Por: Equipo de investigación de Microsoft Threat Intelligence y Microsoft Defender Security

Durante la temporada de impuestos, los actores malintencionados aprovechan de forma fiable la urgencia y familiaridad de los correos electrónicos sensibles al tiempo, incluidos avisos de reembolso, formularios de nómina, recordatorios de presentación y solicitudes de profesionales fiscales, para engañar a los objetivos y que abran archivos adjuntos maliciosos, escaneen códigos QR o sigan cadenas de enlaces de varios pasos. Cada año, se observa un aumento notable de campañas con temática fiscal a medida que se acerca el Día de los Impuestos (15 de abril) en Estados Unidos, y este año no es diferente.

En los últimos meses, Microsoft Threat Intelligence identificó campañas de correo electrónico que utilizan señuelos alrededor del W-2, formularios fiscales o temas similares, o haciéndose pasar por agencias fiscales gubernamentales, firmas de servicios fiscales e instituciones financieras relevantes. Muchas campañas se dirigen a individuos para robos de datos personales y financieros, pero otras se dirigen en específico a contables y otros profesionales que manejan documentos sensibles, tienen acceso a datos financieros y están acostumbrados a recibir correos electrónicos relacionados con impuestos durante este periodo.

Las campañas identificadas estaban diseñadas para recopilar credenciales o entregar malware. Las plataformas de phishing como servicio (PhaaS) siguen muy prevalentes, al permitir campañas muy convincentes de robo de credenciales y evasión de autenticación multifactor (MFA, por sus siglas en inglés) mediante señuelos personalizados de ingeniería social con temática fiscal, archivos adjuntos y páginas de phishing. En casos de entrega de malware, observamos una tendencia continua de abusar de herramientas legítimas de monitorización y gestión remota (RMM, por sus siglas en inglés), que permiten a los actores amenazantes mantener la persistencia en un dispositivo o red comprometida, habilitar un método alternativo de comando y control o, en ataques directos con teclado, usarlas como una sesión interactiva de escritorio remoto.

Este blog detalla varias de las campañas observadas por Microsoft Threat Intelligence en los últimos meses que aprovecharon la temporada de impuestos para la ingeniería social. Al educar a los usuarios sobre los señuelos de phishing, configurar ajustes esenciales de seguridad del correo electrónico y defenderse contra el robo de credenciales, individuos y organizaciones pueden defenderse tanto de este aumento estacional de ataques de phishing como, en general, de muchos tipos de ataques que observamos.

Una amplia variedad de campañas con temática fiscal

Señuelos CPA que llevan al kit de phishing Energy365

A principios de febrero de 2026, observamos una campaña que entregaba el kit de phishing Energy365 PhaaS y señuelos fiscales y de contable público certificado (CPA, por sus siglas en inglés) a lo largo de toda la cadena de ataque. Esta campaña destacó por su personalización de señuelos muy específica, en contraste con otros actores maliciosos que usan este popular kit de phishing pero emplean señuelos genéricos. Otras características destacadas de esta campaña incluyen la participación de múltiples formatos de archivo como Excel y OneNote, el uso de infraestructuras legítimas como OneDrive y múltiples rondas de interacción con el usuario, todos intentos de complicar la detección automatizada y basada en reputación. Aunque esta campaña específica no fue grande, representa las capacidades de Energy365, uno de los principales kits de phishing que permite cientos de miles de correos maliciosos observados por Microsoft a diario.

Entre el 5 y el 6 de febrero, varios cientos de correos electrónicos con el tema «Ver archivo fiscal» se dirigieron a múltiples sectores, incluidos servicios financieros, educación, tecnologías de la información (TI), seguros y sanidad, en su mayoría en Estados Unidos. El archivo adjunto de Excel tenía el nombre del archivo [Nombre del Contable] CPA.xlsx, con el nombre de un contable real (tal vez suplantado en esta campaña sin que él lo supiera). El archivo adjunto contenía un botón pulsable llamado «REVISAR DOCUMENTOS» que enlazaba con un archivo de OneNote alojado en OneDrive.

El archivo de OneNote, que continuaba la farsa con el mismo nombre y logotipo del CPA, contenía un enlace que conducía a una página de destino maliciosa que alojaba el kit de phishing Energy365 e intentaba obtener credenciales como correo electrónico y contraseña.

Código QR y señuelo W2 que lleva al kit de phishing SneakyLog

El 10 de febrero de 2026, Microsoft Threat Intelligence observó correos electrónicos de phishing con temática fiscal enviados a cerca de 100 organizaciones, en los sectores manufacturero, minorista y sanitario, en su mayoría en Estados Unidos. Los correos electrónicos usaban el asunto «Documentos Fiscales de Empleados 2025» y contenían un archivo adjunto llamado 2025_Employee_W-2 .docx. El archivo adjunto incluía contenido que mencionaba varios términos relacionados con impuestos como el Formulario W-2 y un código QR que apuntaba a una página de phishing.

Cada documento se personalizaba para contener el nombre del destinatario, y la URL oculta tras el código QR también contenía la dirección de correo electrónico del destinatario. Esto significa que cada destinatario recibió un apego único. La página de phishing fue creada con la plataforma SneakyLog PhaaS e imitaba la página de inicio de sesión de Microsoft 365 para robar credenciales. SneakyLog, también conocido como Kratos, existe al menos desde principios de 2025. Este kit de phishing se vende como parte del phishing como servicio y es capaz de recopilar credenciales y 2FA. Aunque no es tan popular como otras plataformas como Energy365, SneakyLog ha estado presente de manera constante en el panorama de amenazas.

Formulario 1099 de phishing con temática de Formulario 1099 que entrega ScreenConnect

En enero y febrero de 2026, Microsoft Threat Intelligence observó conjuntos de dominios con temática fiscal registrados, tal vez para ser utilizados en campañas de phishing con temática fiscal. Estos dominios utilizaban palabras clave como «impuesto» y «formulario 1099» y también se hacían pasar por empresas legítimas específicas involucradas en la declaración de impuestos, la contabilidad y los sectores de inversión. El abuso de marca hacia empresas legítimas de contabilidad, preparación de impuestos, finanzas, contabilidad y empresas relacionadas prolifera todavía durante la temporada de impuestos.

Observamos el uso de uno de estos dominios en una campaña entre el 8 y el 10 de febrero. Se enviaron varios cientos de correos electrónicos a destinatarios en una amplia variedad de sectores, en su mayoría en Estados Unidos. Los correos utilizaban asuntos como «Tu cuenta ahora incluye formularios fiscales actualizados [RF] 1234» o «Tu formulario 1099-R está listo – [RF] 12123123». El cuerpo del correo electrónico decía «Formularios fiscales 2025 está listo» y contenía un botón clicable «Ver formularios fiscales» que enlazaba con la URL taxationstatments2025[.]com. Si se hace clic, este dominio redirige a tax-statments2025[.]com, que a su vez servía para un ejecutable de malware llamado 1099-FR2025.exe.

La carga útil entregada en esta campaña es la herramienta de gestión y monitorización remota (RMM, por sus siglas en inglés) ScreenConnect, firmada por ConnectWise. El certificado específico de firma de código ha sido revocado por el emisor debido a un alto abuso. ScreenConnect es una herramienta legítima, pero los actores maliciosos han aprendido a abusar de la funcionalidad de RMM y, en esencia, convertir herramientas legítimas en troyanos de acceso remoto (RATs, por sus siglas en inglés), ayudándoles a tomar el control de dispositivos comprometidos.

Servicio de phishing con temática de criptomonedas e IRS que ofrece SimpleHelp

Otra campaña destacada combinó la suplantación del Servicio de Impuestos Internos de EE. UU. (IRS, por sus siglas en inglés) con un señuelo de criptomonedas. Cabe destacar que esta campaña intentó evadir la detección al no incluir un enlace clicable, sino que pidió a los destinatarios que copiaran y pegaran una URL, que estaba en el cuerpo del correo, en el navegador.

Esta campaña se envió los días 23 y 27 de febrero, y consistió en varios miles de correos electrónicos enviados en exclusiva a destinatarios en Estados Unidos. Los correos electrónicos se dirigieron a muchos sectores, y se envió la mayor parte a la educación superior. Los correos electrónicos usaban el tema «IR-2026-216» y la plataforma online Eventbrite abusaba para hacerse pasar por procedentes del IRS:

• «IRS US»<noreply@campaign[.]eventbrite[.]com>
• «IRS GOV»<noreply@campaign[.]eventbrite[.]com>
• «Servicio»<noreply@campaign[.]eventbrite[.]com>
• «IRS TAX»<noreply@campaign[.]eventbrite[.]com>
• «.IRS.GOV»<noreply@campaign[.]eventbrite[.]com>

El cuerpo del correo decía «El formulario fiscal de criptomonedas 1099 está listo» y contenía una URL no clicable con el dominio irs-doc[.]com o gov-IRS216[.]red. Si se pegaba en el navegador, la URL llevaba a la descarga de IRS-doc.msi, que era la herramienta RMM ScreenConnect o SimpleHelp, según del día de la campaña. SimpleHelp es otra herramienta legítima de monitorización y gestión remota abusada por actores amenazantes. Aunque no es tan popular como ScreenConnect, los actores maliciosos han adoptado cada vez más SimpleHelp debido a la reciente ofensiva contra el abuso de ScreenConnect por parte de ConnectWise.

Campaña dirigida a los CPA y entrega de Datto

Como en temporadas fiscales anteriores, Microsoft Threat Intelligence observó campañas de correo electrónico dirigidas en específico a contables y organizaciones relacionadas. Una variante de esta campaña es una técnica bien conocida y documentada que utiliza iniciadores de conversación benignos. El actor malicioso se pone en contacto para pedir ayuda para presentar la declaración de impuestos, solicitar un presupuesto y, por lo general, aportar una historia de fondo. Si el actor recibe una respuesta, envía un enlace malicioso que conduce a la instalación de varios RATs. Sin embargo, Microsoft Threat Intelligence también observó campañas dirigidas a CPA que contienen una historia similar pero que incluyen el enlace malicioso en el primer correo electrónico.

Una de estas campañas se envió el 9 de marzo y consistió en cerca de 1.000 correos electrónicos enviados en exclusiva a usuarios en Estados Unidos. Los correos electrónicos se dirigían a varias empresas contables, pero también incluían algunas industrias relacionadas como los servicios financieros, el derecho y los seguros. Los correos usaban el asunto «SOLICITUD DE DECLARACIÓN PROFESIONAL DE IMPUESTOS».

El correo proporcionaba una historia de fondo que incluía la descripción de una situación compleja de declaración de impuestos que involucraba auditoría fiscal, matrícula universitaria, intereses de préstamos e ingresos inmobiliarios. El remitente también intentó explicar su imposibilidad de acudir de manera física a la oficina debido a los desplazamientos. Por último, el remitente pidió un presupuesto. Observamos variaciones en la historia de fondo en diferentes días, incluido el cambio de CPA debido al aumento de honorarios.

El enlace en el correo electrónico utilizaba el servicio gratuito de alojamiento del sitio carrd[.]co. El sitio contenía un simple botón «VER DOCUMENTOS» que enlazaba con un servicio de acortador de URL, que redirigía a los usuarios a private-adobe-client[.]IM. Esta sencilla cadena de redirección dificultó la detección automatizada al utilizar sitios legítimos con buena reputación y que involucraban la interacción de los usuarios. La página final servía como ejecutable relacionado con el Datto. Datto es otra herramienta legítima de monitorización y gestión remota, abusada por actores amenazantes.

Campaña temática del IRS dirigida a profesionales contables y eliminación de ScreenConnect

El 10 de febrero de 2026, Microsoft Threat Intelligence observó una campaña de phishing a gran escala enviada a más de 29.000 usuarios en 10.000 organizaciones, centrada casi en exclusiva en objetivos en Estados Unidos (el 95% de los objetivos). La campaña no se centró en un sector concreto, sino que incluyó un amplio conjunto de sectores, donde los servicios financieros (19%), tecnología y software (18%) y comercio minorista y bienes de consumo (15%) fueron los más atacados.

Aunque la campaña no parecía dirigirse a una industria específica, un análisis de los destinatarios indicó que la campaña se dirigía a roles concretos, en especial contables y preparadores fiscales. Los mensajes de la campaña se enviaron en dos oleadas durante una ventana de nueve horas, entre las 10:35 UTC y las 19:51 UTC.

Los correos se hacían pasar por la Agencia Tributaria, alegaban que las declaraciones de impuestos con potenciales irregularidades se habían presentado bajo el Número de Identificación Electrónica de Presentación (EFIN, por sus siglas en inglés) del destinatario. Se instruyó a los destinatarios para revisar estas declaraciones a través de la descarga de un supuesto «Visor de Transcripciones del IRS».

Los correos electrónicos se enviaron a través del Amazon Simple Email Service (SES) desde una de las dos direcciones de remitente en edud[.]un dominio registrado en agosto de 2025. Para aumentar la credibilidad, el nombre de usuario del remitente rotaba entre las siguientes 14 identidades temáticas del IRS:

• Servicios de E-Presentación del IRS
• Equipo EFIN del IRS
• Cumplimiento EFIN del IRS
• Servicios electrónicos del IRS
• Operaciones de la E-File del IRS
• Revisión de la presentación ante la Agencia Tributaria
• Apoyo para la presentación de la IRS
• Apoyo EFIN del IRS
• Equipo de servicios electrónicos del IRS
• Soporte para la Presentación Electrónica del IRS
• Revisión EFIN del IRS
• Cumplimiento de la declaración electrónica del IRS
• Soporte de servicios electrónicos del IRS
• Servicios electrónicos para profesionales del IRS

De manera similar, las líneas de asunto usadas en la campaña también rotaron, tal vez para intentar eludir sistemas de detección que dependen de firmas de texto estáticas. Los más comunes entre los 49 sujetos de correo electrónico que observamos en esta campaña incluyen:

• IRS solicita revisión de transcripciones
• Revisión de la Empresa de Notificación del IRS
• Revisión de Cumplimiento de CPA
• Revisión de la presentación de firmas de soporte del IRS
• Revisión del cumplimiento solicitado

Los correos contenían un botón «Descargar Vista de transcripción IRS 5.1», que en teoría conducía a una solicitud legítima al IRS que podría usarse para revisar la transcripción mencionada en el correo. En su lugar, el enlace apuntaba a una URL de seguimiento de clics de Amazon SES (awstrack[.]yo), que luego redirigía a SmartVault[.]im, un dominio malicioso que imita SmartVault, un conocido servicio de gestión fiscal y documental utilizado por profesionales contables. Para evadir el análisis automatizado, el sitio de phishing utilizó Cloudflare para la detección y bloqueo de bots. Solo los visitantes que se asemejan a usuarios humanos podrían llegar a la carga final de phishing, mientras que el tráfico de rastreadores y sandboxes resultaría en una página de bloqueo.

A los usuarios que superaban la comprobación del bot se les mostraba una animación falsa de «verificación» que indicaba que la web del IRS realizaba una comprobación automatizada para verificar la conexión con los servicios de proveedores del IRS. Tras esta animación, se mostraba una página al usuario que indicaba que la supuesta aplicación de visualización de transcripciones comenzaría a descargarse en automático antes de ser redirigida a la página web legítima del proveedor del IRS. El archivo descargado, llamado TranscriptViewer5.1.exe, no era una herramienta legítima del IRS, sino una herramienta de acceso remoto (RAT, por sus siglas en inglés), reempaquetada de manera maliciosa, de ScreenConnect. Al ejecutarse, esta carga útil podría otorgar a los atacantes el control remoto del sistema víctima, para permitir el robo de datos, la obtención de credenciales y una actividad posterior a la explotación.

Cómo proteger a los usuarios y a la organización frente a campañas con temática fiscal

Para defenderse de campañas de ingeniería social que aprovechan el aumento de la actividad de correos electrónicos durante la temporada de impuestos, Microsoft recomienda las siguientes medidas de mitigación:

• Configurar la interrupción automática de ataques en Microsoft Defender XDR. La interrupción automática de ataques está diseñada para contener los ataques en curso, limitar el impacto en los activos de una organización y proporcionar más tiempo a los equipos de seguridad para remediar completamente el ataque.
• Imponer la autenticación multifactor (MFA, por sus siglas en inglés) en todas las cuentas, eliminar a los usuarios excluidos de la MFA y exigir de manera estricta MFA desde todos los dispositivos en todas las ubicaciones en todo momento.
• Utilizar la app Microsoft Authenticator para claves de acceso y MFA, y complementar la MFA con políticas de acceso condicional, donde las solicitudes de inicio de sesión se evalúan por medio de señales adicionales basadas en la identidad.
• Las políticas de acceso condicional también pueden aplicarse para reforzar cuentas privilegiadas con MFA resistente al phishing.
• Activar la purga automática de cero horas (ZAP, por sus siglas en inglés) en Office 365 para poner en cuarentena el correo enviado en respuesta a la inteligencia de amenazas recién adquirida y neutralizar de manera retroactiva los mensajes maliciosos de phishing, spam o malware que ya hayan sido entregados a los buzones.
• Configurar Microsoft Defender para los enlaces seguros de Office 365 para volver a comprobar los enlaces al hacer clic. Enlaces Seguros proporciona escaneo de URL y reescritura de mensajes de correo entrantes en el flujo de correo y verificación en el momento del clic de URLs y enlaces en mensajes de correo, otras aplicaciones de Microsoft Office como Teams y otras ubicaciones como SharePoint Online. El escaneo de enlaces seguros se realiza además de la protección habitual contra el spam y el malware en los mensajes de correo entrante en Microsoft Exchange Online Protection (EOP). El escaneo de enlaces seguros puede ayudar a proteger a su organización de enlaces maliciosos que se utilizan en ataques de phishing y otros.
• Invertir en soluciones avanzadas anti-phishing que monitoricen y escaneen los correos entrantes y sitios web visitados. Por ejemplo, las organizaciones pueden aprovechar navegadores web como Microsoft Edge, que identifican y bloquean en automático sitios web maliciosos, incluidos los utilizados en esta campaña de phishing, y soluciones que detectan y bloquean correos electrónicos, enlaces y archivos maliciosos.
• Animar a los usuarios a usar Microsoft Edge y otros navegadores web que soporten Microsoft Defender SmartScreen, que identifica y bloquea sitios web maliciosos, incluidos sitios de phishing, sitios fraudulentos y sitios que alojan malware.
• Habilitar la protección de red para evitar que aplicaciones o usuarios accedan a dominios maliciosos y otros contenidos maliciosos en internet.

Guía de detección y caza con Microsoft Defender

Los clientes de Microsoft Defender pueden consultar la lista de detecciones aplicables a continuación. Microsoft Defender XDR coordina la detección, prevención, investigación y respuesta entre endpoints, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques como la amenaza que se discute en este blog.

Táctica	Actividad observada	Cobertura de Microsoft Defender
Acceso inicial	Correos electrónicos de phishing	Microsoft Defender para Office 365 – Se detectó un clic en URL en potencia malicioso – Mensajes de correo electrónico con URL maliciosa eliminados tras la entrega – Mensajes de correo electrónico eliminados tras la entrega – Un usuario hizo clic a una URL en potencia maliciosa – Se detectaron patrones sospechosos de envío de correos electrónicos – Correo reportado por el usuario como malware o phishing
Ejecución	Entrega de herramientas RMM para actividades post-compromiso	Microsoft Defender for Endpoint – Instalación sospechosa de software de gestión remota – Software de monitorización y gestión remota Actividad sospechosa – Ubicación sospechosa del software de gestión remota – Uso sospechoso de software de gestión remota – Ejecución sospechosa de comandos vía ScreenConnect

Microsoft Security Copilot

Microsoft Security Copilot está integrado en Microsoft Defender y proporciona a los equipos de seguridad capacidades impulsadas por IA para resumir incidentes, analizar archivos y scripts, resumir identidades, usar respuestas guiadas y generar resúmenes de dispositivos, consultas de búsqueda e informes de incidentes.

Los clientes también pueden desplegar agentes de IA, incluidos los siguientes agentes de Microsoft Security Copilot, para realizar tareas de seguridad de forma eficiente:

• Agente de Informe de Inteligencia de Amenazas
• Agente de triaje de phishing
• Agente de caza de amenazas
• Agente dinámico de detección de amenazas

Security Copilot también está disponible como una experiencia independiente donde los clientes pueden realizar tareas específicas relacionadas con la seguridad, como la investigación de incidentes, el análisis de usuarios y la evaluación del impacto en vulnerabilidades. Además, Security Copilot ofrece escenarios para desarrolladores que permiten a los clientes crear, probar, publicar e integrar agentes y plugins de IA para satisfacer necesidades de seguridad únicas.

Informes de inteligencia sobre amenazas

Los clientes de Microsoft Defender XDR pueden utilizar los siguientes informes de análisis de amenazas en el portal Defender (requiere licencia para al menos un producto Defender XDR) para obtener la información más actualizada sobre el actor de la amenaza, la actividad maliciosa y las técnicas discutidas en este blog. Estos informes proporcionan la inteligencia, la información de protección y las acciones recomendadas para prevenir, mitigar o responder a las amenazas asociadas encontradas en los entornos de los clientes:

• Perfil general de amenaza: Robo de credenciales en las instalaciones
• Perfil de técnica: Abuso de herramientas de monitorización y gestión remota

Los clientes de Microsoft Security Copilot también pueden utilizar la integración de Microsoft Security Copilot en Microsoft Defender Threat Intelligence, ya sea en el portal independiente Security Copilot o en la experiencia integrada en el portal Microsoft Defender para obtener más información sobre este actor amenazante.

Búsqueda de consultas

Microsoft Defender XDR

Los clientes de Microsoft Defender XDR pueden ejecutar las siguientes  consultas avanzadas de búsqueda para encontrar actividad relacionada en sus redes:

Encontrar mensajes de correo electrónico relacionados con dominios conocidos

La siguiente consulta verifica los dominios en los datos de correo electrónico de Defender XDR:

EmailUrlInfo   | where UrlDomain has_any ("taxationstatments2025.com", "irs-doc.com", "gov-irs216.net", "private-adobe-client.im", "edud.site", "smartvault.im")

Detectar indicadores de hash de archivo en los datos de correo electrónico

La siguiente consulta revisa hashes relacionados con actividades de phishing identificadas en los datos de Defender XDR:

let File_Hashes_SHA256 = dynamic([ "45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0", "d422f6f5310af1e72f6113a2a592916f58e3871c58d0e46f058d4b669a3a0fd8"]); DeviceFileEvents | where SHA256 has_any (File_Hashes_SHA256)

Microsoft Sentinel

Los clientes de Microsoft Sentinel pueden utilizar la analítica de TI Mapping (una serie de análisis todos precedidos por ‘TI map’) para emparejar en automático los indicadores mencionados en esta entrada del blog con los datos de su espacio de trabajo. Si los análisis de TI Map no están desplegados en la actualidad, los clientes pueden instalar la solución de Inteligencia de Amenazas desde el Microsoft Sentinel Content Hub para que la regla de análisis se despliegue en su espacio de trabajo Sentinel.

Las siguientes consultas utilizan funciones del Modelo Avanzado de Información de Seguridad Sentinel (ASIM, por sus siglas en inglés) para buscar amenazas tanto en fuentes de datos propias como de terceros de Microsoft. ASIM también soporta desplegar analizadores en espacios de trabajo específicos desde GitHub, por medio de una plantilla ARM o de manera manual.

Detectar IP de red e indicadores de dominio de compromiso por medio de ASIM

La siguiente consulta verifica las direcciones IP y las IOCs de dominio entre las fuentes de datos soportadas por el analizador de sesiones de red ASIM:

//IP list - _Im_WebSession let lookback = 30d; let ioc_ip_addr = dynamic([]); let ioc_sha_hashes =dynamic(["45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0"]); _Im_WebSession(starttime=todatetime(ago(lookback)), endtime=now()) | where DstIpAddr in (ioc_ip_addr) or FileSHA256 in (ioc_sha_hashes) | summarize imWS_mintime=min(TimeGenerated), imWS_maxtime=max(TimeGenerated),   EventCount=count() by SrcIpAddr, DstIpAddr, Url, Dvc, EventProduct, EventVendor

Detectar indicadores de IP y hash de archivo de las sesiones web por medio de ASIM

La siguiente consulta verifica direcciones IP, dominios y IOCs de hash de archivo entre fuentes de datos soportadas por el analizador de sesiones web ASIM:

//IP list - _Im_WebSession let lookback = 30d; let ioc_ip_addr = dynamic([]); let ioc_sha_hashes =dynamic(["45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0"]); _Im_WebSession(starttime=todatetime(ago(lookback)), endtime=now()) | where DstIpAddr in (ioc_ip_addr) or FileSHA256 in (ioc_sha_hashes) | summarize imWS_mintime=min(TimeGenerated), imWS_maxtime=max(TimeGenerated),   EventCount=count() by SrcIpAddr, DstIpAddr, Url, Dvc, EventProduct, EventVendor

Detectar indicadores de compromiso de dominio y URL usando ASIM

La siguiente consulta verifica los IOCs de dominio y URL entre las fuentes de datos soportadas por el analizador de sesiones web ASIM:

// file hash list - imFileEvent // Domain list - _Im_WebSession let ioc_domains = dynamic(["taxationstatments2025.com", "irs-doc.com", "gov-irs216.net", "private-adobe-client.im"]); _Im_WebSession (url_has_any = ioc_domains)

Detectar hashes de archivos indicadores de compromiso usando ASIM

La siguiente consulta verifica las direcciones IP y los IOCs hash de archivo entre las fuentes de datos soportadas por el analizador de eventos de archivos ASIM:

// file hash list - imFileEvent let ioc_sha_hashes = dynamic(["45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0"]); imFileEvent | where SrcFileSHA256 in (ioc_sha_hashes) or TargetFileSHA256 in (ioc_sha_hashes) | extend AccountName = tostring(split(User, @'')[1]),   AccountNTDomain = tostring(split(User, @'')[0]) | extend AlgorithmType = "SHA256"

Indicadores de compromiso

Indicador	Tipo	Descripción	Primera aparición	Última vez vista
45b6b4db1be6698c29ffde9daeb8ffaa344b687d3badded2f8c68c922cdce6e0	SHA-256	Archivo adjunto de Excel en la campaña PhaaS de Energy365	2026-02-05	2026-02-06
Tributationstatments2025[.]com	Dominio	Campaña ScreenConnect con temática de Fidelity	2026-02-08	2026-02-10
IRS-DOC[.]com	Dominio	Campaña SimpleHelp con temática del IRS / criptomonedas	2026-02-23	2026-02-27
gov-irs216[.]neto	Dominio	Campaña SimpleHelp con temática del IRS / criptomonedas	2026-02-23	2026-02-27
Cliente-privado-adobe[.]Yo	Dominio	Campaña dirigida a CPA entregando Datto	2026-03-05	2026-03-09
d422f6f5310af1e72f6113a2a592916f58e3871c58d0e46f058d4b669a3a0fd8	SHA-256	EXE eliminado en la campaña del IRS ScreenConnect	2026-02-10	2026-10
edud[.]Sitio	Dominio	Direcciones de correo electrónico de alojamiento de dominio utilizadas para enviar correos de phishing en la campaña IRS ScreenConnect	2026-02-10	2026-02-10
SmartVault[.]Yo	Dominio	Dominio que aloja contenido malicioso en la campaña IRS ScreenConnect	2026-02-10	2026-02-10

Más información

Para la última investigación en seguridad de la comunidad de Inteligencia de Amenazas de Microsoft, consulten el blog de Inteligencia de Amenazas de Microsoft.

Para recibir notificaciones sobre nuevas publicaciones y participar en debates en redes sociales, síganos en LinkedIn, X (antes Twitter) y Bluesky.

Para escuchar historias y perspectivas de la comunidad de Inteligencia de Amenazas de Microsoft sobre el panorama de amenazas en constante evolución, escuchen el podcast Microsoft Threat Intelligence.