O grupo de cibercriminosos identificado como Storm-2949 iniciou uma campanha de ataques contra ambientes de produção do Microsoft 365 e Azure, utilizando táticas de engenharia social focadas no processo de redefinição de senha de autoatendimento (SSPR). A descoberta, divulgada pela Microsoft em maio de 2026, detalha como o grupo evitou o uso de malware convencional para priorizar o abuso de recursos legítimos de administração em nuvem.
A metodologia utilizada pelos atacantes começa com a identificação de colaboradores, incluindo equipes de TI e cargos de liderança, que são alvos de manipulação psicológica. O Storm-2949 finge ser suporte técnico interno e convence as vítimas a aprovarem solicitações de autenticação de multifator (MFA). Uma vez obtida essa permissão, os invasores redefinem as credenciais das contas e removem os métodos de autenticação pré-existentes, como números de telefone e registros do aplicativo Microsoft Authenticator. Isso garante ao grupo o controle total e persistente sobre as identidades comprometidas.
Com acesso a contas dotadas de permissões privilegiadas, os criminosos expandem a invasão para a infraestrutura de nuvem. O ataque abrange diversos níveis, incluindo serviços em nuvem (SaaS), plataformas (PaaS) e infraestrutura (IaaS). Entre os alvos estão Azure App Services, Azure SQL e Key Vaults. O grupo chegou a modificar regras de firewall em servidores SQL e utilizar a extensão VMAccess em máquinas virtuais para criar contas de administrador locais, permitindo a execução remota de scripts e a exfiltração de dados sensíveis.
Para manter a discrição e evitar detecção, os atacantes realizam manutenções em suas ações, como a limpeza de registros e a reversão de alterações em firewalls após o acesso aos dados. Essa estratégia demonstra uma mudança significativa no comportamento de ameaças digitais, que passam a focar no comprometimento da identidade e da camada de controle (control plane) em vez de ataques tradicionais baseados em software malicioso.
Para organizações que operam ambientes complexos na nuvem, este incidente reforça a necessidade de auditorias constantes nas permissões de controle de acesso baseado em função (RBAC). A capacidade de navegar entre serviços e contornar proteções internas mostra que a segurança de identidade é agora a principal frente de batalha na proteção de ativos estratégicos corporativos.
