Una sofisticada campaña de phishing que tiene por objetivo centros universitarios

Esta campaña utiliza como herramienta Evilginx, una plataforma de recursos de código abierto que permite crear campañas utilizando técnicas muy sofisticadas.

Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, ha identificado una nueva campaña phishing coordinada y que ha atacado a más de 18 universidades y centros de estudios superiores en Estados Unidos. Esta campaña ha utilizado de forma masiva el kit de herramientas de malware conocido como Evilginx, una plataforma de recursos de código abierto que permite crear campañas utilizando técnicas avanzadas tales como AiTM (adversary-in-the-middle) para robar credenciales de inicio de sesión y cookies, lo que le permite eludir la autenticación multifactor (MFA) en los portales web de dichos centros.

Las principales conclusiones del estudio que ha permitido identificar esta campaña han sido:

•    El actor malicioso responsable del ataque ha utilizado la plataforma Evilginx para tomar el control de las cuentas de usuario de los estudiantes. Este kit de herramientas de código abierto (probablemente v3.0) utiliza la técnica AitM, que simula flujos de inicio de sesión reales y roba cookies de sesión, lo que permite el robo de credenciales incluso con Autenticación Multifactor (MFA) habilitada.

•    Los patrones DNS de esta actividad maliciosa han puesto de manifiesto que son 70 los dominios afectados: A pesar de utilizar URLs de corta duración y de usar técnicas de enmascaramiento mediante Cloudflare, el actor dejó huellas DNS identificables, lo que permitió mapear casi 70 dominios relacionados y rastrear la actividad entre abril y noviembre de 2025.

•    En el caso de 18 de estas universidades, se utilizaron correos electrónicos personalizados como vector de ataque: los estudiantes recibieron enlaces dinámicos TinyURL generados a través de Evilginx, cada uno suplantando portales SSO de la universidad con subdominios de marca y URL únicas.

•    Uso de tácticas de evasión y ocultamiento: las tácticas de evasión avanzadas dificultaron la detección, al utilizarse proxies de Cloudflare, URLs de corta duración y ofuscación de proxy inverso para burlar los escáneres y ocultar el origen del alojamiento.

Como ha comentado Renée Burton, VP de Infoblox Threat Intel, “Las universidades siguen siendo un objetivo habitual de los actores maliciosos, a los que les importa muy poco el daño que generan. Un ejemplo particularmente lamentable: los atacantes se infiltraron en la Universidad de Washington y comprometieron los sistemas del Museo Burke de Historia Natural. Sus acciones destruyeron parte del catálogo digital de especímenes de plantas y animales del museo, un registro de un valor incalculable, creado después de años de esfuerzo voluntario, que preserva el conocimiento de las especies extintas y en peligro de extinción”.

Entre las principales universidades que han sido víctimas de esta campaña se encuentran la Universidad de California en Santa Cruz, la Universidad de California en Santa Bárbara, la Universidad de San Diego, la Universidad Commonwealth de Virginia y la Universidad de Michigan.