- Proyecto : Detección CloudLOL PayPal
- Empresa : Merabytes
- Sector : Múltiple
- Fecha : 25 February, 2026
- Duración : Detección en tiempo real
info@merabytes.com
Caso real: Campaña de phishing mediante facturas legítimas de PayPal usando infraestructura cloud confiable (nombre del cliente omitido por confidencialidad)
🔑 Puntos clave
| Hora/Fase | Evento |
|---|---|
| Fase 0 - Vector inicial | Atacante crea una factura legítima en PayPal adjuntando un PDF malicioso. La factura está alojada en la infraestructura real de paypal.com. |
| Fase 1 - Distribución | Email distribuido a los usuarios objetivo con la factura de PayPal y el PDF malicioso adjunto. |
| Fase 2 - PDF malicioso | El PDF adjunto contiene un botón simulado con un enlace que inicia la cadena de redirecciones hacia la página de phishing. |
| Fase 3 - Cadena de redirecciones | El enlace encadena servicios legítimos: CloudFlare → Mailinblack → ActiveCampaign → login clonado de Microsoft 365 alojado en Azure. |
| Fase 4 - Detección SOC | SOC detecta patrón anómalo: tráfico a paypal.com desde usuarios no vinculados a compras, PDFs con enlaces inusualmente largos, redirecciones múltiples multi-dominio en el navegador. |
| Fase 5 - Contención | Bloqueo del flujo malicioso antes de que usuarios introduzcan credenciales. Alerta generada por análisis comportamental y correlación de eventos. |
Esta semana hemos identificado una nueva campaña de phishing que encaja perfectamente dentro del concepto de CloudLOL que comentábamos en el post anterior sobre SharePoint.
Si antes hablábamos de abuso de SharePoint Online, ahora vemos el mismo patrón… pero utilizando la funcionalidad legítima de adjuntar documentos a facturas en PayPal.
🌩️ ¿Qué es un CloudLOL?
Al igual que los LOLBINs, que reutilizan binarios del sistema para ejecutar acciones maliciosas, un CloudLOL aprovecha servicios legítimos de SaaS para realizar ataques:
- Uso de infraestructura de confianza (PayPal, Azure, Microsoft 365) para alojar y distribuir contenido malicioso
- Cadenas de redirección a través de servicios de seguridad email y marketing legítimos
- Todo sin ejecutar software sospechoso localmente ni usar dominios recién registrados
🧾 Abuso de facturas en PayPal como vector de phishing
Los atacantes están utilizando la opción legítima de subir ficheros adjuntos en facturas de PayPal para alojar PDFs con contenido malicioso.
Desde el punto de vista técnico:
✔ La factura es real
✔ Está alojada en la infraestructura legítima de PayPal (paypal.com)
https://www.paypal[.]com/invoice/payerView/attachments/y1j-K8TYXFpldM7vByLII7lK.d9Q0HBxg7-6TOj2HkLM8OK8pRf7bwv9xEViCR3MbPSuEX-PMVfXAnHZ4uIWdUISBgnrACPCsGfJPtERVfg&version=1&sig=SH3nUGxRyf4wByrnRfAWzjB5WqgLkOsHGlgkFYjkMVk
Técnicamente impecable.
Al acceder, encontramos un fichero PDF simple, con un botón simulado con un enlace a una página de phishing.
🔗 La cadena de redirecciones (CloudLOL en estado puro)
El PDF adjunto contiene un enlace que inicia una cadena compleja de redirecciones utilizando exclusivamente servicios legítimos de protección:
- Página de Malvertising alojada detrás de CloudFlare (solución anti-bots)
- Primer salto: enlace protegido por Mailinblack (solución anti-phishing)
https://mibc-fr-03.mailinblack.com/securelink/?url=... - Dentro del parámetro se observa tracking a través de ActiveCampaign (solución email marketing)
- Finalmente termina en un login clonado de Microsoft 365, diseñado para capturar credenciales corporativas:
https://constant365[.]z13.web.core.windows.net/#… Alojado en Microsoft Azure
Todo el flujo utiliza proveedores SaaS reales. No hay infraestructura sospechosa. No hay adjuntos ejecutables. No hay dominios recién registrados.
Solo hay abuso de servicios cloud legítimos.
🧠 ¿Por qué esto es especialmente peligroso?
Porque rompe completamente los modelos clásicos de filtrado:
- El dominio inicial es reputado
- La infraestructura intermedia es reputada
- El hosting final está en Azure
- No hay archivos ejecutables, ni macros
Es phishing basado en infraestructura confiable.
Esto es exactamente lo que definimos como CloudLOL: Living Off Legitimate Cloud Services.
🔍 Indicadores técnicos relevantes
- Uso de facturas PayPal como contenedor de PDF malicioso
- Cadena larga de redirecciones ofuscadas vía parámetros
- Hosting final en Azure Blob (
web.core.windows.net) - Página clonada de Microsoft 365
- Abuso de plataformas de email security y marketing automation como pivote intermedio
📊 ¿Cómo se detecta algo así?
La clave fue la correlación de eventos y análisis de comportamiento, no la autenticación del correo.
🔍 Observamos patrones anómalos:
- Tráfico a PayPal inesperado por parte de usuarios
- Detección de PDFs con enlaces inusualmente largos
- Redirecciones múltiples (de multiples dominios diferentes) en el navegador como indicador sospechoso
La clave no está en si el correo “es auténtico”. La clave está en si ese comportamiento es normal para ese usuario.
⚠️ Lección importante: La IA no es suficiente
Los controles clásicos de autenticación de email e incluso el triaje asistido por IA son necesarios… pero no son suficientes.
Hoy, la detección real proviene de:
✨ Telemetría
✨ Comportamiento
✨ Contexto
✨ Volumen
✨ Correlación
En resumen: no importa si el correo “parece legítimo”. Lo que importa es si se comporta como algo normal para ese usuario.
🛡 Recomendaciones
Para organizaciones que trabajen con facturación electrónica:
- Formación avanzada y continuada por parte de equipos de inteligencia de amenazas
- Analizar adjuntos PDF en sandbox con seguimiento de redirecciones
- Monitorizar accesos a
paypal.comy*.web.core.windows.net
🧩 Cómo nuestro Adversary-Aware SOC detectó y previno este ataque
Nuestro Adversary-Aware SOC identificó este ataque mediante múltiples capas de detección que van más allá de los controles tradicionales:
| Área de Defensa Merabytes | Cómo actuó nuestro SOC | Resultado obtenido |
|---|---|---|
| Análisis de comportamiento de tráfico | Detección de accesos a paypal.com desde usuarios sin historial de compras o actividad financiera relacionada. | Alerta temprana antes de que usuarios interactúen con el PDF malicioso. |
| Análisis de adjuntos PDF | Inspección en sandbox de PDFs con detección de enlaces inusualmente largos y ofuscados. | Identificación del vector inicial antes de que el usuario siguiera el enlace. |
| Seguimiento de cadenas de redirección | Análisis automático de múltiples saltos en el navegador: CloudFlare → Mailinblack → ActiveCampaign → Azure. | Mapeo completo del flujo malicioso y bloqueo proactivo antes de la página de captura. |
| Análisis de contexto y telemetría | Cruce de datos: comportamiento histórico del usuario vs. acceso inesperado a infraestructura de pagos. | Detección de actividad anómala en tiempo real. |
| Monitorización de destinos Azure | Alertas sobre accesos a dominios *.web.core.windows.net como hosting conocido de páginas de phishing. |
Bloqueo proactivo de la página de captura de credenciales. |
| SIEM con reglas personalizadas | Correlación de eventos: acceso a PayPal + PDF con redirecciones largas + destino Azure sospechoso. | Respuesta rápida del SOC con contexto completo del incidente. |
Gracias a la visión centrada en el adversario, nuestro SOC no solo detectó la anomalía, sino que entendió la táctica del atacante (abuso de cadenas de confianza en servicios cloud legítimos) y respondió antes de que las credenciales corporativas fueran comprometidas.
📚 Lecciones aprendidas
- Los servicios legítimos pueden ser vectores de ataque. PayPal, Azure, Mailinblack y CloudFlare son plataformas de confianza que los atacantes usan estratégicamente.
- Las cadenas de redirección ocultan el destino final. Múltiples saltos a través de servicios reputados hacen casi imposible la detección por firmas estáticas.
- El análisis de comportamiento es crítico. Tráfico inesperado a plataformas de pagos es una señal de alarma independientemente de la autenticación del correo.
- La correlación de eventos detecta lo que los controles tradicionales pierden. Cruzar datos de comportamiento de usuario, destinos de tráfico y análisis de adjuntos revela ataques sofisticados.
Conclusión
La sofisticación ya no está en el malware.
Está en el uso creativo de infraestructuras legítimas.
El ataque fue detectado porque nuestro SOC implementa defensa adaptativa y monitoreo continuo de comportamiento. Con Merabytes, la historia terminó bien:
- El tráfico inesperado a paypal.com fue detectado por análisis de comportamiento.
- El PDF malicioso fue analizado en sandbox antes de que el usuario siguiera el enlace.
- La cadena de redirecciones completa fue mapeada y bloqueada.
- Los usuarios fueron alertados antes de que introdujeran sus credenciales corporativas.
El futuro de la detección no está en el encabezado del email. Está en el patrón de comportamiento.
#ciberseguridad #CloudLOL #phishing #identitysecurity #Azure #PayPal #merabytes
Si te interesa proteger tu infraestructura contra ataques sofisticados de CloudLOL y phishing avanzado, visita merabytes.com y solicita acceso a nuestros servicios de monitorización continua, protección de identidad y análisis de comportamiento.
Cómo un Adversary-Aware SOC previene estos escenarios
Descubre cómo nuestro Adversary-Aware Security Operations Center identifica y neutraliza amenazas de forma proactiva antes de que impacten tu negocio.
Un Adversary-Aware SOC va más allá del monitoreo de seguridad tradicional al comprender las tácticas, técnicas y procedimientos (TTPs) de los atacantes. Cazamos amenazas de forma proactiva usando el framework MITRE ATT&CK, análisis de comportamiento e inteligencia de amenazas para detectar ataques que evaden los controles de seguridad convencionales.
Las herramientas de seguridad tradicionales se enfocan en firmas e indicadores conocidos. Nuestra detección por comportamiento analiza anomalías en la actividad de usuarios, patrones de correo, tráfico de red y comportamiento del sistema para identificar ataques sofisticados que usan herramientas legítimas o evaden controles de autenticación. Esto detectó los ataques en estos casos de estudio antes de que ocurriera un daño significativo.
Nuestro SOC opera 24/7 con monitoreo en tiempo real y capacidades de respuesta automatizada. Las alertas críticas activan investigación inmediata y acciones de contención en minutos. Proporcionamos caza de amenazas continua, análisis forense y respuesta coordinada a incidentes para minimizar el impacto y prevenir el movimiento lateral.
Combinamos feeds de inteligencia de amenazas globales con nuestra propia investigación de incidentes reales. Cada ataque que analizamos contribuye a nuestras reglas de detección y base de datos de IOCs, que se comparte inmediatamente en todos los entornos protegidos. Esto significa que si vemos un nuevo patrón de ataque contra un cliente, todos los clientes están automáticamente protegidos en horas.
Absolutamente. Nuestro SOC se integra con sus herramientas existentes de EDR, XDR, SIEM, firewalls, seguridad de correo y protección de identidad. Mejoramos su efectividad correlacionando eventos de todas las fuentes, aplicando lógica de detección consciente de adversarios y proporcionando análisis humano experto que las herramientas automatizadas por sí solas no pueden lograr.