Microsoft advirtió que ciberdelincuentes y actores estatales están explotando funciones legítimas de Teams —mensajería, llamadas, reuniones y uso compartido de pantalla— para distribuir malware, ejecutar ataques, obtener control remoto y exfiltrar información sensible.
El informe de Microsoft indica que los atacantes están integrando el uso de Microsoft Teams dentro de sus cadenas de ataque, explotando su confianza como herramienta de comunicación corporativa. A través de mensajes (chats), llamadas, reuniones y compartición de pantalla, los actores de amenaza engañan a los usuarios para ejecutar malware o compartir credenciales. La técnica consiste en el envío de enlaces o archivos aparentemente legítimos dentro del entorno Teams, aprovechando la familiaridad del usuario con la plataforma.
Los grupos identificados utilizan Teams para realizar desde tareas de reconocimiento inicial hasta movimientos finales de impacto, incluyendo exfiltración de datos o control remoto mediante ingeniería social. Este enfoque incrementa la efectividad de las campañas, pues el vector no requiere explotación técnica sino manipulación del usuario.
Contexto de la amenaza:
El abuso de herramientas colaborativas como Microsoft Teams representa una tendencia creciente en el panorama de amenazas, donde los atacantes integran sus campañas dentro de ecosistemas corporativos de confianza. Este vector permite ejecutar fases completas del ciclo de ataque (MITRE ATT&CK): Reconocimiento, Entrega, Ejecución, Persistencia y Exfiltración, dentro del flujo natural de comunicación de la organización.
Impacto:
- Ejecución de malware dentro de entornos corporativos que confían en Teams como canal legítimo.
- Robo de credenciales de acceso o información confidencial mediante chats o videollamadas falsas.
- Uso de Teams para movimiento lateral o persistencia dentro del entorno Microsoft 365.
- Riesgo de pérdida de datos sensibles y exposición de información interna.
Indicadores de Compromiso (IoC)
- Mensajes de Teams con enlaces o archivos no solicitados, especialmente desde contactos externos.
- Invitaciones a reuniones que contienen enlaces de descarga o peticiones de macros.
- Cargas de archivos ejecutables (.exe, .dll, .bat) dentro de chats o canales compartidos.
- Conexiones de red salientes a dominios no corporativos tras la interacción con Teams.
- Alertas en EDR relacionadas con procesos de Teams accediendo a rutas temporales sospechosas.
Recomendaciones
Acciones inmediatas:
- Restringir la comunicación de Teams con usuarios externos si no es necesaria.
- Implementar políticas DLP y filtros antimalware en los canales de Teams.
- Bloquear la descarga y ejecución de archivos desconocidos dentro del entorno Teams.
- Monitorear eventos de Teams en Microsoft Defender 365 para detectar comportamientos anómalos.
Acciones preventivas:
- Capacitar al personal sobre ingeniería social dentro de plataformas colaborativas.
- Revisar los permisos y configuraciones de seguridad en Microsoft Teams y Azure AD.
- Implementar autenticación multifactor (MFA) en todas las cuentas de Microsoft 365.
- Mantener actualizados los clientes de Teams y los módulos de seguridad integrados.
Referencias
[1] Cyber Security News — “Hackers Abuse Teams Features and Capabilities to Deliver Malware – Microsoft Warns”. Disponible en: https://cybersecuritynews.com/hackers-abuse-teams-features-to-deliver-malware/
[2] Microsoft Threat Intelligence Blog — “Malware delivery through collaboration tools”. Disponible en: https://www.microsoft.com/security/blog/
[3] MITRE ATT&CK — T1566 (Phishing) y T1204 (User Execution). Disponible en: https://attack.mitre.org/ 0‑day exploitation.”
[5] The Hacker News, “Zimbra 0‑day Exploited via Malicious ICS Files,” octubre 2025.erability Database) — entrada oficial del CVE. https://nvd.nist.gov/vuln/detail/CVE-2025-10649ess-plugins/events-manager/events-manager-calendar-bookings-tickets-and-more-663-unauthenticated-sql-injection-via-event-status-parameter.