoming a strategic attack surface for both criminal monetization and state-adjacent targeting.

  • 02

    Cross-regional targeting (RU/BR/KZ) suggests threat actors are scaling operations while probing sector-specific weaknesses in utilities and government back offices.

  • 03

    Electric power sector intrusions can translate into leverage during geopolitical friction, even without immediate kinetic effects.

Señales Clave

  • Increase in EvilTokens/affiliate infrastructure and new PhaaS landing pages referencing Microsoft 365 workflows.
  • Telemetry spikes for OAuth consent grants, suspicious mailbox rules, and anomalous sign-ins in M365 tenants.
  • New macOS stealers using AppleScript decoys that impersonate popular utilities beyond Maccy.
  • Evidence of Armored Likho pivoting from credential theft into persistence and OT-adjacent access in utilities.

Temas y Palabras Clave

ARTokenEvilTokensMicrosoft 365 phishingPamStealerAppleScript .scptArmored Likhoelectric power sectorJamf Threat LabsKasperskyARTokenEvilTokensMicrosoft 365 phishingPamStealerAppleScript .scptArmored Likhoelectric power sectorJamf Threat LabsKaspersky

Análisis de Impacto en Mercados

Inteligencia Premium

Crea una cuenta gratuita para desbloquear el análisis detallado

Evaluación de Amenazas con IA

Inteligencia Premium

Crea una cuenta gratuita para desbloquear el análisis detallado

Línea Temporal del Evento

Inteligencia Premium

Crea una cuenta gratuita para desbloquear el análisis detallado

Inteligencia Relacionada

Acceso Completo

Desbloquea el Acceso Completo de Inteligencia

Alertas en tiempo real, evaluaciones detalladas de amenazas, redes de entidades, correlaciones de mercado, briefings con IA y mapas interactivos.